박재영 君泽君律师事务所 한국 변호사

지난 2021년 11월 《중화인민공화국 개인정보보호법》(이하 “《개인정보보호법》”)이 시행되었다. 이는 개인정보와 관련한 권리와 의무를 총체적으로 규정한 법률로써, 중국 당국의 개인정보 보호 강화에 대한 의지를 엿볼 수 있는 대목이다. 이러한 법률 환경 변화에 따라 한중 M&A 과정에서 《개인정보보호법》에 따른 법률 위험에 대해 평가하고 대비할 필요성도 높아지고 있다. 본 글에서는 한중 M&A 실무 과정에서 고려될 수 있는 《개인정보보호법》 관련 주요 이슈와 대응 방안에 관해 개괄적으로 살펴보고자 한다.

1. 법률 실사 단계에서의 개인정보 처리의 문제점

(1) 실사 자료 요청 및 수령 단계에서 개인정보 처리의 두 가지 문제점

한국 기업(한국 본사가 중국에 설립한 합작 법인 등)이 다른 중국회사를 매수하거나 또는 투자한 회사를 중국 기업에 매각할 경우, 매수자는 통상 대상 회사에 존재할지 모르는 법률 위험을 파악하기 위해 대상 회사에 많은 자료를 요청하고, 수령한 자료에 대해 실사를 진행한다. 이때 자료의 열람을 위해 외부 업체가 서비스하는 데이터 룸(Virtual Data Room)을 이용하는 경우가 많다. 그리고 해당 요청 자료 중에는 직원의 개인정보 또는 대상 회사 고객의 개인정보를 포함하는 경우가 있다. 이때 ➊ 대상 회사가 데이터 룸을 운영하는 외부 업체에 개인정보를 이전하는 행위와 ➋ 이를 통해 실사 단계에서 매수자에 개인정보를 제공하는 것이 문제될 수 있다.

(2) 제3자가 운영하는 데이터 룸에 개인정보를 포함한 실사 자료를 전송하는 행위에 관하여

먼저, 데이터 룸 운영 회사에 개인정보를 전송하는 행위 관련, 《개인정보보호법》 상 개인정보 처리 위탁에 관한 규정이 적용될 수 있다(위탁에 해당하는지에 대해서는 구체적인 상황에 대한 검토와 법률적 논의가 필요할 수 있다). 이 경우 《개인정보보호법》 제21조, 제55조가 적용되고, 대상 회사가 개인정보 처리를 위탁할 때, 위탁자는 다음 의무 사항을 준수해야 한다.

① 개인정보 보호 영향평가 및 처리 상황에 대한 기록 ② 수탁 처리 목적, 기한, 처리 방식, 개인정보의 유형, 보호조치 및 양측의 권리와 의무 등에 대해 수탁자와 약정 ③ 수탁자의 개인정보 처리에 대한 감독

중국에서도 한국과 마찬가지로 개인정보 처리 위탁의 경우에는 별도의 사전동의가 필요하지 않다(단, 위탁 목적, 기한, 처리 방식 등이 정보 주체가 동의한 범위를 벗어나지 않아야 하고, 변경이 필요한 경우 다시 동의를 받아야 한다). 사전 동의 대신 위와 같이 수탁자와의 약정 및 수탁자에 대한 감독의무를 정하고 있다.

따라서 대상 회사는 데이터 룸을 통해 제공하는 실사 자료 중에 개인정보가 포함된 경우 ➊ 사전에 이러한 위탁 처리가 해당 개인정보의 보호에 어떠한 영향을 미치는지에 대해 평가하고, ➋ 데이터 룸 서비스 제공업체와 개인정보 처리 위탁에 따른 권리, 의무를 약정해야 하며, ➌ 위탁 목적 내 사용, 실사 후 자료 삭제 등 수탁자인 서비스 제공 업체를 감독해야 함에 유의해야 한다. 또한 M&A 실사 단계에서 위와 같은 의무 사항을 준수할 수 있도록 데이터 룸 서비스 업체의 선정과 관리에 주의를 기울일 필요가 있다.

아울러, 데이터 룸이 경외 지역에서 운영되거나 경외 서버에 개인정보가 전송될 경우, 《개인정보보호법》 제38조의 개인정보 경외 제공에 해당할 수 있고, 이 경우 해당 조항에 규정된 조치를 취하기 위해 더 복잡한 절차를 거쳐야 한다. 이는 데이터 룸 서비스 업체의 선정 과정에서 고려해야 할 부분이다.

(3) 실사단계에서 제3자인 매수자에 개인정보를 제공하는 행위에 관하여

한국 개인정보보호법, 유럽 GDPR과 마찬가지로 중국《개인정보보호법》에서도 옵트인(Opt-in), 즉 개인정보의 처리 전에 사전 동의를 받는 것을 원칙으로 하고 있다. 이에 따라 《개인정보보호법》은 원칙적으로 제3자에 개인정보를 제공할 경우 사전에 동의를 받을 것을 정하고 있다(제23조). 하지만 같은 법 제22조에서는 예외적으로 합병, 분할, 파산선고 등의 원인으로 개인정보를 이전할 경우에는 옵트아웃(Opt-out) 즉, 개인정보 이전에 관한 사항을 고지하고 정보 주체가 거부 의사를 밝히지 않을 경우 해당 처리를 허용하는 방식을 취하고 있다.

《개인정보보호법》 제23조 개인정보 처리자가 기타 개인정보 처리자에 그가 처리한 개인정보를 제공하는 경우, 접수측의 명칭 또는 이름, 연락처, 처리 목적, 처리방식 및 개인정보의 유형을 개인에게 고지하고, 개인으로부터 단독 동의를 받아야 한다. 접수측은 위에서 언급한 처리 목적, 처리 방식 및 개인정보의 유형 등 범위 내에서 개인정보를 처리해야 한다. 접수측이 기존의 처리 목적, 처리 방식을 변경하는 경우 본 법률의 규정에 근거하여 개인에게 다시 동의를 받아야 한다.

《개인정보보호법》제22조 개인정보 처리자가 합병, 분립, 해산, 파산선고 등의 원인으로 개인정보를 이전해야 하는 경우, 접수측의 명칭 또는 이름과 연락처를 개인에게 고지해야 한다. 접수측은 개인정보처리자의 의무를 지속적으로 이행해야 한다. 접수측이 기존의 처리 목적, 처리 방식을 변경하는 경우 본 법률의 규정에 근거하여 개인에게 다시 동의를 받아야 한다.

하지만 M&A 계약의 체결이 결정되지 않은 실사 단계에서 위 예외 조항을 적용할 수 있는지에 대해서는 논란의 여지가 있다. 더욱이 실무상 실사 후 실제 계약 체결에 이르지 못하는 경우가 많다는 점을 고려하면, 위 예외 조항이 실사 단계에 적용된다고 판단하기 어려운 면이 있다.

이에 따라 합병 계약 체결이 전제되기 전에는 매수자를 제3자로 간주하여, 매수자에 개인정보가 포함된 실사 자료를 제공하기 위해서는 《개인정보보호법》 제23조에 따라 사전 동의 수령 의무를 준수하는 것이 법률 위험을 줄이는 데 도움이 된다. 다만, 인수합병 거래의 특성상 비밀성 유지 등을 위해 정보 주체들에게 위 동의 절차를 거치기가 쉽지 않을 수 있으므로, 실사 단계에서의 개인정보 열람의 목적을 고려하여 개인정보의 직접적 이전 이외에 다른 대안은 없는지 살펴볼 필요가 있다.

법률 실사를 통한 《개인정보보호법》 관련 이슈의 검토

(1) 개인정보 보유 현황 파악

본격적으로 《개인정보보호법》 관련 실사를 진행하기 전에 먼저 대상 회사의 개인정보 보유 현황에 대해 파악하는 것이 필요하다. 이때의 주안점은 개인정보와 관련해서 《개인정보보호법》 의 어느 부분이 주로 문제 될 수 있는지, 가중된 의무를 부담할 사정은 없는지, 개인정보보호법 이외에 관련된 다른 법의 적용을 받는지 여부 등을 파악하는 것이다. 실사 시점을 기준으로 보유한 개인정보의 수량은 몇 개인지, 어떤 유형의 개인정보가 수집되는지, 주로 어떤 경로로 수집되는지, 개인정보의 주요 활용 용도는 무엇인지 등에 관한 정보들은 적용 법규를 빠짐없이 인지하고, 《개인정보보호법》상 주요 검토 분야를 정하는 데 도움이 된다.

이를테면 《개인정보보호법》 제28조에 따르면 금융계좌 정보와 14세 미만의 미성년자의 개인정보는 민감 개인정보에 속한다. 민감정보 처리는 《개인정보보호법》 제29조에 따라 단독으로 동의를 받아야 하고, 제30조에 따라 기본적인 고지 사항 이외에도 민감 개인정보 처리의 필요성과 개인의 권익에 미치는 영향을 추가적으로 고지해야 하는 등 가중된 의무를 부담한다.

개인정보가 어떠한 경로로 수집되는지도 중요하다. 수집 경로에 따라 동의를 받는 방법이 달라질 수 있기 때문이다. 주로 현장에서 종이 동의서와 함께 수집되는지, 외부 업체가 제작한 APP를 통해 수집되는지 등은 동의서의 보관 문제, 개인정보 처리(이 경우 수집에 해당한다)의 위탁이 발생하는지 등의 이슈를 파악하는 데 도움이 된다. 이러한 현황 파악을 통해 적용 법률, 법규를 빠짐없이 찾아내고, 개인정보 보호 관련 주요 실사 포인트를 확인할 수 있다.

이하에서는 《개인정보보호법》 관련 이슈를 해당 법에서 정하는 ➊각종 개인정보 관리, 보호의무 조치 관련 이슈와 ➋해당 조치들에 따라 발생하는 정보 주체와의 관계 이슈로 나누어 살펴보고자 한다.

(2) 개인정보 관리, 보호 의무 조치 관련 이슈

《개인정보보호법》에 규정된 관리, 보호의무 조치는 크게 관리적 조치와 개인정보 처리에 필요한 조치로 나누어 생각해 볼 수 있다.

 A. 관리적 조치 의무에 관한 이슈

관리적 조치 의무는 두 가지 관점에서 검토할 수 있다. 첫째는, 의무 이행 여부에 대한 확인과 증거 자료의 확보이고, 둘째는 대상 회사의 관리적 조치 수준에 대한 평가 및 매수자와의 비교이다.

먼저, 《개인정보보호법》에 규정된 주요 관리적 의무는 주로 개인정보 보호 책임자를 지정하고 있는지, 개인정보 처리 조작 권한은 어떻게 구분, 관리되는지, 개인정보를 분류하여 관리하는지, 정기적으로 개인정보 안전 교육을 하는지, 개인정보 처리에 암호화 등의 안전 기술 조치를 취하는지, 정기적으로 준법 감사를 실시하는지, 개인정보의 처리가 개인정보 보호 관점에서 어떠한 영향이 있는지에 대해 평가(영향 평가)를 실시하는지, 개인정보 안전사고가 발생했을 때 적용될 수 있는 응급 대비책이 있는지, 《개인정보보호법》에서 규정하는 개인정보에 대한 정보 주체의 권리를 보장하는 절차가 마련되어 있는지 등을 포함한다. 각 관리적 조치가 이루어지고 있는지, 그리고 정부 당국의 조사와 관련하여, 각 의무 조치들에 관해 어떠한 형태의 실시 증거 자료들을 제시할 수 있는지 확인하는 것이 실사의 기본적인 토대를 이룬다.

다음으로는, 대상 회사의 관리적 조치를 전반적으로 평가하고, 평가 결과를 매수자의 관리적 조치와 비교해볼 필요가 있다. 만약 전반적인 관리적 조치에 미흡한 점들이 발견된다면, 과거에 개인정보 안전사고가 있었을 위험까지 평가할 필요가 있다. 또한 두 당사자 간 관리적 의무 조치의 수준 차이가 크다면, 인수, 합병 전후로 대상 회사에 추가적으로 취해야 할 조치들이 있을 수 있다. 이에 따라 향후 추가적인 관리 비용이나 시간이 소모될 수 있으므로, 양 당사자는 거래 중에 개인정보 보호 수준의 차이에 대해 인지할 필요가 있다.

 B. 개인정보 처리에 필요한 조치 의무 관련 이슈

《개인정보보호법》은 개인정보의 수집, 위탁, 기타 개인정보처리자 제공(제3자 제공), 경외 제공, 민감 개인정보 등의 처리 과정에서 준수해야 할 의무 조치들을 규정하고 있다. 크게 정보 주체의 동의를 받을 의무, 동의를 받을 시 고지의무, 기타 감독 의무 등의 이행 여부에 유의하여 실사를 진행할 필요가 있다.

일반적으로 《개인정보보호법》에 따른 개인정보 처리를 위한 법적 근거로서 정보 주체의 동의가 활용된다. 대상 회사가 영위하는 사업에서 필수적으로 수반되는 개인정보의 수집, 보관, 제3자 제공, 경외 제공, 공개 등의 각종 처리 활동에 대해 개인의 동의를 받았는지 그리고 동의서 등의 증빙자료를 확보할 수 있는지 확인해야 한다. 하지만 개인정보의 위탁 처리에 관련해서는 앞서 언급한 바와 같이, 개인의 동의를 받을 필요는 없고, 수탁 업체와 개인정보 위탁에 따른 권리와 의무를 약정하고, 수탁업체를 감독할 의무가 있다.

이에 따라 수탁 업체에 의해 개인정보가 유출될 경우 등, 수탁 업체의 개인정보 처리 행위가 위탁 회사의 법률책임에 영향을 미칠 수 있는 상황이 발생할 수 있다. 따라서 개인정보 처리 수탁업체 현황과 수탁 업체의 개인정보 관리 수준 및 부당한 개인정보 처리에 대한 책임을 확인할 필요가 있다.

특히 한중 M&A 전후로 개인정보의 경외 제공, 예를 들어, 중국에서 수집된 개인정보를 한국에 있는 본사로 전송할 수 있는지가 중요하게 고려된다. 인수 합병에 따른 대상 기업 근로자의 개인정보의 한국 본사 이전뿐만 아니라 대상 회사가 중국에서 수집한 고객 개인정보의 본사 이전도 모두 《개인정보보호법》상 경외 제공에 해당할 수 있기 때문이다. 《개인정보보호법》 제38조, 제39조에 따르면, 개인정보의 경외 제공을 위해서는 아래 조치가 요구된다.

① 전제 : 국가 인터넷 정보 부처의 안전평가, 또는 전문 기관의 개인정보 보호 인증, 또는 국가 인터넷정보 부처가 정한 표준 계약을 통한 경외 개인정보 수령자와의 계약 ② 개인정보 보호 영향평가 및 처리 상황 기록 ③ 경외 제공에 관한 개인의 동의를 받을 때, 경외 수령자의 명칭, 연락처 등 《개인정보보호법》 제39조에 따른 내용을 고지하고 “단독”으로 동의를 받아야 함 ④ 법률, 행정법규 또는 국가 인터넷 정보 부처에서 규정한 기타 조건 ⑤ 개인정보 수령자의 개인정보 보호 수준이 중국 《개인정보보호법》의 표준에 부합하도록 보장

첫째, 전제 조건 관련하여, 기업 입장에서 자체적으로 취할 수 있는 조치는 바로 경외 수령자와 개인정보 경외 제공과 관련한 권리 의무를 정하는 계약을 체결하는 것이다. 《개인정보보호법》 이외에 경외 제공을 위해 당사자 간 체결되는 계약에 포함되어야 할 내용들을 열거한 다른 규정들을 통해 위 “표준 계약”의 내용을 유추할 수 있으나, 아직 해당 “표준 계약”이 정식으로 공표되지 않았다. 이에 따라 “표준 계약”의 공표 여부 및 관련 법률 법규 제정 추이를 모니터링해야 한다.

둘째, 개인정보를 경외 즉 한국으로 전송하기 위해서는 이에 대해 개인의 단독 동의를 받아야 하는데, 경외 제공되는 개인정보의 수량이 많을 경우, 모든 개인정보에 대해 동의를 받는 절차를 진행하는 것도 실무적으로 쉽지 않고, 절차를 진행하여 100% 동의를 받는다는 것도 실질적으로 보장받기 어려울 수 있다. 이에 따라 개인정보가 중요한 사업인 경우, 거래 당사자들이 대상 회사가 보유한 개인정보를 적법하게 이용할 수 있는 방법을 실무적인 관점에서 논의하여 거래 가격 또는 구조를 협의할 필요가 있다.

셋째, 개인정보 수령자(한국 본사)의 개인정보 보호 수준이 문제 될 수 있다. 한국의 경우 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 제도가 있으므로, 한국 본사가 이러한 인증을 받는다면 한국 내에서의 개인정보 관리에 대한 신뢰성 확보와 더불어 개인정보의 국경 간 이전에도 도움이 될 수 있다.

결국 개인정보 처리와 관련한 조치 의무들과 관련한 실사에서는 법정된 조치들의 시행 여부를 파악하여 법률 위험을 파악하는 것뿐 아니라, 실제로 인수 합병의 사업상 목적을 달성하기 위해 필요한 개인정보를 적법하게 처리할 수 있는 조치를 미리 발견하는 것이 중요하다. 특히 후자의 조치들은 인수 합병 거래의 종결에 실무적인 부담으로 작용할 수 있다는 점에 유의해야 한다.

(3) 정보 주체와의 관계 관점에서 검토할 사항

우선 대외적으로 공개되는 개인정보처리 규칙(방침)을 확인할 필요가 있다. 《개인정보보호법》 제7조, 17조 등에서 한국과 마찬가지로 개인정보 처리에 대한 규칙을 공개하도록 규정하고 있고, 법률에 의해 공개할 의무가 있는 처리 규칙(방침)은 각 정보 주체가 개인정보 제공 여부를 결정하는데 중요한 근거가 된다. 따라서 공개된 규칙(방침)의 내용을 확인하고, 이를 매수자가 공개하는 개인정보 처리 규칙(방침)과 비교하여 어떤 점에서 차이가 있는지 파악하는 것이 중요하다.

하지만 보다 직접적으로 문제가 될 수 있는 부분은 개인정보 처리(수집) 동의서의 고지 내용이다. 《개인정보보호법》 제17조는 개인정보의 처리 전에 “➊ 개인정보처리자의 명칭 또는 신분 및 연락처, ➋ 개인정보의 처리 목적, 처리 방식, 처리하는 개인정보의 유형, 보존 기한, ➌ 개인이 본 법률에 규정된 권리를 행사하는 방식 및 절차, ➍ 법률, 행정법규에서 고지해야 한다고 규정한 기타 사항” 등을 고지할 것을 정하고 있다. 이와 더불어 민감정보의 처리, 기타 개인정보 처리자 제공, 경외 제공 등에 대해서는 기본 고지 사항에 더불어 추가적으로 고지할 사항을 정하고 있다. 따라서 개인정보처리 동의서가 따로 정해져 있다면, 해당 동의서에 법정된 고지사항이 모두 적절하게 제시되어 있는지, 그리고 실제로 고지된 내용 범위 내에서 개인정보 처리 활동이 이루어지고 있는지 확인해야 한다.

예를 들어 만약 동의된 범위를 벗어나 개인정보가 처리(보관 포함)되고 있다면, 법률에 근거하지 않은 위법한 처리에 해당할 수 있다. 1년 등 일정한 기간을 기준으로 개인정보 보존 기간을 고지하였다면, 기간이 만료된 후에는 《개인정보보호법》 제47조에 의해 삭제 의무가 발생한다. 이에 따라, 고지된 기간을 지나 계속 보관 중인 개인정보가 많다면 위법한 개인정보의 처리로서 법률 위험이 발생할 수 있다. 또한 개인정보의 보존 기한을 일일이 확인하여 재동의를 받거나 삭제하는 조치를 취하는 데에는 실무적으로 적지 않은 비용과 시간이 들 수 있어, 매수자로서는 부담이 될 수 있다는 점을 고려해야 한다.

이처럼 공개된 개인정보처리 규칙, 업무 중에 수집된 다양한 형태의 개인정보처리 동의서의 고지 내용은 정보 주체와의 관계에서 대상 회사가 준수해야 할 사항을 구체적으로 정하고 있기 때문에, 법률 위험 및 매수자의 조치 부담에 직접적인 영향을 미치므로 면밀히 검토할 필요가 있다.

이상에서와 같이 ➊ 개인정보 보유 현황 파악, ➋ 《개인정보보호법》이 규정한 관리, 보호조치 시행 여부, ➌ 정보 주체와의 관계 관점에서 검토를 마치면, 해당 인수 합병 거래에서 개인정보 보호와 관련한 법률 위험의 내용과 이슈를 도출할 수 있다. 이제는 인수 합병 거래 계약서에서 발견된 법률 위험을 분담하고, 해결 조치들을 누가 언제까지 취할 것인가 등을 정해야 한다.

M&A 계약 및 거래 실행 단계에서의 《개인정보보호법》 이슈 대처 방안

《개인정보보호법》 제66조는 “앞의 조항에 규정된 위법 행위가 있고 정황이 심각한 경우, 성(省) 단위 이상의 개인정보보호 직무수행 부처가 개정을 명령하고, 위법 소득을 몰수하며, 5천만 위안 이하 또는 전년도 매출액의 5% 이하의 벌금에 처한다(하략)”고 규정하고 있다. 특히 전년도 매출액의 5%에 상당하는 벌금은 기업의 매출 규모에 따라 상당한 재무적 위험을 의미할 수 있다. 이에 따라 개인정보 보호 관련 실사를 통해 발견된 법률 위험을 제거하거나 계약 조항을 통해 양 당사자 간 합리적으로 분배하는 것이 권장된다.

우선 인수 합병 계약서에서 진술과 보장 조항은 개인정보 보호 관련 실사 과정에서 파악된 법률 위험을 각 당사자 간 분담하는데 유용하게 쓰일 수 있다. 이를테면 온라인 쇼핑몰과 같이 대량의 개인정보를 기반으로 사업을 오랫동안 영위한 경우, 개인정보 유출 사고가 있었거나, 사고가 있었지만 대상회사조차 사고 발생 사실을 인지하지 못하고 있을 가능성이 있다. 따라서 실사 과정에서 개인정보에 대한 관리에 미흡한 점이 다수 발견되었다면 과거에 개인정보 유출 사고가 없었음을 진술, 보장하도록 하거나 유출 사고로 인해 발생할 수 있는 손해배상 등에 대한 대응 방안을 계약서에 반영하도록 할 수 있다.

또한 M&A 거래 실행 과정에서의 개인정보 처리에 따른 부담을 조기에 발견하고 해결 방안을 마련한 필요가 있다. 개인의 동의 수령 절차가 누락되었거나, 재동의를 받아야 하는 경우, 인수 합병 계약 실행 과정에서의 개인정보의 경외 이전에 대한 동의가 필요한 경우 등에 있어서는 그러한 절차의 완비를 선결조건으로 정하거나, 중대한 부담으로 평가될 경우 거래 가격 등에 반영할 것을 고려할 수 있다. 즉 진술과 보장, 선결조건, 거래 가격, 거래 구조 등 거래 계약의 다양한 요소를 통해 《개인정보보호법》 관련한 실사를 통해 파악된 법률 위험과 각종 부담을 사전에 제거, 경감하거나 남아 있는 문제에 대한 대응 방안을 마련할 수 있다.

맺음말

개인정보 보호 강화는 전 세계적인 추세라고 볼 수 있다. 이러한 개인정보 보호 강화추세는 정부와의 관계에서 준법 이슈에 영향을 미칠 뿐 아니라, 기업의 서비스를 이용하는 소비자 즉 정보 주체와의 관계에서 존재하는 이슈, 다른 기업과의 관계에서 서로 다른 개인정보 보호 정책을 적용함에 따라 발생하는 문제 등 다양한 방식으로 기업 활동에 영향을 준다. 이에 따라 행정 기관이 부과하는 벌금의 형태로, 개인정보 유출 피해자들의 집단 소송으로, 인터넷 플랫폼 기업의 개인정보 보호정책 변경에 대한 SNS 서비스 회사의 반발의 형태로 개인정보 보호 관련 각종 위험이 현실화하기도 한다.

그동안 개인정보 보호 이슈가 한중 M&A 과정에서 큰 비중을 차지하지 않았을 수 있지만, 개인정보 보호 법제 정비는 규제 현실 및 당사자 간의 법률관계에 변화를 가져올 수 있다. 이에 상술한 바와 같이, 인수 합병 과정에서도 《개인정보보호법》의 제정과 시행으로 인한 법률 환경 변화와 그에 따른 위험과 부담을 체계적으로 검토하고, 대응할 필요가 있다.

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA 공식의견이 아님을 알려드립니다.