이 글은 최앤리 법률사무소 문재식 변호사의 기고문입니다. 스타트업을 위한 양질의 콘텐츠를 기고문 형태로 공유하고자 하는 분이 있다면 벤처스퀘어 에디터 팀 editor@venturesquare.net으로 연락 주시기 바랍니다.
1인 기업이 아니라면 모든 회사가 적용을 안 받을 수 없는 법이 하나 있습니다. 바로 개인정보 보호법입니다. 일반 소비자를 대상으로 하는 B2C 기업 뿐만 아니라 B2B 기업이라고 하더라도 소속된 임직원이 있다면, 그 임직원의 개인정보를 불가피하게 취득할 수밖에 없으므로, 개인정보 보호법의 적용을 받습니다. 그래서 기업을 운영하는 사람이라면 절대 간과하여서는 안되는 법이 개인정보 보호법입니다.
개인정보 보호법은 개인정보의 수집 부터 저장, 이용, 제3자에 대한 제공 또는 위탁, 파기 등 일련의 처리 행위와 보호에 관한 일체의 사항을 규정하고 있습니다. 이번 편에서는 개인정보를 다른 업체나 타인에게 이전할 때 문제가 될 수 있는 ‘개인정보의 제3자 제공’과 ‘개인정보 처리 업무 위탁’의 구별과 차이에 관해 다룹니다. 수집한 개인정보를 우리 회사 내에서 이용하는 것이 아니라 다른 회사 또는 사람에게 이전한다는 점에서 유사하지만, 어느 것에 해당 하느냐에 따라 적법 요건과 그에 대한 규제 내용이 크게 다르고, 실제 실무상 그 구별도 쉽지 않습니다.
1. ‘개인정보 제3자 제공’과 ‘개인정보 처리 업무 위탁’의 구별
‘개인정보 제3자 제공’와 ‘개인정보 처리 업무 위탁’을 구분하는 기준은 누구의 이익을 위해 개인정보가 처리되는지 여부입니다. 전자의 경우에는 개인정보가 이전받는 제3자의 이익을 위해 처리되고, 후자는 개인정보를 이전하는 위탁자의 이익을 위해 처리됩니다. 우리 대법원은 전자에 대해 “본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”, 후자에 대해 “본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우”라고 명확히 설명하고 있습니다(대법원 2017. 4. 7. 선고 2016도13263 판결).
이렇게 말로는 구분이 쉬워 보일지라도 실제 실무상의 사례에서 구별하는 것은 쉽지 않습니다. 예를 들어, 어느 쇼핑몰 업체가 고객 A/S 대응을 위해 별도의 콜센터 업체와 계약을 맺고 고객의 개인정보를 이전하는 경우는 어떨까요. 이는 콜센터 업체가 쇼핑몰 업체의 고객 대응 서비스라는 업무를 대신 처리하고 그 업체의 이익을 위해 개인정보를 이전받는 것이므로 제3자 제공이 아닌 처리위탁에 해당합니다. 만일 콜센터 업체가 자신의 업체를 홍보하고 마케팅하기 위해 쇼핑몰 업체로부터 고객의 개인정보를 제공받는 것이라면, 이는 콜센터 업체 자신의 업무처리와 이익을 위한 것이므로 제3자 제공에 해당합니다.
대법원과 개인정보보호 위원회 발간 안내서에서는, 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적은 관리감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향, 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합적으로 고려하여 제3자 제공과 위탁을 구분하여야 한다고 설명합니다.
2. ‘개인정보 제3자 제공’과 ‘개인정보 처리 업무 위탁’의 비교
그럼 이 둘을 구별하는데 성공하였다면, 각 경우에서 어떠한 점을 유의하여야 하는지 살펴보겠습니다.
먼저, 개인정보를 이전할 때 적법하기 위한 요건입니다. ‘개인정보 제3자 제공’의 경우에는 개인정보 보호법 제17조, 제18조 등에 따른 요건을 충족하여야 합니다. 정보주체의 동의가 있거나 법률에 특별한 규정에 근거가 있거나 공공의 안전을 위하여 긴급히 필요한 경우 등에 해당하여야 적법합니다. 그러나 ‘개인정보 처리 업무 위탁’의 경우에는 위탁하는 업무의 내용과 수탁자를 홈페이지에 게시하거나 신문에 싣거나 사업장 등의 보기 쉬운 장소에 게시하는 등의 쉽게 확인할 수 있는 방법으로 공개하여야 합니다(개인정보 보호법 제26조 제2항)(다만, 홍보나 판매 권유 업무 위탁의 경우는 정보주체에게 개별고지가 필요합니다).
다음으로는 이전되는 개인정보에 대한 책임 주체가 다르므로 자신이 개인정보의 관리 및 감독에 대한 책임을 부담하는 주체인지 확인하는 것이 중요합니다. ‘개인정보 처리 업무 위탁’의 경우 앞서 설명드린 바와 같이, 자신의 업무와 이익을 위하여 개인정보를 수탁자에게 맡기는 만큼, 그에 따른 책임은 위탁자에게 있습니다. 그러나 ‘개인정보 제3자 제공’의 경우 정보주체의 동의나 별도의 요건이 충족되어야 하고 위탁자의 업무나 이익과도 상관없이 이전되는 것이므로, 그 이전된 개인정보에 대한 관리 및 감독 책임은 제공받은 제3자에게 있습니다. 이에 따라 만일 해당 개인정보가 유출되는 등으로 정보주체에 손해가 발생하였다면, ‘개인정보 제3자 제공’의 경우 제공한 자와 제공받은 자 각각의 책임유무나 범위에 따라 달라지겠으나, ‘개인정보 처리 업무 위탁’의 경우 원칙적으로 위탁자가 부담하고 만일 수탁자에 귀책이 있는 경우에는 위탁자가 수탁자에게 구상책임을 물을 수 있겠습니다.
마지막으로, ‘개인정보 처리 업무 위탁’의 경우에는 위탁에 관한 내용이 담긴 문서로써 위탁하여야 합니다. 즉, 위탁자와 수탁자 사이 계약서를 작성하여야 한다는 것입니다. 위 계약서에는 개인정보 보호법 제26조 제1항, 같은 법 시행령 제8조 제1항에 따른 1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 2) 기술적·관리적 보호조치에 관한 사항, 3) 위탁업무의 목적 및 범위, 4) 재위탁 제한에 관한 사항, 5) 접근 제한 등 안전성 확보 조치에 관한 사항, 6) 보유 개인정보의 관리 현황 점검 등 감독에 관한 사항, 7) 수탁자가 의무 위반시 손해배상 등 책임에 관한 사항이 모두 포함되어야 합니다. ‘개인정보 제3자 제공’의 경우에는 물론 제공하는 자와 받는 자 사이에 사업제휴 등의 목적으로 계약을 체결할 수는 있지만, 위에서 본 바와 같이 해당 개인정보의 정보주체의 동의나 별도의 요건을 충족하여야 하고 개인정보 보호법이 제공받는 자를 규율하게 되므로 위와 같은 별도의 계약서를 필수적으로 요구하지는 않습니다.
최근 SK 텔레콤의 개인정보 유출 이슈로 인해 회사를 운영하는 측에서 뿐만 아니라 소비자 개개인 또한 개인정보에 대한 관심이 부쩍 많아진 것 같습니다. 그만큼 개인정보 보호 및 관리에 관한 컴플라이언스 업무에 더욱더 신경을 써야 하겠습니다.
최근 올해 7월 개인정보보호위원회에서는 2023년 전면 개정된 개인정보 보호법 내용을 반영하고 앞서 발간되었던 여러 안내서의 내용들을 망라한 “개인정보 처리 통합 안내서”를 마련하였습니다. 본 글에서도 해당 안내서의 내용을 참고하였습니다(개인정보보호위원회 「개인정보 처리 통합 안내서」 2025.7., 개인정보보호위원회 홈페이지에서 다운로드 받으실 수 있습니다). 여러분들도 개인정보를 처리 업무를 위하여 위 안내서를 참고하시면 큰 도움이 되겠습니다.
- 관련 칼럼 더보기
Distinction and Difference between Personal Information Entrustment and Third-Party Provision
This article is a contribution by Attorney Jaesik Moon of Choi & Lee Law Firm. If you would like to share quality content for startups in the form of a contribution, please contact the Venture Square editor team at editor@venturesquare.net.
Unless you are a one-person company, there is one law that all companies cannot avoid. That is the Personal Information Protection Act. Not only B2C companies that target general consumers, but also B2B companies that have employees, if they have employees, they inevitably have to obtain their employees’ personal information, so they are subject to the Personal Information Protection Act. Therefore, the Personal Information Protection Act is a law that anyone running a business should never overlook.
The Personal Information Protection Act regulates all matters related to the collection, storage, use, provision or entrustment to third parties, destruction, and processing and protection of personal information. This section deals with the distinction and difference between 'provision of personal information to third parties' and 'entrustment of personal information processing', which can be problematic when transferring personal information to other companies or individuals. They are similar in that the collected personal information is not used within our company but is transferred to another company or person, but the legal requirements and the corresponding regulations are significantly different depending on which one applies, and in actual practice, it is not easy to distinguish between them.
1. Distinction between ‘provision of personal information to third parties’ and ‘entrustment of personal information processing tasks’
The standard for distinguishing between ‘provision of personal information to a third party’ and ‘entrustment of personal information processing’ is for whose benefit the personal information is processed. In the former case, personal information is processed for the benefit of the third party receiving the transfer, and in the latter case, it is processed for the benefit of the entrustor transferring the personal information. Our Supreme Court clearly explains the former as “when personal information is transferred for the purpose of processing and benefiting the recipient of the information beyond the scope of the original purpose of collecting and using personal information,” and the latter as “when personal information is transferred for the purpose of processing and benefiting the entrustor related to the original purpose of collecting and using personal information” (Supreme Court Decision 2016do13263, April 7, 2017).
Although it may seem easy to distinguish in words, it is not easy to distinguish in actual practical cases. For example, what if a shopping mall company contracts with a separate call center company to respond to customer A/S and transfers the customer’s personal information? This is because the call center company handles the shopping mall company’s customer response service work and transfers the personal information for the company’s benefit, so it is not a third-party provision but a processing consignment. If the call center company receives the customer’s personal information from the shopping mall company to promote and market its own company, this is for the call center company’s own work and benefit, so it is a third-party provision.
The Supreme Court and the Personal Information Protection Commission published guidelines explain that third-party provision and entrustment should be distinguished by comprehensively considering the purpose and method of acquiring personal information, whether compensation was received, whether there is actual management and supervision of the trustee, the impact on the need to protect personal information of the data subject or user, and who actually needs to use the personal information.
2. Comparison of ‘provision of personal information to third parties’ and ‘entrustment of personal information processing tasks’
So, if we've managed to distinguish between these two, let's look at what to keep in mind in each case.
First, the requirements for legality when transferring personal information. In the case of 'provision of personal information to a third party', the requirements of Articles 17 and 18 of the Personal Information Protection Act must be met. It is legal only when there is consent from the data subject, a special provision of the law is based on it, or it is urgently necessary for public safety. However, in the case of 'entrustment of personal information processing work', the details of the entrusted work and the trustee must be disclosed in an easily verifiable manner, such as posting it on the website, in a newspaper, or in a place where it is easily visible, such as the business premises (Article 26, Paragraph 2 of the Personal Information Protection Act) (However, in the case of entrustment of promotional or sales solicitation work, individual notification is required to the data subject).
Next, since the responsible party for the transferred personal information is different, it is important to confirm whether you are the party responsible for the management and supervision of the personal information. In the case of 'entrustment of personal information processing', as explained above, since the personal information is entrusted to the trustee for the purpose of one's own work and interests, the responsibility for it lies with the trustee. However, in the case of 'provision of personal information to a third party', the consent of the data subject or separate requirements must be met, and since the transfer is made regardless of the work or interests of the trustee, the responsibility for the management and supervision of the transferred personal information lies with the third party that received the information. Accordingly, if the data subject suffers damages due to the leakage of the personal information, etc., in the case of 'provision of personal information to a third party', it will vary depending on the responsibility or scope of the provider and the recipient, but in the case of 'entrustment of personal information processing', the trustee is responsible in principle, and if the trustee is at fault, the trustee can seek indemnification from the trustee.
Lastly, in the case of 'entrustment of personal information processing work', the entrustment must be made in the form of a document containing the contents of the entrustment. In other words, a contract must be drawn up between the entrustor and the trustee. The contract must include all of the following in accordance with Article 26, Paragraph 1 of the Personal Information Protection Act and Article 8, Paragraph 1 of the Enforcement Decree of the same Act: 1) Prohibition of processing personal information other than for the purpose of performing the entrusted work, 2) Matters concerning technical and administrative protection measures, 3) Purpose and scope of the entrusted work, 4) Matters concerning restrictions on re-entrustment, 5) Matters concerning measures to ensure safety such as access restrictions, 6) Matters concerning supervision such as inspection of the status of management of personal information held, and 7) Matters concerning liability such as compensation for damages in case of breach of obligations by the trustee. In the case of 'provision of personal information to a third party', of course, a contract can be concluded between the provider and the recipient for the purpose of a business partnership, but as seen above, the consent of the information subject of the relevant personal information or separate requirements must be met, and since the Personal Information Protection Act regulates the recipient, a separate contract such as the above is not necessarily required.
Due to the recent SK Telecom personal information leak issue, not only those who run the company but also individual consumers seem to be more interested in personal information. As such, we need to pay more attention to compliance work related to personal information protection and management.
Recently, in July of this year, the Personal Information Protection Commission prepared an “Integrated Guide to Personal Information Processing” that reflects the contents of the Personal Information Protection Act, which was completely revised in 2023, and includes the contents of various previously published guides. The contents of the guide were also referenced in this article (Personal Information Protection Commission “Integrated Guide to Personal Information Processing” 2025.7., can be downloaded from the Personal Information Protection Commission website ). It would be of great help to you to refer to the above guide for your personal information processing work.
- See more related columns
個人情報委託と第三者提供の区別と違い
この記事はチェ・アンリ法律事務所のムン・ジェシク弁護士の投稿です。スタートアップのための質の高いコンテンツを投稿フォームで共有したい人がいる場合は、ベンチャースクエアエディタチームeditor@venturesquare.netまでご連絡ください。
1人企業でなければ、すべての会社が適用を受けられない法が一つあります。まさに個人情報保護法です。一般消費者を対象とするB2C企業だけでなく、B2B企業といっても所属する従業員がいる場合は、その従業員の個人情報を必然的に取得するしかないので、個人情報保護法の適用を受けます。だから企業を運営する人なら絶対見過ごしてはならない法が個人情報保護法です。
個人情報保護法は、個人情報の収集から保存、利用、第三者への提供または委託、破棄など一連の処理行為と保護に関する一切の事項を規定しています。今回は個人情報を他の企業や他人に移転する際に問題になる可能性がある「個人情報の第三者提供」と「個人情報処理業務委託」の区別と違いについて取り上げます。収集した個人情報を当社内で利用するのではなく、他の会社または人に移転するという点で同様ですが、どちらに該当するかによって適法要件とそれに対する規制内容が大きく異なり、実際の実務上その区別も容易ではありません。
1. 「個人情報第三者提供」と「個人情報処理業務委託」の区別
「個人情報第三者提供」と「個人情報処理業務委託」を区分する基準は、誰の利益のために個人情報が処理されるか否かです。前者の場合には、個人情報が移転される第三者の利益のために処理され、後者は個人情報を移転する委託者の利益のために処理されます。当社最高裁判所は前者について「本来の個人情報収集・利用目的の範囲を超えて情報を提供される者の業務処理と利益のために個人情報が移転される場合」、後者について「本来の個人情報収集・利用目的に係る委託者本人の業務処理と利益のために個人情報が移転される場合」と明確に述べています。 2016図13263判決)。
こうして言葉では区別がしやすく見えても、実際の実務上の事例から区別することは容易ではありません。例えば、あるショッピングモール企業が顧客A/S対応のために別のコールセンター会社と契約を結んで顧客の個人情報を移転する場合はどうでしょうか。これは、コールセンター企業がショッピングモール企業の顧客対応サービスという業務を代わりに処理し、その会社の利益のために個人情報を移転されるものであり、第三者提供ではなく処理委託に該当します。もしコールセンター会社が自分の会社を広報しマーケティングするためにショッピングモール業者から顧客の個人情報を提供されるものであれば、これはコールセンター業者自身の業務処理と利益のためのものであり、第三者提供に該当します。
最高裁判所と個人情報保護委員会発刊ガイドでは、個人情報の取得目的と方法、対価収受可否、受託者に対する実質的は管理監督可否、情報主体又は利用者の個人情報保護必要性に及ぼす影響、個人情報を利用する必要がある者が実質的に誰であるかなどを総合的に考慮し、第三者提供と委託を区分します。
2. 「個人情報第三者提供」と「個人情報処理業務委託」の比較
それでは、これらの2つを区別することに成功した場合は、各ケースでどのような点に注意する必要があるかを見てみましょう。
まず、個人情報を移転する際に適法にするための要件です。 「個人情報第三者提供」の場合には、個人情報保護法第17条、第18条等による要件を満たさなければなりません。情報主体の同意があったり、法律に特別な規定に基づくものがあったり、公共の安全のために緊急に必要な場合などに該当しなければ適法です。ただし、「個人情報処理業務委託」の場合には、委託する業務の内容と受託者をホームページに掲示したり、新聞に載せたり、事業場などの見やすい場所に掲示するなどの容易に確認できる方法で公開しなければなりません(個人情報保護法第26条第2項)(ただし、広報や販売勧誘必要業務委託の場合は情報
次に、移転される個人情報に対する責任主体が異なるため、自分が個人情報の管理および監督に対する責任を負担する主体であることを確認することが重要です。 「個人情報処理業務委託」の場合、先に説明したように、自分の業務と利益のために個人情報を受託者に任せるだけに、それによる責任は委託者にあります。しかし「個人情報第三者提供」の場合、情報主体の同意や別途の要件が満たされなければならず、委託者の業務や利益にかかわらず移転されるので、その移転された個人情報に対する管理および監督責任は提供された第三者にあります。これにより、もし該当個人情報が流出するなどで情報主体に損害が発生した場合、「個人情報第三者提供」の場合、提供した者と提供された者それぞれの責任の有無や範囲によって異なるが、「個人情報処理業務委託」の場合、原則として委託者が負担し、万一受託者に帰責がある場合には、
最後に、「個人情報処理業務委託」の場合には、委託に関する内容が記載された文書として委託しなければなりません。つまり、委託者と受託者の間に契約書を作成しなければならないということです。上記契約書には、個人情報保護法第26条第1項、同法施行令第8条第1項による1)委託業務遂行目的外個人情報の処理禁止に関する事項、2)技術的・管理的保護措置に関する事項、3)委託業務の目的及び範囲、4)再委託制限に関する事項、5)アクセス制限等安全性点検等監督に関する事項、 7) 受託者が義務違反の場合、損害賠償等責任に関する事項をすべて含めなければなりません。 「個人情報第三者提供」の場合には、もちろん提供する者と受け取る者との間に事業提携等の目的で契約を締結することはできるが、上記に示すように当該個人情報の情報主体の同意や別途の要件を満たさなければならず、個人情報保護法が提供される者を規律することになるので、上記のような別途の契約書を必須的に要求しない。
最近、SKテレコムの個人情報流出問題により会社を運営する側だけでなく、消費者個人も個人情報への関心が大幅に増えたようです。それだけ個人情報の保護および管理に関するコンプライアンス業務にさらに気をつけなければなりません。
今年7月、個人情報保護委員会では、2023年に全面改正された個人情報保護法の内容を反映し、先に発刊された様々なガイドの内容を網羅した「個人情報処理統合ガイド」を設けました。本文でも該当ガイドの内容を参考にしました(個人情報保護委員会「個人情報処理統合ガイド」2025.7.、個人情報保護委員会ホームページからダウンロードすることができます)。皆様も個人情報を処理業務のために上記のガイドをご参照ください。
- 関連列をさらに表示
个人信息委托与第三方提供的区别
本文由 Choi & Lee 律师事务所的 Jaesik Moon 律师投稿。如果您想以投稿形式分享面向初创企业的优质内容,请联系 Venture Square 编辑团队,邮箱:editor@venturesquare.net。
除非你是一人公司,否则所有公司都无法回避一项法律。那就是《个人信息保护法》。不仅是面向普通消费者的B2C公司,即使是拥有员工的B2B公司,如果公司有员工,就不可避免地需要获取员工的个人信息,因此也必须遵守《个人信息保护法》。因此,《个人信息保护法》是任何经营企业的人都不应忽视的法律。
《个人信息保护法》规范了与个人信息的收集、存储、使用、提供或委托给第三方、销毁以及处理和保护相关的所有事项。本节探讨了“向第三方提供个人信息”和“委托处理个人信息”之间的区别和差异,在将个人信息转移给其他公司或个人时,这可能会产生问题。它们的相似之处在于,收集的个人信息并非在本公司内部使用,而是转移给其他公司或个人,但根据适用哪一种情况,法律要求和相应规定存在显著差异,实际操作中,很难区分它们。
1.“向第三方提供个人信息”与“委托个人信息处理任务”的区别
“向第三方提供个人信息”与“委托处理个人信息”的区分标准在于个人信息是为了谁的利益而处理的。前者是指为了接收转移的第三方的利益而处理个人信息,后者是指为了转移个人信息的委托人的利益而处理个人信息。我国最高法院对前者的解释是“为了在个人信息收集使用目的范围之外,为信息接收人处理并使其受益而转移个人信息”,而对后者的解释是“为了在个人信息收集使用目的范围内,为委托人处理并使其受益而转移个人信息”(最高法院判决2016do13263,2017年4月7日)。
虽然从文字上看很容易区分,但在实际操作中却并不容易区分。例如,如果一家购物中心公司与另一家呼叫中心公司签订合同,负责响应客户的A/S服务并转移客户的个人信息,该怎么办?这是因为呼叫中心公司负责购物中心公司的客户响应服务工作,并为了购物中心公司的利益而转移个人信息,因此这不是第三方提供,而是委托处理。如果呼叫中心公司从购物中心公司获得客户的个人信息用于自身公司的宣传和营销,这是为了呼叫中心公司自身的工作和利益,因此这是第三方提供。
最高法院及个人信息保护委员会发布的指导意见解释称,应综合考虑获取个人信息的目的及方式、是否收取报酬、受托人是否有实际管理及监督、对信息主体或使用者个人信息保护需要的影响、实际需要使用个人信息的对象等,区别第三方提供与委托。
2.“向第三方提供个人信息”与“委托个人信息处理任务”的比较
因此,如果我们能够区分这两者,让我们看看在每种情况下需要记住什么。
首先,转移个人信息时的合法性要求。在“向第三方提供个人信息”的情况下,必须满足《个人信息保护法》第17条和第18条的要求。只有在获得数据主体同意、法律有特别规定或紧急需要维护公共安全的情况下,才合法。但是,在“委托处理个人信息工作”的情况下,必须以易于验证的方式披露委托工作和受托人的详细信息,例如将其发布在网站、报纸或营业场所等容易看到的地方(《个人信息保护法》第26条第2款)(但是,在委托促销或销售招揽工作的情况下,需要向数据主体进行单独通知)。
其次,由于转移的个人信息的责任方不同,确认您是否是个人信息管理和监督的责任方非常重要。如上所述,在“委托处理个人信息”的情况下,由于个人信息是出于自身工作和利益的目的委托给受托人,因此责任在于受托人。但是,在“向第三方提供个人信息”的情况下,必须满足数据主体的同意或单独的要求,并且由于转移与受托人的工作或利益无关,因此转移的个人信息的管理和监督的责任在于接收信息的第三方。因此,如果因个人信息泄露等原因导致数据主体遭受损失,在“向第三方提供个人信息”的情况下,责任将根据提供者和接收者的责任或范围而有所不同,但在“委托处理个人信息”的情况下,原则上由受托人承担责任,如果受托人有过错,则受托人可以向受托人寻求赔偿。
最后,在“个人信息处理工作委托”的情况下,委托必须以载明委托内容的书面形式进行。换句话说,委托人和受托人之间必须签订合同。根据《个人信息保护法》第26条第1款和该法实施令第8条第1款,合同必须包含以下所有内容:1)禁止为执行委托工作以外的目的处理个人信息,2)有关技术和行政保护措施的事项,3)委托工作的目的和范围,4)有关限制再委托的事项,5)有关访问限制等确保安全的措施的事项,6)有关检查所持有个人信息管理状况等监督的事项,以及7)有关受托人违反义务时的损害赔偿等责任的事项。在“向第三方提供个人信息”的情况下,当然,提供者和接收者之间可以为了业务合作而签订合同,但如上所述,必须满足相关个人信息的信息主体的同意或单独的要求,并且由于《个人信息保护法》对接收者进行了规范,因此不一定需要如上所述的单独合同。
近期SK电讯个人信息泄露事件发生后,不仅公司高层,就连普通消费者也对个人信息更加关注。因此,我们需要更加重视个人信息保护和管理相关的合规工作。
近期,个人信息保护委员会于今年7月编制了《个人信息处理综合指南》,该指南反映了2023年全面修订的《个人信息保护法》的内容,并收录了此前发布的各类指南的内容。本文也参考了该指南的内容(个人信息保护委员会《个人信息处理综合指南》2025.7,可从个人信息保护委员会网站下载)。希望您在个人信息处理工作中参考上述指南,将大有裨益。
- 查看更多相关专栏
Distinction et différence entre la transmission d'informations personnelles et la fourniture à des tiers
Cet article est une contribution de Maître Jaesik Moon du cabinet Choi & Lee. Si vous souhaitez partager du contenu de qualité destiné aux startups sous forme de contribution, veuillez contacter l'équipe éditoriale de Venture Square à l'adresse editor@venturesquare.net.
À moins d'être une entreprise unipersonnelle, il existe une loi à laquelle toutes les entreprises ne peuvent se soustraire : la Loi sur la protection des renseignements personnels. Non seulement les entreprises B2C qui ciblent le grand public, mais aussi les entreprises B2B qui emploient des salariés doivent inévitablement obtenir les renseignements personnels de leurs employés. Elles sont donc soumises à la Loi sur la protection des renseignements personnels. Par conséquent, toute entreprise ne devrait jamais négliger cette loi.
La Loi sur la protection des renseignements personnels régit toutes les questions relatives à la collecte, au stockage, à l'utilisation, à la communication ou à la cession à des tiers, à la destruction, au traitement et à la protection des renseignements personnels. Cet article traite de la distinction entre « communication de renseignements personnels à des tiers » et « cession de traitement de renseignements personnels », qui peuvent poser problème lors du transfert de renseignements personnels à d'autres entreprises ou personnes. Ces deux notions sont similaires : les renseignements personnels collectés ne sont pas utilisés au sein de notre entreprise, mais transférés à une autre entreprise ou personne. Cependant, les exigences légales et les réglementations correspondantes diffèrent sensiblement selon la méthode applicable, et il est difficile de les distinguer en pratique.
1. Distinction entre « fourniture d'informations personnelles à des tiers » et « délégation de tâches de traitement d'informations personnelles »
La distinction entre « communication de renseignements personnels à un tiers » et « délégation de traitement de renseignements personnels » repose sur la question de savoir au bénéfice de qui les renseignements personnels sont traités. Dans le premier cas, les renseignements personnels sont traités au bénéfice du tiers destinataire du transfert, et dans le second, au bénéfice du donneur d'ordre qui les transfère. Notre Cour suprême définit clairement le premier cas comme « lorsque des renseignements personnels sont transférés à des fins de traitement et au bénéfice du destinataire des renseignements au-delà de la finalité initiale de la collecte et de l'utilisation des renseignements personnels », et le second comme « lorsque des renseignements personnels sont transférés à des fins de traitement et au bénéfice du donneur d'ordre liées à la finalité initiale de la collecte et de l'utilisation des renseignements personnels » (Décision de la Cour suprême 2016do13263, 7 avril 2017).
Bien que cela puisse paraître simple à dire, cela l'est plus difficile en pratique. Par exemple, qu'en est-il si une entreprise de centre commercial conclut un contrat avec un centre d'appels distinct pour répondre aux demandes de service client et transfère les informations personnelles de ces derniers ? En effet, le centre d'appels gère le service client de l'entreprise de centre commercial et transfère les informations personnelles pour son propre compte. Il ne s'agit donc pas d'une prestation de service à un tiers, mais d'une prestation de traitement. Si le centre d'appels reçoit les informations personnelles du client de l'entreprise de centre commercial pour promouvoir et commercialiser sa propre entreprise, il s'agit de son propre travail et de son propre bénéfice, il s'agit donc d'une prestation de service à un tiers.
La Cour suprême et la Commission de protection des renseignements personnels ont publié des lignes directrices expliquant que la fourniture et la délégation à des tiers doivent être distinguées en considérant de manière exhaustive le but et la méthode d'acquisition des renseignements personnels, si une compensation a été reçue, s'il y a une gestion et une supervision réelles du fiduciaire, l'impact sur la nécessité de protéger les renseignements personnels de la personne concernée ou de l'utilisateur, et qui a réellement besoin d'utiliser les renseignements personnels.
2. Comparaison entre « fourniture d'informations personnelles à des tiers » et « délégation de tâches de traitement d'informations personnelles »
Alors, si nous avons réussi à faire la distinction entre ces deux-là, voyons ce qu'il faut garder à l'esprit dans chaque cas.
Premièrement, les exigences de légalité du transfert de données personnelles. En cas de « communication de données personnelles à un tiers », les exigences des articles 17 et 18 de la loi sur la protection des données personnelles doivent être respectées. La légalité n'est garantie que si la personne concernée y consent, si une disposition légale particulière s'y applique ou si la sécurité publique l'exige. Toutefois, en cas de « traitement de données personnelles », les détails du traitement et du mandataire doivent être divulgués de manière facilement vérifiable, par exemple par publication sur un site web, dans un journal ou dans un lieu facilement visible, comme les locaux commerciaux (article 26, paragraphe 2, de la loi sur la protection des données personnelles). (Toutefois, en cas de traitement de données à caractère personnel, une notification individuelle à la personne concernée est requise).
Ensuite, comme la partie responsable des informations personnelles transférées est différente, il est important de confirmer si vous êtes la partie responsable de la gestion et de la supervision de ces informations. En cas de « délégation de traitement d'informations personnelles », comme expliqué ci-dessus, les informations personnelles étant confiées au dépositaire pour les besoins de son travail et de ses intérêts personnels, la responsabilité en incombe à ce dernier. En revanche, en cas de « communication d'informations personnelles à un tiers », le consentement de la personne concernée ou des exigences distinctes doivent être respectées. Le transfert étant effectué indépendamment du travail ou des intérêts du dépositaire, la responsabilité de la gestion et de la supervision des informations personnelles transférées incombe au tiers qui les a reçues. En conséquence, si la personne concernée subit un dommage en raison de la fuite des informations personnelles, etc., dans le cas de « fourniture d'informations personnelles à un tiers », cela variera en fonction de la responsabilité ou de la portée du fournisseur et du destinataire, mais dans le cas de « délégation de traitement des informations personnelles », le fiduciaire est en principe responsable, et si le fiduciaire est en faute, le fiduciaire peut demander une indemnisation au fiduciaire.
Enfin, en cas de « mandat de traitement de données personnelles », le mandat doit prendre la forme d'un document reprenant son contenu. Autrement dit, un contrat doit être établi entre le mandant et le fiduciaire. Ce contrat doit inclure tous les points suivants, conformément à l'article 26, paragraphe 1, de la loi sur la protection des données personnelles et à l'article 8, paragraphe 1, du décret d'application de la même loi : 1) Interdiction de traiter les données personnelles à d'autres fins que l'exécution du mandat ; 2) Questions relatives aux mesures de protection techniques et administratives ; 3) Finalité et étendue du mandat ; 4) Questions relatives aux restrictions de réaffectation ; 5) Questions relatives aux mesures de sécurité, telles que les restrictions d'accès ; 6) Questions relatives à la supervision, telles que l'inspection de l'état de gestion des données personnelles détenues ; et 7) Questions relatives à la responsabilité, telles que l'indemnisation des dommages en cas de manquement du fiduciaire à ses obligations. Dans le cas de « fourniture d'informations personnelles à un tiers », un contrat peut bien sûr être conclu entre le fournisseur et le destinataire aux fins d'un partenariat commercial, mais comme vu ci-dessus, le consentement de la personne concernée par les informations personnelles concernées ou des exigences distinctes doivent être respectées, et puisque la loi sur la protection des informations personnelles réglemente le destinataire, un contrat distinct tel que celui ci-dessus n'est pas nécessairement requis.
Suite à la récente fuite d'informations personnelles de SK Telecom, non seulement les dirigeants de l'entreprise, mais aussi les consommateurs semblent s'intéresser davantage aux données personnelles. Il est donc nécessaire d'accorder une plus grande attention aux mesures de conformité liées à la protection et à la gestion des données personnelles.
Récemment, en juillet de cette année, la Commission de protection des renseignements personnels a préparé un « Guide intégré sur le traitement des renseignements personnels » reprenant le contenu de la Loi sur la protection des renseignements personnels, entièrement révisée en 2023, et incluant le contenu de divers guides publiés précédemment. Le contenu de ce guide est également référencé dans cet article (le « Guide intégré sur le traitement des renseignements personnels » de la Commission de protection des renseignements personnels, 2025.7, peut être téléchargé sur le site web de la Commission ). Ce guide vous sera d'une grande utilité pour vos activités de traitement des renseignements personnels.
- Voir plus de colonnes connexes
You must be logged in to post a comment.