개인정보위, 해외사업자 국내대리인 지정 현황 점검

다음은 대한민국 개인정보보호위원회(이하 '개인정보위')가 발표한 보도자료에 대한 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회는 2025년 10월 2일 시행되는 개정 개인정보 보호법에 앞서 해외사업자의 국내대리인 지정 현황을 점검한 결과, 구글, 메타, 오픈AI, 로보락, 쉬인 등 16개 주요 해외사업자가 국내 법인이 있음에도 불구하고 법무법인이나 별도 법인을 국내대리인으로 지정하고 있음을 확인했습니다. 이에 개인정보위는 이들 사업자에게 법 시행 후 6개월 이내에 해당 사업자가 설립한 국내 법인으로 국내대리인을 변경하도록 권고할 예정입니다. 이번 조치는 해외사업자에 의한 국내 이용자의 개인정보 침해 시 신속한 구제와 책임 강화를 목적으로 하며, 국내 이용자의 개인정보 자기결정권 실질적 행사를 보장하는 데 중점을 두고 있습니다.

2. 주요 내용

• 개정 개인정보 보호법 시행 및 국내대리인 변경 권고: 2025년 10월 2일 시행되는 개정 개인정보 보호법에 따라, 국내 법인이 있는 해외사업자는 법 시행 후 6개월 이내에 해당 국내 법인을 국내대리인으로 지정해야 합니다. 개인정보위는 구글, 메타, 마이크로소프트, 오픈에이아이, 페이팔, 로블록스, 수퍼셀, 줌, 아고다, 부킹닷컴, 인텔, 라인, 로보락, 쉬인, 세일즈포스, 스포티파이 등 16개 사업자에게 이 변경을 권고했습니다.
• 국내대리인 제도 강화 배경: 개인정보위는 국내대리인 제도의 실효성을 높이기 위해 홍보 및 입법 활동을 지원해왔으며, 2025년 4월 개인정보 보호법을 개정하여 국내 설립 법인이 있는 경우 해당 법인을 국내대리인으로 지정하도록 하고, 대리인 업무를 불만 처리 및 피해 구제로 구체화하며, 본사의 관리·감독 의무를 부과하고, 지정 요건 미준수 및 관리·감독 소홀 시 과태료를 부과하는 조항을 신설했습니다.
• 점검 결과 - 적정 지정 사업자: 이번 점검에서 알리익스프레스, 테무와 같은 이커머스 기업을 비롯해 에어비앤비, 비와이디(BYD), 오라클 등은 이미 해당 사업자가 설립한 국내 법인을 국내대리인으로 지정하고 있는 것으로 확인되어 개정법의 취지에 부합하는 조치를 취하고 있습니다.
• 점검 결과 - 변경 필요 사업자: 반면, 구글, 메타, 마이크로소프트, 오픈에이아이(OpenAI), 로보락, 쉬인 등 16개 해외사업자는 국내 법인이 있음에도 불구하고 법무법인이나 별도의 법인을 국내대리인으로 지정하고 있어, 개정법에 따라 국내 법인으로 대리인을 변경해야 하는 상황입니다.
• 개인정보위의 후속 조치: 개인정보위는 국내 법인으로 국내대리인 변경이 필요한 16개 해외사업자를 대상으로 변경 안내를 진행하고, 이후 조치 결과를 면밀히 확인할 예정입니다. 또한, 국내대리인 지정 요건을 갖추었음에도 아직 지정하지 않은 다른 해외사업자가 있는지도 지속적으로 확인하여 지정을 유도할 계획입니다.
• 국내대리인 제도의 중요성: 국내대리인 제도는 국내에 주소나 영업소가 없는 해외사업자로 인해 발생하는 이용자 불만 처리 및 피해 구제의 어려움을 해소하기 위해 도입되었습니다. 이 제도를 통해 해외사업자도 국내 이용자의 개인정보 권리를 충실히 보호하고, 침해 사고 발생 시 신속한 조사 및 협조가 가능해집니다.
• 지속적인 안내 및 홍보 강화: 개인정보위는 해외사업자들이 국내 이용자의 개인정보 권리를 충실히 지킬 수 있도록 안내서 발간, 홍보 활동 강화 등 지속적인 점검과 계도 노력을 기울일 것이라고 밝혔습니다. 이는 해외사업자들의 법규 준수율을 높이고 국내 이용자 보호를 강화하기 위함입니다.

3. 배경 및 목적

개인정보 보호법상 국내대리인 제도는 2019년 3월 정보통신망법에 처음 도입되었습니다. 이는 국내에 주소나 영업소가 없는 해외사업자에 의해 우리 국민의 개인정보가 처리될 때, 정보주체(개인정보를 제공한 사람)의 자기결정권(자신의 개인정보를 스스로 통제할 권리)을 실질적으로 행사하기 어렵고, 개인정보 침해 사고 발생 시 신속한 조사나 협조를 받기 어렵다는 문제의식에서 출발했습니다. 당시에는 해외사업자들이 국내 법인이 있음에도 불구하고 법무법인이나 제3의 법인을 대리인으로 지정하는 경우가 많아, 실질적인 책임 소재가 불분명하고 이용자 불만 처리나 피해 구제에 한계가 있었습니다.

이러한 문제점을 해결하고 제도의 실효성을 높이기 위해 개인정보위는 국내대리인 제도의 '내실화'를 위한 홍보와 입법 활동을 적극적으로 지원해왔습니다. 그 결과, 2025년 4월 개인정보 보호법이 개정되었으며, 특히 국내 설립 법인이 있는 해외사업자는 해당 법인을 국내대리인으로 지정하도록 의무화하고, 대리인의 업무 범위를 이용자 불만 처리 및 피해 구제로 명확히 했습니다. 또한, 본사(해외사업자)에 대한 관리·감독 의무를 부과하고, 지정 요건 미준수나 관리·감독 소홀 시 과태료를 부과하는 조항을 신설하여 제도의 강제성을 높였습니다.

이번 점검의 주된 목적은 개정된 보호법이 2025년 10월 2일 시행되기 전에 해외사업자들의 국내대리인 지정 현황을 미리 파악하고, 법 시행에 맞춰 적절한 조치를 취하도록 유도하는 것입니다. 궁극적으로는 해외사업자들이 국내 이용자의 개인정보 보호에 대한 책임을 강화하고, 국내 이용자들이 자신의 개인정보 권리를 더욱 효과적으로 행사하며, 개인정보 침해 발생 시 신속하고 효율적인 구제가 이루어질 수 있는 환경을 조성하는 데 있습니다.

4. 세부 추진 내용

개인정보위는 개정 개인정보 보호법의 성공적인 안착을 위해 다각적인 세부 추진 내용을 계획하고 실행하고 있습니다. 우선, 법 시행일인 2025년 10월 2일에 앞서 국내 법인이 있는 해외사업자들을 대상으로 국내대리인 지정 현황을 중점적으로 점검했습니다. 이 점검을 통해 구글, 메타, 오픈AI 등 16개 사업자가 국내 법인이 있음에도 불구하고 법무법인이나 별도의 법인을 국내대리인으로 지정하고 있음을 확인했습니다.

이에 따라 개인정보위는 이들 16개 해외사업자에게 개정법의 내용을 명확히 안내하고, 법 시행 후 6개월 이내(즉, 2026년 4월 2일까지)에 해당 사업자가 설립한 국내 법인으로 국내대리인을 변경하도록 공식적으로 권고할 예정입니다. 권고 이후에는 각 사업자의 조치 결과를 면밀히 확인하여 법규 준수 여부를 점검할 것입니다.

또한, 개인정보위는 국내대리인 지정 요건(전년도 전체 매출액 1조원 이상 또는 국내 정보주체 수 일일평균 100만명 이상 등)을 갖추었음에도 불구하고 아직 국내대리인을 지정하지 않은 다른 해외사업자가 있는지도 지속적으로 파악하여, 이들에게도 국내대리인 지정을 적극적으로 유도할 계획입니다. 이는 법의 사각지대를 최소화하고 모든 대상 사업자가 법규를 준수하도록 하기 위함입니다.

장기적으로는 해외사업자들이 국내 이용자의 개인정보 권리를 충실히 보호할 수 있도록 지원하기 위해, 국내대리인 제도에 대한 상세한 안내서를 발간하고, 관련 홍보 활동을 강화할 예정입니다. 이러한 안내서와 홍보는 해외사업자들이 개정법의 내용을 정확히 이해하고 준수하는 데 도움을 줄 뿐만 아니라, 국내 이용자들이 자신의 권리를 인지하고 침해 발생 시 적절한 절차를 통해 구제를 받을 수 있도록 정보를 제공하는 역할을 할 것입니다. 개인정보위는 이러한 지속적인 점검과 계도 활동을 통해 해외사업자들의 개인정보 보호 역량을 강화하고, 국내 이용자 보호 수준을 한층 높여나갈 방침입니다.

5. 기대 효과

이번 개인정보위의 해외사업자 국내대리인 지정 현황 점검 및 후속 조치는 국내 이용자들의 개인정보 보호에 있어 매우 중요한 긍정적 변화를 가져올 것으로 기대됩니다. 첫째, 국내 이용자들은 해외사업자로 인한 개인정보 침해 발생 시 훨씬 더 신속하고 효과적인 구제를 받을 수 있게 됩니다. 해당 사업자가 설립한 국내 법인이 직접 대리인 역할을 수행함으로써, 불만 처리나 피해 구제 과정에서 발생하는 언어적, 법적, 지리적 장벽이 크게 줄어들기 때문입니다. 이는 국내 이용자 약 5천만 명 전체에 걸쳐 개인정보 자기결정권의 실질적인 행사를 보장하는 기반이 될 것입니다.

둘째, 해외사업자들의 개인정보 보호 책임이 강화됩니다. 본사가 국내대리인에 대한 관리·감독 의무를 지게 되고, 위반 시 과태료가 부과됨으로써 해외사업자들은 국내 이용자의 개인정보 보호에 더욱 주의를 기울일 수밖에 없습니다. 이는 국내외 사업자 간의 개인정보 보호 규제 준수 측면에서 공정한 경쟁 환경을 조성하는 효과도 가져올 것입니다. 셋째, 개인정보위는 해외사업자에 대한 조사 및 감독 권한을 더욱 효과적으로 행사할 수 있게 됩니다. 국내 법인이 대리인으로 지정되면 개인정보 침해 사고 발생 시 증거 확보, 사실 관계 확인, 시정 조치 명령 등 행정 절차가 훨씬 원활해져, 개인정보 침해에 대한 대응 역량이 크게 향상될 것입니다. 결과적으로, 국내 이용자들은 해외사업자의 서비스를 안심하고 이용할 수 있는 더욱 안전한 디지털 환경을 누리게 될 것입니다.

6. 향후 계획

개인정보위는 이번 점검 결과를 바탕으로 개정 개인정보 보호법의 안정적인 정착을 위한 후속 조치를 지속적으로 추진할 계획입니다. 우선, 국내 법인으로 국내대리인 변경이 필요한 16개 해외사업자에 대한 변경 안내 및 조치 결과 확인을 2026년 4월 2일(법 시행 후 6개월)까지 완료할 예정입니다. 이 기한 내에 변경이 이루어지지 않거나, 변경 요건을 충족하지 못하는 사업자에 대해서는 개정법에 따른 과태료 부과 등 엄정한 법 집행을 고려할 것입니다.

또한, 국내대리인 지정 의무가 있음에도 아직 지정하지 않은 다른 해외사업자들을 지속적으로 발굴하고, 이들에게도 지정을 유도하는 계도 활동을 강화할 것입니다. 이를 위해 해외사업자들의 국내 매출액 및 국내 정보주체 수 등 지정 요건 충족 여부를 정기적으로 모니터링할 예정입니다. 개인정보위는 국내대리인 제도의 실효성을 더욱 높이기 위해 관련 안내서 발간 및 홍보를 지속적으로 추진하여, 해외사업자들이 법규를 정확히 이해하고 자발적으로 준수하도록 독려할 것입니다. 장기적으로는 국내외 개인정보 보호 환경 변화에 맞춰 국내대리인 제도를 지속적으로 검토하고 개선하여, 국내 이용자들의 개인정보 권리가 국제적인 수준으로 보호될 수 있도록 노력할 것입니다.