국내대리인지정제도

국내대리인지정제도는 글로벌 사업자의 서비스를 이용하는 국내 이용자들이 개인정보의 동의 철회와 열람청구와 정정요구 등과 같은 자기결정권을 실질적으로 행사할 수 있도록 하는 ‘이용자 보호측면’과 정부기관의 법집행에 필요한 자료를 신속하게 제출하도록 하는 법집행 용이 측면’이라는 목적으로 도입된 제도이다. 해당제도는 국내에 주소 또는 영업소를 두지 않고 정보통신서비스를 제공하는 해외사업자에 대하여 우리 국민이 개인정보 관련 고충처리를 위해 언어 등의 어려움 없이 편리하게 연락하고 개인정보 침해 사고 발생 시 규제 집행력을 강화할 필요성이 제기됨에 따라, 국내대리인 지정을 의무화하여 개인정보 보호책임자의 업무, 자료제출 등을 대리하도록 하고 있다. 국내대리인은 민법상 대리인과는 구별되는 정보통신 관련법상 고유한 제도로서 법률에서 규정한 사업자의 법적의무에 근거하여 지정되고 특정한 권한범위 내에서 법적 · 사실적 행위의 포괄적 대리권을 갖는다. 국내대리인의 역할로는 개인정보 관련 이용자의 불편 접수 등 고충 처리 등을 위한 업무, 개인정보 관계 법령의 위반 사실을 알게 된 경우 즉시 개선조치 및 사업주 또는 대표자에게 개선 조치를 보고, 개인정보의 분실·도난·유출 사실을 알게 된 경우 정당한 사유가 없는 한 24시간 내에 이용자에게 통지 및 방송통신위원회 또는 한국인터넷진흥원에 신고, 정당한 사유를 방송통신위원회에 소명, 국내대리인이 자료 제출 요구를 받은 경우 정보통신서비스 제공자등에게 지체  없이 통지하고 법령 등에서 요구하는 신속한 절차 진행을 추진 등이 존재한다. 해당 제도의 적용 대상은 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등이며 ①전년도(법인인 경우에는 전 사업연도) 매출액이 1조 원 이상인 자, 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도) 매출액이 100억 원 이상인 자, 전년도 말 기준 직전 3개월간의 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 자, ④   개인정보 침해 사건ㆍ사고가 발생하였거나 발생할 가능성이 있는 경우로서 방송 통신위원회로부터 관계 물품ㆍ서류 등을 제출하도록 요구받은 자 가운데 어느 하나의 기준의 해당하는 자이다. 관련법상 국내대리인 지정 의무 대상자가 국내대리인을 지정하지 아니한 경우 위반횟수와 무관하게 2천만 원 이하의 과태료를 부과할 수 있으며 국내대리인이 업무수행과 관련하여 정보통신망법을 위반한 경우 정보통신서비스 제공자등이 그 행위를 한 것으로 간주되어 책임을 지게 된다. 2022년 8월 기준, 방송통선위원회는 정보통신망법상 국내대리인 지정의무를 33개 사업자에게 부과하고 있으며 개인정보보호위원회는개인정보보호법상 국내대리인 지정의무를 34개 사업자에게 부과하고 있다. 과학기술정보통신부는 2021년 11월에 전기통선사업법상 국내대리인 지정의무를 충족하는 2개 사업자(Meta Platforms과 Google)에게 부과하고 있다.

외부링크

• 공식자료: 국내대리인 지정제도 안내서 (한국인터넷진흥원 내 지식플랫폼)

근거법령

• 법령
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (약칭: 정보통신망법): 공포일 2023.01.03 시행일 2023.07.04

제32조의5(국내대리인의 지정) ① 국내에 주소 또는 영업소가 없는 정보통신서비스  제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 "국내대리인"이라 한다)를 서면으로 지정하여야 한다. 1. 제27조에 따른 개인정보 보호책임자의 업무2. 제27조의3제1항에 따른 통지·신고 및 같은 조 제3항에 따른 소명3. 제64조제1항에 따른 관계 물품·서류 등의 제출

제27조(개인정보 보호책임자의 지정) ① 정보통신서비스 제공자등은 이용자의 개인 정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정 하여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보 통신서비스 제공자등의 경우에는 지정하지 아니할 수있다.

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 (약칭: 정보통신망법 시행령): 공포일 2023.07.03 시행일 2023.07.04

제19조(국내대리인 지정 대상자의 범위) ① 법 제32조의5제1항에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. 1. 전년도[법인인 경우에는 전(前) 사업연도를 말한다] 매출액이 1조원 이상인 자2.   정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원  이상인 자3.   전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 자

• 개인정보보호법: 공포일 2023.03.14 시행일 2023.09.15

제31조의2(국내대리인의 지정) ① 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 지정하여야 한다. 이 경우 국내대리인의 지정은 문서로 하여야 한다. <개정 2023. 3. 14.>

1. 제31조제3항에 따른 개인정보 보호책임자의 업무

2. 제34조제1항 및 제3항에 따른 개인정보 유출 등의 통지 및 신고

3. 제63조제1항에 따른 물품ㆍ서류 등 자료의 제출

• 개인정보보호법 시행령: 공포일 2023.09.12 시행일 2023.09.15

제32조의2(국내대리인 지정 대상자의 범위) ① 법 제31조의2제1항 각 호 외의 부분 전단에서 “대통령령으로 정하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 전년도(법인인 경우에는 전 사업연도를 말한다) 전체 매출액이 1조원 이상인 자

2. 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자

3. 법 제63조제1항에 따라 관계 물품ㆍ서류 등 자료의 제출을 요구받은 자로서 국내대리인을 지정할 필요가 있다고 보호위원회가 심의ㆍ의결한 자

• 전기통신사업법: 공포일 2023.01.03 시행일 2023.07.04

제22조의8(국내대리인의 지정) ① 국내에 주소 또는 영업소가 없는 부가통신사업자로서 제22조의7제1항에서 정한 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 서면으로 지정하여야 한다. <개정 2023. 1. 3.>

1. 제22조의7제1항에 따른 이용자 요구사항 처리를 위한 국내 연락 수단의 확보

2. 제22조의7제3항 및 제4항에 따른 자료 제출

3. 제32조제1항에 따른 이용자 보호 업무

4. 제32조제2항 후단에 따른 자료제출명령의 이행

연혁

• 2018년: 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정, 국내대리인지정제도 도입^[1]
• 2020년: 개인정보보호법 법률 개정, 개인정보의 오용 · 남용 및 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사 · 중복 규정은 개인정보호보법으로 일원화하였고, 행정안전부와 방송통신위원회의 개인정보 관련 사무를 개인정보보호위원회로 이관하여 개인정보보호위원회의 개인정보 보호를 위한 컨트롤타워로서의 기능 강화^[2]
• 2023년: 국내 개인정보보호 업무 대리인 지정 사업자를 확대, 한국 법인이 책임 맡도록 추진^[3]

외국사례

• 유럽연합: 2016년 제정된 EU의 일반개인정보보호규칙 (General Data Protection Regulation, 이하 ‘GDPR' 이라 함)75)은 2018년 5월 25 일부터 시행되었댜 GDPR은 제 27조에서 EU 역내 대표자(representative) 제도를 규정하고 있다. 유럽연합 역외에 설립된 콘트롤러 (controller) 또는 프로세서 (processor)가 유럽 내 정보주체의 개인정보를 처리하고 이러한 처리활동이 해당 정보주체에게 재화와 서비스를 제공하는 것과 관련 있거나 유럽 내에서 발생하는 정보주체 행동에 대한 감시와 관련 있는 경우, 해당 콘트롤러 또는 프로세서는 대표자를 지정 (designate)해야 하고, 대표자는 콘트롤러와 프로세서를 대신하여 행위하고 감독기관의 지시를 수신(address)할 수 있다. GDPR 제4조제 17항에 따르면, 대표자(representative)은 제 27조에 따라 콘트롤러나 프로세서가 서면으로 지정하여 유럽연합 역내에 설립된 자연인 또는 법인으로서 본 규칙에 따라 콘트롤러 또는 프로세서 각각의 의무에 대해 그들을 대리한다(represent).
• 독일: 2017년 제정된 네트워크집행법 (Netzwerkdurchsetzungsgesetz : NetzDG)은 온라인에서의 가짜뉴스, 혐오발언과 허위정보 등을 규제하기 위한 법이며, 2018년 1월부터 시행되었다. 해당 법상 국내송달대리인(Inlandischer Zustellungsbevollrnachtigter)은 플랫폼에서 그 송달대리인을 쉽게 인식기능하도록 하고 직접 접근이 가능하도록 해야 한다. 불법 콘텐츠의 유포 또는 불법 콘텐츠의 유통과 수령으로 인해 특히 삭제된 콘텐츠의 복구 또는콘텐츠의 차단이 요구되는 경우, 송달대리인에 대해 제 4조 및 제 4a조의 벌금 절차에 따른 송달과 독일 법원의 법적 절차에 따른 송달이 가능하다. 국내송달대리인은 사법결정 또는 집행절차를 개시하는 문서의 송달에도 적용된다. 또한 송달대리인은 정보제공 요청을 받은 때로부터 48시간 내에 응답하여야 한다. 정보제공 요청에 대해 모두 응답하지 못하는 경우 정당한 사유가 있어야 한다. 제4조에서 언급된 행정기관은 송달대리인 리스트를 보유한다. 행정기관은 국내형사소추기관의 요청에 따라 그 정보를 제공한다.
• 일본: 일본 전기통신사업법(電氣通信事業法) 제9조에 따르면 전기통신사업을 영위하려는 자는 총무대신의 등록을 받아야 하며, 전기통신사업법 제 10조제 1 힝에 따르면 제 9조의 등록을 받으려는 자는 총무성령에서 정하는 바에 따라 총무대신에게 다음 각호의 사항을 기재한 신청서를 제출하여야 한다. 또한 외국사업자에 대한 실효성 있는 규제를 위해 2020년 5월 22 일 개정을 동해 외국법인이 일본에서 전기통신사업을 영위하려는 경우 전기통신사업법에 따른 등록신청서에 국내 대표자 또는 대리인을 기재하도록 하였다. 이를 통해 국내외 사업자의 규율을 일원화함에 따라, 국외사업자에 의한 등록 · 신고시 국내 대표자 · 대리인을 지정할 의무를 부과함으로써 집행 관할권 문제가 해소되어 업무개선명령 등이 가능해졌으며, 전기통신사업법의 준수 상황 확인을 위해 시의적절하게 커뮤니케이션할 수 있게 되었다.

연구동향

• 박효주와 양진홍(2019)의 연구는 유럽연합의 일반개인정보보호규정과 관련하여 적정성 평가의 내용 및 평가절차를 검토하고, 일본과 한국의 추진 현황을 파악하며 진행상의 법률적, 정책적 주요 이슈들을 분석해 우리나라가 이를 통과하기 위한 정책적 시사점을 도출하고자 하였다. 분석 결과, 1)개인정보보호 가이드라인 및 보조규정 제정 2)적정성 평가 범위의 재검토 3)범정부 차원의 추진체계 구성 및 추진 과정의 투명성 확보 4)개인정보보호위원회의 실질적 독립성 확보가 우선 과제로 제시되었다. 향후 정부가 중장기적 시각으로 관련 법규 및 제도를 개정하고 EU협의회와 적극적인 협상을 이어나간다면 좋은 결과를 기대할 수 있을 것으로 보았다.
• 차건상 외(2012)의 연구는 공공기관 및 민간기업의 개인정보보호담당자와 개인정보관리체계 인증제 관련 전문가를 대상으로 개인정보보호법상의 자율규제 확보를 위한 인증제 마련시 고려사항을 도출하여 개인정보보호법상의 적용대상을 고려한 개인정보관리체계 인증제 도입 방안을 제시하고자 하였다. 이를 통해 개인정보보호법의 자율규제 확보를 위한 효과적인 인증제도 도입을 위해서는 적절한 인정기관 및 인증기관의 지정과 개인정보보호법 적용 대상 기관의 다양성을 고려한 분야별 인증기준의 마련이 필요하다고 보았다.

참고문헌

• 방송통신위원회&한국인터넷진흥원. (2019). 국내대리인지정제도안내서.
• 김윤정 외. (2023). 국내대리인 지정제도 개선방안 연구. 한국법제연구원 연구보고서.
• 박효주, & 양진홍. (2019). EU 개인정보보호 적정성평가 이슈와 정책 대응 방안. 한국통신학회논문지, 44(5), 983-991.
• 차건상, 한호현, & 신용태. (2012). 개인정보보호법의 자율규제 확보를 위한 효과적인 개인정보관리체계 인증제. 정보과학회논문지: 정보통신, 39(3), 276-281.

각주