Description
Ⅰ. 배경 및 목적
○ 글로벌 온라인 서비스 이용이 보편화되면서, 우리 국민의 해외사업자 서비스 이용률이 급증하고 있으므로, 우리 국민이 서비스를 이용할 때 발생하는 고충 처리 등을 위해 언어와 의사소통의 어려움 없이 해외사업자에게 편리하게 연락하고, 해외사업자의 법 위반 또는 사고 발생시 집행력을 강화할 필요성이 제기됨
- 이에 2018년 정보통신망법 개정으로 국내대리인 지정제도를 최초로 도입하고 뒤이어 2020년에는 개인정보보호법과 전기통신사업법에도 이 제도를 도입하였지만, 국내대리인 제도가 유명무실하게 운영되어 국내 이용자 보호 업무를 사실상 회피하고 있다는 지적이 제기되고 있음
- 이에 현행법상 국내대리인 지정제도의 운영실태와 그 문제점 및 원인을 살펴보고, 정보통신망법, 개인정보보호법 및 전기통신사업법상 국내대리인 지정제도의 개선방안을 도출하여 제도의 실효성을 높일 필요가 있음
Ⅱ. 주요내용
▶ 국내대리인 지정제도 도입배경
○ 2018년 9월 18일 정보통신망법에서 국내대리인 지정제도를 최초로 도입하면서, 다음 두 가지 측면으로 도입배경을 설명
- 글로벌 사업자의 서비스를 이용하는 국내 이용자들이 개인정보 동의 철회와 열람청구와 정정요구 등과 같은 자기결정권을 실질적으로 행사할 수 있도록 하는 ‘이용자 보호 측면’과 정부기관의 법집행에 필요한 자료를 신속하게 제출하도록 하는 ‘법집행 용이 측면’임
- 또한, 이 제도가 처음 도입될 당시 언론들은 국내에 지사나 서버를 두지 않고 서비스만 제공하는 글로벌 사업자를 규제할 최소한의 장치가 마련됨으로써 ‘역차별 해소’에 도움이 될 것이라고 평가
○ 그 중 국내대리인 제도의 ‘법집행 용이 측면’은 정부가 발송하는 공문 수령과 회신이 비교적 잘 이루어지고 있다는 점에서 어느 정도 그 목적을 달성하고 있는 것 같으나 ‘이용자 보호 측면’에서는 실효성이 있는지 의문이므로, 본 연구에서는 이를 파악하기 위해 실증조사를 실시함
▶ 국내대리인 지정제도 관련 현행법 내용
○ 정보통신망법 제32조의5, 개인정보보호법 제31조의2, 전기통신사업법 제22조의8에서 규정
○ 세 가지 법률은 대체로 유사한 내용을 규정하고 있으므로, 그 중 개인정보보호법 제31조의2에서 규정하는 요건과 효과를 예를 들어 설명하면 다음과 같음
- 국내대리인 지정의무가 있는 자는 매출액과 개인정보 보유 규모 등을 고려해 시행령으로 정함. 그 외 개인정보보호법을 위반하여 정보통신서비스 이용의 안전성을 현저히 해치는 사건ㆍ사고가 발생하였거나 발생할 가능성이 있는 경우로서 관계 물품이나 서류 등을 제출하도록 요구받은 자 역시 국내대리인 지정의무가 있음
- 국내대리인은 국내에 주소나 영업소가 있어야 하며, 국내대리인 지정의무가 있는 사업자는 국내대리인의 성명과 주소 및 전화번호, 전자우편 주소를 개인정보 처리방침에 규정해야 함
- 국내대리인의 업무는 ① 개인정보 보호책임자의 업무, ② 개인정보 유출등의 통지ㆍ신고, ③ 물품ㆍ서류 등의 제출임
- 국내대리인이 업무와 관련하여 개인정보보호법을 위반한 경우 개인정보처리자가 그 행위를 한 것으로 봄
▶ 국내대리인 지정제도 운영현황과 문제점
○ 정보통신망법상 국내대리인 지정 사업자는 33개이고 개인정보보호법상 국내대리인 지정 사업자는 34개로서 서로 중첩되며, 다만 개인정보보호법에는 Rakuten이 추가되어 있음
- 전기통신사업법상 국내대리인 지정 사업자는 Meta와 Google의 2개 사업자이며, 이는 개인정보보호법상 국내대리인 지정 사업자의 범위에 포함됨
○ 국내대리인으로 지정된 자들이 ‘이용자 보호 업무’를 제대로 수행하는지 2023년 4월부터 5월까지 실증조사를 실시함
- 일반 이용자 입장에서 국내대리인 지정 사업자의 홈페이지를 통해 국내대리인 주소와 연락처를 확인하고 이메일을 보내거나 직접 전화를 걸어서 문의함
- 개인정보보호법상 국내대리인 지정 사업자에게 해당 기업의 개인정보보호방침과 계정 탈퇴시 개인정보 삭제 여부 등에 관해 질문을 하고 회신에 소요되는 시간 및 회신 내용 등을 분석함
○ 실증조사 결과로 나타난 문제점
- 2022년과 마찬가지로 2023년에도 여전히 동일한 특정기관을 국내대리인으로 동시에 지정한 해외사업자들이 많았음
- 해당 사업자의 홈페이지에서 국내대리인 정보 일부 또는 전부를 표시하지 않거나 정부기관에 신고한 정보와 다르게 표시한 경우도 있었음
- 한국어가 아닌 영어로 정보를 표시하거나, 국내대리인 정보를 쉽게 찾을 수 있는 위치에 노출시키지 않아서, 일반 이용자들이 국내대리인 정보를 확인하기가 쉽지 않은 경우도 있었음
- 아예 국내대리인 이메일 주소를 표시하지 않은 경우도 있었고, 이메일에 대해 회신하지 않거나, 회신에 소요되는 기간이 7일 이상 오래 걸리는 경우도 있었으며, 영문으로 회신하는 경우도 있었음
- 일부 사업자는 자세한 설명 없이 개인정보취급방침의 링크 또는 고객센터 링크를 부착하여 답변을 갈음하는 등 이용자의 질의에 대해 구체적으로 답변하지 않고 정형화되고 일반적인 방식으로만 답변하는 경우도 있었음
- 어떤 사업자는 이메일 회신을 하기는 하였지만 “향후 개인정보와 관련한 문의는 국내대리인이 아니라 고객센터를 통해 문의하라”는 문구를 부기한 경우도 있었음
- 이용자 입장에서는 이메일 문의보다는 즉시 응답성이 있는 전화 통화를 선호하는 사람도 존재하므로, 조사대상 사업자 일부에 대해서는 전화 통화를 시도하였음. 이 경우 음성사서함 또는 ARS를 통한 자동응답만 하여 결국은 담당자와 통화가 어려운 경우가 대부분이었음
- 개인정보취급방침에 국내대리인으로 표시된 번호로 전화하니 일반 상담원과 연결되고 개인정보 담당부서와의 전화연결을 요청하면 거절한 경우도 있었음
○ 국내대리인 지정제도의 현행법상 문제점
- 국내대리인이 변경된 경우 변경신고 절차가 없고, 업무내용 및 표시방법에 대한 상세한 가이드라인이 존재하지 않으며, 그 운영에 관한 국내 규제당국의 감시가 소홀한 등, 제도의 실효성을 제고하기 위한 제도적 장치가 미흡하다는 문제가 있음
▶ 국내대리인 지정제도 관련 해외 주요국의 입법례
○ EU : 일반개인정보보호규칙(GDPR) 제27조, 디지털서비스법(DSA) 제11조
○ 독일 : 네트워크망집행법(NetzDG) 제5조, 텔레미디어법(Telemediengesetz) 제5조
○ 일본 : 전기통신사업법(電気通信事業法) 제10조
▶ 국내대리인 지정제도 관련 전문가 FGI 분석
○ 국내대리인 지정제도의 문제점과 개선사항을 도출하기 위해 2023년 5월 10일부터 18일까지 초점집단 인터뷰(Focus Group Interview, 이하 ‘FGI’라 함)를 실시하였음
○ 질문 항목은 다음과 같음
- 1. 국내대리인 지정제도의 도입배경
- 2. 개별법상 국내대리인 지정제도의 기능과 역할
- 3. 특정 동일기관에 대한 국내대리인 지정 문제
- 4. 국내대리인 지정기관 운영실태에 대한 의견
- 5. 전기통신법 개정내용의 실효성
- 6. 개별법상 국내대리인 지정제도의 개선방안
▶ 국내대리인 지정제도 개선방안
○ 국내대리인 지정기준 개선
- 국내대리인 지정기준으로 매출액 요건을 규정하고 있는 정보통신망법과 개인정보보호법의 경우 지정기준을 개정하여 전기통신사업법과 마찬가지로 이용자수 및 트래픽 요건 등으로 규정할 필요가 있음
- 현행 개인정보보호법에 따른 국내대리인 지정 사업자 명단에는 국내 이용자가 많은 트위터(Twitter)가 포함되어 있지 않은데, 국내대리인 지정기준을 개선하는 경우 이 사업자들을 포함시킬 수 있을 것으로 보임
○ 국내대리인 변경신고제도 도입
- 개인정보보호위원회에 신고된 국내대리인 정보가 실제 홈페이지에서 확인되는 국내대리인 정보와 다른 경우가 발견되는데, 이 경우 변경신고를 하도록 제도 도입 필요
○ 국내대리인 업무내용에 관한 가이드라인 및 제재수단 마련
- 한국법제연구원 실증조사에 따르면 국내법인이 국내대리인으로 지정된 경우라 할지라도 이용자의 개인정보보호 업무를 더 충실히 수행하는 것은 아니었음
- 해외사업자의 한국법인이 국내대리인인지 여부가 중요한 것이 아니라 누가 수행하든 간에 제대로 국내대리인 업무를 수행하는 것이 중요하므로, 국내대리인 업무가 제대로 수행되고 있는지에 관해 규제당국의 감시와 모니터링이 이루어질 필요가 있음
- 아직까지 해외사업자들이 국내대리인의 업무에 관해 규제당국과의 연락창구 역할 이외에 개인정보보호 업무나 이용자보호 업무까지 해야 하는 것을 제대로 알지 못하는 경우가 많으므로, 국내대리인의 업무를 자세히 상술하는 가이드라인을 마련해서 배포할 필요가 있음
- 국내대리인이 이용자 문의에 대해 회신하더라도 그 회신기간이 오래 걸리거나 영어로 회신하는 경우에는 이용자들에게 큰 불편함을 초래하므로 제대로 이용자 보호 역할을 수행했다고 할 수 없는데, 이러한 문제를 해결하기 위해 이메일 회신기간과 방법 및 전화응답 방법 등을 규정한 가이드라인을 마련하는 것도 필요함
- 현행법에서는 해외사업자가 국내대리인 지정의무를 위반한 경우에 대해서만 과태료가 부과될 수 있으며, 국내대리인이 제대로 그 역할을 수행하지 않은 경우에 대해서는 해외사업자에 대한 아무런 제재수단이 없는데, 이는 개선되어야 할 사항임
○ 국내대리인 표시방법에 관한 가이드라인 및 제재수단 마련
- 한국법제연구원 실증조사에서는 조사대상 37개 사업자(국내대리인 지정 사업자는 아니지만 비교대상 사업자로서 3개 사업자 포함) 중 14개 사업자가 국내대리인 정보의 전부 또는 일부를 미표시한 것으로 나타났음
- 국내대리인이 이용자 보호를 제대로 달성할 수 있도록 하기 위해서는 현행법상 국내대리인 표시에 관한 규정을 위반한 경우에 대한 제재수단을 마련하고 올바른 국내대리인 표시방법에 관한 가이드라인을 제시할 필요가 있음
Ⅲ. 기대효과
○ 예상되는 정책 기여도
- 현행법상 국내대리인 지정제도의 운영실태와 그 문제점 및 원인을 살펴보고 정보통신망법, 개인정보보호법, 전기통신사업법 등 관련 법률 개정에 활용
○ 글로벌 온라인 서비스 이용이 보편화되면서, 우리 국민의 해외사업자 서비스 이용률이 급증하고 있으므로, 우리 국민이 서비스를 이용할 때 발생하는 고충 처리 등을 위해 언어와 의사소통의 어려움 없이 해외사업자에게 편리하게 연락하고, 해외사업자의 법 위반 또는 사고 발생시 집행력을 강화할 필요성이 제기됨
- 이에 2018년 정보통신망법 개정으로 국내대리인 지정제도를 최초로 도입하고 뒤이어 2020년에는 개인정보보호법과 전기통신사업법에도 이 제도를 도입하였지만, 국내대리인 제도가 유명무실하게 운영되어 국내 이용자 보호 업무를 사실상 회피하고 있다는 지적이 제기되고 있음
- 이에 현행법상 국내대리인 지정제도의 운영실태와 그 문제점 및 원인을 살펴보고, 정보통신망법, 개인정보보호법 및 전기통신사업법상 국내대리인 지정제도의 개선방안을 도출하여 제도의 실효성을 높일 필요가 있음
Ⅱ. 주요내용
▶ 국내대리인 지정제도 도입배경
○ 2018년 9월 18일 정보통신망법에서 국내대리인 지정제도를 최초로 도입하면서, 다음 두 가지 측면으로 도입배경을 설명
- 글로벌 사업자의 서비스를 이용하는 국내 이용자들이 개인정보 동의 철회와 열람청구와 정정요구 등과 같은 자기결정권을 실질적으로 행사할 수 있도록 하는 ‘이용자 보호 측면’과 정부기관의 법집행에 필요한 자료를 신속하게 제출하도록 하는 ‘법집행 용이 측면’임
- 또한, 이 제도가 처음 도입될 당시 언론들은 국내에 지사나 서버를 두지 않고 서비스만 제공하는 글로벌 사업자를 규제할 최소한의 장치가 마련됨으로써 ‘역차별 해소’에 도움이 될 것이라고 평가
○ 그 중 국내대리인 제도의 ‘법집행 용이 측면’은 정부가 발송하는 공문 수령과 회신이 비교적 잘 이루어지고 있다는 점에서 어느 정도 그 목적을 달성하고 있는 것 같으나 ‘이용자 보호 측면’에서는 실효성이 있는지 의문이므로, 본 연구에서는 이를 파악하기 위해 실증조사를 실시함
▶ 국내대리인 지정제도 관련 현행법 내용
○ 정보통신망법 제32조의5, 개인정보보호법 제31조의2, 전기통신사업법 제22조의8에서 규정
○ 세 가지 법률은 대체로 유사한 내용을 규정하고 있으므로, 그 중 개인정보보호법 제31조의2에서 규정하는 요건과 효과를 예를 들어 설명하면 다음과 같음
- 국내대리인 지정의무가 있는 자는 매출액과 개인정보 보유 규모 등을 고려해 시행령으로 정함. 그 외 개인정보보호법을 위반하여 정보통신서비스 이용의 안전성을 현저히 해치는 사건ㆍ사고가 발생하였거나 발생할 가능성이 있는 경우로서 관계 물품이나 서류 등을 제출하도록 요구받은 자 역시 국내대리인 지정의무가 있음
- 국내대리인은 국내에 주소나 영업소가 있어야 하며, 국내대리인 지정의무가 있는 사업자는 국내대리인의 성명과 주소 및 전화번호, 전자우편 주소를 개인정보 처리방침에 규정해야 함
- 국내대리인의 업무는 ① 개인정보 보호책임자의 업무, ② 개인정보 유출등의 통지ㆍ신고, ③ 물품ㆍ서류 등의 제출임
- 국내대리인이 업무와 관련하여 개인정보보호법을 위반한 경우 개인정보처리자가 그 행위를 한 것으로 봄
▶ 국내대리인 지정제도 운영현황과 문제점
○ 정보통신망법상 국내대리인 지정 사업자는 33개이고 개인정보보호법상 국내대리인 지정 사업자는 34개로서 서로 중첩되며, 다만 개인정보보호법에는 Rakuten이 추가되어 있음
- 전기통신사업법상 국내대리인 지정 사업자는 Meta와 Google의 2개 사업자이며, 이는 개인정보보호법상 국내대리인 지정 사업자의 범위에 포함됨
○ 국내대리인으로 지정된 자들이 ‘이용자 보호 업무’를 제대로 수행하는지 2023년 4월부터 5월까지 실증조사를 실시함
- 일반 이용자 입장에서 국내대리인 지정 사업자의 홈페이지를 통해 국내대리인 주소와 연락처를 확인하고 이메일을 보내거나 직접 전화를 걸어서 문의함
- 개인정보보호법상 국내대리인 지정 사업자에게 해당 기업의 개인정보보호방침과 계정 탈퇴시 개인정보 삭제 여부 등에 관해 질문을 하고 회신에 소요되는 시간 및 회신 내용 등을 분석함
○ 실증조사 결과로 나타난 문제점
- 2022년과 마찬가지로 2023년에도 여전히 동일한 특정기관을 국내대리인으로 동시에 지정한 해외사업자들이 많았음
- 해당 사업자의 홈페이지에서 국내대리인 정보 일부 또는 전부를 표시하지 않거나 정부기관에 신고한 정보와 다르게 표시한 경우도 있었음
- 한국어가 아닌 영어로 정보를 표시하거나, 국내대리인 정보를 쉽게 찾을 수 있는 위치에 노출시키지 않아서, 일반 이용자들이 국내대리인 정보를 확인하기가 쉽지 않은 경우도 있었음
- 아예 국내대리인 이메일 주소를 표시하지 않은 경우도 있었고, 이메일에 대해 회신하지 않거나, 회신에 소요되는 기간이 7일 이상 오래 걸리는 경우도 있었으며, 영문으로 회신하는 경우도 있었음
- 일부 사업자는 자세한 설명 없이 개인정보취급방침의 링크 또는 고객센터 링크를 부착하여 답변을 갈음하는 등 이용자의 질의에 대해 구체적으로 답변하지 않고 정형화되고 일반적인 방식으로만 답변하는 경우도 있었음
- 어떤 사업자는 이메일 회신을 하기는 하였지만 “향후 개인정보와 관련한 문의는 국내대리인이 아니라 고객센터를 통해 문의하라”는 문구를 부기한 경우도 있었음
- 이용자 입장에서는 이메일 문의보다는 즉시 응답성이 있는 전화 통화를 선호하는 사람도 존재하므로, 조사대상 사업자 일부에 대해서는 전화 통화를 시도하였음. 이 경우 음성사서함 또는 ARS를 통한 자동응답만 하여 결국은 담당자와 통화가 어려운 경우가 대부분이었음
- 개인정보취급방침에 국내대리인으로 표시된 번호로 전화하니 일반 상담원과 연결되고 개인정보 담당부서와의 전화연결을 요청하면 거절한 경우도 있었음
○ 국내대리인 지정제도의 현행법상 문제점
- 국내대리인이 변경된 경우 변경신고 절차가 없고, 업무내용 및 표시방법에 대한 상세한 가이드라인이 존재하지 않으며, 그 운영에 관한 국내 규제당국의 감시가 소홀한 등, 제도의 실효성을 제고하기 위한 제도적 장치가 미흡하다는 문제가 있음
▶ 국내대리인 지정제도 관련 해외 주요국의 입법례
○ EU : 일반개인정보보호규칙(GDPR) 제27조, 디지털서비스법(DSA) 제11조
○ 독일 : 네트워크망집행법(NetzDG) 제5조, 텔레미디어법(Telemediengesetz) 제5조
○ 일본 : 전기통신사업법(電気通信事業法) 제10조
▶ 국내대리인 지정제도 관련 전문가 FGI 분석
○ 국내대리인 지정제도의 문제점과 개선사항을 도출하기 위해 2023년 5월 10일부터 18일까지 초점집단 인터뷰(Focus Group Interview, 이하 ‘FGI’라 함)를 실시하였음
○ 질문 항목은 다음과 같음
- 1. 국내대리인 지정제도의 도입배경
- 2. 개별법상 국내대리인 지정제도의 기능과 역할
- 3. 특정 동일기관에 대한 국내대리인 지정 문제
- 4. 국내대리인 지정기관 운영실태에 대한 의견
- 5. 전기통신법 개정내용의 실효성
- 6. 개별법상 국내대리인 지정제도의 개선방안
▶ 국내대리인 지정제도 개선방안
○ 국내대리인 지정기준 개선
- 국내대리인 지정기준으로 매출액 요건을 규정하고 있는 정보통신망법과 개인정보보호법의 경우 지정기준을 개정하여 전기통신사업법과 마찬가지로 이용자수 및 트래픽 요건 등으로 규정할 필요가 있음
- 현행 개인정보보호법에 따른 국내대리인 지정 사업자 명단에는 국내 이용자가 많은 트위터(Twitter)가 포함되어 있지 않은데, 국내대리인 지정기준을 개선하는 경우 이 사업자들을 포함시킬 수 있을 것으로 보임
○ 국내대리인 변경신고제도 도입
- 개인정보보호위원회에 신고된 국내대리인 정보가 실제 홈페이지에서 확인되는 국내대리인 정보와 다른 경우가 발견되는데, 이 경우 변경신고를 하도록 제도 도입 필요
○ 국내대리인 업무내용에 관한 가이드라인 및 제재수단 마련
- 한국법제연구원 실증조사에 따르면 국내법인이 국내대리인으로 지정된 경우라 할지라도 이용자의 개인정보보호 업무를 더 충실히 수행하는 것은 아니었음
- 해외사업자의 한국법인이 국내대리인인지 여부가 중요한 것이 아니라 누가 수행하든 간에 제대로 국내대리인 업무를 수행하는 것이 중요하므로, 국내대리인 업무가 제대로 수행되고 있는지에 관해 규제당국의 감시와 모니터링이 이루어질 필요가 있음
- 아직까지 해외사업자들이 국내대리인의 업무에 관해 규제당국과의 연락창구 역할 이외에 개인정보보호 업무나 이용자보호 업무까지 해야 하는 것을 제대로 알지 못하는 경우가 많으므로, 국내대리인의 업무를 자세히 상술하는 가이드라인을 마련해서 배포할 필요가 있음
- 국내대리인이 이용자 문의에 대해 회신하더라도 그 회신기간이 오래 걸리거나 영어로 회신하는 경우에는 이용자들에게 큰 불편함을 초래하므로 제대로 이용자 보호 역할을 수행했다고 할 수 없는데, 이러한 문제를 해결하기 위해 이메일 회신기간과 방법 및 전화응답 방법 등을 규정한 가이드라인을 마련하는 것도 필요함
- 현행법에서는 해외사업자가 국내대리인 지정의무를 위반한 경우에 대해서만 과태료가 부과될 수 있으며, 국내대리인이 제대로 그 역할을 수행하지 않은 경우에 대해서는 해외사업자에 대한 아무런 제재수단이 없는데, 이는 개선되어야 할 사항임
○ 국내대리인 표시방법에 관한 가이드라인 및 제재수단 마련
- 한국법제연구원 실증조사에서는 조사대상 37개 사업자(국내대리인 지정 사업자는 아니지만 비교대상 사업자로서 3개 사업자 포함) 중 14개 사업자가 국내대리인 정보의 전부 또는 일부를 미표시한 것으로 나타났음
- 국내대리인이 이용자 보호를 제대로 달성할 수 있도록 하기 위해서는 현행법상 국내대리인 표시에 관한 규정을 위반한 경우에 대한 제재수단을 마련하고 올바른 국내대리인 표시방법에 관한 가이드라인을 제시할 필요가 있음
Ⅲ. 기대효과
○ 예상되는 정책 기여도
- 현행법상 국내대리인 지정제도의 운영실태와 그 문제점 및 원인을 살펴보고 정보통신망법, 개인정보보호법, 전기통신사업법 등 관련 법률 개정에 활용
국내대리인 지정제도 개선방안 연구
$11.29