개인정보 보호위원회

업무 현장에서 궁금해 할 만한 개인정보 관련 법, 제도, 정책, 사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다.

[12. 30.(월). 발행]

구글, 메타도 국내사업자와 동일하게 우리나라 「개인정보보호법」을 적용받나? (1부)

1. 해외 기업이 내 정보를 유출했다면?

  유튜브, 인스타, 해외직구 ... 우리 일상에 자연스럽게 스며들고 있는 대표적인 용어입니다. 이러한 서비스는 모두가 알다시피 해외에 소재한 사업자가 제공하고 있고, 우리나라 이용자는 이를 이용하는 과정에서 이름, 주소, 전화번호, 이메일, 결제 정보, 구매 내역 등 개인정보를 필연적으로 제공하게 되는데, 당연히 우리나라가 아닌 전 세계 곳곳에 그 정보가 저장‧관리되고 있습니다.

 그런 개인정보가 유출되었다면 어떠할까요? 

  개인정보가 유출 사고는 이제 놀랍지도 않을 만큼 자주 발생하고 있습니다. 해외사업자 또한 국내사업자와 마찬가지로 해커에게 개인정보를 탈취당하거나, 우리나라 이용자 모르게 이용하는 일이 종종 발생합니다. 2016년 미국 대선 때 영국 정치 컨설팅 업체인 케임브리지 애널리티카가 이용자의 동의 없이 페이스북 가입자의 프로필을 선거에 사용했었는데, 당시 문제가 된 개인정보에는 우리나라 이용자의 정보도 포함되어 있었습니다. 

  이처럼 우리나라 이용자의 개인정보가 해외에서 무단으로 수집되어 처리되는 것을 막을 수 있는지에 대해, ｢개인정보 보호법｣을 적용할 수 있는가에 대한 문의가 많았습니다. 그래서, 올해 4월 개인정보 보호위원회(이하 ‘위원회’)에서는 그간 검토한 사례를 중심으로 “해외사업자 개인정보보호법 적용 안내서”를 내놓았습니다.

앞으로 2편에 걸쳐 해외사업자도 국내사업자와 마찬가지로 우리나라 ｢개인정보 보호법｣을 적용받는지에 대해서 알아보겠습니다. 이번 편에서는 ｢개인정보 보호법｣ 적용의 대상에 대해서, 다음 편에서는 해외사업자가 유의해야 할 ｢개인정보 보호법｣ 규정에 대해서 설명하겠습니다.

2. ｢개인정보 보호법｣ 적용의 대상

  인터넷과 ICT 기술 발달과 함께 국경선이 의미가 없는 상거래가 대세가 되면서 적어도 온라인상에서 주권이나 사법권을 고수하는 것은 시대적 관점과는 다소 거리가 있을 수 있습니다. 우리나라 법도 원칙적으로 우리 영토 내에서 발생한 행위뿐만 아니라 우리나라 또는 우리 이용자의 법익을 침해하는 행위에 대하여 행위자의 국적과 행위지를 불문하고 적용될 수 있다고 보고 있습니다.

  실제 우리나라 정부는 해외사업자가 우리 영토 밖에서 실행한 위법행위가 우리나라 이용자의 개인정보를 침해하는 등 국내 질서에 ‘직접적‧실질적 효과’를 미치는 때에는 적극적으로 법을 적용하였습니다.

우리나라 법을 위반한 해외사업자에 대한 행정처분

  또한, 우리나라 법원은 공정거래 담합(<흑연 전극봉 담합, 2003두11124>) 판결에서 해외 사업자도 ｢독점규제 및 공정거래에 관한 법률｣이 적용된다는 판시를 한 적이 있습니다. 공정거래법이 대상 사업자를 내국사업자로 한정하고 있지 않고 있고, 외국사업자가 외국에서 부당한 공동행위를 함으로 인한 영향이 국내시장에 미치는 경우에는 공정거래법이 적용된다고 본 것입니다.

대법원 2006. 3. 23. 선고 2003두11124 판결 발췌

  이러한 선례 및 판례에 근거하여 우리 위원회는 해외사업자에 대해 ｢개인정보 보호법｣을 적용할 수 있다고 판단하고 있습니다. 다만 국경의 구분이 의미 없다고 하여 ｢개인정보 보호법｣의 적용 범위를 지나치게 확장하게 되면 다른 나라의 주권과 충돌할 수 있으므로 일정한 한계가 필요할 것입니다.

  위원회는 이러한 한계를 정하기 위해 원론적인 해석보다는 ｢개인정보 보호법｣ 적용의 필요성 등을 중심으로 검토하고 있습니다. 그에 따른 기준은 ① 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는지 여부, ② 한국인 또는 한국 정보주체에게 미치는 영향, ③ 한국 영토 내 사업장이 존재하는지 여부 등이고 이를 종합적으로 고려하여 판단하고 있습니다.

  먼저, ① 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는지 여부의 경우입니다. ▲해외사업자가 글로벌 서비스를 제공하면서 대한민국(South Korea)을 서비스가 지원되는 국가 및 지역(Supported countries and territories)으로 명시한 경우, ▲웹사이트를 운영하면서 인터넷 주소에 한국 국가 도메인(.kr) 또는 한국 대상 별도 도메인(ko-kr 등)을 사용하는 경우, ▲한국 앱 마켓에 서비스를 출시하는 경우, ▲글로벌 앱마켓에 출시하면서 기본언어를 한국어로 설정한 경우 등은 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 것이 명확하다고 볼 수 있을 것입니다.

  이와 달리, 해외사업자가 온라인으로 제공하는 재화 또는 서비스의 범위에서 한국을 명시적으로 제외하여 안내하고, 실제 한국 정보주체에게 이를 제공하지 않는 것이 명확하거나, 한국 IP 주소를 차단하였음에도 한국 정보주체가 이를 우회적으로 이용한 경우까지 ｢개인정보 보호법｣이 적용된다고 보기는 어렵습니다. 

  다음은 ② 한국인 또는 한국 정보주체에게 미치는 영향의 경우입니다. ▲해외사업자가 한국인을 대상으로 재화 또는 서비스를 제공하지 않더라도 한국 정보주체의 개인정보(성명, 한국 주소 및 전화번호 등)를 수집하여 웹사이트에 공개하는 경우, ▲해외사업자가 한국 사업자에게 채팅 API 솔루션을 제공하면서 한국 사업자가 제공하는 서비스를 이용하는 한국 정보주체의 개인정보를 처리하는 경우, ▲해외사업자가 인공지능 모델 개발을 위해 한국 사업자가 수집한 한국 정보주체의 개인정보 및 관련 인공지능 학습데이터를 제공받아 처리하는 경우는 한국 정보주체에게 직접적이고 상당한 영향을 미치고 있다고 볼 수 있을 것입니다.

  마지막으로 ③ 한국 영토 내 사업장이 존재하는지 여부의 경우입니다. 글로벌 서비스를 제공하면서 한국 내에 개인정보가 처리되는 사업장이 있는 경우이고, 사업장은 법인뿐만 아니라 개별 오피스나, 연락사무소, 그리고 수탁자의 사업장 등을 모두 포함합니다. 회원의 개인정보 데이터를 관리하는 업체가 한국 지점임을 개인정보 처리방침에 알리고 있는 해외사업자(또는 해당 글로벌 서비스)는 이에 해당합니다. 

  오히려 한국에 영업조직과 소프트웨어 판매 및 유지보수를 하는 업체가 있는 해외사업자가 이와 별개로 온라인 쇼핑몰을 해외에서 운영하면서 그 쇼핑몰은 한국인을 대상으로 하지 않는다면 해당 온라인 쇼핑몰에서의 개인정보 처리는 한국 사업장의 활동과 관련성이 없다고 판단될 수 있습니다.

3. 맺음말

  위에서 살펴본 바와 같이 위원회는 전 세계적으로 재화 또는 서비스를 제공하거나 해외에서 개인정보를 처리하여 한국 정보주체에게 ‘직접적·실질적 효과’를 미치는 경우 해당 해외사업자에게 ｢개인정보 보호법｣을 준수하도록 하고, 이를 위반한 해외사업자에게는 국내사업자와 마찬가지로 시정명령, 과징금, 과태료, 공표 등의 처분을 하고 있습니다. 

다음에서는 해외사업자가 특히 유의하여 보아야 할 ｢개인정보 보호법｣ 규정에 대해 알려드리겠습니다.

개인정보보호위원회 조사1과 고명석 사무관