개인정보 보호위원회

업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다. 

[1. 22.(수) 발행] 

구글, 메타도 국내사업자와 동일하게 우리나라 「개인정보 보호법」을 적용받나?

  앞서 구글, 메타 등 해외사업자에게 우리나라 ｢개인정보 보호법｣을 적용하는 기준에 대해서 알아보았습니다. 개인정보 보호위원회는 이렇게 우리나라 ｢개인정보 보호법｣을 적용받는 해외사업자의 개인정보 유출 사고 및 법 위반행위에 대해 예외 없이 조사‧처분하고 있습니다.

  그러나, 구글, 메타 등 해외사업자는 우리나라 뿐만 아니라 전 세계를 대상으로 서비스를 제공하고 있다는 측면에서 통상의 국내사업자에게 법을 적용하는 것과 일부 차이가 발생할 수 있습니다. 따라서 해외사업자의 특성을 고려하지 않고 ｢개인정보 보호법｣을 적용을 한다면 법 적용의 실효성이 담보하기 어려울 것입니다.  이번 글에서는 해외사업자가 특히 유의하여 보아야 할 ｢개인정보 보호법｣  규정과 이를 준수하기 위해 필요한 조치(유출 시 신고 절차, 처리방침 공개 방법, 정보주체 권리보장, 14세 미만 아동 개인정보 보호, 국내 대리인 지정 등)에 대해 알려드리겠습니다.

1. 개인정보 유출 및 신고

  ｢개인정보 보호법｣에서 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리‧통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미합니다.

  예를 들어, ▲ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당하여 외부에 공개된 경우, ▲개인정보처리시스템 또는 업무용 컴퓨터 등에 정상적인 권한이 없는 자가 접근하여 개인정보를 열람하거나 외부로 전송한 경우, ▲개인정보가 포함된 파일 또는 종이 문서, 기타 저장 매체가 권한 없는 제3자에게 잘못 전달된 경우 유출에 해당하고, ▲개인정보가 검색엔진에 수집되어 인터넷상 노출되거나 홈페이지 게시판에 개인정보가 포함된 파일을 잘못 게재하여 권한 없는 제3자가 이를 다운로드 또는 열람한 경우, ▲이용자가 로그인 시 시스템 오류 등으로 다른 이용자의 개인정보가 노출된 경우, ▲개인정보가 포함된 이메일을 오발송한 경우 모두 개인정보 유출에 해당합니다.

  ｢개인정보 보호법｣은 개인정보 유출이 발생한 사실을 알게 된 경우, 72시간 이내에 정보주체에게 알려야 합니다. 특히, 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보가 유출된 경우, 외부로부터의 불법적인 접근에 의해 개인정보가 유출된 경우에 해당한다면, 72시간 이내에 개인정보 보호위원회(이하 ‘위원회’) 또는 한국인터넷진흥원에 신고하여야 합니다. 이 경우 유출 사실을 알게 되었을 때는 권한 없는 제3자가 개인정보를 알 수 있는 상태에 이르렀다는 사실을 인지하게 된 것만으로도 충족한다고 봅니다.

  해외사업자는 정보주체의 개인정보가 유출된 경우, 전 세계를 대상으로 서비스를 제공하고 있기 때문에 다수 국가의 감독기구에 신고하여야 한다는 이유로 본사가 소재한 국가의 감독기구에만 신고하고 위원회에는 뒤늦게 신고한 경우가 있을 수 있습니다. 위원회는 이에 대해 한국 이용자를 대상으로 서비스를 제공하고 있다면, 유출된 개인정보의 규모 등이 정확하게 확인되지 않은 상황이라도 개인정보 유출 사실 자체가 확인되고, 국가별로 이용자를 구분하여 개인정보처리시스템 등을 운용하고 있지 않다면, 한국 이용자의 개인정보 유출 사실을 알 수 있는 상태에 이르렀다고 판단하고 있습니다.

  따라서, 한국 이용자의 개인정보가 유출된 사실이 확인되지 않았더라도 72시간 이내에 유출 신고할 의무가 있을 것입니다. 다만, 사고분석 결과, 72시간 내 한국 이용자의 개인정보가 유출되지 않은 것을 확인하였다면 위원회에는 신고하지 않을 수 있고, 만약 신고를 한 후라도 한국 이용자의 개인정보가 유출되지 않은 것이 확인된다면 그 내용을 소명할 수 있습니다.

  이러한 유출 신고는 ①개인정보 포털(privacy.go.kr → 기업‧공공 서비스 → 유출신고)에서 할 수 있고, ②개인정보 유출신고서를 작성하여 이메일(118@kisa.or.kr)로도 접수할 수 있으며, ③국내대리인 등에게 해당 업무를 위임할 수 있습니다.

  참고로, 직원이 개인정보가 포함된 이메일을 권한 없는 다른 직원에게 오발송하였더라도 사업자가 삭제, 안전조치 등을 지시하여 이를 정정할 수 있는 등 관리·통제권을 벗어난 상태로 보기 어려운 경우, 권한 없는 제3자가 개인정보처리시스템에 접근할 수 있는 상태에 있었다고 하더라도 실제 권한 없는 제3자에게 열람되었거나 접근되지 않은 것이 확실한 경우에는 유출에 해당하지 않을 수 있습니다.

 2. 개인정보 처리방침 공개 방법

  해외사업자가 개인정보 처리방침을 수립하여 공개할 때에는 한국 이용자 누구든지 그 개인정보 처리에 관한 사항을 쉽게 알 수 있도록 한국어로 작성하여야 하고, 다른 국가의 법률 등을 전제로 수립한 개인정보 처리방침을 단순히 번역하는 것이 아니라 ｢개인정보 보호법｣에서 정하고 있는 내용에 따라 작성하여 공개해야 하고, 가급적 한국에서 이용자에게 열람되는 개인정보 처리방침은 ｢개인정보 보호법｣에서 정하고 있는 내용을 하나의 웹 페이지에서 모두 확인할 수 있도록 공개하는 것이 바람직할 것입니다.

  또한, 개인정보 처리방침의 기재 사항에 대하여 상세 내용을 링크를 통해 연결된 페이지에서 확인하도록 하는 경우, 해당 페이지에서 재차 링크를 사용하는 등의 방식으로 이용자가 내용을 확인하기 어렵도록 해서는 안 되고, 링크가 의도한 페이지로 연결되도록 지속적으로 관리하여야 하며, 링크로 연결된 페이지 또한 한국어로 제공하여야 할 것입니다.

  전 세계적으로 동일하게 제공되는 서비스의 경우, 국가별로 이를 제공하는 개인정보처리자가 다를 수 있습니다. 따라서 개인정보 처리방침에는 한국 이용자의 개인정보를 처리하는 자가 누구인지 명확히 알 수 있도록 기재하고, 해외에서 한국 정보주체의 개인정보가 처리되는 경우 해외에서 개인정보를 처리한다는 사실, 해당 국가 및 개인정보를 처리하는 사업자명 등을 명확하게 기재하여야 합니다.

  해외사업자는 사업자 본인이 아닌 제3자가 개인정보를 처리하도록 한 경우, 그 내용을 제3자 제공과 위탁을 구분하지 않고 ‘공유(Share)’로 작성하는 경우가 있습니다. ｢개인정보 보호법｣에서는 제3자 제공과 위탁을 구분하고 있으므로 이를 개인정보 처리방침에 구분하여 공개하여야 합니다.

  참고로, 개인정보의 국외 이전에 관한 사항의 경우 제3자 제공 또는 위탁에 관한 사항과 별도로 구분하여 공개하는 것이 권장되나, 공개하는 대부분의 내용이 중복되어 오히려 정보주체의 가독성 등 편의를 해치는 경우 국외 이전에 관한 사항에 제3자 제공 또는 위탁에 관한 사항을 포함하여 공개하는 것도 가능합니다. 다만, 이 경우 정보주체가 알기 쉽게 명확히 작성하여야 할 것입니다.

 3. 정보주체 권리보장

  ｢개인정보 보호법｣은 이용자가 개인정보의 열람, 정정·삭제, 처리정지 및 동의 철회 등의 요구를 할 수 있는 구체적 방법과 절차를 마련하고, 이를 이용자가 알 수 있도록 공개하도록 규정하고 있으며, 그 요구 방법과 절차를 마련하는 경우에는 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 않도록 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 하고, 정보주체의 열람, 정정‧삭제, 처리정지에 관한 요구를 한국 근무일 기준 10일 이내에 처리하도록 하고 있습니다. 

  해외사업자는 이용자의 개인정보 열람, 정정·삭제, 처리정지 및 동의 철회 등의 요구에 대하여 법률에 특별한 규정이 있거나, 법령상 의무를 준수하기 위하여 불가피한 경우, 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 및 개인정보를 처리하지 않으면 계약의 이행이 곤란한 경우로서 정보주체가 계약 해지 의사를 명확하게 밝히지 않은 경우에는 이를 거절할 수 있습니다.

  해외사업자는 ▲해당 국가 법령에 따른 비공개 의무가 한국의 헌법, 법률 등의 내용과 취지에 부합하는지, 개인정보를 보호할 필요성에 비해 해당 법령을 존중해야 할 필요성이 현저히 우월한지, 실질적으로 비공개 의무를 부담하는지 여부 등을 검토하여야 하고, ▲비공개에 정당한 사유가 존재한다면, 그 항목을 구체적으로 특정하여 정보주체에게 제한‧거절 사유를 통지해야 하고, ▲열람‧제공 거부 사유가 종료되는 경우 열람‧제공하여야 합니다.

해외사업자의 열람 요구 거절‧제한 관련 판례(대법원 2023. 4. 13., 선고 2017다219232)

 4. 14세 미만 아동 개인정보 보호

  ｢개인정보 보호법｣은 아동의 개인정보를 처리하는 경우 법정대리인의 동의를 받도록 하고, 그 동의 여부를 확인하도록 규정하고 있는데, 한국의 ｢개인정보 보호법｣은 14세 미만을 아동으로 규정하고 있음을 주의하여야 합니다.

  해외사업자가 아동을 대상으로 서비스를 제공하는 경우, 법정대리인의 동의 없이 아동의 개인정보가 수집되지 않도록 각별하게 주의하여야 하는데, 서비스가 아동을 대상으로 하는지는 서비스의 전달 방법이 시‧청각적으로 아동을 대상으로 하는지, 웹사이트 또는 앱에 등장하는 모델‧캐릭터 등이 아동 지향적인지, 대다수 아동이 접근 가능하고 이용하는지 여부 등을 고려하여 판단할 수 있을 것입니다.

  이러한 서비스를 제공하기 위해 이용자의 개인정보를 수집하는 경우에는 아동 여부를 확인하기 위해 적어도 정보주체가 생년월일을 입력하도록 하는 방법으로 확인하고, 법정대리인의 동의를 받기 위해 본인확인기관이 제공하는 한국 내 본인확인 서비스를 이용하는 방법 등이 있을 것입니다.

 5. 국내대리인

  한국에 주소 또는 영업소가 없는 경우로서 매출액이나 개인정보 보유규모가 일정 규모 이상이거나, 자료제출 요구를 받은 자로서 국내 대리인을 지정할 필요가 있다고 위원회가 심의‧의결한 해외사업자는 국내대리인을 지정하여야 합니다.

  한국 내 영업소의 유무는 국민의 개인정보 고충처리, 개인정보 침해신고 시 규제 집행 등을 고려하여 판단할 수 있으며, 한국에 별개의 법인을 설립했다고 하더라도 해당 법인이 개인정보처리자가 아니라면 ‘국내에 주소 또는 영업소’가 없는 경우에 해당합니다.

  국내대리인을 지정해야 하는 해외사업자는 자신이 설립한 국내 법인이 있거나 임원 구성, 사업 운영 등에 대하여 지배적인 영향력을 행사하는 국내 법인이 있는 경우 해당 법인을 국내대리인으로 지정하는 것이 바람직하고, 국내대리인은 국내 이용자의 개인정보 관련 고충을 처리하고 규제기관에 정확한 자료를 제출할 수 있어야 하므로 한국어로 원활한 의사소통이 가능해야 합니다.

  참고로 개인정보 처리와 관련한 한국 정보주체의 불만 처리 및 피해구제 업무는 실질적으로 운영하여야 하므로, 직원이 응대하지 않고 녹음된 음성으로 전자우편 또는 온라인 양식을 이용하도록 안내하거나, 직원이 정보주체의 불만 처리 및 피해구제와 관련하여 아무런 조치를 할 수 없는 경우에는 개인정보 보호책임자의 업무를 대리하는 국내대리인을 지정하였다고 보기 어려울 것입니다.

해외 사이트에서 물건을 구매하거나, 음원, 콘텐츠를 소비하는 등 해외 기업의 서비스를 이용하는 국내 이용자(소비자)가 급증하고 있습니다. 위원회는 전 세계를 대상으로 서비스를 하는 해외기업이라도, 국내 이용자(소비자)가 안전하고 신뢰할 수 있는 개인정보 처리 체계를 구축할 수 있도록, 관리·감독을 강화해 나가겠습니다. 

 개인정보보호위원회 조사1과 고명석 사무관