[개인정보보호][한국인터넷진흥원] 해외사업자의 개인정보보호법 적용 안내서 (2024.04) 입니다.
업무에 참고하시기 바랍니다.
○ 자료명 : 해외사업자의 개인정보보호법 적용 안내서
○ 발행일 : 2024년 04월
○ 주관부처 : 한국인터넷진흥원
[개요]
□ 추진배경
글로벌 온라인 서비스가 보편화되고 있는 21세기에 대한민국(이하 '한국')을 대상으로 사업을 영위하는 해외 사업자가 증가하고 있다. 이에 따라서 외국에서 한국 정보주체의 개인정보를 처리하는 경우가 다수 발생하고 있다. 또한, 해외사업자의 개인정보 침해 사례도 증가하고 있다.
그러나 한국의 '개인정보보호법' (이하 '개보법')은 해외사업자에 대한 적용 범위가 명시되어 있지 않는 점이 특징이다.
개보법이 적용된다고 하더라도 해외사업자의 특수한 사정을 고려한 보호법 적용 방법이 구체화 되어 있지 않아 증가하는 한국 정보주체의 개인정보 침해에 대한 대처가 불분명한 측면이 있는 점이 단점이다.
실제 해외에 소재한 기업이 한국 정보주체의 개인정보를 침해한 사안에 대한 조사·처분 등 대응 방안, 한국어 서비스 등을 제공하지 않는 글로벌 서비스에서 한국 정보주체의 개인정보가 유출된 경우에서의 보호법 적용 여부 등이 문제가 되고 있다.
이에 개인정보보호위원회(이하 '보호위원회')는 본 안내서의 발간을 통해 보호법이 글로벌 서비스에 적용되는 원칙과 판단 기준을 제시하고, 개보법의 합리적 적용 기준을 투명하게 밝힘으로써 해외 사업자가 개인정보보호에 대한 법적 요구를 충족하도록 함과 동시에 한국 정보주체의 개인정보 자기결정권을 보호하는 등 개인정보보호의 수준을 제고하고자 한다.
[원칙]
전 세계적으로 재화 똔느 서비스를 제공하거나, 해외에서 개인정보를 처리하여 한국 정보주체에게 실질적인 영향을 미치는 경우에는 해외사업자는 보호법의 적용을 받을 수 있다.
해외사업자에 대한 보호법 적용 여부는 한국 법률을 적용하는 일반적인 원칙과 보호법의 개별 규정 등을 고려하여 판단할 수 있다.
□ 개인정보보호법의 적용
해외사업자가 전 세계적으로 재화 또는 서비스를 제공하거나, 해외에서 한국인 또는 한국 정보주체의 개인정보를 처리하는 경우 또는 한국 영토 내에서 개인정보를 처리하는 경우에는 원칙적으로 개보법이 적용될 수 있다.
개보법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적3)으로 제정되었다.
이에 따라 보호법은 개인정보보호 원칙, 개인정보의 처리, 개인정보의 안전한 관리, 정보주체의 권리 보장 등 개인정보처리자의 의무 등을 규정하고 있다.
한편, 보호법의 개별 규정 등을 살펴보았을 때, 보호법은 개인정보처리자를 '업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등'이라고 규정하고 있을 뿐, 규율 대상을 한국인 또는 한국 내 법인 등으로 한정하고 있지 않다.
[목차]
Ⅰ. 배경
Ⅱ. 원칙
개인정보보호법의 적용
대한민국 법률의 적용
Ⅲ. 적용여부 판단기준
한국 정보주체 대상 재화 또는 서비스 제공 여부
한국 정보주체에게 미치는 영향
한국 영토 내 사업장 존재 여부
Ⅳ. 법 적용 시 준수사항
유출통지 및 신고
개인정보처리방침 공개 방법
정보주체 권리ㅗ장(열람, 정정·삭제, 처리정지 등)
만14세 미만 아동 법정대리인
국외 이전
손해배상의 보장 등
개인정보의 분쟁조정
개인정보 처리위탁
국내대리인
조사 및 사전 실태점검
시정조치 및 과징금 등
※ 더 자세한 내용은 한국인터넷진흥원에서 발간한 해외사업자의 개인정보보호법 적용 안내서를 참고 바랍니다.