2024 프라이버시 자문위원회 3차 정기회의
지난 12월 12일, 2024년 카카오 프라이버시 자문위원회 3차 정기회의를 개최하였습니다.
회의는 카카오 판교아지트에서 진행되었으며, 4기 카카오 프라이버시 자문위원(김일환 위원장, 이경호 교수, 이수경 변호사, 최재식 교수)과 카카오 개인정보보호 책임자(김연지 CPO) 및 담당자들이 참석하였습니다.
이번 회의에서는 글로벌 사업자와의 개인정보의 처리 위탁과 제3자 제공, 개인정보 사전적정성 검토제에 대해 논의하는 시간을 가졌습니다.
글로벌 사업자와의 개인정보의 처리 위탁과 제3자 제공
이용자에게 서비스를 제공하는 과정에서 제3자에게 개인정보를 이전하는 경우가 빈번하게 발생합니다. 개인정보 보호법에서는 이러한 경우를 ‘개인정보 처리 업무의 위탁’과 ‘제3자 제공’으로 구분하여 각각의 적법처리 근거를 규정하고 있습니다. 하지만 이 두 가지 경우에 대한 판단 기준이 모호하였던 경우가 종종 있어, 이에 대한 사례를 공유하고 적절한 대응 방안에 대한 자문을 받았습니다.
개인정보의 처리 위탁과 제3자 제공에 대해 판단할 때는 개인정보의 취득 목적과 방법, 대가 수수 여부, 실질적인 관리·감독 여부, 실질적으로 개인정보를 이용할 필요가 있는 주체를 종합적으로 판단하여야 합니다.
그러나 해외에 위치한 글로벌 사업자에게 개인정보를 이전하게 될 때에는 이러한 판단이 모호한 경우가 있어 사업자 입장에서 고민이 발생하기도 합니다. 각 국가마다 적용되는 법규가 달라, 동일한 업무의 처리를 위탁하는데도 국내 사업자와 글로벌 사업자에 따라 관계를 바라보는 관점에 차이가 나타나기도 하였습니다.
이처럼 판단 기준이 모호할 경우 카카오가 어떻게 대응하는 것이 좋을지에 대해 자문위원분들과 함께 이야기를 나누었습니다. 국내에서 발생하였던 유사한 사례에 대해 살펴보면서, 사업자는 데이터 거버넌스와 같은 관리의 적정성과 논리적 정합성을 모두 고려해야 한다는 점이 강조되었습니다.
글로벌 사업자와의 개인정보 처리 위탁이 성립할 경우의 관리·감독 방향에 대한 논의도 이루어졌습니다. 개인정보 보호법에서는 개인정보의 처리 위탁이 발생할 경우 개인정보의 유출, 훼손 등을 방지하기 위해 위탁자가 수탁자를 교육하고 감독하도록 규정하고 있습니다. 그러나 글로벌 사업자에 대해서는 국내에 위치한 수탁사 수준으로 실질적 관리·감독을 하는 것이 현실적으로 어려운 부분이 있습니다. 이러한 한계를 고려하면서도 이용자의 개인정보를 안전하게 보호하고 법적 리스크를 줄이기 위한 방안에 대해 논의하였습니다.
또한 이용자에게 국외 이전에 대한 동의를 받을 때, 이용자의 권리를 보장하면서 적절하게 동의를 받는 방법에 대해서도 지속적인 고민이 필요하다는 이야기도 나누었습니다.
개인정보 사전적정성 검토제
사전적정성 검토제란 사업자가 AI 등 새로운 서비스를 기획하고 개발하는 단계에서 기존의 법 해석 및 집행 선례만으로 명확한 개인정보 보호법 준수 방안을 찾기 어려울 경우, 개인정보보호위원회와 협력하여 적합한 법 적용방안을 마련하고 위원회 의결로써 행정처분에 준하는 신뢰를 부여하는 제도입니다.
사전적정성 검토제는 지난해 10월부터 시범운영이 진행되다가 올해 3월 고시 제정을 통해 본격 운영이 시작되었는데요. 이번 회의에서는 자문위원분들과 올해 검토제가 적용된 주요 사례와 방향성에 대한 이야기를 나누었습니다.
카카오는 이용자의 개인정보를 안전하게 보호하기 위해서 지속적으로 노력하겠습니다.
앞으로 진행될 카카오 프라이버시 자문위원회에도 많은 관심 부탁드립니다.
