[보안뉴스]“구글·메타·오픈AI, 6개월 내 국내 법인으로 국내 대리인 변경해야”

내용 요약

개인정보보호위원회는 2025년 10월 2일 시행 예정인 개인정보 보호법 개정에 앞서, 구글·메타·오픈AI 등 16개 해외 사업자에게 국내 대리인 지정(지분이 있는 국내 법인) 의무를 권고하고 현황을 점검했습니다.

핵심 포인트

• Domestic Agent Designation: 해외 사업자가 국내법인을 통해 ‘대리인’ 역할을 수행하도록 요구
• Revised Personal Information Protection Act: 2025년 10월 시행 예정, 해외 데이터 이전 및 개인정보 처리에 대한 새로운 규제 강화
• Compliance Monitoring: 개인정보위가 현황을 사전 점검하여 법적 리스크 최소화 추진

기술 세부 내용

1️⃣ Domestic Agent Designation

1️⃣ 목적 – 해외 사업자가 한국 내 사용자 데이터를 직접 관리·처리할 때, ‘대리인’이 책임을 지도록 함.
2️⃣ 구성 –
- Domestic Corporation: 최소 100% 소유(혹은 지분) 보유.
- Agent Role: 데이터 수집·이용·전송 등 개인정보 처리 전반을 책임지며, 한국법에 따라 신고·감사 대상이 됨.
3️⃣ 절차 –
- 설정 단계: 사업자가 국내 법인 설립 또는 인수.
- 등록 단계: 개인정보위에 ‘대리인 지정 신청’ 서류 제출.
- 검토 단계: 위원회가 자료를 검토 후 승인 여부를 통보.
4️⃣ 효과 –
- 법적 책임 명확화: 개인정보 유출 시 국내 법인에 대한 책임 부과.
- 투명성 강화: 이용자에게 ‘대리인’ 정보를 제공해 신뢰 확보.

2️⃣ Revised Personal Information Protection Act

1️⃣ 시행일 – 2025년 10월 2일, 기존 법보다 보다 엄격한 규정 도입.
2️⃣ 주요 변경 사항 –
- Cross‑Border Transfer: 해외 서버로 데이터 이전 시 ‘전송대리인’ 지정 필요.
- Consent Mechanism: 사용자의 명시적 동의 없이 데이터 처리 금지 강화.
- Penalties: 위반 시 벌금·법적 제재 가중.
3️⃣ 개인정보보호위원회 역할 –
- 규정 해석: 기업의 합법적 운영을 위한 가이드라인 제공.
- 감시·검사: 지정된 대리인 및 데이터 처리 현황을 정기 점검.
4️⃣ 기업 대응 –
- 내부 통제 강화: 데이터 흐름 매핑, 위험 평가, 보안 절차 문서화.
- 외부 자문: 글로벌 데이터 거버넌스 전문가와 협업해 규정 준수 체계 구축.

이와 같은 제도적 변화에 따라 해외 사업자는 국내에 실제 법인을 두고 ‘대리인’으로 지정해, 개인정보 보호법 준수를 체계적으로 관리해야 합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139462&kind=&sub_kind=