「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」 개정 법률안 국회 통과
국외 사업자의 국내 대리인 지정 제도, 개인정보의 제3국 재이전 제한 및 개인정보 국외 이전에 관한 상호주의 도입을 내용으로 하는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 개정 법률안(이하 “개정 법률안”)이 2018. 8. 30. 국회 본회의에서 의결되었습니다. 이번에 의결된 개정 법률안은 공포 후 6개월이 경과한 날부터 시행될 예정입니다.
저희 법무법인은 개정 법률안의 주요 내용과 향후 대응방안을 정리하여 아래와 같이 보내드리니 업무에 참고하시기 바랍니다.
1. 정보통신망법 개정 법률안 내용
(1) 국내 대리인 지정 제도 도입(개정 법률안 제32조의5)
기존 정보통신망법에서는 국외 사업자에게 국내 대리인 지정 의무를 부과하고 있지 않으나, 개정 법률안은 국내에 주소 또는 영업소가 없는 (i) 정보통신서비스 제공자와 (ii) 정보통신서비스 제공자로부터 개인정보를 제공받은 사업자(이하 통칭하여 “국외 사업자”) 중 이용자수, 매출액을 고려하여 대통령령으로 정하는 기준에 해당하는 사업자는 국내 대리인을 서면으로 지정하여야 하고, 이를 개인정보 처리방침에 기재하도록 규정하고 있습니다. 그리고 그 지정 대상이 되는 국외 사업자가 국내 대리인을 지정하지 않는 경우 2천만원 이하의 과태료가 부과될 수 있도록 규정하고 있습니다.
국내 대리인 지정 제도를 도입하지 아니하였던 기존 정보통신망법 하에서는 국내 이용자가 국외 사업자에게 민원을 제기하거나, 규제기관이 국외 사업자에게 자료 제출 등을 명하려는 경우, 국내 연락처가 없어 민원 제기나 자료 제출 명령 집행에 상당한 제약이 있었던바, 개정 법률안은 유럽 GDPR의 대리인(Representative) 제도를 참조하여 국외 사업자의 서비스를 이용하는 이용자의 편의를 재고하고 규제기관의 감독권한을 강화하기 위하여 국외 사업자의 국내 대리인 지정 제도를 도입한 것으로 알려져 있습니다.
한편, 개정 법률안에 따라 지정된 국내 대리인은 국외 사업자를 대리하여 개인정보보호 책임자의 업무(이용자 개인정보 보호 및 개인정보와 관련한 이용자의 고충 처리 업무), 개인정보 유출 시 규제기관에 대한 신고 및 이용자에 대한 통지, 정보통신망법 위반 등의 사건에 있어서 과학기술정보통신부장관 또는 방송통신위원회에 대한 물품·서류 등의 제출 업무 등을 처리하여야 합니다.
아직 개정 법률안에서의 “영업소”의 구체적인 범위에 관하여 아직 명확한 해석이 없고, 국내 대리인을 지정하여야 하는 기준에 관하여 대통령령이 입법예고되지 아니하여 국내 대리인을 지정하여야 하는 국외 사업자의 범위가 명확하지는 아니하나, 현재 국내 법인을 통하여 서비스를 제공하지 아니하는 해외 정보통신서비스 제공자 중 다수의 사업자는 개정 법률안에 따라 국내 대리인을 지정하여야 할 것으로 예상되고 있습니다.
(2) 개인정보 제3국으로 재이전 제한(개정 법률안 제63조 제5항)
기존 정보통신망법은 개인정보의 국외 이전에 관하여 이용자의 동의(또는 계약의 이행을 위하여 필요하고 이용자의 편익을 증진시키는 경우에는 개인정보 처리방침을 통한 공개)를 요건으로 규정하고 있으나, 국외로 이전된 개인정보를 다른 국가로 재이전하는 것에 관하여 명확하게 규정하지 아니하였습니다.
개정 법률안에서는 국외로 이전된 개인정보를 다른 국가로 재이전하는 경우에도 개인정보 국외 이전과 동일한 요건에 따라 이전하도록 정하고 있어, 개정 법률안 시행 이후에는 국외로 이전된 개인정보를 다른 국가로 재이전하는 경우 기존 국외 이전과 마찬가지로 이용자의 동의를 받거나, 예외적으로 정보통신서비스 제공에 관한 계약을 이행하고 이용자 편의증진을 위한 경우에 한하여 그 내용들을 개인정보처리방침에 공개하여야 합니다. 또한, 이용자의 동의를 받아 개인정보를 제3국으로 재이전하는 경우 개인정보를 이전하는 자는 개인정보 보호를 위해 필요한 조치를 취하여야 합니다.
개인정보의 제3국 재이전 제한에 관련된 사항은 최근 시행되고 있는 유럽 GDPR에서의 개인정보 제3국 재이전 제한 조항을 참조하여 신설된 것으로 평가되고 있고(이른바, “Onward transfer”, GDPR 제44조 등), 본 조항 신설에 따라 대한민국이 유럽집행위원회의 적정성 평가 결정(Adequacy decision)을 받는데 유용한 근거로 사용될 것으로 예상되고 있습니다.
한편, 개정 법률안에 의하면, 개인정보 제3국으로의 재이전에 관하여 필요한 동의를 받지 아니하는 경우 위반행위 관련 매출액의 3% 이하에서 과징금이 부과될 수 있고, 개인정보 보호를 위한 필요 조치를 취하지 아니하는 경우 3천만원 이하의 과태료 부과될 수 있습니다.
(3) 상호주의 도입(개정 법률안 제63조의2)
개정 법률안은 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자에 대해서는 해당 국가의 수준에 상응하는 제한을 부과할 수 있다고 명문화하였습니다. 최근 일부 국가(러시아, 중국, 베트남 등)에서 개인정보 국외 전송을 금지하는 법률이 제정되고 있는 바, 개정 법률안은 해외에서 우리나라 국민의 개인정보 보호를 강화하는 법률적 근거를 마련한 것으로 보입니다.
2. 향후 대응방안
개정 법률안에 따라 국외 사업자 중 일정한 이용자 수, 매출액 이상의 사업자는 국내 대리인을 지정하여야 합니다. 특히, 개정 법률안에 따른 국내 대리인은 유럽 GDPR에서의 대리인(GDPR 제27조)보다 그 업무 범위가 확대되어 있고, 개정 법률안은 대리인의 위반행위를 정보통신서비스 제공자의 위반행위로 본다고 명시적으로 규정하고 있는바, 국외 사업자는 국내 대리인 지정 시 신중한 접근이 필요합니다.
한편, 글로벌 사업을 운영하는 기업은 국외로 이전된 국내 이용자의 개인정보가 제3국으로 재이전되는지 여부를 지속적으로 확인할 필요가 있습니다. 특히, 기업이 글로벌 연구소, 통합 CS 서비스, 클라우드 서비스 등을 이용하는 경우, 국외로 이전된 개인정보가 제3국으로 재이전될 수 있는바, 개인정보 처리 흐름을 파악하고, 개인정보의 제3국으로의 재이전이 발생하는 경우 이용자의 동의가 필요한지 또는 개인정보 처리방침을 통해 공개하면 족할지 판단하여 그에 필요한 절차를 이행하여야 할 것입니다.
그리고 국외 이전을 제한하는 국가의 정보통신서비스 제공자에게는 상호주의가 적용되어, 국내 이용자의 개인정보가 해당 국가로 이전되는 데에 제한이 발생할 수 있으므로, 상호주의에 대한 적용 추이와 향후 우리나라와 해당 국가간의 국외 이전에 대한 조약 및 국제협정 체결 여부 등에 지속적으로 관심을 가질 필요가 있습니다.
이번 개정은 정보보호를 강화하고 유럽 GDPR의 보호 수준에 부합하는 국내법을 개정하자는 취지의 일환으로 이루어진 것으로 이와 같은 흐름은 앞으로도 당분간 지속될 것으로 예상되는바, 정보 보호 관련 규제에 만전을 기하여 대비할 필요가 있습니다.
저희 법무법인에서는 정보보호와 관련된 다수의 자문 및 소송 업무를 수행하여 왔고, 이와 관련한 주요 컴플라이언스 시스템의 사전 수립 및 점검 등의 실무 업무 수행 경험도 다수 보유하고 있습니다. 정보통신망법 개정에 따른 다양한 법률 이슈에 대한 자문 및 시스템 점검 등에 대하여 문의사항이 있으시면 언제든지 저희 법무법인에 연락주시기 바랍니다.