네이버를 안전하게 이용하기 위한 '최소한의' 프라이버시 설정, 지금 바로 시작해보세요.
로그인
네이버 개인정보 보호 공식 블로그
-
네이버 개인정보보호위원회 2분기 정기 회의 개최
지난 5월 27일 화요일, 2025년 2분기 ‘네이버 개인정보보호위원회’ 정기회의가 개최되었습니다. 이번 회의에는 네이버 개인정보보호위원회 위원(박광배 위원장, 강태욱 변호사, 김기범 교수, 김용대 교수, 홍대식 교수) 전원과 네이버 이진규 CPO/DPO 및 개인정보보호 담당자가 참석하여 2분기 네이버의 개인정보 보호 주요 활동을 보고하고 LLM 사용에서의 개인정보 보호 이슈 등을 주제로 이야기를 나누었습니다. 2분기 네이버 개인정보 보호 주요 활동 보고 (1) 네이버 개인정보 적법처리 근거 연구반 발족 및 회의 결과 보고 네이버는 지난 4월 21일 개인정보 적법처리근거 연구반을 발족하였으며, 지난 4월, 5월에 걸쳐 두차례 회의를 진행하였습니다. 1차 회의 때에는 개인정보 보호법 상 적법처리근거인 “계약 체결 및 이행”에서 계약이 무엇을 의미하는지 검토 및 논의하였으며, 2차 회의 때에는 신규 서비스 개발 목적 및 AI 학습 데이터로의 활용, 맞춤형 광고 목적의 처리에 대해서 어떤 적법처리 근거를 적용해야 할지 등에 대해 논의하였습니다. 네이버 개인정보 적법처리 근거 연구반 발족 및 회의 개최 소식 (바로가기) 네이버 개인정보 적법처리 근거 연구반 2차 회의 개최 (바로가기) 네이버 개인정보보호위원회는 이용자의 “예측 가능성”이 적법처리 근거를 판단하는 데에 중요한 요건 중 하나가 될 것이라는 연구반 논의 결과에 공감하는 한편, 온라인 네트워크 비즈니스 등 각 산업군의 현실을 고려하고 규제를 위한 제도가 아닌 이용자의 권리 보장 측면에서 실효성 있는 제도로 시행되기를 바란다는 의견을 제시했습니다. (2) ‘팀 네이버 개인정보 보호 협의체’ 발족 소식 및 회의 결과 보고 네이버의 주요 계열 법인 6개사(네이버, 네이버클라우드, 네이버웹툰, 네이버파이낸셜, 네이버랩스, 스노우, 네이버 I&S)는 임직원 개인정보 보호 정책을 논의하고 적용하기 위해 각 법인의 HR부서 담당자로 구성된 팀네이버 개인정보 보호 협의체를 구성하였으며, 지난 4월 제1차 정기 회의를 진행하였습니다. 1차 정기 회의에서는 협의체 운영방안과 임직원 개인정보 보호를 위한 팀네이버 차원의 정책 적용 방안에 대해 논의를 진행했습니다. 네이버 개인정보보호위원회는 팀네이버 개인정보 보호 협의체 운영에 대해 긍정적인 의견을 표하며, 이용자 뿐만 아니라, 임직원 역시 정보주체로서 개인정보 보호법에서 보장하는 정보주체의 권리를 충분히 보장받아야 한다는 점을 역설했습니다. (3) 통신사 고객 정보 유출 사고 관련 네이버 대응 현황 보고 최근 발생한 통신사 고객정보 유출 사고와 관련해 개인정보보호위원회는 긴급 온라인 간담회 개최, 보도자료 등을 통해 개인정보취급자의 시스템 외부 접속 시 인증 강화(SMS OTP 외 생체인증 등 보조인증 추가) 및 긴급 모니터링 체계 운영 등을 권고하였습니다. 네이버는 이번 대규모 정보 유출 사고의 원인이 되었던 BPFDoor라는 악성코드 설치 여부를 확인하기 위해 서버 스캐닝과 KISA에서 공지한 IoC 정보 기반 점검을 완료했으며, 악성코드 감염 등의 이상징후는 확인되지 않았습니다. 네이버는 침해사고 및 개인정보 유출에 대한 가이드라인을 사전에 구비하고, 여러 유출 시나리오에 대비할 수 있는 체계를 갖추고 있으며, 특히, 시스템 레벨에서의 침투 시도 탐지 및 차단 역량이 높고, 중요한 정보는 법적 요구사항을 초과하는 수준으로 암호화하고 있기도 합니다. 네이버 개인정보보호위원회는 모니터링을 강화하는 등 경각심을 가지고 사전에 사고를 방지하기 위해 노력해야 한다는 점에 공감하면서도, 개인정보처리자의 개인정보 보호 또는 정보보호 역량을 제고하는 것과 관련해 정부에서 일방적인 기준을 정하기 보다는 산업별 인력 구조의 특성이나 기업의 자산 규모, 기술적인 한계 등을 함께 고려한 현실적인 방안이 마련되어야 할 것이라는 의견을 제시했습니다. LLM과 개인정보 보호 네이버의 2분기 개인정보 보호 활동 보고 후 네이버 개인정보보호위원회는 LLM(대규모 언어모델, Large Language Model) 개발과 사용에서의 개인정보 보호 및 프라이버시 이슈 등에 관해 논의하였습니다. 네이버 개인정보보호위원회는 LLM은 거대한 규모의 데이터를 저장 및 처리하기 때문에, 악의적인 공격자가 비인가 접근을 통해 모델의 입력값과 출력값을 변조하는 등의 사고 발생 시 기존의 정보처리시스템에서 발생한 보안사고와는 다른 종류의 개인정보 유출 및 프라이버시 침해가 발생할 수 있음을 지적했습니다. LLM을 악용해 특정 인물에 대한 허위 사실을 유포하거나 악의적인 댓글 작성 등을 통해 프라이버시를 침해하거나 명예 훼손이 발생할 수 있고, 실제 개인의 신체나 재산 등에 대한 피해로까지 이어지는 공격 발생 가능성이 존재할 수 있다는 언급이 있었습니다. 그러나, LLM의 개발과 활용에 있어서 개인정보라는 한 영역에 국한된 규제를 설계하기 보다는 기술 사용의 맥락과 그것이 야기할 위험, 기술의 진보와 국익 등을 종합적으로 검토하여 정책과 대안을 마련하는 것이 필요하다는 데에 의견을 모았습니다. 이에 대해 네이버 이진규 CPO는, LLM을 비롯한 AI기술은 다양한 분야에서 여러가지 형태로 발전하고 있고, 그에 따른 프라이버시 침해 양상도 다양하다는 점을 언급하며, AI 시대에서 개인정보 보호를 위해서는 보다 정교한 맥락 속에서 기술과 규제를 해석하고 접근할 필요가 있고, 빠른 속도로 발전하는 기술에 법과 제도가 보다 유연하게 적용될 수 있도록 고정된 법 제도보다는 원칙 중심의 규제가 마련되어야 한다는 의견을 제시하였습니다. 네이버 개인정보보호위원회는 앞으로도 이용자 여러분들께 안전하고 신뢰할 수 있는 서비스를 제공하기 위해 관련 연구와 논의를 계속해 나가겠습니다. 감사합니다.
2025.06.12 -
네이버 개인정보 적법처리 근거 연구반 2차 회의 소식
네이버는 개인정보 보호법 개정으로 인한 개인정보 수집·이용 절차 개편 등 제도적 기반을 강화하기 위해 외부 전문가들로 이루어진 연구반을 발족하였으며, 연구반에는 이동진 서울대학교 교수, 김현경 서울과학기술대학교 교수, 이소은 영남대학교 교수, 강태욱 법무법인 태평양 변호사, 김도엽 김앤장법률사무소 변호사 등 개인정보보호 분야 외부 전문가 5인이 참여합니다. 지난 5월 9일, ‘네이버 개인정보 적법처리근거 연구반’ 2차 회의가 개최되었으며, 이번 2차 회의에는 연구반 참여 인원 5인 전원과 네이버 이진규 CPO/DPO 및 개인정보보호 담당자가 참석하여 신규 서비스 개발 목적 및 AI 학습 데이터로의 활용, 맞춤형 광고 목적의 개인정보 처리의 적법처리 근거에 대한 논의를 진행하였습니다. 신규 서비스 개발과 AI 학습 데이터로의 활용에 관한 논의 온라인 서비스를 제공하는 기업들은 이용자에게 약속한 서비스가 중단 없이 안정적으로 제공되게 하기 위해 항상 기존 서비스의 다양한 기능들을 살펴보고, 필요할 경우 기존에 제공하던 서비스를 더 나은 방향으로 개선하기도 합니다. 빠르게 진화하고 변화하는 온라인 비즈니스 환경에서, 이러한 서비스 기획력과 개발 능력은 비즈니스의 생사를 좌우하는 중요한 요소이기도 한데요. 이 때문에, 온라인 서비스를 제공하는 사업자들은 늘 기존과 다른 새로운 시각으로 서비스와 이용자를 바라보고자 노력합니다. 이를 위해 이용자의 인구통계학적 정보, 이와 연계된 온라인 상의 활동 정보 등을 심도 있게 분석 또는 연구하면서 기존 서비스를 개선하고 이 과정에서 얻은 인사이트를 가지고 이용자에게 도움이 될 만한 또는 이용자가 흥미를 가질 만한 새로운 서비스들을 개발 및 제공하고 있습니다. 이번 연구반 2차 회의에서는 신규 서비스 개발 목적으로 기존 서비스에서 수집한 개인정보를 이용하는 경우에는 어떠한 적법처리 근거가 적용될 수 있을지에 대해 논의하였습니다. 먼저, 연구반은 기존 서비스 개선 목적에는 ‘계약 이행’이 적용될 가능성이 높다는 데에 의견을 같이 하였습니다. 다음으로 신규 서비스 개발 목적의 처리에 관해서는, 산업별·서비스별 특성에 따라 적법처리 근거가 달리 적용될 가능성이 있기에 열띤 토의가 진행되었는데요. 상황에 따라 ‘계약 이행’, ‘정당한 이익’, ‘동의’ 등이 모두 적법처리 근거로 작동할 수 있는데, 포털 서비스의 경우 ‘정당한 이익’을 채택하는 것이 좀더 적절해 보인다는 의견이 제시되었습니다. 다만, '정당한 이익'을 적법처리 근거로 하기 위해서는 ‘명백성’ 확보를 위해 개인정보 전체 생애주기 관리 및 이 과정에서의 정보주체의 권리 침해 여부와 최소화 노력을 병행해야 할 것이라는 의견이 제시되었습니다. AI 학습 목적의 개인정보 처리가 계약 체결 및 이행으로 볼 수 있는지에 대해서도 사안에 따라 달리 검토될 수밖에 없다는 의견이었습니다. 일반적으로 AI 기술 개발은 기술 개발 단계가 있고, 이후 완성된 기술의 활용 단계를 구분하여 검토할 수 있는데, 기존 서비스 개선을 위해 AI 기술을 개발하고 활용하는 것은 ‘계약 이행’을 적법처리 근거로 적용할 수 있고, 이후 점진적으로 완성된 기술을 다른 비즈니스에 활용하는 경우엔 직접적인 개인정보의 처리가 없는 것으로 볼 수 있다는 의견이 제시되었습니다. 한편, 해외 사이트에서는 인공지능 기술과 같이 특정 기술 개발을 위해 개인정보를 처리한다는 내용을 명시적으로 기재하지 않는 경우가 다수 존재하고, 그 외의 이용 목적도 굉장히 포괄적으로 기재하는 사례를 지적하며, AI 기술 정의 및 범위의 불확정성, 특정 기술에 대한 언급의 필요 여부, 해외 사례 등을 종합적으로 고려하였을 때, 특정 기술 개발을 처리방침이나 이용목적에 공개하는 것이 반드시 필요한지에 대해 논의할 여지가 있다는 의견도 제시되었습니다. 맞춤형 광고 목적의 처리에 관한 논의 맞춤형 광고의 적법처리 근거에 대해서도 산업별·서비스별 특성에 따라 ‘계약 이행’, ‘정당한 이익’, ‘동의’ 중 어떤 적법처리 근거를 선택할지에 대해 각각의 개인정보처리자가가 선택 가능하겠으나, 그에 맞춰 해당 적법처리 근거에 대한 입증 책임을 지게 된다는 의견이 있었습니다. 서비스 특성 상 정보주체의 ‘동의’ 보다는 ‘계약 이행’이나 ‘정당한 이익’ 중에서 적법처리 근거를 선택해야 한다면, ‘계약 이행’ 보다는 ‘정당한 이익’을 채택해 정보주체의 기본권과 개인정보처리자의 정당한 이익 간 이익형량을 정기적으로 수행하는 것이 바람직하다는 의견이 있습니다. 특히, ‘정당한 이익’이 실제 현장에서 운용되는 적법처리 근거가 되기 위해서는 법 개정을 통해 조속히 ‘명백성’ 요건을 삭제하는 것이 필요햐나, 법 개정 전에는 ‘기술적 보호조치’, ‘정보주체의 선택권 보장’, ‘투명성 강화’ 등을 통해 개인정보처리자가 스스로 ‘명백성’을 입증할 수 있는 방안에 대해 논의하였습니다. 온라인 비즈니스의 지속을 위해 신규 기술 개발, 새로운 서비스 및 광고 제공 등은 불가피한데, 개정 개인정보 보호법 하에서는 이를 위해 ‘동의’ 외에 ‘계약 이행’과 ‘정당한 이익’이 적법처리 근거로 활용될 수밖에 없을 것으로 예상됩니다. ‘계약이행’을 적법처리 근거로 할 경우, 상황과 개인별 주관에 따라 달라질 수 있는 ‘예측 가능성’이 주요 판단 기준이 될 수 있기에 분쟁 발생 가능성이 증가할 수 있고, ‘정당한 이익’의 경우 아직까지 남아있는 ‘명백성’ 요건으로 인해, 사업자들은 본 적법처리 근거의 적용에 부담을 느끼기에 아직까진 업계에서 필수 동의 제거 및 새로운 적법처리 근거 적용에 어려움이 있는 상황인데요. ‘네이버 개인정보 적법처리 근거 연구반’의 남은 논의에서 이에 대해 좀더 심도있게 논의하는 시간을 갖도록 하겠습니다. 감사합니다.
2025.06.05 -
데이터 레지던시(Data Residency)와 데이터 로컬라이제이션(Data Localization) 살펴보기
지난 5월 8일, OpenAI는 한국을 포함한 아시아 4개국(한국, 일본, 인도, 싱가포르)에 '데이터 레지던시(Data Residency)' 기능을 도입한다고 발표했습니다. 이 기능은 ChatGPT Enterprise, ChatGPT Edu, API 플랫폼 이용자들이 데이터를 해당 국가에 저장할 수 있도록 지원합니다. OpenAI는 이번 조치가 데이터를 해외로 이전하지 않고 국내에 보관하려는 한국 기업과 기관의 요구를 반영한 것이라고 설명했습니다. 이에 따라 한국 기업들은 OpenAI의 기업용 서비스를 사용할 때, 이용자 데이터를 국내에 저장할지 선택할 수 있게 되었습니다. 이번 포스팅에서는 데이터 레지던시와 데이터 로컬라이제이션의 개념과 도입 목적, 주요 국가들의 규제 현황, 그리고 이를 실제로 도입하고 있는 기업들의 사례를 함께 살펴보겠습니다. 데이터 레지던시란? 오늘날 우리는 클라우드 저장소에 사진을 올리고, 온라인으로 구매를 하고, 모바일 뱅킹을 이용하는 등 다양한 방식으로 데이터를 생성하고 저장합니다. ‘데이터 레지던시(Data Residency)’는 이렇게 생성된 데이터가 어느 국가 또는 지역에 물리적으로 저장되는지를 지정하는 개념입니다. 데이터는 현대 사회에서 가장 중요한 자산 중 하나이며, 이 데이터가 저장되는 물리적 위치는 단순한 기술적 선택을 넘어 국가의 이익, 법적 규제, 그리고 기업의 전략과 밀접한 연관이 있습니다. 데이터 레지던시와 데이터 로컬라이제이션 ‘데이터 레지던시(Data Residency)’와 ‘데이터 로컬라이제이션(Data Localization)’은 모두 데이터의 물리적 저장 위치와 관련된 개념입니다. 그러나 두 용어는 의미와 목적에서 차이를 보입니다. ‘데이터 레지던시’는 데이터가 저장되는 지리적 위치에 초점을 둔 기술적 개념으로, 기업이나 기관이 데이터를 특정 국가나 지역 내에 저장하도록 선택하거나 요구받는 것을 의미합니다. 반면, ‘데이터 로컬라이제이션’은 정책적·법적 개념으로, 특정 국가 내에 데이터를 저장하도록 의무화하고 국외 반출을 원칙적으로 금지하거나 엄격히 제한하는 규제를 뜻합니다. 데이터 로컬라이제이션의 기대 효과 데이터 레지던시를 통해 데이터 로컬라이제이션을 실현하면 다음과 같은 효과를 기대할 수 있습니다. 1) 자국민의 개인정보 보호 세계 여러 국가의 개인정보 보호 수준과 기준은 국가별로 상이하기 때문에 상대적으로 보호 수준이 낮은 국가에 자국민의 데이터가 저장되는 경우, 개인정보 유출이나 오·남용에 대한 우려를 배제할 수 없습니다. 2) 데이터 주권 및 국가 안보 확보 군사, 금융, 정부 데이터 등 민감하고 중요한 데이터가 국외에 저장되는 경우, 해당 국가의 접근 또는 감시 가능성이 존재합니다. 데이터가 국내에 저장되어야 정부가 수사 등의 목적으로 적법하게 접근할 수 있습니다. 3) 데이터의 경제적 가치 활용 데이터를 국내에 저장하기 위한 설비를 갖추는 과정에서 데이터센터 관련 산업을 육성할 수 있고, 이렇게 축척된 데이터는 데이터 기반 산업 활성화로 이어질 수 있습니다. 4) 이용자 신뢰 확보 데이터가 국외로 반출되지 않는다는 사실은 서비스에 대한 신뢰로 이어질 수 있고, 서비스 이용률 향상이나 충성도 높은 고객을 확보하는데 긍정적인 영향을 미칠 수 있습니다. 데이터 국외 이전을 제한하는 주요 국가의 법제 여러 국가들이 데이터 로컬라이제이션 정책을 통해 자국민의 데이터를 국외로 이전하는 행위를 통제하거나 특정 조건 하에서만 허용하고 있습니다. 이러한 규제를 법제화한 주요 국가들의 사례를 살펴보겠습니다. 1) 중국 중국은 개인정보보호법(PIPL), 데이터 보안법, 사이버보안법 등을 통해 대규모 개인정보 및 중요 데이터는 반드시 중국 내에 저장하도록 규정하고 있습니다. 데이터를 국외로 이전하기 위해서는 사전에 CAC 보안심사 또는 인증이 필요합니다. 중국은 전 세계에서 가장 엄격한 데이터 로컬라이제이션을 적용하고 있는 국가 중 하나이며, Apple, Microsoft 등 외국계 IT 기업들도 중국 기업과 협력하거나 중국 내에 합작법인을 설립하는 방법 등으로 데이터를 중국 내에 저장하고 있습니다. 2) 러시아 러시아 또한 중국과 더불어 강력한 데이터 로컬라이제이션을 적용하고 있는 국가입니다. 러시아는 2015년부터 모든 러시아 시민의 개인정보를 자국 내 서버에 최초 저장하도록 법제화했습니다. 이를 위반한 LinkedIn은 2016년부터 러시아 내에서 접속이 차단되었으며, TikTok 역시 러시아 이용자 데이터를 현지에 저장하는 방식으로 운영 방식을 변경했습니다. 3) 유럽연합(EU) 유럽연합은 엄격한 개인정보 보호법으로 평가받는 GDPR을 2018년부터 시행하고 있습니다. GDPR는 EU 내 저장을 필수로 요구하지는 않지만, 국외 이전에 대한 규제가 매우 엄격합니다. EU 시민의 개인정보를 제3국으로 이전하려면, 해당 국가가 EU 기준에 맞는 ‘적정성 결정’을 받았거나, 표준계약(SCC), 구속기업규칙(BCR) 등 엄격한 보호조치를 적용해야 합니다. 4) 브라질 브라질은 EU와 유사한 규제를 도입하여 데이터 이전을 조건부 허용하고 있습니다. 2020년부터 LGPD(일반 개인정보 보호법)을 시행하고 있으며, 아직 ‘적정성 승인’을 받은 국가는 없기 때문에 대부분의 기업은 표준계약(SCC)이나 인증 절차를 통해 국외 이전 요건을 충족하고 있습니다. 5) 호주, 캐나다 호주와 캐나다는 연방 차원에서는 데이터 저장 위치에 대한 제한이 크지 않지만, 보건·교육 등 일부 공공 서비스 분야에서는 데이터를 자국 내에 저장하도록 요구하고 있습니다. 예를 들어, 캐나다의 일부 주는 주정부 기관이 해외 클라우드를 사용하는 것을 법으로 제한하고 있습니다. 6) 미국 미국은 연방 차원의 데이터 레지던시 또는 데이터 로컬라이제이션 법제는 존재하지 않습니다. 다만, 미국 정부는 ‘CLOUD Act’에 따라 데이터가 어디에 저장되든 접근할 수 있는 권한을 가지고 있습니다. 예를 들어, 유럽이나 아시아에 저장된 데이터라도 미국에 본사를 둔 기업은 ‘CLOUD Act’에 응해야 할 법적 의무가 존재합니다. 주요 기업들의 데이터 레지던시 도입 사례 글로벌 IT 기업들은 각국의 데이터 로컬라이제이션 요구에 대응하기 위해 데이터 저장 위치 선택권 제공, 데이터 국외 반출 제한, 인프라 현지화 등 다양한 형태의 데이터 레지던시 기능을 도입하고 있습니다. Microsoft는 전 세계 60개 이상의 데이터센터 리전을 운영하며, 고객이 데이터 저장 위치를 직접 선택할 수 있도록 하고 있습니다. 특히, 2023년부터 유럽연합 이용자를 대상으로 ‘EU Data Boundary’ 정책을 시행하여, Microsoft 365, Azure, Dynamics 등 주요 서비스에서 생성되는 데이터가 EU 지역 내에서만 저장 및 처리되도록 보장하고 있습니다. Amazon Web Services(AWS)는 고객이 선택한 리전 내에서만 데이터 저장되고 처리되도록 설정할 수있습니다. AWS Outposts와 Local Zones 같은 솔루션을 통해 고객 인프라에 가까운 물리적 위치에서 클라우드 서비스를 운영할 수 있도록 지원합니다. 또한, 암호화 키를 고객이 직접 소유하거나 관리할 수 있도록 하여, 데이터를 보호하려는 기업들의 요구를 충족시키고 있습니다. Google Cloud는 ‘데이터 주권’을 핵심 키워드로 삼고 대응하고 있습니다. 데이터 위치 제한 기능(location restriction)을 도입하여 고객이 저장 및 처리 위치를 직접 지정할 수 있도록 하였습니다. Oracle은 기존 클라우드 사업자들과 다른 방식으로 데이터 레지던시를 실현하고 있습니다. Oracle은 ‘Dedicated Region’ 서비스를 통해, 고객의 데이터센터 안에 전용 Oracle 클라우드 환경을 구축해주는 방식입니다. 이를 통해 고객은 자사 내부에서 모든 데이터를 보관하고 처리할 수 있습니다. Apple은 중국 정부의 강력한 데이터 로컬라이제이션 규제에 대응하여 중국 내 이용자 데이터를 현지에 저장하고 있습니다. 중국의 국영 데이터 기업인 GCBD와 협력하여 iCloud 데이터를 중국 내에 저장하고 있으며, 암호화 키 또한 중국 내에서만 관리됩니다. 마치며 오늘날 ‘데이터 레지던시’는 단순히 데이터를 어디에 저장할 것인가를 결정하는 기술적 선택을 넘어서 누가 데이터에 접근할 수 있으며, 어떤 법적 기준이 적용되는가 등 보다 복합적인 이슈로 확장되고 있습니다. 각국 정부는 디지털 주권을 강화하고 자국민의 개인정보를 보호하기 위해 데이터 저장 위치와 관리 방식에 대한 요구사항을 점차 구체화하고 있습니다. 이러한 흐름은 글로벌 기업에도 전략적으로 중요한 과제로 작용하고 있으며, 기업들은 이용자의 신뢰를 확보하고 각국 시장에서의 경쟁력을 높이기 위해 더 나은 투명성과 선택권을 제공하는 방향으로 나아가고 있습니다. 결국, 데이터 레지던시는 이용자 신뢰를 확보하고, 글로벌 시장에서 지속 가능한 성장을 실현하기 위한 핵심 전략으로 자리 잡고 있습니다. 네이버는 앞으로도 개인정보 보호와 관련한 유용한 정보를 전달 드릴 수 있도록 노력하겠습니다. 감사합니다. [참고자료] "韓 데이터는 韓에만 보관"… 오픈AI, 데이터 레지던시 도입 (링크) Introducing data residency in Asia (링크) Case studies on countries with strict data localization laws (링크) 주요국 국경간 데이터 이동 규제 현황 및 시사점 (링크)
2025.05.29 -
.png)
해외직구 서비스 테무, 개인정보 보호법 위반에 따른 과징금 부과 소식
최근 몇 년 사이 국내 소비자들 사이에서 해외 직구 서비스에 대한 관심이 꾸준히 증가하고 있습니다. 그 중 하나인 '테무(Temu)'는 다양한 상품군과 비교적 저렴한 가격대를 바탕으로 국내에서도 사용이 확대되고 있는 해외 직구 플랫폼입니다. 이와 관련해 개인정보보호위원회는 테무가 개인정보 보호법을 위반한 사실이 확인되었다며, 과징금 약 13억 6,900만 원과 과태료 1,760만 원을 부과하고, 시정명령 및 개선권고를 의결했다고 밝혔습니다. 이번 조치는 단순히 테무라는 개별 사업자의 법 위반에 그치지 않고, 해외사업자가 국내 시장에서 서비스를 제공할 때 반드시 준수해야 할 개인정보 보호 기준과 책임을 재확인시켜주는 사례로 해석될 수 있습니다. 본 포스팅에서는 개인정보보호위원회가 테무에 대해 지적한 주요 위반사항과 시사점을 살펴보도록 하겠습니다. [참고] (보도자료) 국외이전 규정 등 개인정보 보호법 위반한 테무에 13억 6,900만 원 과징금 부과(2025.5.15) [개인정보보호위원회] 개인정보보호위원회의 조사 배경 먼저, 이번 조치는 테무만을 대상으로 한 단발성 조치는 아닙니다. 개인정보보호위원회는 2023년부터 테무를 포함한 주요 해외 직구 플랫폼에 대한 개인정보 처리 실태 점검을 진행해 왔으며, 2024년 7월에는 알리익스프레스에 대해 법적 근거 없는 개인정보 국외 이전 등 으로 과징금 약 19억 7,800만 원을 부과한 사례가 있습니다. 테무에 대한 이번 조사는, 기존 점검 과정에서 추가로 드러난 위반사항에 더해, 한국 판매자를 모집하는 과정에서 신분증과 안면 정보를 수집하고 있다는 언론 보도를 계기로 조사 범위가 확대되었으며, 이 과정에서 추가적인 위반사항이 확인되었습니다. 개인정보보호위원회가 지적한 주요 위반사항 이번 조치는 테무 이용자 및 입점 판매자의 개인정보 처리와 관련된 복합적인 위반사항을 대상으로 이루어진 것으로, Whaleco Technology Limited와 Elementary Innovation Pte. Ltd. 두 개의 사업자 모두 처분 대상에 포함되었습니다. Whaleco Technology Limited : 테무 이용자의 개인정보 관리 Elementary Innovation Pte. Ltd. : 테무 입점 판매자의 개인정보 관리 개인정보보호위원회의 조사 결과, 주요 위반사항은 아래와 같이 구분됩니다. 1) 이용자 개인정보 처리 관련 위반 테무는 오픈마켓 형태의 해외 전자상거래 플랫폼으로, 판매자에게 수수료를 받고 중계창고를 통해 상품을 배송하는 구조입니다. 구매자의 개인정보를 판매자에게 직접 제공하지는 않지만, 상품 배송 및 고객 응대를 위해 중국, 싱가포르, 일본 등 여러 해외 사업자에게 개인정보 처리 업무를 위탁한 것으로 나타났습니다. 그러나, 개인정보보호위원회의 조사 결과, 이와 같은 국외 위탁 사실을 개인정보 처리방침에 명시하지 않았고, 이용자에게도 별도로 고지하지 않았으며, 수탁자에 대한 교육, 관리·감독 등의 보호조치도 미흡했던 것으로 확인되었습니다. 또한, 2023년 말 기준 하루 평균 약 290만 명의 국내 이용자가 테무 서비스를 이용하고 있음에도 불구하고, 개인정보 보호법에서 해외사업자에게 요구되는 ‘국내대리인’ 지정 의무를 이행하지 않았고, 회원 탈퇴 절차 역시 7단계로 복잡하게 설계하여 이용자가 자신의 권리를 실질적으로 행사하기 어려운 구조 역시 법 위반 소지가 있는 것으로 판단되었습니다. 한편, 조사 과정에서 테무는 관련 지적 사항에 대해 일부 자발적으로 조치에 나섰습니다. 개인정보 처리방침을 개정하여 국외이전 사실 및 수탁자 정보를 명시하고, 국내대리인을 지정하였으며, 복잡했던 회원 탈퇴 절차 또한 일부 간소화하는 등 자진 시정조치를 취한 것으로 확인되었습니다. 2) 한국 판매자 신원확인 절차 관련 위반 테무는 2025년 2월부터 국내 판매자가 자사 플랫폼을 통해 직접 상품을 판매하고 배송할 수 있는 ‘로컬 투 로컬(Local to Local)’ 서비스의 도입을 추진하며, 한국 판매자 대상의 시범 모집을 진행하였습니다. 한국 판매자가 테무에 입점하기 위해서는 ‘①계정 생성 → ②사업 정보 입력 → ③판매자 정보 입력 → ④상점 정보 입력 → ⑤입력된 정보 확인 → ⑥신원확인 절차’를 거쳐야합니다. 이 과정 중, 마지막 단계인 신원확인 절차에서 판매자의 신원을 확인한다는 목적으로 신분증 사본과 얼굴 동영상을 수집하고, 법적 근거 없이 주민등록번호를 처리한 사실이 확인되었습니다. 비록 해당 정보는 개인정보보호위원회 조사 과정에서 모두 파기되었지만, 관련 법적 요건을 충족하지 않은 상태에서의 수집 행위 자체가 개인정보보호법 위반에 해당한다는 점에서 제재 대상에 포함되었습니다. 이와 같은 위반 사항에 따라, 개인정보보호위원회는 Whaleco Technology Limited에는 과징금 8억 7,900만 원 및 과태료 1,760만 원, Elementary Innovation Pte. Ltd.에는 과징금 4억 9,000만 원을 각각 부과하였습니다. 또한, 개인정보의 국외 이전을 포함한 전체 처리 위탁 현황과 처리 흐름을 보다 투명하게 공개하고, 수탁자에 대한 관리·감독 강화, 정보주체 권리 보장 조치 이행을 명시적으로 요구하는 시정명령 및 개선권고를 함께 내렸습니다. [위반 및 시정조치 내역 – 출처: 개인정보보호위원회 보도자료] 특히, 오는 2025년 10월 2일부터 시행되는 개정 개인정보 보호법에 따라 국내대리인 지정 의무와 관련하여, 국내에 설립한 법인을 정식 국내대리인으로 지정하여, 향후 우리 국민의 개인정보 침해에 대한 신속한 대응과 실질적인 권리 구제 책임을 이행할 수 있도록 개선할 것을 권고받았습니다. 국내대리인은 해외사업자가 우리 국민의 권리를 실질적으로 보장할 수 있도록 마련된 제도적 장치입니다. 마치며 이번 개인정보보호위원회의 조치는, 해외사업자가 국내에서 개인정보를 처리할 때 준수해야 할 법적 책임과 기준을 분명히 한 사례로, 향후 유사한 서비스에 대한 판단에도 중요한 참고가 될 수 있을 것으로 보입니다. 특히, 국내대리인 제도의 실효성이 강조된 만큼, 2025년 10월 개정 개인정보보호법 시행 이후 정보주체의 권리 보호 수준 역시 점차 개선될 수 있을 것으로 기대됩니다. 네이버는 앞으로도 개인정보 및 프라이버시와 관련된 국내외 다양한 소식을 전해드릴 수 있도록 노력하겠습니다. 감사합니다.
2025.05.22