기업전문변호사 기업 인사이트

2025년 4월 2일, 세계 최초로 제정되는 「합성생물학 육성법」이 국회 의결됐습니다. 생명체의 구성요소 및 시스템을 공학적 방법으로 설계·제작·활용하는 합성생물학을 국가 전략기술로 육성하고자 하는 목적 아래, 정부 주도의 연구개발 지원체계와 규제 기반을 마련하겠다는 취지입니다. 제약·바이오 산업에 있어 단순한 정책 변화 이상의 의미를 지니며, 합성생물학 연구 및 산업을 육성할 틀이 마련된 만큼 제약·바이오기업에는 새로운 기회이자 전략적 대응이 필요한 시점입니다. 법률 제정의 주요 골자총 6장, 30개 조항으로 구성된 합성생물학 육성법은 다음과 같은 핵심 내용을 포함하고 있습니다. 1)국가 육성 기본계획 수립 의무화과학기술정보통신부 장관은 5년마다 국가 차원의 합성생물학 육성 기본계획을 수립하고, 시책을 종합적으로 추진하도록 규정합니다. 2)정책전문기관 및 연구개발거점기관 지정산·학·연 협력 및 정책 수립 효율성을 제고하기 위해 국가가 지정한 기관을 통해 기술 연구의 효율성을 높일 계획입니다. 3)바이오파운드리 구축·운영 지원합성생물학 핵심 인프라스트럭처인 ‘공공 바이오 파운드리’의 설치 및 운영에 대한 지원 근거가 담겼습니다. 사람이 직접 실험하고 생산하는 대신, 연구설계·제작·검증 전 단계를 표준화 및 자동화하는 첨단 연구시설이 지원됩니다. 정부는 2029년까지 1,263억원을 투자해 K바이오 파운드리를 구축할 예정입니다. 바이오 파운드리를 통해 바이오 제조 속도는 최대 30배까지 끌어올려질 것으로 보입니다. 4)데이터 활용 및 표준화 추진데이터 기반 R&D를 위한 표준화 및 공유 체계를 법적으로 정비해, 연구 중복을 방지하고 인공지능 기반 분석의 정밀도를 높입니다. 5)전문인력 및 국제협력 강화기술 수요에 부응하는 인력 양성과 글로벌 연계를 법제화했습니다. 관련 대학 및 연구소, 기업에서 필요한 인재를 확보하고 글로벌 표준과 접점을 늘리기 위한 기반을 마련합니다. 제약·바이오기업에 미치는 실질적 영향연구개발(R&D) 환경의 획기적 개선합성생물학 특성상 디자인, 실험을 빠르게 반복할 수 있는 시스템이 필수적입니다. 법령에 따른 바이오파운드리 도입은 기업의 신약개발, 세포치료제, 백신 개발과 같은 고비용 고위험 프로젝트의 실험 자동화를 가능케 하여 발굴 속도를 끌어올리고, 비용 절감 및 개발 기간 단축 효과를 기대할 수 있습니다. 윤리 및 생물안보 규제 대응 필요성합성생물학은 생명체의 재설계를 수반하기 때문에, 생명윤리, 생물안보, 환경안전 관련 규제와 직접적으로 맞닿아 있습니다. 기업 입장에서는 기존의 인허가 규제보다 강화된 기준과 절차를 사전에 검토하고, 이에 대응하는 전략을 수립해야 합니다. 산업 간 융합 기회 확보합성생물학은 바이오산업에 국한되지 않고 AI, IT, 로봇공학 등과의 기술 융합이 가능합니다. 합성생물학을 중심으로 한 디지털 전환의 가속화에 따라 제약·바이오사의 글로벌 시장 경쟁력 확보에도 기여할 것입니다. 제약·바이오전문변호사와 함께 준비해야본 법인은 제약·바이오 기업이 「합성생물학 육성법」 시행에 따라 기술혁신을 추진함에 있어, 법률적 미비 또는 리스크로 인한 제약을 최소화할 수 있도록 다음과 같은 종합적인 자문 서비스를 제공합니다. 법령 해석 및 규제 컨설팅-「합성생물학육성법」 및 관련 하위 법령 해석-생명윤리법, 유전자변형생물체법, 환경법 등과의 충돌 여부 점검-연구개발(R&D) 전 과정에 대한 선제적 법률검토 및 리스크 분석 지원 정부지원사업 및 공공입찰 대응-바이오파운드리 입주 신청, 정부지원 R&D 과제 수주 전략 수립-사업계획서 작성, 협약 검토 등 실무적 대응 체계 마련 지식재산권 보호 및 계약 검토-합성생물학 기술에 대한 국내외 특허권 확보 전략 수립 및 분쟁 예방-공동연구, 기술이전, 투자 유치 관련 계약 체결에 대한 종합적 자문 제공 윤리·컴플라이언스 체계 구축-생명체 재설계 기술에 적합한 내부 윤리규정 및 통제체계 수립-ESG 및 CSR(사회적 책임) 기반의 기업 거버넌스 체계 자문 내년 4월 23일부터 시행 예정인 「합성생물학 육성법」은 향후 10년간 대한민국 바이오산업의 방향성과 경쟁력을 좌우할 중대한 전환점이 될 것입니다. 제약·바이오 기업에게는 기술혁신의 새로운 기회인 동시에, 생명윤리·생물안보·글로벌 규제 등 복잡한 법률적 이슈를 동반하는 도전이 될 것으로 예상됩니다. 법의 본격 시행에 앞서, 본 법인의 🔗제약·바이오 전문변호사와 함께 기업의 사업 환경에 최적화된 맞춤형 법률 솔루션을 준비하시기를 권유드립니다. ▶ [함께 읽기] 제약업계 실무자 위한 ‘디지털의료제품법’ 설명

2025년 3월부터 「개인정보 보호법」 개정에 따라 '개인정보 전송요구권' 제도가 본격적으로 시행되었습니다. 본 제도는 정보주체의 개인정보 자기결정권을 실질적으로 강화하고, 데이터 이동성과 활용을 촉진하기 위해 도입된 것으로, EU GDPR(일반개인정보보호법) 제20조 '데이터 이동권(Right to Data Portability)'을 참조하여 국내 실정에 맞게 설계되었습니다. 개인정보 전송요구권은 「개인정보 보호법」 제35조의2(개인정보의 전송 요구)에 근거하고 있으며, 정보주체는 본인이 제공하거나 본인의 활동을 통해 생성된 개인정보를 본인 또는 제3자에게 전송하도록 개인정보처리자에게 요구할 수 있는 법적 권리를 갖게 되었습니다. 개인정보 전송요구권의 적용 대상이번 개정된 개인정보 보호법에 따른 개인정보 전송요구권은 주로 의료, 통신, 에너지 분야를 중심으로 적용됩니다. 가. 의료정보질병관리청, 국민건강보험공단, 건강보험심사평가원, 상급종합병원이 보유한 예방접종정보, 건강검진정보, 진료내용정보, 투약이력정보, 진단정보 등을 포함합니다. 환자는 자신의 의료정보를 직접 관리하고, 병원 간 진료기록 이관이나 개인건강기록(PHR) 플랫폼 연계 등을 통해 건강관리 효율성을 높일 수 있습니다. 나. 통신정보이동통신 3사가 보유하는 고객정보, 가입정보, 이용정보, 청구정보, 납부정보 등이 대상입니다. 정보주체는 자신의 통신 이용 이력을 기반으로 요금제 비교, 이동통신사간 자유로운 전환을 보다 손쉽게 이용할 수 있습니다. 다. 에너지정보전기판매사업자(한국전력공사), 도시가스사업자·도시가스사업 관련 기관, 법인 및 단체 중 고시하는 자가 보유하는 에너지 사용량 정보, 전기요금·가스요금의 청구정보 및 납부정보 등 고시로 정하는 정보입니다. 이를 통해 에너지 요금 비교, 소비 최적화 서비스 활용이 가능해질 전망입니다. 개인정보보호위원회의 마이데이터 정책 확대한편, 개인정보보호위원회는 기존 금융·공공 중심의 마이데이터를 넘어 의료, 통신 분야를 시작으로 2026년 6월에는 에너지 분야까지 확대하는 계획을 추진 중입니다. 가. 전체 마이데이터 추진 방향• 본인전송: 정보주체가 자신의 개인정보를 직접 수령• 제3자 전송요구: 정보주체의 요청으로 제3자(마이데이터 사업자)에게 전송 본인전송과 제3자전송 모두 대통령령으로 정한 기준에 따라 범위가 설정되며, 현재 시행령은 양 전송 범위를 일치시키도록 규정했습니다. 나. 마이데이터 중점 10대 분야의료, 통신, 에너지 외에도 교통, 교육, 고용, 부동산, 복지, 유통, 여가 분야로 확장 예정이며, 이들 분야에서도 개인정보 전송요구권이 점진적으로 적용될 계획입니다. 다. 주요 전송 의무자 및 전송정보분야전송의무자전송대상정보의료질병관리청, 국민건강보험공단, 건강보험심사평가원, 상급종합병원예방접종정보, 건강검진정보, 진료내용정보, 투약이력정보, 진단정보 등통신SK텔레콤, KT, LG유플러스 등 이동통신 3사가입정보, 이용정보, 청구정보, 납부정보 등에너지한국전력공사, 도시가스사업자 등에너지 사용량 정보, 전기요금·가스요금 청구 및 납부 정보 등마이데이터 제도의 구조가. 전송 방식• 안전하고 신뢰성 있는 전송이 필수• 전송 시 암호화, API 방식 허용 / 스크래핑 방식 금지• 반드시 중계 전문기관을 통한 전송이 요구됨 나. 정보 수신자 구분• 개인정보관리 전문기관: 전송된 정보를 안전하게 보관·활용-일반 전문기관: 다양한 분야-특수 전문기관: 보건의료 데이터 특화 • 일반 수신자: 본연의 업무 수행 목적을 위해 전송받은 기관※ 모든 수신자는 마이데이터 플랫폼 등록 요건을 충족해야 하며, 사실상 허가제를 적용받습니다. 법적 유의사항 및 리스크 관리전송 대상은 정보주체의 개인정보에 한하며, 개인정보처리자가 자체 분석·가공하여 생성한 정보(예: 프로파일링 결과)는 전송 대상에서 제외됩니다. (단, 의료법상 진단정보 등은 예외적으로 전송 대상에 포함됩니다.) 정보전송자는 전송요구 발생 시 지체 없이 전송해야 하며, 전송지연이나 거부 시에는 정당한 사유가 있어야 하며, 이를 정보주체에게 통지해야 합니다. 개인정보 보호법 상 개인정보 전송요구권 규정에 따른 의무를 위반한 경우, 직접적인 형사처벌이나 과태료 부과 규정은 존재하지 않습니다. 다만, 전송 과정에서 보안성 및 신뢰성을 확보하지 못할 경우, 개인정보 보호법에 따른 과태료 부과, 행정처분 등의 제재가 이루어질 수 있습니다. 전송을 위한 수수료는 정보의 특성, 설비 구축 비용, 운영 비용 등을 고려해 정보수신자에게 청구할 수 있도록 규정되어 있습니다. 시사점개인정보 전송요구권과 마이데이터 제도의 전면 확대는 정보주체 중심의 데이터 거버넌스 체계를 실질적으로 구축하는 데 중요한 전환점이 될 것입니다. 기업과 기관은 개인정보 이동성 확장에 따른 서비스 혁신 기회를 적극 활용하는 한편, 강화된 법적 요구사항에 따라 개인정보 관리체계, 보안체계, 리스크 대응체계를 전사적으로 정비해야 할 시기에 와 있습니다. 특히 의료기관, 통신사업자, 에너지사업자는 자신들의 특수성과 민감정보를 다루는 특성을 반영해 보다 높은 수준의 데이터 보호 및 활용 전략을 수립할 필요가 있습니다. 의료 마이데이터와 관련하여 문의사항이 있으시다면 🔗의료전문변호사 법률상담예약 또는 1660-1036(핫라인)으로 상담을 요청해주시기 바랍니다.

공정거래위원회가 지난 4월 23일부터 「공정거래 자율준수제도(CP) 운영·평가에 관한 규정」(이하 "CP 운영 고시")을 개정하여 시행 중에 있습니다. CP 도입 활성화 및 등급평가의 내실화를 목표로 마련되었으며, 기존 고시와 달라진 점이 일부 있어, 컴플라이언 담당 부서에서는 필히 참고하시기 바랍니다. 주요 개정사항1. CP 우수기업 지정제 개편현행 6개 등급 체계(AAA, AA, A, B, C, D) 중 B등급 이하 등급을 폐지하고, AAA, AA, A 3개 등급만을 CP 우수기업으로 지정합니다. 이에 따라 AAA, AA, A 등급에 들지 못한 기업은 CP 등급이 부여되지 않습니다.AAA A 등급에 대한 기준점수는 상향 없이 기존 점수(AAA: 90100점 미만, AA: 8090점 미만, A: 7080점 미만)를 그대로 유지합니다. 2. 직권조사 면제 인센티브 폐지기존 A등급 기업에 부여되던 직권조사 면제 및 시정조치 공표명령 감경 등의 인센티브는 폐지됩니다. 다만, A등급 인센티브는 경과조치로서 2026년까지 한시적으로 유지됩니다. 3. 등급하향 감점제 변경 및 등급보류제도 폐지공정거래 관련 법규 위반에 따른 과징금 및 조사방해 등에 따른 과태료, 고발처분으로 인한 최대 2단계 등급하향 방식은 폐지되고, 평가점수에서 조치 건별로 5점을 감점하는 방식으로 변경됩니다. 다만, CP 등급평가를 최초 신청하는 기업에 대해서는 감점이 적용되지 않습니다. CP 제도의 신뢰성을 현저히 저해할 우려가 있는 경우, 평가심의위원회의 결정을 거쳐 별도로 등급을 하향하거나 CP 우수기업 지정을 제외할 수 있도록 하여 재량 여지를 남겨두었습니다. 또한 혐의가 확정되지 않은 기업에 대해서는 등급보류제를 폐지합니다. 평가과정에 있는 기업에 대한 심사보고서가 상정되더라도 평가등급은 부여받을 수 있습니다. 4. 협약이행평가 우수 이상 등급 가점평가신청 직전 연도에 공정위 협약이행평가(하도급, 유통, 대리점, 가맹 분야)에서 ‘우수’ 및 ‘최우수’ 이상 등급을 받은 기업은 CP 등급평가 시 11.5점의 가점을 받을 수 있습니다. 단, 복수 협약이행평가등급을 보유하더라도 최고 등급 1개만 부여합니다. 5. 평가절차 개편기존 서류평가 → 현장평가 → 심층면접 평가 절차가 개편되어, 서류평가(가점평가 포함) 후 대면평가를 먼저 실시하고, 그 이후 현장평가를 추가로 진행하는 방식으로 변경됩니다. 개정 전개정 후(25.4.23)1단계(서류평가)기업 CP 운영자료 바탕 평가위원이 평가1단계(서류평가)현행 동일2단계(현장평가)1단계 서류평가 결과 바탕 → 기업현장 방문 → CP관리자 면접, CP운영 심사 등으로 평가위원이 평가2단계(대면평가)1단계 서류평가 결과 바탕 → CP 관리자 대상 평가위원이 대면평가3단계(심층면접평가)1, 2단계 점수 산출 결과 80점 이상 기업 대상 CP관리자, CP 실무자 등 기업 임직원에 대한 추가 평가3단계(현장평가)평가위원이 기업현장 방문 → 평가서류, 대면평가 결과와 일치 여부 확인 시사점 및 CP부서 대응안이번 CP 운영 고시 개편은 행정예고안에 포함되지 않았던 내용인 관계로, 업계 내 일시적 혼란이 예상됩니다. 기존에는 B등급 이하라도 평가를 통해 CP 관리 수준을 외부로부터 진단받을 수 있다는 점에서 수요가 존재했으나, 개편 이후 A등급 이상을 받지 못한다면 자율준수제도 프로그램 운영 및 평가의 성과 자체가 무효화되는 것에 가까우므로 이점을 유의하셔야 합니다. 진단이 아닌 현 수준 확인 차원의 평가 접근을 지양하여 CP 평가 목표 설정의 전략적 조정이 필요한 시점입니다. 또한, 기준점수는 현행 점수 체계가 유지된다 하더라도 평가과정이 실질적으로 더 엄격하게 운영될 가능성도 있습니다. 기업은 CP 운영의 질적 개선 및 내부통제 강화에 선제적으로 대응하실 수 있도록 외부 전문기관을 통한 사전 진단과 컨설팅을 적극 활용하시는 것이 좋습니다. 하도급 및 유통, 대리점, 가맹 분야에서 ‘우수’ 이상 등급을 획득하는 전략을 고려하시는 것도 좋습니다. 귀사 연관 부문이 있으시다면 미리 협약이행평가를 병행해 준비하여 CP 평가 시 추가 점수를 확보하는 방안을 강구하실 것을 권합니다. 관련하여 문의사항이 있으시다면 🔗공정거래전문변호사 법률상담예약을 이용해주시기 바랍니다. ▶ [인터뷰] ‘공정거래 스페셜리스트’ 손계준 기업법무그룹장 심층 인터뷰▶ [함께 읽기] 최근 공정거래 자율준수 프로그램 변경 내용과 대응 전략

개인정보보호위원회는 최근 국회에 발의된 개정안에 근거하여, 익명·가명 처리하지 않은 개인정보도 일정 요건 하에 AI 개발에 활용할 수 있도록 허용하는 법 개정을 추진하고 있습니다.이번 개정 추진은 기존 제도 하에서 AI 개발을 위한 학습 데이터 확보가 현실적으로 어렵다는 문제의식에서 출발하였습니다.이는 기술혁신과 개인정보 보호의 균형을 시도하는 정책 변화로 주목됩니다. 현행 제도의 한계 현행 개인정보보호법은 개인정보 활용 시 익명 처리 또는 가명 처리를 원칙으로 하고 있으며, 원본 개인정보를 직접 활용할 수 있는 근거는 사실상 부재합니다.개인정보위가 지난해 7월 발간한 「AI 개발·서비스를 위한 공개된 개인정보 처리 안내서」에서도, 공개된 개인정보조차 ‘정보주체의 권리보다 명백하게 우선하는 정당한 이익이 있는 경우’에 한해 제한적으로 활용할 수 있다고 명시되어 있습니다.이에 산업계는 ‘명백한 정당한 이익’이라는 판단 기준이 모호하다는 점과, AI 학습에 필요한 고품질 데이터의 경우 가명처리 과정에서 정보의 맥락이 훼손되어 기술 개발이 현실적으로 어렵다는 점을 지적해 왔습니다.이번 법 개정은 이러한 현행 제도의 한계를 보완하고자 추진되고 있습니다. 주요 개정 내용 개인정보위는 일정 요건 충족 시 원본 개인정보의 AI 개발 활용을 예외적으로 허용하는 특례 규정을 도입할 예정입니다.이는 민병덕 더불어민주당 의원과 고동진 국민의힘 의원이 각각 발의한 ‘개인정보보호법 일부개정안’을 기반으로 하고 있습니다.두 개정안의 주요 내용은 다음의 3가지 요건을 모두 충족할 시, 개인정보위의 심의·의결을 받아 개인정보를 AI 개발에 활용할 수 있도록 하는 것입니다.<div class="box2"> AI 개발 시 원본 개인정보를 활용할 수 있는 조건 <br><br> ① 익명·가명처리 시 기술 개발이 곤란한 경우<br><br> ② 대통령령으로 정하는 안전장치를 마련한 경우<br><br> ③ 공공 또는 사회적 이익 증진을 목적으로 하는 경우<br><br> ※ 위 요건 충족 여부는 개인정보보호위원회의 사전 심의·의결을 거쳐야 함</div>아울러 기존 안내서에서 사용되었던 ‘명백한’이라는 표현은 삭제하는 방향으로 검토가 이루어지고 있습니다. 기업에 미치는 영향과 준비 방향 이번 법 개정 추진은 AI 개발에 있어 원본 개인정보 활용의 법적 근거를 마련하는 시도로 평가됩니다.이는 관련 기업에게 기술 개발 및 데이터 확보 측면에서 새로운 기회를 제공할 수 있는 전환점이 될 수 있습니다.다만 실제 활용을 위해서는 자사 서비스 목적이 공공 또는 사회적 이익에 부합하는 지 여부에 대한 사전 검토가 필요합니다.또한 익명·가명 처리된 정보로는 기술 개발이 곤란하다는 점을 입증할 수 있는 자료를 확보해야 할 것으로 보이는데요.이와 함께 향후 마련될 안전조치 기준에 대응할 기술·관리적 준비와 개인정보위의 심의 절차 및 판단 기준에 대한 실무적 검토도 필요할 것입니다.

더불어민주당 이수진 의원은 지난 1월 16일, 지문·홍채·얼굴·손바닥 정맥 등 생체정보를 ‘민감정보’의 처리 제한 정보로 명확히 규정하는 「개인정보보호법 일부개정법률안」을 대표 발의했습니다.이번 개정안은 기존 시행령에만 규정되어 있던 생체정보의 법적 근거를 법률에 명시함으로써, 개인정보 보호 수준을 한층 강화하고자 하는 목적을 담고 있습니다. 주요 배경 생체정보는 출입통제, 스마트폰 인증, 금융권 본인확인 등 다양한 분야에서 활용되고 있습니다.최근에는 공연이나 스포츠 경기 입장권 구매 시 본인 확인 수단으로 활용하려는 움직임도 늘고 있습니다.예컨대 일부 업체는 공연장 입장 시 얼굴인증 시스템을 도입하고, 이를 통해 암표 방지나 이용자 인증 강화를 꾀하고 있습니다.그러나 생체정보는 유출 시 피해가 되돌릴 수 없고, 딥페이크 범죄 등 이차 피해로 이어질 수 있다는 점에서 특별한 보호가 필요하다는 우려가 제기돼 왔습니다.현행 개인정보보호법에는 생체정보에 대한 명확한 규정이 없어, 법률상 보호의 사각지대가 존재해 왔습니다.이에 따라 법률에 직접 규정하여 보호 근거를 강화할 필요성이 지속적으로 제기됐습니다. 개정안의 주요 내용 이번 개정안의 주요 내용은 두 가지입니다.첫째, 개인정보 보호법 제23조(민감정보의 처리 제한)에 생체정보를 명시적으로 포함했습니다.법이 개정될 경우, 지문, 얼굴, 홍채, 손바닥 정맥 등이 법률상 ‘민감정보’로 분류됩니다. 또한 민감정보 없이도 서비스를 제공할 수 있는 경우, 개인정보처리자는 그 사실을 정보주체에게 고지하고 민감정보를 처리하지 않는 방안을 우선적으로 고려해야 합니다.이는 ‘서비스 이용을 위해 반드시 생체정보를 제공해야 하는가?’에 대해 대체 수단을 마련하라는 취지로 해석됩니다.이로써 법적 근거 없이 생체정보를 요구하거나, 대체 수단 없이 생체정보 제공을 강제하는 행위는 제한할 수 있을 것으로 보입니다. 개인정보 보호법 제23조(민감정보의 처리 제한)①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다.② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.③ 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다. 기대 효과 현재 발의안은 위원회 심사 단계에 있습니다. 이번 발의안은 기술 발전 속에서 발생한 법적 공백을 메우기 위한 입법 대응이라고 할 수 있습니다.발의안이 통과되면 민감정보 중에서도 특히 보호가 필요한 생체정보에 대한 법적 보호 수준이 한층 강화될 것으로 기대됩니다.또한 개인정보처리자에게 ‘대체 수단 제공’과 ‘사전 고지’ 의무가 부과되면서 정보주체의 선택권도 확대될 것으로 보입니다.이를 통해 생체정보 제공이 일상화되는 상황 속에서도 정보주체가 자신의 개인정보에 대한 실질적인 통제권을 행사할 수 있는 환경이 조성될 것입니다. 기업의 대응 방향 발의안이 통과되면, 생체정보에 대한 보호 수준이 법률에 명확히 규정됨에 따라, 개인정보를 수집·이용하는 기업에게도 직접적인 영향을 미치게 됩니다.특히 공연, 이벤트, 금융 등 생체정보를 활용하는 기업은 지문, 얼굴, 홍채, 손바닥 정맥 등의 정보가 ‘민감정보’에 해당한다는 점을 인지하고 이를 수집하는 과정에서 더욱 신중을 기해야 합니다.또한 이러한 민감정보를 수집하지 않고도 서비스를 제공할 수 있는 경우, 그 사실을 사용자에게 고지하고 대체 수단을 우선적으로 고려해야 할 의무를 갖게 되는데요.이에 따라 기업은 법안 통과 이후를 대비해 내부 점검을 통해 현행 운영 방식이 개정 법률에 부합하는지 확인해야 합니다.아울러 개인정보보호위원회가 발표할 시행령 개정안과 가이드라인도 면밀히 분석해 적절한 대응 전략을 마련할 필요가 있습니다.

지난 3월 13일, 해외사업자의 개인정보 보호 책임을 실질적으로 강화하는 내용을 담은 「개인정보보호법 일부개정안」이 국회 본회의를 통과했습니다.이번 개정은 우리 국민의 개인정보를 처리하는 해외사업자의 책임을 실질적으로 높이려는 조치입니다.기존에는 해외사업자가 국내대리인을 형식적으로만 지정하거나 책임을 회피하는 경우가 많았습니다. 이에 따라 개인정보보호위원회는 제도의 실효성을 높이기 위한 법 개정이 필요하다고 판단했습니다. 주요 배경 글로벌 디지털 플랫폼의 성장과 함께, 해외에서 국내 이용자의 개인정보를 수집·이용하는 사례가 급격히 증가하고 있습니다.하지만 이들 사업자에게 직접 책임을 묻기 어려운 상황이 반복되면서, 국내 이용자의 권익 보호에 한계가 있다는 지적이 꾸준히 제기돼 왔습니다.국내대리인 제도는 이 같은 문제를 보완하고자 도입되었지만, 일부 사업자들이 국내대리인을 명목상으로만 지정해 실질적인 보호 효과가 미흡하다는 비판이 있었습니다.특히 국내에 물리적 거점을 둔 글로벌 기업조차 별도의 책임 회피 구조를 갖춘 경우가 많아 제도 개선 필요성이 커졌습니다.최근 개인정보위원회 조사에 따르면, 구글, 마이크로소프트, 페이스북, 오픈AI 등 주요 해외 사업자들이 소수의 대행사나 법무법인을 국내대리인으로 지정해 운영하는 사례가 다수 확인되었습니다.이들 대행사는 상시근무자가 1명에 불과한 경우도 있어, 개인정보 유출이나 법 위반 발생 시 즉각적이고 실질적인 대응이 어려운 문제가 드러났습니다.국내대리인이 실질적 권한 없이 형식적으로만 존재하다 보니, 개인정보위가 조사를 진행할 때에도 본사와 직접 연락을 주고받으며 수개월이 지연되는 사례가 빈번했습니다.이처럼 국내대리인 제도의 실효성이 약화되면서, 국민의 개인정보 보호에 심각한 공백이 발생하고 있다는 문제의식이 이번 법 개정의 주요 배경이 되었습니다. 형식적 지정 문제 개선 기존 법령은 국내대리인을 지정하도록 규정하고 있었지만, 실제 운영에서는 문제가 많았습니다.일부 해외사업자가 국내 소재 법인이 아닌 제3의 회사를 대리인으로 지정하거나, 지정만 해두고 실질적 책임은 지지 않는 경우가 많았기 때문입니다.이번 개정안은 이런 문제를 해결하기 위해 두 가지 주요 내용을 담고 있습니다.첫째, 해외사업자가 국내 법인을 보유하고 있을 경우, 해당 법인을 반드시 국내대리인으로 지정해야 합니다.둘째, 해외 본사는 국내대리인을 직접 관리·감독해야 하며, 이를 위반하면 제재를 받을 수 있습니다.또한 해외사업자가 국내대리인을 제대로 지정하지 않거나, 국내대리인의 전화번호 등 필수 정보를 공개하지 않는 경우에도 과태료가 부과됩니다.이를 통해 국내 이용자가 개인정보 유출 등 문제 발생 시 국내대리인에게 신속히 접근할 수 있도록 제도의 실효성을 강화하려는 취지입니다. 개인정보위원회의 후속 조치 예고 개인정보보호위원회는 이번 개정안의 취지에 공감하며, 제도의 정착을 위한 후속 조치를 예고했습니다.먼저 시행령을 개정해 보다 구체적인 운영 기준을 마련할 계획입니다.또한 정기적인 실태 점검을 통해 국내대리인이 실질적 역할을 하고 있는지 확인할 예정입니다.개인정보위는 해외사업자의 책임이 강화되면, 국내 이용자의 개인정보 보호 수준도 한층 높아질 것으로 기대하고 있습니다. 기업의 대응 방향이번 개정안은 해외사업자에게 새로운 법적 의무를 부과하는 중요한 변화라고 할 수 있습니다.이에 따라 국내 법인을 보유한 경우, 해당 법인이 실제로 개인정보 보호 업무를 수행할 수 있도록 체계를 갖춰야 할 것입니다.또한 향후 시행령에 따라 추가적인 기술적·관리적 조치가 요구될 수 있으므로, 관련 내용을 지속적으로 모니터링하는 것이 필요합니다.국내 이용자의 피해 발생 시, 대리인을 통한 신속한 대응과 책임 있는 조치가 가능하도록 준비해야 합니다.