개인정보보호위원회는 2024년 4월 4일 「해외사업자의 개인정보 보호법 적용 안내서」를 발간하였습니다. 이번 안내서는 해외사업자에 대한 개인정보 보호법 적용 여부 판단 기준 및 해외사업자가 놓치기 쉬운 개정 개인정보 보호법 하에서의 법적 의무사항을 명확히 규정하면서 구체적인 사례까지 제공하고 있습니다. 주요내용은 아래에서 더 자세히 살펴보도록 하겠습니다.

 

1. 주요내용

1. 해외사업자에 대한 개인정보 보호법 적용 여부 판단 기준

(한국 정보주체 대상 재화 또는 서비스 제공 여부)
해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우 개인정보 보호법 적용

  • 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공한다고 판단되는 사례
 
① 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공한다고 명시적으로 밝히는 경우
② 웹사이트를 운영하면서 인터넷 주소에 한국 국가 도메인(.kr) 또는 한국 대상 별도 도메인(ko-kr 등)을 사용하는 경우
③ 앱 마켓에 한국을 대상으로 서비스를 출시하는 경우
④ 해외사업자가 서비스를 제공하면서 특정 국가의 법만 적용된다고 적시하더라도 한국어만으로 서비스를 제공하는 경우

또한 언어(한국어), 통화(currency), 서비스 제공 형태 및 방식 등을 종합적으로 고려하였을 때, 한국 정보주체를 대상으로 재화나 서비스가 제공된다고 판단될 경우에도 개인정보 보호법이 적용됨

  • 반면, 해외사업자에게 개인정보 보호법이 적용되지 않는 사례는 아래와 같음 
 
① 해외사업자가 해외에서 호텔 숙박 서비스를 제공하면서 호텔에 방문한 한국인의 개인정보를 수집·이용하게 된 경우
② 해외사업자의 업무 시스템이 해킹되어 현지에서 근무하는 한국인 직원의 개인 정보가 유출된 경우
③ 해외사업자가 온라인 쇼핑몰에서 한국으로 직배송 서비스를 제공하지 않고 한국 정보주체가 물건을 구매하여 배송대행지로 배송한 경우
④ 해외사업자가 온라인으로 재화 또는 서비스를 제공하면서 한국 IP로부터의 접속을 차단하거나 앱 서비스의 경우 한국 앱 마켓 미출시 등의 수단을 강구하여 한국 정보주체의 이용을 명시적으로 제한한 경우(한국 정보주체가 이를 우회적으로 이용한 경우 포함)

(한국 정보주체에게 미치는 영향)
해외사업자가 한국 정보주체의 개인정보를 처리하여 한국 정보주체에게 직접적이고 상당한 영향을 미칠 경우 개인정보 보호법 적용

  • 아래와 같이 해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하지 않더라도 한국 정보주체에게 직접적이고 상당한 영향을 미칠 수 있고, 스스로 그 내용과 영향을 예측할 수 있다면 개인정보 보호법이 적용될 수 있음
 
① 해외사업자가 한국 정보주체의 개인정보를 수집하여 웹사이트에 공개하는 서비스를 제공하는 경우
② 해외사업자가 한국 사업자를 대상으로 재화 또는 서비스를 제공하는 과정에서 한국 정보주체의 개인정보를 처리하는 경우
③ 한국 사업자와 업무 위·수탁 관계에서 위·수탁자로서 한국 정보주체의 개인정보를 처리하는 경우
④ 해외사업자가 한국 사업자로부터 한국 정보주체의 개인정보를 제공받아 자신의 업무(예: 인공지능 모델 개발)를 목적으로 해당 개인정보를 처리하는 경우

(한국 영토 내 사업장 존재 여부)
해외사업자가 글로벌 서비스를 제공하면서 한국 영토 내 개인정보가 처리되는 사업장을 두고 있는 경우 개인정보 보호법 적용

  • 사업장은 법인뿐만 아니라 개별 오피스나, 연락사무소, 그리고 수탁자의 사업장 등을 모두 포함
  • 단, 해외 사업자의 글로벌 서비스와 관련한 개인정보 처리가 한국 사업장의 활동과관련성이 없는 경우에는 달리 판단될 수 있음 
    ※ 예컨대 한국에 영업 조직을 두고 소프트웨어 판매 및 유지보수를 하는 해외사업자가 이와 별개로 해외에서 온라인 쇼핑몰을 운영하면서 한국 정보주체를 대상으로 서비스를 제공하지 않는다면, 온라인 쇼핑몰은 개인정보보호법을 적용받지 않을 수 있음
  • 해외사업자가 글로벌 서비스를 제공하면서 한국 사업자를 설립하여 한국 정보주체의 개인정보처리자로 명시한 경우는 한국 사업자에게 개인정보 보호법을 적용할 수도 있음


2. 개인정보 보호법의 적용을 받는 해외사업자가 놓치기 쉬운 법적 의무사항

※ 원칙적으로 개인정보 보호법이 적용되는 해외사업자는 개인정보 보호법상 모든 규정을 준수하여야 하며, 안내서는 해외사업자의 특성을 고려하여 일부 유의해야 할 사항을 설명함

유출 통지 및 신고

  • 유출된 개인정보의 규모 등이 정확하게 확인되지 않은 상황이라도 개인정보 유출 사실 자체가 확인되고 국가별로 정보주체를 구분하여 개인정보처리시스템 등을 운용하고 있지 않다면, 한국 정보주체의 개인정보 유출 사실을 알 수 있는 상태에 이르렀다고 판단될 수 있음. 따라서 72시간 이내 개인정보 보호법 제34조에 따른 유출 통지 및 신고를 완료하여야 함
  • 다만, 사고분석 결과, 72시간 내 한국 정보주체의 개인정보가 유출되지 않은 것을 확인하였다면 신고하지 않을 수 있음

개인정보 처리방침 공개 방법

  • 개인정보 처리방침을 수립·공개할 때에는 한국어로 작성하여야 하고, 다른 국가의 처리방침을 단순히 번역하는 것이 아니라 개인정보 보호법에서 정하고 있는 내용에 따라 작성·공개하여야 함
  • 전 세계적으로 동일하게 제공되는 재화 또는 서비스의 경우 국가별로 이를 제공하는 개인정보 처리자가 다를 수 있기 때문에, 개인정보 처리방침에는 한국 정보주체의 개인정보를 처리하는 개인정보처리자가 누구인지 명확히 기재하여야 하고, 해외에서 한국 정보주체의 개인정보가 처리되는 경우 해외에서 개인정보를 처리한다는 사실, 해당 국가 및 개인정보를 처리하는 사업자명 등을 명확하게 기재하여야 함

정보주체 권리보장

  • 해외사업자는 한국 정보주체가 권리를 쉽게 행사할 수 있는 방법을 마련하고 이를 명확히 한국어로 안내하여야 함
  • 다른 국가 법령에서 한국 정보주체가 열람 요구한 정보의 공개를 제한하고 있다고 하더라도 곧바로 열람·제공을 거부할 수 있는 것은 아니므로, 해외사업자는 해당 국가 법령에 따른 비공개의무가 한국의 헌법, 법률 등의 내용과 취지에 부합하는지, 개인정보를 보호할 필요성에 비해 해당 법령을 존중해야 할 필요성이 현저히 우월한지, 실질적으로 비공개 의무를 부담하는지 여부 등을 검토하여야 함

14세 미만 아동 법정대리인

  • 해외사업자는 아동(만 14세 미만)을 대상으로 재화 또는 서비스를 제공하거나, 아동의 개인정보가 필수적으로 수집되는 재화 또는 서비스를 제공하는 경우 정보주체의 연령정보를 확인하여 법정대리인 동의 없이 아동의 개인정보가 수집되지 않도록 주의하여야 함

손해배상의 보장

  • 해외 본사와 한국 지사가 각각 한국 정보주체에게 서비스를 제공하고 있다면, 본사와 지사는 각각의 이용자 수와 매출액을 판단하여 손해배상 의무대상자에 해당하면 보험 또는 공제에 가입하거나 준비금을 적립하여야 함
    ※ 본사에서 가입한 보험 또는 공제의 보장범위에 한국 지사의 개인정보 보호법 위반행위에 대한 손해배상책임이 포함된다면 한국 지사가 별도로 보험 또는 공제에 가입하여야 하는 것은 아님

국내대리인

  • 국내대리인을 지정해야 하는 해외사업자는 자신이 설립한 국내 법인이 있거나 임원 구성, 사업 운영 등에 대하여 지배적인 영향력을 행사하는 국내 법인이 있는 경우 해당 법인을 국내대리인으로 지정하는 것이 바람직함
  • 직원이 응대하지 않고 녹음된 음성으로 전자우편 또는 온라인 양식을 이용하도록 안내하거나, 직원이 정보주체의 불만 처리 및 피해구제와 관련하여 아무런 조치를 할 수 없는 경우에는 개인정보 보호책임자의 업무를 대리하는 국내대리인을 지정하였다고 보기 어려움

개인정보 처리위탁

  • 한국 개인정보 보호법은 개인정보처리자가 정보주체의 개인정보를 제3자에게 이전하거나 제3자와 공동으로 이용하는 것에 대해 ‘개인정보의 제공’과 ‘개인정보처리(취급) 업무의 위탁’을 구분하여 규정하고 있는 것에 유의하여 각 경우에 따른 법적 근거를 갖추어야 함
  • 개인정보 제3자 제공은 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보의 처리위탁은 위탁자 본인의 업무처리와 이익을 위하여 개인정보가 이전되는 경우를 의미함

조사 및 사전 실태점검

  • 개인정보보호위원회는 조사 및 개인정보 보호실태를 점검하기 위하여 해외사업자에게 관계 물품·서류 등 자료를 제출하게 할 수 있고, 소속 공무원으로 하여금 해외사업자의 사무소나 사업장에 출입하여 대표자, 대리인, 그 밖의 임직원 등 관계인에게 진술을 요구하거나 관계인을 참관시킨 후 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있으며, 필요한 경우에는 해외사업자에게 관계인의 출석·진술을 요구할 수도 있음

시정조치 및 과징금 등

  • 개인정보보호위원회는 해외사업자가 개인정보 보호법을 위반한 사실을 확인한 경우, 개인정보 침해행위의 중지, 개인정보 처리의 일시적인 정지, 그 밖에 개인정보 보호 및 침해 방지를 위하여 필요한 조치를 명하거나 개인정보 처리 실태의 개선을 권고할 수 있으며, 과태료 또는 전체 매출액의 100분의 3 이하의 과징금을 부과할 수 있고, 해외사업자 및 그 대표자 등을 수사기관에 고발하거나 징계를 권고할 수도 있으며, 처분 등 사실을 보호위원회가 공표하거나 해외사업자에게 처분 등을 받았다는 사실을 공표할 것을 명할 수 있음
  • 해외사업자에게 과징금을 부과하는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하는데, 전체 매출액은 한국 내에서 발생한 매출액으로 한정되지 않은 전 세계 매출액을 의미하며 위반행위와 관련이 없는 매출액의 입증책임은 해외사업자가 부담
     

2. 시사점

  • 글로벌 서비스가 증가함에 따라 한국에 서비스를 제공하는 해외사업자에게도 한국의 개인정보 보호법이 적용되는지에 대한 논의가 있었던바, 개인정보호위원회는 이번 안내서를 통해 해외사업자에게 개인정보 보호법이 적용되는지 여부를 판단하는 기준 등을 구체적으로 제시하였습니다.
  • 다만, 이번 안내서가 제시한 판단 기준 중 하나인 ‘해외사업자의 개인정보 처리가 한국 정보주체에게 영향을 미치는 경우’는 판단 기준 자체가 명확하지 않으며, ‘해외사업자가 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우’를 판단할 때는 언어, 통화, 서비스 제공 형태 및 방식 등을 종합적으로 고려한다고 설명하여 생각보다 넓은 범위의 해외사업자에게 개인정보 보호법이 적용될 수 있음을 주의하여야 할 것으로 사료됩니다. 
  • 특히 개인정보보호위원회는 이번 안내서를 통해 해외사업자에 대한 조사 및 사전 실태점검과 시정조치 및 과징금 부과 등의 조치를 취할 수 있다는 점을 명확히 하였으므로, 한국 내 온라인 서비스를 제공하고 있거나 제공할 예정에 있는 글로벌 사업자는 한국 개인정보 보호법 준수 여부를 다시 한번 점검할 필요가 있겠습니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종은 개인정보 분야의 독보적인 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.