실사를 위한 개인정보 이전, 거래종결을 위한 개인정보 이전 문제
[보안뉴스= 김성민 김·장법률사무소 변호사] 개인정보보호법 제정 이전부터 개인정보는 여러 거래관계에서 큰 문제의식 없이 처리되어 왔다. 그러다가 개인정보보호법이 제정되어 시행되었는데, 그 결과 개인정보를 처리하기 위해서 다양한 규제를 도입하여 거래관계에 적지 않은 부담과 비용을 불러일으키고 있다.
특히, 개인정보보호법은 개인정보의 처리를 위해서 원칙적으로 정보주체의 동의를 받도록 규정하고 있는데, 수많은 개인정보를 처리하는 거래관계에서는 일일이 정보주체의 동의를 받는 것이 현실적으로 불가능한 경우가 많아서 사업자들로 하여금 법률 위반의 위험을 감수하고서 개인정보를 동의 없이 처리하도록 하거나, (결과적으로 아무 문제없이 지나갈 문제임에도) 불필요하게 절차를 지연하고 비용을 들여서까지 정보주체의 동의를 받는 것 중에 선택하게끔 만든다. 이러한 딜레마 사이에 고민하게 만드는 대표적인 거래관계가 바로 M&A다.
M&A는 기업의 인수, 합병을 의미하는데, 이 글에서는 주식 매매, 영업양수도, 자산양수도, 합병 등을통해서 기업이나 사업에 대한 소유권을 취득하는 것을 지칭하기로 한다. M&A를 하기 전에 통상적으로 인수하고자 대상회사가 법률상·회계상 문제가 없는지 살펴보고 가치를 평가하기 위해서 실사(duediligence)를 진행하는데, 실사를 진행하는 과정에서 다량의 개인정보가 이전될 필요가 있다.
다른 한편, 실사가 완료된 후에 실제로 기업을 인수하는 과정에서 양도회사가 양수회사에 직원이나 고객들의 개인정보를 이전할 필요가 있다. 즉, M&A에서 개인정보보호법은 (1)실사를 위한 개인정보 이전 (2)거래종결을 위한 개인정보 이전이라는 두 가지 측면에서 문제가 된다.
실사를 위한 개인정보 이전
실사를 위해서 통상 양수회사는 양도회사에 여러 자료를 요청하는데, 그러한 자료에는 개인정보가 포함되어 있을 수밖에 없다. 가령, 영업계약에 관한 자료에는 개인고객들 또는 법인고객 담당자의 성명,직위, 연락처, 주민등록번호가 인사노무에 관한 자료에는 직원의 직급, 나이, 사원번호, 급여가 포함되어 있다.
원칙적으로 이들 자료를 제공하기 위해서는 정보주체의 동의를 받아야 하는데, M&A는 직원들에게 공개하지 않고 비밀리에 추진되어야 하는 경우가 대부분이다. 양도회사 입장에서 M&A가 이루어질 것이라는 소식이 공개될 경우, 해당 거래의 기밀성이 상실되어 심각한 부작용이 발생하기도 하고 직원들이 자신들의 고용안정이 위협을 받을 수 있을 것이라고 생각하여 직장 분위기에 악영향을 미치기도 하는 등, 여러 문제들이 발생할 수 있다.
다른 한편, 양수회사 입장에서도 M&A 소식이 양도회사의 고객 등을 통해서 외부 시장에 공개된다면 다른 회사들이 인수 경쟁에 참여하여 인수 비용이 증가할 여지도 있고, 양도회사든 양수회사든 상장기업일 경우에는 투자자들의 투자에 영향을 미쳐 공정한 시장가격에 따른 거래를 방해할 여지도 있다. 이러한 이유로 M&A의 초기 단계에 당사 회사들 간에 비밀유지약정을 체결하는데, 개인정보보호법상 정보주체로부터 동의를 받도록 한다면 비밀유지약정의 취지를 몰각하게 된다.
개인정보보호법 제27조는 영업양도 등의 경우 개인정보 이전에 관하여 규율하고 있으나, M&A를 통해서 개인정보가 이전되는 경우에 대해서만 규율하고 있을 뿐, M&A 전에 실사 과정에서 개인정보가 이전되는 경우에 대해서는 규율하고 있지 않다.
결국 개인정보의 제공에 관한 일반 조항이 적용되게 되는데, 개인정보보호법 제17조는 개인정보를 제3자에게 제공하는데 원칙적으로 동의를 받도록 하면서 일정한 예외에 해당할 경우 동의 없이 처리하도록 하고 있으나, M&A에서 실사를 위한 경우는 어느 예외사유에도 해당하기 어렵다(개인정보보호법은 수집·이용의 경우와는 달리 제3자 제공의 예외사유에 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우를 포함시키지 않음으로써 예외를 상당히 좁게 허용하고 있다).
이러한 문제를 해결하기 위해서 실사를 위한 개인정보 이전이 제3자 제공이 아니라 개인정보 처리업무 위탁에 해당(따라서 정보주체의 동의가 불필요)한다는 논리 구성을 생각해볼 수 있으나, 기본적으로 실사는 개인정보처리자인 양도회사의 업무목적을 위해서라기보다는 양수회사의 업무 목적을 위한 것이라는 점에서 이를 위탁으로 구성하는 데에는 한계가 있다.
이를 해결하기 위해서 최근에는 실사 자료에서 개인을 알아볼 수 없도록 일부분을 삭제하여 양수회사에 제공하는 경우가 있으며, 이러한 실무 관행은 바람직한 것으로 볼 수 있다. 그러나 어떠한 경우에는 반드시 특정 개인을 알아볼 수 있는 정보를 제공받아야 하는 경우도 있고(가령, 특정 직원의 급여 지급 내역이나 특정 직원과의 약정을 검토할 필요가 있는 경우), 실사 이후 실제로 거래가 성사되지 않는 경우도 많기 때문에 사업자들에게 항상 개인정보 중 일부를 삭제할 것을 기대하기란 어렵다.
궁극적으로 이 부분은 입법을 통해서 해결해야 할 문제로 보이는데, M&A의 특수성을 고려하여(마치개인정보 처리 업무를 위탁하는 경우와 마찬가지로) 양도회사와 양수회사 간 정보주체의 개인정보를 보호하기 위한 조치를 마련할 수 있는 일정한 약정을 체결하도록 하고, 사전 동의까지는 필요 없지만 실사이후 M&A 거래가 종결(인수하지 않기로 최종 확정된 경우 포함)된 때에 정보주체에게 통지하거나 홈페이지 등을 통해 공개하고, 만일 인수하지 않기로 최종 확정되었다면 이전된 개인정보를 반환하거나 폐기하도록 하는 장치가 도입될 필요가 있다. 이렇게 함으로써 M&A의 특수성을 반영하면서도 정보주체의 권리를 보호할 수 있을 것이다.
거래종결을 위한 개인정보 이전
M&A 거래종결을 위해 개인정보 이전에 관하여 규율하고 있는 것이 개인정보보호법 제27조이며, 이 규정에 따라 개인정보 처리자는 동의 없이 단순 통지만으로 개인정보를 이전할 수 있다. 그런데 이 규정은 M&A에서 발생할 수 있는 수많은 상황 중 극히 일부에만 적용됨으로써 수많은 문제를 미해결 과제로 남겨두고 있다.
첫째, 이 규정은 영업의 전부 또는 일부의 양도, 합병 등에만 적용이 된다. 그리고 이에 대해서 행정자치부는 영업양도나 합병과 같이 포괄승계가 이루어지는 거래에만 적용이 된다고 해석하고 있다. 그 결과 M&A에서 상당 부분을 차지하고 있는 주식매매나 특정승계에 해당하는 자산양수도 거래에는 위 규정이 적용되지 않고, 따라서 다시 원칙으로 돌아가 동의를 받도록 요구한다.
둘째, 이 규정은 영업양도나 합병으로 개인정보를 다른 사람에게 이전하는 경우에 정보주체에게 알려야 한다고 규정하고 있는데, 이는 실무상으로는 계약 체결 이후에 실제로 영업양도나 합병의 효력이 발생하는 때를 기준시점으로 사전 통지나 공고를 해야 한다고 해석된다. 그런데 M&A는 통상 위와 같이 영업양도나 합병의 효력이 발생하기 수개월 전에 계약을 체결하고, 그 계약의 별지나 첨부 목록에 개인정보가 포함되는 경우가 있는데, 이와 같이 M&A 계약 체결 당시의 개인정보를 이전하는데 위 규정이 적용될 수 있는지 여부에 대해서는 의문의 여지가 있다.
셋째, M&A는 수시로 사정이 변경되어 계약이 해제되거나 계약이 변경될 수 있는데, 이와 같은 사정변경 시 어떻게 처리해야 하는지에 대해서 역시 규제 공백이 존재한다. 가령, 개인정보가 이전된다고 정보주체에게 통지를 했는데 계약이 해제되어 개인정보를 이전하지 않게 된 경우에 현행 법령상으로는 다시 통지를 할 의무가 없다. 또한, M&A 계약에는 많은 경우 양수회사가 계약상 지위를 계열사나 제3자에게 이전할 수 있는 조항을 두고 있는데, 이처럼 정보주체에게 통지 이후에 양수회사가 변경된 경우에 정보주체에게 재통지를 해야 하는지, 아니면 최초 통지에 양수회사 변경 가능성을 명시하였으면 재통지가 필요 없는지 등은 논란의 여지가 있다.
개인적인 의견으로는 주식매매에서 거래종결을 위해서 반드시 개인정보가 이전될 필요성은 다른M&A에 비하면 떨어지지만, 중요한 자산양수도의 경우에는 자본시장과 금융투자업에 관한 법률 등과 같이 다른 법령에서도 영업양수도와 동일한 취급을 함으로써 제27조의 범위에 포함시키는 것이 바람직하다. 또한, 제27조의 입법취지가 M&A 거래과정에서 사업자의 부담을 경감시켜 주기 위한 것이라는 점을 고려한다면 제27조를 반드시 M&A 효력이 발생하는 때를 기준시점으로 한정할 필요가 없고 M&A 계약 체결 시점 이전에 통지를 하는 것으로 충분하고 별도 동의를 할 필요가 없다고 보는 것이 타당하다(이 경우 거래종결 시점에 계약체결 시점 통지 내역과 달라진 내용이 없다면 거래종결 시점에 별도통지를 할 필요가 없으나 만일 사정이 달라졌다면 별도 통지 필요).
마지막으로 통지 이후 사정이 변경된 경우에는 원칙적으로는 재통지를 해주는 것이 바람직하지만, 만일 통지 당시에 사정 변경 가능성을 알려주었다면 재통지를 면제해주거나 아니면 통지가 아닌 공고만으로 정보주체의 권리를 보호할 필요가 있다. 이러한 부분 역시 궁극적으로는 입법을 통해서 해결할 필요가 있고 현행 개인정보보호법 제27조를 보다 정치한 내용으로 개정할 필요가 있겠으나, 그 전까지는 일면 해석으로도 해결이 가능한 것으로 보이고, 해석상의 다툼을 막기 위해서 유관기관에서 유권해석을 내거나 관련 해설서나 가이드라인을 개정하거나 새로 제정해주는 것이 바람직하다.
[글_ 김성민 김·장법률사무소 변호사]
[보안뉴스= 김성민 김·장법률사무소 변호사] 개인정보보호법 제정 이전부터 개인정보는 여러 거래관계에서 큰 문제의식 없이 처리되어 왔다. 그러다가 개인정보보호법이 제정되어 시행되었는데, 그 결과 개인정보를 처리하기 위해서 다양한 규제를 도입하여 거래관계에 적지 않은 부담과 비용을 불러일으키고 있다.
특히, 개인정보보호법은 개인정보의 처리를 위해서 원칙적으로 정보주체의 동의를 받도록 규정하고 있는데, 수많은 개인정보를 처리하는 거래관계에서는 일일이 정보주체의 동의를 받는 것이 현실적으로 불가능한 경우가 많아서 사업자들로 하여금 법률 위반의 위험을 감수하고서 개인정보를 동의 없이 처리하도록 하거나, (결과적으로 아무 문제없이 지나갈 문제임에도) 불필요하게 절차를 지연하고 비용을 들여서까지 정보주체의 동의를 받는 것 중에 선택하게끔 만든다. 이러한 딜레마 사이에 고민하게 만드는 대표적인 거래관계가 바로 M&A다.
M&A는 기업의 인수, 합병을 의미하는데, 이 글에서는 주식 매매, 영업양수도, 자산양수도, 합병 등을통해서 기업이나 사업에 대한 소유권을 취득하는 것을 지칭하기로 한다. M&A를 하기 전에 통상적으로 인수하고자 대상회사가 법률상·회계상 문제가 없는지 살펴보고 가치를 평가하기 위해서 실사(duediligence)를 진행하는데, 실사를 진행하는 과정에서 다량의 개인정보가 이전될 필요가 있다.
다른 한편, 실사가 완료된 후에 실제로 기업을 인수하는 과정에서 양도회사가 양수회사에 직원이나 고객들의 개인정보를 이전할 필요가 있다. 즉, M&A에서 개인정보보호법은 (1)실사를 위한 개인정보 이전 (2)거래종결을 위한 개인정보 이전이라는 두 가지 측면에서 문제가 된다.
실사를 위한 개인정보 이전
실사를 위해서 통상 양수회사는 양도회사에 여러 자료를 요청하는데, 그러한 자료에는 개인정보가 포함되어 있을 수밖에 없다. 가령, 영업계약에 관한 자료에는 개인고객들 또는 법인고객 담당자의 성명,직위, 연락처, 주민등록번호가 인사노무에 관한 자료에는 직원의 직급, 나이, 사원번호, 급여가 포함되어 있다.
원칙적으로 이들 자료를 제공하기 위해서는 정보주체의 동의를 받아야 하는데, M&A는 직원들에게 공개하지 않고 비밀리에 추진되어야 하는 경우가 대부분이다. 양도회사 입장에서 M&A가 이루어질 것이라는 소식이 공개될 경우, 해당 거래의 기밀성이 상실되어 심각한 부작용이 발생하기도 하고 직원들이 자신들의 고용안정이 위협을 받을 수 있을 것이라고 생각하여 직장 분위기에 악영향을 미치기도 하는 등, 여러 문제들이 발생할 수 있다.
다른 한편, 양수회사 입장에서도 M&A 소식이 양도회사의 고객 등을 통해서 외부 시장에 공개된다면 다른 회사들이 인수 경쟁에 참여하여 인수 비용이 증가할 여지도 있고, 양도회사든 양수회사든 상장기업일 경우에는 투자자들의 투자에 영향을 미쳐 공정한 시장가격에 따른 거래를 방해할 여지도 있다. 이러한 이유로 M&A의 초기 단계에 당사 회사들 간에 비밀유지약정을 체결하는데, 개인정보보호법상 정보주체로부터 동의를 받도록 한다면 비밀유지약정의 취지를 몰각하게 된다.
개인정보보호법 제27조는 영업양도 등의 경우 개인정보 이전에 관하여 규율하고 있으나, M&A를 통해서 개인정보가 이전되는 경우에 대해서만 규율하고 있을 뿐, M&A 전에 실사 과정에서 개인정보가 이전되는 경우에 대해서는 규율하고 있지 않다.
결국 개인정보의 제공에 관한 일반 조항이 적용되게 되는데, 개인정보보호법 제17조는 개인정보를 제3자에게 제공하는데 원칙적으로 동의를 받도록 하면서 일정한 예외에 해당할 경우 동의 없이 처리하도록 하고 있으나, M&A에서 실사를 위한 경우는 어느 예외사유에도 해당하기 어렵다(개인정보보호법은 수집·이용의 경우와는 달리 제3자 제공의 예외사유에 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우를 포함시키지 않음으로써 예외를 상당히 좁게 허용하고 있다).
이러한 문제를 해결하기 위해서 실사를 위한 개인정보 이전이 제3자 제공이 아니라 개인정보 처리업무 위탁에 해당(따라서 정보주체의 동의가 불필요)한다는 논리 구성을 생각해볼 수 있으나, 기본적으로 실사는 개인정보처리자인 양도회사의 업무목적을 위해서라기보다는 양수회사의 업무 목적을 위한 것이라는 점에서 이를 위탁으로 구성하는 데에는 한계가 있다.
이를 해결하기 위해서 최근에는 실사 자료에서 개인을 알아볼 수 없도록 일부분을 삭제하여 양수회사에 제공하는 경우가 있으며, 이러한 실무 관행은 바람직한 것으로 볼 수 있다. 그러나 어떠한 경우에는 반드시 특정 개인을 알아볼 수 있는 정보를 제공받아야 하는 경우도 있고(가령, 특정 직원의 급여 지급 내역이나 특정 직원과의 약정을 검토할 필요가 있는 경우), 실사 이후 실제로 거래가 성사되지 않는 경우도 많기 때문에 사업자들에게 항상 개인정보 중 일부를 삭제할 것을 기대하기란 어렵다.
궁극적으로 이 부분은 입법을 통해서 해결해야 할 문제로 보이는데, M&A의 특수성을 고려하여(마치개인정보 처리 업무를 위탁하는 경우와 마찬가지로) 양도회사와 양수회사 간 정보주체의 개인정보를 보호하기 위한 조치를 마련할 수 있는 일정한 약정을 체결하도록 하고, 사전 동의까지는 필요 없지만 실사이후 M&A 거래가 종결(인수하지 않기로 최종 확정된 경우 포함)된 때에 정보주체에게 통지하거나 홈페이지 등을 통해 공개하고, 만일 인수하지 않기로 최종 확정되었다면 이전된 개인정보를 반환하거나 폐기하도록 하는 장치가 도입될 필요가 있다. 이렇게 함으로써 M&A의 특수성을 반영하면서도 정보주체의 권리를 보호할 수 있을 것이다.
거래종결을 위한 개인정보 이전
M&A 거래종결을 위해 개인정보 이전에 관하여 규율하고 있는 것이 개인정보보호법 제27조이며, 이 규정에 따라 개인정보 처리자는 동의 없이 단순 통지만으로 개인정보를 이전할 수 있다. 그런데 이 규정은 M&A에서 발생할 수 있는 수많은 상황 중 극히 일부에만 적용됨으로써 수많은 문제를 미해결 과제로 남겨두고 있다.
첫째, 이 규정은 영업의 전부 또는 일부의 양도, 합병 등에만 적용이 된다. 그리고 이에 대해서 행정자치부는 영업양도나 합병과 같이 포괄승계가 이루어지는 거래에만 적용이 된다고 해석하고 있다. 그 결과 M&A에서 상당 부분을 차지하고 있는 주식매매나 특정승계에 해당하는 자산양수도 거래에는 위 규정이 적용되지 않고, 따라서 다시 원칙으로 돌아가 동의를 받도록 요구한다.
둘째, 이 규정은 영업양도나 합병으로 개인정보를 다른 사람에게 이전하는 경우에 정보주체에게 알려야 한다고 규정하고 있는데, 이는 실무상으로는 계약 체결 이후에 실제로 영업양도나 합병의 효력이 발생하는 때를 기준시점으로 사전 통지나 공고를 해야 한다고 해석된다. 그런데 M&A는 통상 위와 같이 영업양도나 합병의 효력이 발생하기 수개월 전에 계약을 체결하고, 그 계약의 별지나 첨부 목록에 개인정보가 포함되는 경우가 있는데, 이와 같이 M&A 계약 체결 당시의 개인정보를 이전하는데 위 규정이 적용될 수 있는지 여부에 대해서는 의문의 여지가 있다.
셋째, M&A는 수시로 사정이 변경되어 계약이 해제되거나 계약이 변경될 수 있는데, 이와 같은 사정변경 시 어떻게 처리해야 하는지에 대해서 역시 규제 공백이 존재한다. 가령, 개인정보가 이전된다고 정보주체에게 통지를 했는데 계약이 해제되어 개인정보를 이전하지 않게 된 경우에 현행 법령상으로는 다시 통지를 할 의무가 없다. 또한, M&A 계약에는 많은 경우 양수회사가 계약상 지위를 계열사나 제3자에게 이전할 수 있는 조항을 두고 있는데, 이처럼 정보주체에게 통지 이후에 양수회사가 변경된 경우에 정보주체에게 재통지를 해야 하는지, 아니면 최초 통지에 양수회사 변경 가능성을 명시하였으면 재통지가 필요 없는지 등은 논란의 여지가 있다.
개인적인 의견으로는 주식매매에서 거래종결을 위해서 반드시 개인정보가 이전될 필요성은 다른M&A에 비하면 떨어지지만, 중요한 자산양수도의 경우에는 자본시장과 금융투자업에 관한 법률 등과 같이 다른 법령에서도 영업양수도와 동일한 취급을 함으로써 제27조의 범위에 포함시키는 것이 바람직하다. 또한, 제27조의 입법취지가 M&A 거래과정에서 사업자의 부담을 경감시켜 주기 위한 것이라는 점을 고려한다면 제27조를 반드시 M&A 효력이 발생하는 때를 기준시점으로 한정할 필요가 없고 M&A 계약 체결 시점 이전에 통지를 하는 것으로 충분하고 별도 동의를 할 필요가 없다고 보는 것이 타당하다(이 경우 거래종결 시점에 계약체결 시점 통지 내역과 달라진 내용이 없다면 거래종결 시점에 별도통지를 할 필요가 없으나 만일 사정이 달라졌다면 별도 통지 필요).
마지막으로 통지 이후 사정이 변경된 경우에는 원칙적으로는 재통지를 해주는 것이 바람직하지만, 만일 통지 당시에 사정 변경 가능성을 알려주었다면 재통지를 면제해주거나 아니면 통지가 아닌 공고만으로 정보주체의 권리를 보호할 필요가 있다. 이러한 부분 역시 궁극적으로는 입법을 통해서 해결할 필요가 있고 현행 개인정보보호법 제27조를 보다 정치한 내용으로 개정할 필요가 있겠으나, 그 전까지는 일면 해석으로도 해결이 가능한 것으로 보이고, 해석상의 다툼을 막기 위해서 유관기관에서 유권해석을 내거나 관련 해설서나 가이드라인을 개정하거나 새로 제정해주는 것이 바람직하다.
[글_ 김성민 김·장법률사무소 변호사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
