혹시 사업을 하시거나 서비스를 이용하다가 “개인정보 제3자 제공 동의” 또는 “개인정보 처리위탁 안내” 같은 문구를 보신 적 있으신가요?
개인정보를 수집하고 이용하다 보면, 혼자서 모든 것을 처리하기보다는 다른 곳과 정보를 주고받아야 할 때가 정말 많습니다. 당장 온라인 쇼핑몰만 봐도, 고객님의 소중한 개인정보(성명, 전화번호, 주소 등)가 택배사에 전달되어야 물건을 정확하게 받을 수 있겠죠. 또 고객센터 운영을 전문 업체에 맡긴다면, 그 업체에도 개인정보를 제공해야 원활한 상담이 가능할 거고요.
개인정보, 왜 다른 곳으로 가야 할까요?
이처럼 개인정보는 처음 수집한 주체가 혼자 이용하는 것을 넘어, 다른 여러 주체에게 전달될 필요가 있습니다. 개인정보 보호라는 이름으로 이를 모두 금지한다면, 사실상 제대로 된 사업 운영도 어렵고 우리 일상생활도 많이 불편해질 거예요.
이럴 때 등장하는 개념이 바로 개인정보의 제3자 제공과 처리위탁입니다. 둘 다 개인정보처리자(개인정보를 수집해서 처리하는 주체)가 수집한 개인정보를 다른 이에게 넘기는 행위를 의미합니다.
간단히 말해, 개인정보의 제3자 제공은 개인정보를 다른 제3자에게 이전시키는 것, 그리고 처리위탁은 개인정보 처리 업무 자체를 다른 업체에게 맡기는 것을 뜻합니다.
제3자 제공 vs 처리위탁, 뭐가 다를까요?
자, 여기까지 들으면 이런 궁금증이 드실 거예요. “둘 다 결국 개인정보가 다른 곳으로 가는 거 아닌가요? 뭐가 다른 거죠?”
사실 이에 대해서는 이미 대법원 판결을 통해 어느 정도 기준이 제시된 바 있습니다. 대법원은 이렇게 이야기했어요(대법원 2017. 4. 7. 선고 2016도13263 판결).
개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다…
대법원 판결로 본 차이… 그래도 어렵다구요?
네, 맞습니다.
사실 법을 다루는 변호사들도 이 판결문을 처음 읽고 “아하! 이제 둘의 차이가 명확하군!”이라고 생각하는 경우는 드물어요. 오히려 실무에서는 “아, 얼마나 둘 간의 구분이 애매모호하면 대법원까지 가서 이런 판결을 내렸을까!”라고 생각하는 경우가 많답니다.
(잠깐! 판결문에 정보통신망법이 왜 나오냐고요? 개인정보 보호 관련 규정이 원래 정보통신망법에 있다가 개인정보 보호법으로 옮겨진 역사가 있기 때문이에요.)
실제로 두 개념의 ‘효과’만 놓고 보면 큰 차이가 없는 것처럼 느껴지는 게 사실이에요. 제3자 제공이든 처리위탁이든 결국 개인정보가 원래 수집한 곳이 아닌 다른 곳으로 이동하니까요. 판결에서는 수탁자는 ‘독자적 이익’이 없고 제3자는 ‘독자적 이익’이 있다는 식으로 언급되지만, 이것만으로 실무상 차이를 명확히 구분하기는 쉽지 않아요. 나중에 개인정보 관련 문제가 발생했을 때, 과연 이게 제3자 제공이었는지 처리위탁이었는지 검토하게 되는 경우가 많죠.
< 개인정보보호위원회에서 발간한 위수탁 관련 안내서입니다.
이거 읽어봐도 차이가 명확하지가 않습니다… >
실무에서 체감하는 가장 큰 차이 3가지
그렇다면 개인정보 처리 업무를 시작하려는 분들은 이 둘 사이에서 어떻게 결정해야 할까요? 어차피 개념적인 차이가 불분명하다면, 실질적으로 발생하는 책임 문제와 절차상의 차이를 고려해서 결정하는 것이 현실적이고 바람직합니다.
개인정보처리자가 실무에서 ‘아, 이래서 다르구나!’라고 가장 크게 체감하는 부분은 바로 다음 세 가지입니다.
첫째, 정보주체(개인정보의 주인)의 동의 필요 여부 가 다릅니다. 제3자 제공은 특별한 사정이 없는 한 반드시 정보주체의 동의를 받아야 합니다. 반면에 개인정보 처리 업무 위탁은 개인정보처리방침에 그 내용을 명확하게 공개만 하면 되고, 원칙적으로 개별적인 동의까지는 필요 없습니다.
둘째, 개인정보를 넘겨준 후의 관리 감독 의무 입니다. 개인정보를 제3자에게 제공하고 나면, 특별한 경우가 아니면 제공한 개인정보처리자가 더 이상 그 개인정보에 대해 신경 쓸 의무가 없습니다. 하지만 처리 업무를 위탁한 경우에는 위탁자인 개인정보처리자가 수탁자(업무를 위임받은 자)에 대해 개인정보가 안전하게 처리되는지 관리하고 감독할 의무를 가집니다.
셋째, 사고 발생 시 책임 부담 입니다. 이는 바로 위 관리 감독 의무와 연결되는데요. 제3자 제공 후 그 제3자의 과실로 인해 개인정보 유출 등의 사고가 발생하면, 원칙적으로 개인정보처리자가 책임을 부담하지 않습니다. 그러나 처리 업무 위탁의 경우, 수탁자의 잘못으로 사고가 발생하더라도 위탁자인 개인정보처리자는 수탁자와 동일한 수준의 책임을 함께 부담해야 합니다. 마치 내 직원이 잘못하면 사장인 내가 책임지는 것과 비슷한 개념이죠.
이 세 가지 차이가 개인정보를 다른 곳으로 넘겨야 하는 입장에서 가장 중요하게 고려해야 할 실질적인 포인트입니다.
결론: 어떤 선택을 해야 할까요?
결국 개인정보를 수집하고 이를 바탕으로 사업 등을 영위하려 할 때, 다른 주체에게 개인정보를 이전해야 한다면 ‘제3자 제공’과 ‘처리위탁’ 사이에서 명확하게 결정을 내릴 필요가 있습니다.
이는 사실상 ‘정보주체의 번거로운 동의를 거치되, 사고 발생 시 책임을 면제받을 것인가’ vs ‘정보주체의 동의는 따로 받지 않되, 사고 발생 시 책임을 부담할 것인가’ 의 선택에 가깝습니다.
이 부분에서 또 중요하게 고려해야하는 부분은, 다른 이에게 이전시키려는 개인정보의 종류 또는 양, 이전받는 자가 자주 변화하는지 입니다. 만약 변화가 거의 없다면, 정보주체로부터 처음 동의를 얻고 제3자 제공을 하는게 좋겠지만, 변화가 많다면 제3자 제공되는 개인정보 또는 제공받는 자가 변경될 경우 일일히 동의를 받아야하기 때문에(개인정보 보호법 제17조 제2항 제2문) 현실적 어려움이 커집니다. 정보주체 중에는 자꾸 동의를 해달라하면 동의를 해주지 않으려는 분들도 늘어나겠죠. 이에 반해 개인정보의 처리업무를 위탁시키면 개인정보 처리방침에 수탁자와 위탁업무 등만 공개하면 충분합니다(같은 법 제26조 제2항). 그렇다면 이전시키려는 개인정보 또는 이전받는 자에 자주 변화가 있다면 처리업무를 위탁시키는게 훨씬 편리할것입니다.
이런 점을 살펴보면, 정보주체의 동의를 얻은 경우에는 정보주체 스스로도 자신의 개인정보가 다른 곳으로 넘어가는 리스크를 어느 정도 인지하고 부담하는 것으로 보는 입법자의 취지가 담겨 있다고 해석할 수 있습니다. 반대로 위탁의 경우에는 개인정보처리자가 그 대부분의 리스크를 부담하는 것이죠.
개인정보를 안전하게 처리하고 법적인 문제없이 사업을 운영하기 위해서는 이러한 차이점을 명확히 이해하고, 어떤 방식으로 개인정보를 이전할지 신중하게 결정하는 것이 중요합니다.
오늘도 긴 글 읽어주셔서 감사합니다!
* 본 게시물은 일반적인 정보제공을 위해 작성된 것이며, 어떤 구체적 사안에 대한 법률적 의견 또는 해석을 제공하기 위한 것이 아닙니다. 게시된 내용에 대해서는 충분히 이견이 있을 수 있으며, 규제기관의 최종적 해석과 다른 점이 있을 수 있습니다. 본 게시물의 작성자는 해당 글의 내용을 바탕으로 진행된 사항에 대하여 어떠한 법적 책임도 부담하지 않습니다.
태그: 개인정보 보호법, 개인정보, 제3자 제공, 처리위탁, 정보주체 동의, 변호사
답글 남기기