ENG AI 대륙아주 중대재해 쿠팡피해 D&A Advisory 인재채용

뉴스레터

소식/자료
뉴스레터
IP 2025-07-10

  • 공유하기

    4. URL

IP 분야 이슈리포트 - 「개인정보 보호법 시행령」 개정안의 주요 내용

[대륙아주]IP 분야 이슈리포트 - 「개인정보 보호법 시행령」 개정안의 주요 내용.pdf

「개인정보 보호법 시행령」 개정안의 주요 내용
 

법무법인 대륙아주 김정은 변호사1
법무법인 대륙아주 나희수 변호사



1. 들어가며

  개인정보보호위원회는 2025. 10. 2. 시행 예정인 「개인정보 보호법」 개정안에서 정한 국내대리인 지정기준 및 관리·감독 의무를 구체화하는 한편, 지방자치단체 출자·출연기관을 「개인정보 보호법」상 공공기관에 포함하고 전문기관에 대한 출연사업의 위탁근거를 마련하기 위한 「개인정보 보호법 시행령」 개정안을 2025. 5. 30. 입법예고하였습니다. 

  이하에서 구체적인 내용을 설명드리겠습니다.



2. 개정안의 주요 내용

가. 국내대리인 지정기준 및 관리·감독 의무 구체화(영 제32조의3, 제63조 [별표2])

  「개인정보 보호법」 개정안(2025. 4. 1. 법률 제20897호로 일부 개정되어 2025. 10. 2. 시행 예정인 것)은 국내대리인 제도를 내실있게 운영하기 위하여, 국내에 주소 또는 영업소가 없는 개인정보처리자가 국내대리인을 지정할 때, 국내법인을 설립하여 운영하고 있는 등 일정 요건을 갖춘 경우에는 해당 국내법인을 우선 지정하도록 하고(제31조의2 제2항), 지정한 국내대리인에 대한 관리·감독 의무를 부여하며(제31조의2 제3항), 위반시 과태료를 부과하도록 하였습니다(제75조 제3항 제3호, 제4호).

  이에 따라 시행령 개정안에서는 국내대리인 지정 기준 및 국내대리인에 관한 관리·감독 방법, 과태료 부과 기준을 구체화하였습니다.

  법 개정안은 국내에 주소나 영업소가 없는 개인정보처리자가 국내대리인을 지정할 때, ① 해당 개인정보처리자가 설립한 국내법인이나 ② 해당 개인정보처리자가 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내법인으로서 대통령령으로 정하는 법인이 있는 경우, 그 법인 중에서 국내대리인을 지정하도록 정하고 있습니다(법 제31조의2 제2항).

  법 제31조의2 제2항의 위임에 따라, 시행령 개정안은 ‘개인정보처리자가 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내법인으로서 대통령령으로 정하는 법인’을 ① 개인정보처리자가 해당 법인의 대표이사를 임면하거나 임원의 100분의 50 이상을 선임하는 경우(제1호) 또는 ② 개인정보처리자가 해당 법인의 발행주식총수 또는 출자총액의 100분의 30 이상 출자하는 경우(제2호)로 구체화하였습니다(영 제32조의3 제3항).

  시행령 개정안은 법 개정안에서 정한 국내대리인에 대한 개인정보처리자의 관리·감독 의무의 방법도 ① 업무수행에 대한 계획 수립 및 이행여부 점검(제1호), ② 점검 결과에 대한 개선 여부 확인(제2호), ③ 연 1회 이상의 교육(제3호) 등으로 구체화하였습니다(영 제32조의3 제4항).

  시행령 개정안은 국내법인 중 국내대리인 미지정 또는 국내대리인에 대한 관리·감독 미이행시 위반 횟수에 관계없이 2천만 원을 부과하고, 국내대리인의 성명·주소 등을 개인정보 처리방침에 포함하지 않는 경우에는 위반 횟수별 부과기준을 마련하였습니다(영 제63조 [별표 2]).


나. 공공기관의 범위 확대(영 제2조, 제13조의2)

  시행령 개정안은 「지방자치단체 출자·출연 기관의 운영에 관한 법률」 제2조 제1항에 따른 출자기관 및 출연기관을 「개인정보 보호법」상 공공기관에 포함하였습니다(영 제2조 제6호). 

  지방자치단체 출자기관·출연기관이 공공기관에 포함됨에 따라, 시행령 개정안은 공공기관을 대상으로 하는 개인정보 보호수준 평가 대상에 해당 기관이 포함된다는 점 역시 명시하였습니다(영 제13조의2 제1항).

  이에 따라, 지방자치단체 출자·출연기관이 소관 업무를 수행하는 과정에서 개인정보를 처리할 수 있도록 하는 법적 근거가 마련됨과 동시에 해당 기관이 공공기관으로서 개인정보를 안전하게 처리해야 할 책임도 강화되었습니다.


다. 전문기관에 대한 출연사업의 위탁근거 정비(영 제62조)

  시행령 개정안은 개인정보보호위원회가 한국인터넷진흥원 등 전문기관에 위탁하여 수행하고 있는 출연사업의 법적 근거를 마련하기 위하여, 전문기관에 위탁할 수 있는 업무 범위에 공공기관 대상 개인정보 보호수준 평가 업무(제4호), 자율규제 촉진 및 지원 업무(제5호)가 포함되도록 추가하였습니다(영 제62조 제3항).




3. 시사점

  이번 「개인정보 보호법」 및 동법 시행령 개정으로 인하여, 해외 개인정보처리자가 설립한 국내법인이나 임원 구성, 사업 운영 등에 지배적인 영향력을 행사하는 국내법인이 있는 경우, 개인정보처리자는 그 국내법인 중에서 국내대리인을 지정할 의무를 부담하게 되었습니다.

  「개인정보 보호법」 개정안은 종전의 규정에 따라 국내대리인을 지정한 개인정보처리자라고 하더라도 이번에 새로 마련된 국내대리인 지정 요건에 해당하는 국내법인이 있는 경우에는, 법 시행일(2025. 10. 2.)로부터 6개월 이내에 해당 국내법인 중에서 국내 대리인을 다시 지정하도록 정하고 있습니다(부칙 제2조). 

  따라서 기존에 국내대리인을 지정한 개인정보처리자 역시 이번 「개인정보 보호법」 및 동법 시행령 개정안에서 정한 국내대리인 지정기준을 검토하고 기존 국내대리인이 해당 기준을 충족하지 못하는 경우에는 이를 보완하여 국내대리인 재지정을 준비할 필요가 있습니다.

  아울러, 이번 시행령 개정안은 개인정보처리자의 국내대리인에 대한 관리·감독 의무를 보다 구체적으로 규정하고 있으며, 그러한 관리·감독 의무를 이행하지 않을 경우 개인정보처리자에게 2천만 원의 과태료가 부과될 수 있습니다. 

  관련 기업들은 시행령 개정안의 시행(2025. 10. 2.) 이전에 국내대리인의 관리·감독 의무에 관한 내용을 면밀히 검토하고 내부 규정 및 체계를 조속히 정비하여, 향후 개정 시행령 시행 이후 발생할 수 있는 불이익을 예방하는 것이 바람직합니다.


 
  1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.

COPYRIGHT D&A LLC. ALL RIGHTS RESERVED.

광고책임변호사 : 남동환