한국에서 사업하기: 개인정보 보호 준수

←색인으로 돌아가기

2011년 제정된 개인정보보호법(PIPA)은 한국에서 개인정보 처리를 규율하는 주요 법률로 자리 잡고 있다. 개인정보보호위원회(PIPC)는 PIPA를 집행하고 관련 정책을 수립하는 주요 규제기관으로 기능한다. PIPA 외에도, 위치 정보나 신용 정보와 같이 특정 범주의 개인정보를 규제하는 분야별 법률들도 존재하고 있다.

이 기고문은 한국에서 사업을 운영하는 외국 기업이 고려해야 할 주요 사항을 간략하게 설명하며, 특히 PIPA의 역외 적용 범위, 시행 동향, 크로스보더 데이터 전송 및 데이터 침해 대응 의무에 중점을 둘 예정이다.

역외 적용 범위

PIPA는 역외 적용 범위를 명시적으로 정의하고 있지는 않지만, 일반적으로 다음과 같은 경우에 적용되는 것으로 이해된다. (1) 외국 법인이 소재지와 관계없이 한국 국민 또는 거주자의 개인정보를 처리하는 경우, 또는 (2) 한국 또는 외국 법인이 한국 내에서 개인정보를 처리하는 경우.

그 적용을 명확히 하기 위해, PIPC는 2024년 4월 4일 외국 사업자에 대한 PIPA 적용 지침을 발표하며, PIPA는 다음과 같은 경우에 적용된다고 명시했다: (1) 한국 데이터 주체에게 상품이나 서비스가 제공되는 경우 (2) 개인정보가 한국 데이터 주체에게 직접적이거나 상당한 영향을 미치는 방식으로 처리되는 경우 (3) 사업자가 한국 영토 내에 사업장을 유지하는 경우.

PIPA의 역외 적용 범위에 대한 광범위한 해석은 외국 법인들이 한국의 데이터 보호 규정을 준수해야 할 중요성을 보여주고 있다.

강화된 집행 조치

2023년, PIPA는 전면 개정을 거쳐 개인정보 유출 및 수집에 적용되던 형사 처벌을 일부 폐지하는 한편, 행정 제재를 대폭 강화했다. 특히, 과징금 산정 기준이 ‘위법행위와 관련된 매출액’에서 ‘법인의 전체 매출액’으로 변경됐다.

예를 들어, 데이터 관리자가 적절한 보안 조치를 취하지 않았을 경우 PIPC는 PIPA 제64-2조(1)(ix)항 및 (2)항에 따라 전체 매출액의 최대 3%에 해당하는 과징금을 부과할 수 있다(단, 위반과 무관한 매출은 제외된다). 위반과 무관한 매출의 범위는 과징금 부과 및 산정에서 중요한 요소로 작용하고 있다.

개정된 PIPA에 따라 PIPC는 2024년 5월 8일 데이터 유출에 따른 조치로 골프존에 75억원(약 520만 달러)의 과징금을 부과했으며, 이는 국내 기업에 부과된 역대 최대 규모의 과징금이었다. 이는 과징금 산정 시 위반과 무관한 매출을 적절히 제외하기 위한 전략적 법률 접근의 필요성을 강조한다.

외국 기업들은 또한 점점 더 강력해지고 있는 한국의 규제 집행 환경을 헤쳐 나가야 할 필요가 있다. 2025년 1월, PIPC는 크로스보더 데이터 전송과 관련하여 역대 최대 규모의 과징금을 부과했는데, 카카오페이에는 59억원의 과징금이 부과됐고, Apple Distribution International Limited에는 24억원의 과징금과 별도로 220만원의 과태료가 부과됐다.

해당 과징금은 카카오페이와 Apple이 Alipay와의 서비스 관계를 통해 개인정보의 크로스보더 처리 사실을 사용자에게 고지하지 않았다는 조사 결과에 근거해 부과됐다. 이 과징금의 적법성은 현재 법정에서 다투어지고 있는 중이다.

상기 사례를 포함한 최근의 집행 조치들은 과징금의 재정적 규모뿐만 아니라 외국 법인의 크로스보더 데이터 컴플라이언스에 PIPC가 더욱 집중하고 있음을 나타낸다.

한편, 2025년 10월 2일부터 발효되는 최근 PIPA 개정안은 외국 법인의 국내 대리인 지정 의무를 더욱 강화했다. 2020년에는 정보통신서비스 제공업체에만 도입된 이 요건은 2023년 다음과 같은 외국 법인에도 적용되도록 확대됐다: (1) 연매출이 1조원을 초과하는 경우, (2) 전년도 마지막 3개월 동안 하루 평균 100만명 이상의 국내 데이터 주체의 개인정보를 처리하는 경우, 또는 (3) PIPA 제63조 1항에 따라 서류 제출을 요청받았으며 PIPC에서 대리인 지정이 필요하다고 판단한 경우.

대리인은 다음 기관에서 지정되어야 한다: (1) 외국 법인이 설립한 국내 법인 또는 (2) 외국 법인이 지배적 영향력을 행사하는 국내 법인. 외국 법인은 지정된 대리인을 적절하게 관리 및 감독해야 하며, 대리인의 이름, 주소 및 전화번호를 개인정보취급방침에 공개해야 한다. 위 요건을 위반할 경우 과징금이 부과될 수 있다.

데이터 침해 대응

데이터 관리자는 개인정보의 손실, 도난 또는 무단 공개(데이터 침해)를 인지한 경우, 관련 데이터 주체에게 72시간 이내에 통지해야 한다(PIPA 제34조 1항; 시행령 제39조 1항). 통지에는 다음 사항이 포함되어야 한다:

(1) 침해와 관련된 개인정보의 유형

(2) 침해가 발생한 시점 및 상황

(3) 침해로 인한 잠재적 피해를 완화하기 위해 데이터 주체가 취할 수 있는 조치

(4) 데이터 관리자가 취한 대응 조치 및 구제 절차

(5) 신고 또는 청구를 처리하는 부서의 연락처

데이터 관리자는 또한 데이터 침해가 다음과 같은 경우, 72시간 이내에 PIPC 또는 한국인터넷진흥원(KISA)에 신고해야 한다(PIPA 제34조 3항; 시행령 제40조 1항):

(1) 1,000명 이상의 데이터 주체의 개인정보가 포함된 경우

(2) 민감정보 또는 고유식별정보가 포함된 경우

(3) 데이터 관리자의 데이터 시스템이나 데이터 처리 장치에 대한 불법 외부 접근이 발생한 경우

데이터 침해 사실을 인지한 후 72시간 이내에 데이터 주체에 통지하지 않거나, PIPC 또는 KISA에 신고하지 않을 경우, 최대 3000만원의 과징금이 부과될 수 있다.

데이터 주체는 데이터 관리자의 과실 또는 고의로 인한 침해에 대해 최대 300만원의 손해배상을 청구할 수 있다. 이 경우 데이터 관리자는 고의 또는 과실이 없었음을 입증해야 한다(PIPA 제39조 2항).

데이터 침해 신고를 접수하거나 자체 모니터링을 통해 해당 사건을 인지한 경우, PIPC는 데이터 관리자에게 관련 자료 제출을 요구할 수 있다.

데이터 관리자가 이를 이행하지 않거나 PIPA 위반이 인정될 경우, PIPC는 관련 당사자의 영업장에 출입하여 검사를 실시할 수 있다(PIPA 제63조). 또한 조사 과정에서 협조하면 과징금 산정 시 감경 요인으로 작용할 수 있다.

크로스보더 데이터 전송

데이터 관리자가 개인정보를 해외로 제공, 아웃소싱 또는 저장(크로스보더 전송)하려면, PIPA 제28조 8항(1)에 명시된 법적 요건을 준수해야 하며 위반 시 과징금이 부과되는 경우가 많다.

데이터 주체의 동의만이 유일한 근거였던 기존과 달리, 2023년 개정된 PIPA는 크로스보더 전송에 대해 다음과 같은 추가 근거를 명시하고 있다:

1. 대한민국이 당사국인 법률, 조약 또는 기타 국제협정에서 크로스보더 전송에 관한 구체적인 규정이 있는 경우;
2. 데이터 주체와의 계약 이행을 위해 개인정보의 외부 위탁 또는 저장이 필요한 경우, 개인정보취급방침 또는 시행령에서 정한 바에 따라 데이터 주체에게 이를 통지한 경우;
3. 데이터 수신자가 PIPC가 인정하는 개인정보 보호 인증 또는 기타 인증을 취득한 경우; 또는
4. 개인정보가 PIPC가 적정한 수준의 보호를 제공한다고 인정하는 국가 또는 국제기구로 이전되는 경우.

개정된 PIPA는 또한 PIPC에 크로스보더 전송의 중지를 명령할 권한을 부여하고 있다(PIPA 제28조 9항).

개인정보의 크로스보더 전송에 대한 동의를 받을 때, 데이터 관리자는 전송 세부 사항을 데이터 주체에게 사전에 통지해야 한다(PIPA 제28조 8(2)항). 이러한 세부 사항은 개인정보취급방침에도 반드시 포함되어야 한다(PIPA 제30조(1)(viii)항, 시행령 제31조(1)(ii)항).

이러한 전송과 관련된 계약을 체결할 때, 데이터 관리자는 계약 조항이 PIPA의 규정을 위반하지 않도록 해야 한다(PIPA 제28조 8(5)항).

변화하는 한국의 개인정보 보호 환경은 외국 기업들이 신중한 계획을 수립하도록 요구하고 있다. PIPC가 크로스보더 데이터 전송에 대한 집행을 강화함에 따라 이제 동의, 통지, 계약상의 미비점이 있을 경우 엄중한 처벌이 부과된다. 따라서 규제 준수와 소비자 신뢰 확보를 위해서는 한국에 특화된 컴플라이언스 전략이 필수적일 것이다.