안녕하세요. 법무법인 청출 신준선 변호사입니다.

최근 개인정보보호위원회가 해외사업자에 대한 제재와 시정조치 사례를 잇따라 공개하고 있습니다. 2025년 5월, 중국계 전자상거래 플랫폼 테무(Temu)는 개인정보 국외이전 위탁 사실을 처리방침에 공개하지 않은 점, 수탁자에 대한 관리·감독을 실시하지 않은 점, 일일 평균 290만 명의 국내 이용자를 보유하고도 국내대리인을 지정하지 않은 점 등을 이유로 과징금 13억 6,900만 원과 과태료 1,760만 원 등 총 약 14억 원 규모의 제재를 받았습니다. 이에 앞선 2024년에도 알리익스프레스가 유사한 국외이전 관련 위반을 이유로 약 19억 7,800만 원의 과징금을 부과받은 바 있고, 그 외 해외 생성형 AI 서비스에 대한 실태점검에서도 국외이전 관련 미비점이 반복적으로 지적되고 있습니다.

문제는 이러한 제재 사례가 공개된 이후에도, 상당수의 해외사업자가 여전히 한국 「개인정보 보호법」이 요구하는 수준으로 국외이전 조항을 정비하지 못하고 있다는 점입니다. "서비스 제공을 위해 해외에 데이터가 이전될 수 있습니다" 수준의 추상적 문언에 그치거나, 본국에서 작성한 영문 처리방침을 기계 번역한 형태로 공개하는 사례가 여전히 적지 않고, 그나마 주요 업체들의 경우 국내대리인 지정·공개 의무 정도만을 한국 이용자 대상 개인정보처리방침에 간략히 기재해둔 정도입니다.

이번 칼럼에서는 해외사업자가 한국 이용자를 대상으로 서비스를 제공할 때 개인정보 처리방침 작성 시 유의할 점에 대하여 짚어보겠습니다.

[Question] 해외에 본사를 둔 법인이 한국 이용자를 대상으로 서비스를 제공하는 경우, 개인정보 처리방침의 국외이전 조항 및 관련 내용을 어떤 수준으로 기재하여야 할까요?

[Answer]

1. 해외사업자에 대한 「개인정보 보호법」의 적용

먼저 전제되어야 할 점은, 해외에 소재한 사업자라 하더라도 한국 이용자의 개인정보를 처리하는 이상 한국 「개인정보 보호법」이 동일하게 적용된다는 것입니다. 개인정보보호위원회는 국내 이용자를 대상으로 재화·서비스를 제공하는 해외사업자에 대하여 법의 역외적용을 일관되게 인정하여 왔으며, 최근의 제재 사례에서도 국내 이용자 수, 한국어 서비스 제공 여부, 한국 결제수단 지원 여부 등을 종합하여 적용 범위를 판단하고 있습니다. "해외 법인이므로 한국법이 적용되지 않는다"는 논거는 통용되지 않으며, 일정 규모의 한국 이용자를 보유한 해외사업자는 제30조에 따른 처리방침 수립·공개 의무와 제28조의8에 따른 국외이전 고지의무를 내국 사업자와 동일하게 부담합니다.

2. 국외이전의 법적 근거와 고지사항

개인정보의 국외이전은 「개인정보 보호법」 제28조의8에 의하여 규율됩니다. 동조 제1항은 국외이전을 원칙적으로 금지하되, ① 정보주체의 별도 동의를 받은 경우, ② 법률·조약 등에 특별한 규정이 있는 경우, ③ 정보주체와의 계약 체결·이행을 위한 처리위탁·보관이 필요한 경우로서 처리방침을 공개한 경우, ④ 이전받는 자가 인증기관의 인증을 받은 경우, ⑤ 이전되는 국가·국제기구의 개인정보 보호 수준이 법상 수준과 실질적으로 동등하다고 인정되는 경우 중 하나에 해당할 때 예외적으로 허용됩니다.

해외사업자 실무에서 가장 빈번하게 활용되는 근거가 제3호 가목의 "처리방침 공개" 입니다. 별도 동의 절차를 거치지 않더라도 처리방침에 법정 고지사항을 빠짐없이 기재하여 공개하면 국외이전이 적법하게 이루어질 수 있기 때문입니다. 법이 요구하는 고지사항은 다음과 같습니다.

가. 이전되는 개인정보 항목

나. 개인정보가 이전되는 국가, 이전 일시 및 이전 방법

다. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 정보관리책임자의 연락처)

라. 개인정보를 이전받는 자의 이용목적 및 보유·이용 기간

마. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

개인정보보호위원회의 「개인정보 처리방침 작성지침」은 위 항목을 표 형식으로 구성하여 수탁자·제공처별로 구별하여 기재할 것을 권장하고 있으며, 각 항목이 구체적으로 특정되지 않은 경우 처리방침 공개 요건을 충족하지 못한 것으로 판단될 가능성이 높습니다.

3. 국외이전 조항 작성 시 실무적으로 유의할 지점

가. 직접 수집하는 경우에도 이전 국가를 명시하여야 합니다.

실무상 자주 누락되는 부분입니다. 개인정보보호포털 국외이전 안내 페이지에서는 “국외의 C가 갑(甲)으로부터 개인정보를 직접 수집하는 행위는 개인정보 보호법상 “국외이전”에 포함되지 아니함”이라고 안내하고 있는데, 이는 개인정보보호위원회의 「개인정보 처리방침 작성지침」 내용에는 부합하지 않는 내용입니다.

해외사업자가 한국 이용자로부터 개인정보를 직접 수집하더라도, 수집 즉시 해외 서버에 저장·처리되는 구조라면 이는 국외이전에 해당하므로 처리방침에 저장되는 국가를 반드시 명시하여야 합니다. 「개인정보 처리방침 작성지침」 역시 정보주체로부터 직접 수집하는 경우에도 해당 개인정보가 국외 서버에 저장되거나 국외에서 처리되는 때에는 국외이전에 해당하므로 고지사항에 포함하여야 한다는 취지로 설명하고 있습니다.

국내에 사업장을 두지 않은 해외사업자는 구조상 이 유형에 해당하는 경우가 대부분이므로, 별도의 수탁자나 제3자 제공이 없더라도 국외이전 조항 자체는 거의 예외 없이 필요합니다.

나. 제3자 제공·처리위탁과의 관계를 정리하여 통합 기재가 가능합니다.

이전받는 자의 지위에 따라 법 제17조(제3자 제공), 제26조(처리위탁), 제28조의8(국외이전) 각 조항의 고지사항이 중첩되는 경우가 많습니다. 이때 중복을 피하고 가독성을 높이기 위하여 국외이전 조항에서 위탁·제공 내역을 함께 표로 통합 기재하는 방식이 권장되며, 「개인정보 처리방침 작성지침」도 이러한 통합 기재 예시를 제시하고 있습니다.

다. "해외 서버" 식의 추상적 기재는 피해야 합니다.

상당수의 해외 서비스 영문 처리방침은 "servers located outside your country"와 같은 포괄적 문언을 사용하기도 하는데 이를 단순 번역한 형태로는 한국법상 고지의무를 이행한 것으로 보기 어렵습니다. 이전받는 법인명, 국가, 데이터 항목, 이용 목적, 보유·이용 기간을 각각 구별하여 구체적으로 기재하여야 하며, 특히 "정보관리책임자의 연락처"가 누락되는 사례가 빈번하므로 각 수탁자·제공처별로 책임자의 이메일 등 실질적 연락 수단이 기재되어 있는지 반드시 확인하여야 합니다.

라. 거부 방법과 그 효과를 실질적으로 기재하여야 합니다.

처리방침 공개 방식을 근거로 국외이전을 적법화하려면 이전을 거부하는 실질적 방법이 처리방침에 기재되어 있어야 합니다. 단순히 "문의 이메일"을 남기는 형식적 안내가 아닌, 계정 삭제를 통한 서비스 탈퇴, 특정 기능의 이용 중단 등 실제 이용자가 행사할 수 있는 거부 수단과, 그로 인하여 발생하는 서비스 이용상의 효과(예: "해당 AI 모델을 활용한 서비스 이용이 제한될 수 있습니다")를 함께 기재하는 것이 바람직합니다.

4. AI 서비스의 국외이전 — 추가로 유의해야 할 사항

생성형 AI 서비스의 경우, 이용자가 프롬프트를 입력하면 그 텍스트가 복수의 해외 AI API(OpenAI, Google, Anthropic 등)로 동시 전송되고, 업로드한 이미지·영상 원본까지 함께 전송되는 구조가 일반적입니다. 이러한 구조는 국외이전 조항을 한층 복잡하게 만들며, 개인정보보호위원회의 「생성형 AI 개발·활용 안내서」(2025. 8.)와 해외 AI 서비스에 대한 실태점검 결과는 다음과 같은 점을 강조하고 있습니다.

첫째, 프롬프트 내용 및 업로드 데이터가 국외로 전송되는 사실과 그 대상을 처리방침에 구체적으로 명시하여야 합니다. 최근 딥시크 사례 관련 실태점검에서는 이용자 프롬프트가 별도의 외부 클라우드 서비스로 전송되고 있었음에도 이를 처리방침에 공개하지 않은 점이 별도로 지적된 바 있습니다.

둘째, 각 수탁업체별로 전송되는 데이터 항목을 개별 특정하여야 합니다. "복수의 AI 처리업체에 이전됩니다" 식의 일괄 기재가 아니라, 업체별로 텍스트 프롬프트·이미지 원본·생성 결과물 중 무엇이 전송되는지를 구별하여야 합니다.

셋째, 수탁업체 측의 AI 학습 활용 여부와 이에 대한 이용자의 거부(opt-out) 수단을 확인하여 처리방침에 반영하여야 합니다. 기업용 API 라이선스(대부분 자체 학습 제외) 사용 여부, 이용자 입력 데이터의 인적 검토(human review) 수행 여부 등이 개별적으로 고지 대상이 됩니다. 이는 수탁업체와의 DPA(Data Processing Addendum) 체결 내용을 확인해야만 정확히 반영할 수 있는 사항이므로, 해외 AI 업체와의 계약 점검이 처리방침 정비의 선행 과제가 됩니다.

5. 해외사업자 처리방침의 현실 — 공통적으로 지적되는 부족한 모습

다수의 해외사업자 처리방침을 정비하면서 공통적으로 관찰되는 부족한 모습을 정리하면 국외이전 조항 자체가 부재하거나 처리위탁·제3자 제공 조항에 해외 업체의 명칭만 나열하는 수준에 그치고, 제28조의8의 고지항목을 독립된 조항 또는 표로 정리한 부분이 존재하지 않는 경우가 많습니다. 또한 본국 처리방침의 단순 번역으로 인해 GDPR 기반 동의 구조·권리행사 절차·보유기간 표기 방식 등 한국법 고유 요건이 반영되지 않은 경우입니다. 그리고, AI 학습 관련 고지의 부재 또는 불명확입니다. 이용자 입력 데이터의 학습 활용 여부, 수탁업체의 재활용 여부, opt-out 수단이 처리방침에 기재되지 않은 경우가 이에 해당합니다.

6. 국내대리인 지정 의무

국외이전 조항과 함께 해외사업자가 반드시 검토하여야 할 규정이 「개인정보 보호법」 제31조의2의 국내대리인 지정 의무입니다.

국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액·국내 이용자 수 등을 기준으로 일정 규모 이상에 해당하는 자는 국내대리인을 지정하여 그 성명(법인인 경우 명칭), 주소, 전화번호, 전자우편 주소를 처리방침에 기재하여야 하며, 국내대리인은 개인정보 보호책임자의 업무, 유출 통지·신고, 자료 제출 등을 대리합니다.

국내대리인 지정의무를 이행하지 않는 경우 2천만 원 이하의 과태료가, 국내대리인의 정보를 처리방침에 포함하지 아니한 경우에는 1천만 원 이하의 과태료가 부과될 수 있습니다. 과거 형식적 지정이나 처리방침 누락 사례가 반복되어 온 점을 고려하면, 이번 개정은 국내대리인 제도를 실효화하려는 취지로 이해됩니다. 아울러 인공지능 기본법 하위법령안 및 게임산업법 개정안에도 국내대리인 지정 의무가 신설되고 있어, 해외사업자로서는 서비스 유형별로 복수의 법률에 따른 지정 의무를 교차 점검할 필요가 있습니다.

7. 실무 점검 체크리스트

해외사업자의 국외이전 조항 및 관련 규정 점검 시 확인하여야 할 주요 항목은 다음과 같습니다.

① 직접 수집·저장하는 경우에도 서버 소재국가를 기재하였는가

② 제28조의8 제1항 각 호 중 어떤 법적 근거로 이전하는지 명시하였는가 (처리방침 공개 근거인 경우 고지사항 전부 기재 여부 확인)

③ 수탁자·제공처별로 이전되는 데이터 항목, 국가, 이용 목적, 보유·이용 기간을 개별적으로 기재하였는가

④ 이전받는 자의 정보관리책임자를 기재하였는가

⑤ 국외이전 거부의 실질적 방법과 그 효과를 구체적으로 기재하였는가

⑥ 수탁자에 대한 교육·관리·감독 의무 이행 문언을 위탁 조항에 포함하였는가

⑦ AI 서비스의 경우, 프롬프트·업로드 데이터의 국외이전 사실과 학습 활용 여부·opt-out 방법을 명시하였는가

⑧ 국내대리인 지정 대상 여부를 검토하고, 지정 시 처리방침에 기재하였는가

8. 맺음말

해외사업자의 개인정보 처리방침은 본국 정책을 한국어로 옮기는 단순 번역 작업이 아니라, 한국 「개인정보 보호법」이 요구하는 고지사항과 형식에 맞추어 새로 설계하는 작업에 가깝습니다. 특히 국외이전 조항은 실무적 복잡성과 제재 위험이 가장 큰 부분으로, 최근의 시정·제재 사례와 개정된 처리방침 작성지침을 반영하여 반복적으로 정비할 필요가 있습니다.

2025년 개정법 시행 및 개정 처리방침의 공개, 2026년 인공지능 기본법 하위법령 제정 동향까지 고려하면, 해외사업자의 처리방침 정비는 일회성 과제가 아니라 지속적인 관리 영역으로 이해되어야 합니다.

법무법인 청출은 국내외에 본사를 둔 다수의 AI 서비스·플랫폼 사업자를 대상으로 법령기준을 준수하는 이용약관과 개인정보 처리방침 정비에 관한 자문 업무를 수행하며 해외사업자의 한국 개인정보 보호법 대응 실무에 특화된 경험을 축적하고 있습니다. 관련 자문이 필요하신 경우 언제든 문의하여 주시기 바랍니다.

법무법인 청출은 국내 5대 대형로펌, 검찰, 대기업 법무팀 출신의 변호사들로만 이루어져 있고, 한 명의 변호사가 아닌 사건과 관련된 분야의 전문 변호사들이 팀을 구성하여 대응합니다. 청출은 특정 쟁점만 해결하는 것을 넘어 사업 전반에 대한 종합 솔루션을 제공하여, 궁극적으로 고객이 원하는 바를 이루는 것에 초점을 맞추는 법률 컨설팅을 제공하고 있습니다. 목표 달성에 도움이 필요하시다면, 주저없이 청출에 문의주시기 바랍니다.