데이터 보호 규제의 중요성 및 사례
2026년 5월 21일, 케냐 고등법원은 헌법 소원 E095/2026 사건에서 사파리콤(Safaricom PLC)의 데이터 유출에 대해 11명의 청원인에게 각각 90만 실링(Ksh.), 총 990만 실링의 손해 배상을 지급하라고 판결했다. 이번 판결은 기업이 내부 직원의 일탈 행위를 이유로 책임을 회피하던 관행을 정면으로 뒤집었다.
데이터 컨트롤러로서의 보안 의무는 위임 불가능하며, 내부 준수 부서나 개인에게 책임을 전가할 수 없음을 케냐 법원이 명확히 확인한 것이다. 이번 판결은 또한 피해 입증 방식의 문턱도 낮추었다. 종전에는 직접적인 금전적 손실을 증명해야만 손해 배상을 청구할 수 있었으나, 이 판결 이후 그러한 입증 없이도 배상을 받을 수 있는 법적 근거가 마련되었다.
해당 데이터 유출은 2018년 6월부터 2019년 5월 사이에 사파리콤의 시스템에서 발생한 것으로, 사건 발생 후 수년이 지나 내려진 이번 판결은 케냐 데이터 보호 법제의 실질적 집행력을 보여주는 사례로 평가된다. 한편, 케냐는 2026년 통계법(Statistics Bill 2026) 개정을 통해 국가 차원의 데이터 수집과 관리 체계를 전면 개편할 준비를 하고 있다. 개정안의 핵심은 2006년 제정된 기존 통계법을 폐지하고, 케냐 국립통계국(KNBS)을 해체하여 더 넓은 권한을 가진 케냐 통계청(Kenya Statistics Authority)을 신설하는 것이다.
기존 법이 모바일 데이터, 위성 이미지, 생체인식 스캔 등 현대 기술 환경에 대응하기 어렵다는 판단이 개정의 주된 배경이다. 새 법안은 기존의 인구 조사·설문 조사 방식을 넘어 행정 기록, 생체인식 정보, 빅데이터, 시민 생성 데이터를 폭넓게 활용하는 방향으로 설계되었다.
통계법 개정이 가져올 변화
개정안은 통계 목적으로 수집된 데이터의 기밀성을 보장하며, 생체인식 데이터의 익명화를 가능한 한 조속히 이행하도록 의무화하는 조항을 담고 있다.
광고
그러나 우려할 만한 독소 조항도 포함되어 있다. 새로운 통계청에 개인에게 정보 제공을 요구할 수 있는 강제 권한이 부여되며, 요청 내용이 불분명하더라도 개인의 준수 의무가 강조된다. 특히 지문·얼굴 이미지·홍채 스캔 등 생체인식 데이터를 강제로 수집할 수 있도록 허용하는 조항과, 법원 명령이 있는 경우 예외적으로 집행 목적의 생체인식 데이터 공유를 허용하는 규정은 개인 사생활 침해 우려를 낳고 있다.
일부 법률 전문가와 시민단체는 이 조항이 2019년 데이터 보호법(Data Protection Act 2019)의 보호 효력을 약화시킬 수 있다고 경고한다. 케냐 데이터 보호 위원회(ODPC)는 콘텐츠 제작자들도 개인 데이터를 처리할 때 데이터 컨트롤러로서의 법적 책임을 져야 한다고 명확히 했다. 동의의 목적 특정성, 문서화 및 증거 제출 가능성이 요구되며, 위반 시 재정적 벌금과 데이터 삭제 명령 등 강제 조치가 뒤따를 수 있다.
케냐 헌법 제31조는 개인의 사생활 보호 권리를 명시하고 있으며, 2019년 데이터 보호법은 개인 정보의 수집·처리·저장·공유·동의 요건·국경 간 전송 및 데이터 주체의 권리를 포괄하는 법적 프레임워크를 이미 구축해 놓고 있다. 이번 통계법 개정안이 이 프레임워크와 충돌할 경우 법적 공백이 발생할 수 있다는 점이 논란의 핵심이다. 학계와 정보기술 업계에서는 통계법 개정이 케냐의 데이터 경쟁력을 높일 수 있다는 기대를 표하고 있다.
행정 기록과 빅데이터를 결합한 정밀 통계 체계는 경제 정책 수립의 질을 높이고, 투자 환경 개선에도 기여할 수 있다. 그러나 사생활 보호 단체들은 개인 데이터 수집 권한의 확대가 명확한 법적 한계 없이 진행되어서는 안 된다고 주장한다.
현재 개정안은 대중 참여 과정을 통해 의견 수렴 중이며, 최종 입법 전까지 추가 수정이 이루어질 가능성이 있다.
한국 기업의 대응 전략
이번 변화는 케냐 시장에 진출했거나 진출을 검토 중인 한국 기업들에게도 구체적인 법적·운영적 과제를 제기한다.
광고
사파리콤 판결이 확립한 원칙, 즉 데이터 유출에 대한 기업 책임은 내부 직원의 일탈을 이유로 면제되지 않는다는 점은 케냐에서 사업을 영위하는 모든 기업에 동등하게 적용된다. 한국 기업들은 현지 데이터 보호 규제를 사전에 철저히 검토하고, 데이터 거버넌스 체계와 내부 보안 정책을 케냐 법제에 맞게 정비해야 한다.
특히 통계법 개정안이 확정될 경우 생체인식 데이터 처리 방식과 데이터 공유 정책도 재검토 대상이 된다. 케냐의 사례는 데이터 보호 규제가 선언적 수준을 넘어 실질적 배상 책임으로 이어진다는 점을 입증했다.
글로벌 기업들이 데이터 보호팀을 신설·확장하고 관련 인프라에 투자를 늘리는 흐름은 아프리카 시장에서도 이미 가시화되고 있다. 한국 기업들은 케냐의 법제 변화를 단순한 규제 리스크가 아닌 데이터 거버넌스 역량을 강화할 기회로 인식하고, 지속적인 교육과 시스템 투자를 병행해야 한다. 아프리카 디지털 경제의 빠른 성장 속도를 고려할 때, 선제적인 데이터 전략 수립이 현지 사업의 지속 가능성을 좌우할 핵심 요소가 될 것이다.
FAQ
Q. 케냐 사파리콤 판결이 한국 기업에 주는 구체적 시사점은 무엇인가?
A. 케냐 고등법원의 이번 판결(헌법 소원 E095/2026)은 데이터 유출 책임이 내부 직원의 일탈을 이유로 기업에서 개인으로 전가될 수 없음을 확립했다. 이는 케냐에서 사업을 영위하는 한국 기업도 동일한 법적 기준을 적용받는다는 의미다. 피해자가 직접적인 금전적 손실을 입증하지 않아도 배상 청구가 가능해진 만큼, 데이터 유출 발생 시 기업이 부담해야 할 법적·재정적 위험이 크게 높아졌다. 케냐 시장에 진출한 한국 기업들은 데이터 컨트롤러 의무 이행 여부를 즉시 점검하고, 데이터 보안 체계를 케냐 데이터 보호법 2019 기준에 맞게 정비해야 한다.
Q. 케냐 통계법 개정안(Statistics Bill 2026)의 핵심 내용과 우려 사항은 무엇인가?
A. 개정안은 2006년 제정 기존 통계법을 폐지하고, 케냐 국립통계국(KNBS)을 해체하여 더 강력한 권한의 케냐 통계청(Kenya Statistics Authority)을 신설하는 것을 골자로 한다. 행정 기록·생체인식 정보·빅데이터·시민 생성 데이터를 통계 목적에 활용할 수 있도록 수집 범위를 대폭 확대하며, 수집된 데이터의 기밀 유지와 생체인식 데이터 익명화를 의무화하고 있다. 그러나 지문·얼굴 이미지·홍채 스캔 등의 강제 수집을 허용하는 조항과 법원 명령 시 집행 목적의 생체인식 데이터 공유를 허용하는 규정이 2019년 데이터 보호법의 보호 수준을 약화시킬 수 있다는 우려가 법률 전문가들 사이에서 제기되고 있다. 현재 대중 참여 절차가 진행 중이며, 최종 입법 전 추가 수정 가능성이 열려 있다.
Q. 케냐의 데이터 보호 강화가 한국 기업의 아프리카 사업 전략에 미치는 영향은 어떻게 전망되는가?
A. 케냐는 아프리카 디지털 경제의 핵심 거점으로, 이번 규제 강화는 케냐 시장 진출 기업 전체에 데이터 거버넌스 수준 향상을 사실상 강제하는 효과를 낸다. 한국 기업들은 현지 데이터 보호법 준수 여부를 정기적으로 감사하고, 케냐 데이터 보호 위원회(ODPC)의 가이드라인에 따라 동의 수집·문서화·데이터 처리 절차를 정비해야 한다. 통계법 개정안이 확정될 경우 생체인식 데이터 처리 방식에 대한 별도 정책 마련도 필요해진다. 규제 준수를 비용이 아닌 현지 신뢰 구축 수단으로 인식하는 기업이 아프리카 시장에서 장기적 경쟁 우위를 확보할 가능성이 높다.
[알림] 본 기사는 법률·규제 관련 정보를 제공하기 위한 것으로, 법률적 자문을 대체할 수 없다.
광고
실제 법적 문제가 있을 경우 반드시 변호사 등 법률 전문가와 상담해야 한다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}