개인정보보호 규제 관점에서 바라본 M&A의 법적 쟁점 = Legal issues on M&A from the perspective of regulations on personal data protection
저자
발행기관
학술지명
권호사항
발행연도
2020
작성언어
-주제어
자료형태
학술저널
수록면
67-97(31쪽)
제공처
4차 산업혁명 시대로의 전환과 더불어 개인정보(또는 데이터)는 기업의 가장 중요한 자원의 하나가 되어 가고 있다. 이른바 플랫폼(platform) 기업이나 전자상거래(e-commerce) 기업들에 있어서는 더욱 그러하다. 이러한 패러다임(paradigm)의 변화 가운데 세계 각국은 다양한 입법을 통해 정보주체의 자기결정권을 실질적으로 보호하면서도 기업의 적절한 데이터 활용에 따른 산업의 발전을 도모하고 그로 인한 정보주체의 효익을 증대시켜나가고 있다. 우리나라도 이른바 ‘데이터 3법’을 중심으로 이를 규율해 오던 중 지난 2020. 8. 5. 데이터 3법 일부의 개정 시행을 통해 이러한 필요에 부응하고자 노력하고 있다.
산업 부문에서 기업은 그 영업활동 등 경영 과정에서뿐 아니라 기업의 인수합병(M&A) 과정에서도 인수자로서 대상회사 또는 영업양도자 등이 보유하고 있는 고객정보나 임직원 정보 등을 들여다보아야 하는 상황에 마주하게 된다. 이 글에서는 개인정보의 제공과 위탁을 구분하고 있는 정보보호 법규 하에서의 정보이전에 대한 규제를 간략히 개관하고 기업의 인수합병 시 적용되는 특례 규정의 내용과 그 물적·시적 적용범위, 그리고 이와 관련한 법률상 쟁점에 관해 살펴보았다. 또한, M&A 과정에서 실사 목적으로 개인정보를 이전하기 위해서는 어떠한 요건을 갖추어야 하는지, 기밀유지 약정과 개인정보보호는 어떠한 관계에 있는지, 그리고 개인정보의 국외 이전 문제를 수반하는 해외 클라우드 서비스 기반의 데이터 룸(data room) 개설 시 이에 대한 적법 요건들은 무엇인지에 대해 차례로 살펴보면서 입법적 개선의 필요성에 대한 문제의식을 공유하였다.
예컨대, 기업의 영업양도·합병 등으로 인해 개인정보를 이전하는 경우 개인정보보호법이 요구하는 사전통지절차는 거래의 현실과 맞지 않아 보이고 사후통지절차와 비교하여 볼 때 정보주체의 자기결정권을 더 잘 보호해준다고 단언하기도 어렵다. 개인정보보호 관련 규제가 엄격할수록 해당 규제의 실효성이나 정보주체의 권익 보호 수준이 반드시 비례하여 증가하는 것은 아니다. 합리적으로 수용 가능한 수준에서 정보주체의 권익 보호는 유지하면서도 산업적 패러다임 이동에 시의적절하게 대응해갈 수 있도록 개인정보보호 관련 규율의 전향적인 변화가 필요한 시점이다.
With the transition period to the era of the Fourth Industrial Revolution, personal information (or data) has been turning into one of the most critical resources for enterprises. This is even more so for the so-called platform or e-commerce companies. In the midst of such paradigm changes, countries around the world have been pursuing the industrial advancement by facilitating proper utilization of data and increasing the benefits of individuals accordingly while substantially protecting each individual’s right of self-determination through various legislation. Having regulated data issues according to what we call ‘3 data laws,’Korea has made an effort to meet the needs of such a trend through the implementation of these laws partly revised on August 5, 2020.
In the industrial sector, enterprises as business buyers get to come across the situation where they have to look into the information of customers or employees held by target companies or business sellers when they are in the M&A process as well as in the ordinary business course such as sales activities. This paper has briefly explained overall regulations on data transfers under data protection laws that discern between data provisions to a third party and data consignments for the outsourcing of data processing and looked into the exceptional stipulation applicable to M&A, its material and temporal scope of application and related legal issues. It has also brought the awareness of the necessity for legislative improvements while in turn examining what conditions are legally required for data transfers for the purpose of the due diligence in the M&A process and in what relationship non-disclosure agreements and personal data protection are. Lastly, in the same context, it has been reviewed what legal requirements should be met for using a cloud-based data room offered by overseas cloud service companies which involves cross-border transfers of personal data.
For instance, it seems that the prior notice process required by the Personal Information Protection Act for personal data transfers in the event of M&A does not reflect the realities of actual transactions. It is not evident either that such a process protects an individual’s right to self-determination of data much better compared to a post notification process if any. It is not always true that the stricter the regulations of personal data protection are, the more the validity of the regulations and the level of protection on individuals’ rights and benefits increase accordingly. It is time that proactive changes are required in order that appropriate measures might be taken in a timely manner according to the aforementioned industrial paradigm shift while the protection of individuals’ rights and benefits being maintained at a reasonably acceptable level.
분석정보
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)