“해외사업자 대리인 지정 의무화”…개인정보보호법 강화에 업계 긴장

해외사업자가 국내 이용자의 개인정보를 처리하는 책임이 강화된다. 앞으로 국내에 법인이 있거나 그 법인에 지배적 영향력을 행사하는 해외사업자는 해당 국내 법인을 통해 ‘국내 대리인’을 지정·관리해야 하며, 지방자치단체 산하기관인 지방출자·출연기관 또한 공공기관 범주에 포함돼 개인정보보호 의무가 대폭 확대된다. 업계는 이번 제도 변화를 ‘글로벌 개인정보 규제 경쟁의 분수령’으로 평가하고 있다.

16일 국무회의에서 개인정보보호위원회가 심의한 개인정보보호법 시행령 개정안은 국내 대리인 제도의 실효성을 높이고 지자체 산하 기관의 개인정보 취급 책임성을 명확히 했다. 개정안은 다음달 2일부터 바로 시행된다.   이미 국내에서 서비스를 제공하는 해외사업자는 국내 대리인 제도를 운영해왔으나, 최근 지정 요건과 관리·감독 책임이 강화됐다. 주요 내용은 국내에 법인을 두거나 그 법인에 임원 선임(대표이사 임명, 임원 50% 이상 선임) 또는 투자(지분 30% 이상)로 영향력을 행사하는 경우, 그 법인이 국내 대리인으로 지정된다. 이 법인은 연 1회 이상 개인정보보호 교육 의무와 내부 보호계획 수립·이행, 점검 및 개선 조치 내역의 정기 확인 등 구체적 관리 책임을 진다.

국내 대리인 제도는 해외사업자와 우리 국민 간 개인정보 유출·피해 발생 시 실질적으로 불만 처리와 피해 구제가 이뤄지도록 하는 취지다. 기존에는 형식적 지정만 이뤄져 온 점을 개선한 것이다. 개인정보위 관계자는 “해외사업자의 무책임한 정보관리 관행에 제동을 걸고, 이용자가 실질적으로 보호받을 수 있도록 했다”고 밝혔다.

지방출자·출연기관 역시 개인정보보호법상 공공기관에 포함돼 관련 책임이 커진다. 앞으로 이들 기관은 개인정보 파일의 등록(시행일로부터 60일 이내), 개인정보 영향평가 실시 및 결과 제출(2년 이내) 등 관리 체계 강화가 요구된다. 공익 업무를 수행하고 지자체 예산으로 운영되는 특성상, 개인정보 보호에 미흡했던 사각지대 해소가 기대된다.

글로벌 시장에서도 유럽의 GDPR, 미국 캘리포니아 소비자 프라이버시법(CCA) 등 개인정보 규제가 강화되는 추세다. 국내에서도 이번 제도 개선을 기점으로 해외사업자의 실질적 책임 강화, 공공·민간 데이터 안전관리가 한층 심화될 전망이다. 기업들은 행정절차 복잡화, 준수 비용 증가에 부담이 크다는 반응이지만, 전문가들은 국제적 신뢰도 제고와 데이터 산업의 지속 가능성 제고를 위해 필수적 변화로 분석한다.

이정렬 개인정보위 사무처장은 “해외사업자와 지방출자·출연기관을 대상으로 바뀐 제도에 대한 지속 안내와 실태점검을 이어갈 것”이라며 “국내 대리인 지정 등 제도의 안정적 정착을 위해 역량을 집중하겠다”고 밝혔다. 업계는 새로운 규제 환경 하에서 개인정보보호와 서비스 혁신 사이의 조화가 산업 발전의 핵심 조건이 될 지 주목하고 있다.