정부가 해외 기업들의 개인정보 처리 책임을 실질적으로 강화하는 방안을 마련했다. 개인정보보호위원회는 해외 사업자의 국내 대리인 지정 기준을 명확히 하고 관리·감독 의무를 구체화한 개인정보보호법 시행령 개정안이 16일 국무회의를 통과했다고 발표했다.

이번 조치는 올해 초 애플이 개인정보보호법 위반으로 제재를 받으면서 정부 자료 요구에 소극적으로 대응했던 사례에서 드러난 문제점을 개선하기 위한 것이다. 당시 애플의 국내 담당 기관은 관련 문서 제출 요구에 대해 "담당 직원들이 퇴직해 이메일을 찾지 못했고 증빙 자료도 없다"고 답변해 비판을 받았다.

새로운 규정에 따르면 해외 기업이 국내에 자회사를 두거나 국내 법인에 실질적 영향력을 갖고 있을 경우, 해당 국내 법인을 통해 대리인을 선정해야 한다. 여기서 실질적 영향력이란 최고경영자를 임명하거나 임원의 과반수를 선출할 권한을 가지거나, 발행 주식이나 출자액의 30% 이상을 보유한 경우를 말한다.

관리·감독 의무도 한층 강화된다. 해당 법인들은 매년 최소 1회 개인정보보호 관련 교육을 시행하고, 보호 계획의 수립과 이행 상황을 정기적으로 점검해야 한다. 점검 결과에 따른 개선 조치 여부도 지속적으로 확인해야 한다.

전문가들은 이러한 변화가 국내 이용자들의 권익 보호에 실질적 도움이 될 것으로 평가했다. 서강대 경영학부 김용진 교수는 "실제 지배력을 행사하는 기업이 책임지고 국내 대리인을 감독하도록 권한을 부여한 것"이라며 "소비자 보호를 위해 실질적 역할을 하도록 강제하는 조치"라고 설명했다.

게임 분야에서도 유사한 제도가 도입된다. 게임산업법 개정에 따라 일정 규모 이상의 해외 게임업체들은 다음 달 23일부터 국내 대리인을 지정해야 한다. 연간 매출 1조원 초과 또는 일평균 다운로드 1천건 이상인 게임을 서비스하는 해외 기업이 대상이다. 이는 환불 없이 서버를 폐쇄하는 이른바 '먹튀' 행위를 방지하기 위한 조치다.

아울러 지방자치단체가 출자하거나 출연한 기관들도 개인정보보호법상 공공기관에 포함되어 책임이 강화된다. 새롭게 공공기관으로 분류되는 기관들은 시행일로부터 60일 내에 개인정보 파일을 등록해야 하며, 영향평가 대상인 경우 2년 내에 평가를 완료해 결과를 제출해야 한다.

이정렬 개인정보보호위원회 사무처장은 "시행령 개정 내용을 해외 사업자와 지방 출자·출연 기관들에게 지속적으로 안내하고, 정례 점검을 통해 새로운 제도가 안정적으로 자리잡을 수 있도록 노력하겠다"고 밝혔다. 개정된 시행령은 다음 달 2일부터 시행된다.