[뉴스레터_지식재산권_제15호_법령 해설]
개인정보보호법의 제3자와 수탁자
이지선 변호사
개인정보보호법 상 수집한 개인정보를 제3자에게 제공하려면, 개인정보주체의 별도 동의를 받아야 한다. 하지만 수탁자에게 제공하는 경우는 다르다. 개인정보의 제3자 제공과 개인정보 처리의 위탁(수탁)은 어떤 기준으로 나누어 지는 것일까.
1. 개인정보보호법
개인정보보호법에 따르면, 개인정보처리자가 제3자에게 개인정보를 제공하려면 개인정보주체의 동의를 받아야만 한다(법령에서 정한 일정한 경우 제외). 동의시에는 정보주체에게 일정한 사항을 고지할 의무도 있다.
개인정보의 처리 업무를 제3자에게 위탁하는 경우에는 일정한 사항이 기재된 문서로 해야 하고, 위탁하는 업무의 내용을 정보주체가 쉽게 알 수 있도록 공개해야 한다. 업무를 위탁하는 개인정보처리자는 업무를 위탁받은 수탁업체를 교육하고 감독할 의무가 있다.
업무위탁의 경우에는 정보주체에게 알리면 되지만, 제3자에게 제공할 때에는 정보주체에게 동의를 요구하는 것이니, 개인정보의 제3자 제공이 더 엄격하다.
2. 행정부의 지침∙고시 해설
2011년 당시 행정안전부에서 발간한 개인정보보호 법령 및 지침∙고시 해설서(지금부터는 ‘해설서’라고만 합니다)의 제3자 제공과 업무위탁에 대한 해설을 보자.
업무위탁과 개인정보 제공 모두 개인정보가 다른 사람(제3자)에게 이전되거나 공동으로 이용하게 된다는 측면에서는 동일하다.
그러나 ‘업무위탁’의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보가 제3자(수탁자)에게 이전되지만, ‘제3자 제공’은 그 제3자의 업무를 처리할 목적 및 그 제3자의 이익을 위해서 개인정보가 이전된다는 점이 다르다.
또한 업무위탁의 경우에는 개인정보처리자의 관리∙감독을 받기만, 제3자 제공은 개인정보가 제공된 이후에는 제3자가 자신의 책임 하에 개인정보를 처리하게 되며, 개인정보처리자의 관리∙감독권이 미치지 못한다.
|
3. 대법원 판결
우리 대법원도 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2007. 1. 26. 법률 제8289호로 개정되기 전의 것)과 관련하여 위탁과 제3자 제공에 대한 구별 기준을 이야기하였다.
A통신사는 전화권유판매사업자(B회사)에게 고객의 개인정보를 접근할 수 있도록 하고, B회사는 A통신사 고객에게 전화 통화를 통하여 제휴은행과의 제휴멤버스카드의 발급을 권유하였다. B회사는 고객이 멤버스카드를 신청하겠다고 하면, 그 정보를 A통신사와 C은행에 넘겨준 사례이다. A통신사는 B회사인 제3자에게 고객의 동의없이 고객의 개인정보를 제공하였다는 이유로 기소되었고, A통신사는 B회사는 제3자가 아니라 업무처리를 위탁받은 자라고 주장하였다. 이에 대한 대법원 판례 내용이다.
대법원은, ① 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2007. 1. 26. 법률 제8289호로 개정되기 전의 것) 제24조, 제25조의 문언 및 개정 취지에 비추어 제24조에서 말하는 개인정보의 ‘제3자 제공’은 ‘제공받는 자의 목적'을 위하여 개인정보가 제공되는 경우로, 제25조에서 말하는 개인정보의 ‘타인 위탁’은 ‘제공하는 자의 사무처리'를 위한 경우로 구별되어야 하고, 따라서 제24조에 정한 '제3자'에는 개인정보 취급을 위탁받은 수탁자는 포함되지 아니한다고 해석하여야 하는 점,
② B회사는 실질적으로 A통신사의 상품 안내 및 가입자 유치를 목적으로 설립된 회사로서 A통신사와의 업무협약을 통해 A통신사의 상품(고객만족프로그램 업무)안내를 위한 전화영업을 하고,그 수수료를 A통신사로부터 지급받았으며, A통신사 이외의 다른 동종 업체의 업무는 처리하지 않은 채 폐업한 점,
③ A통신사가 가지고 있는 개인정보가 다른 저장매체나 출력물 등을 통하여 B회사에 제공된 것이 아니라 A통신사의 서버에 접속할 수 있는 시스템을 별도로 설치하여 기간을 정하여 제한된 방법과 절차로만 접근이 가능하도록 한 점,
④ B회사가 고객을 유치한 이 사건 제휴카드에는 단지 신용카드의 기능뿐만 아니라 하나 tv의 설치비 면제 등 A통신사의 상품이나 고객의 혜택에 관한 내용도 포함되어 있는 점,
⑤ B회사가 위 제휴카드를 신청한 고객의 경우 그 개인정보를 제휴은행에 제공하기는 하였으나,이는 A통신사와의 업무협약 내용에 따른 것이고 고객과의 통화를 통해 카드 발급에 관한 동의를 얻은 후 이루어진 것인 점 등을 종합하면,
B회사는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2007.1.26.법률 제8289호로 개정되기 전의 것) 제24조에서 규정하는 ‘제3자’가 아니라 A통신사를 위하여 A통신사의 일부 업무를 위탁받아 수행하는 ‘수탁자’로서의 지위를 가진다고 판단하였다.
|
4. 결론과 주의점
요컨대, 기본적으로 업무 위탁은 개인정보를 현재 보유하고 있는 자의 업무를 위하여 개인정보가 이전(공유)되는 경우이고, 제3자 제공은 개인정보를 받는 자의 업무를 위하여 개인정보가 이전(공유)되는 경우를 말하는 것이라고 할 수 있을 것이다.
다만, 반드시 주의해야 될 점이 있다.
현재 시행되고 있는 정보통신망 이용촉진 및 정보보호에 관한 법률은 개인정보의 제3자 제공뿐 아니라 개인정보의 취급 위탁시에도 정보주체의 동의를 받도록 하고 있다(예외 있음). 따라서 정보통신망 이용촉진 및 정보보호에 관한 법률의 적용 대상이라면, 원칙적으로 취급 위탁시에도 정보주체의 동의를 받아야 한다.
| |