개인정보 위탁과 제3자 제공의 구별과 차이점

[graybox]이 글은 최앤리 법률사무소 문재식 변호사의 기고문입니다. 스타트업을 위한 양질의 콘텐츠를 기고문 형태로 공유하고자 하는 분이 있다면 벤처스퀘어 에디터 팀 editor@venturesquare.net으로 연락 주시기 바랍니다.[/graybox] 1인 기업이 아니라면 모든 회사가 적용을 안 받을 수 없는 법이 하나 있습니다. 바로 개인정보 보호법입니다. 일반 소비자를 대상으로 하는 B2C 기업 뿐만 아니라 B2B 기업이라고 하더라도 소속된 임직원이 있다면, 그 임직원의 개인정보를 불가피하게 취득할 수밖에 없으므로, 개인정보 보호법의 적용을 받습니다. 그래서 기업을 운영하는 사람이라면 절대 간과하여서는 안되는 법이 개인정보 보호법입니다. 개인정보 보호법은 개인정보의 수집 부터 저장, 이용, 제3자에 대한 제공 또는 위탁, 파기 등 일련의 처리 행위와 보호에 관한 일체의 사항을 규정하고 있습니다. 이번 편에서는 개인정보를 다른 업체나 타인에게 이전할 때 문제가 될 수 있는 ‘개인정보의 제3자 제공’과 ‘개인정보 처리 업무 위탁’의 구별과 차이에 관해 다룹니다. 수집한 개인정보를 우리 회사 내에서 이용하는 것이 아니라 다른 회사 또는 사람에게 이전한다는 점에서 유사하지만, 어느 것에 해당 하느냐에 따라 적법 요건과 그에 대한 규제 내용이 크게 다르고, 실제 실무상 그 구별도 쉽지 않습니다. 1. ‘개인정보 제3자 제공’과 ‘개인정보 처리 업무 위탁’의 구별 ‘개인정보 제3자 제공’와 ‘개인정보 처리 업무 위탁’을 구분하는 기준은 누구의 이익을 위해 개인정보가 처리되는지 여부입니다. 전자의 경우에는 개인정보가 이전받는 제3자의 이익을 위해 처리되고, 후자는 개인정보를 이전하는 위탁자의 이익을 위해 처리됩니다. 우리 대법원은 전자에 대해 “본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”, 후자에 대해 “본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우”라고 명확히 설명하고 있습니다(대법원 2017. 4. 7. 선고 2016도13263 판결). 이렇게 말로는 구분이 쉬워 보일지라도 실제 실무상의 사례에서 구별하는 것은 쉽지 않습니다. 예를 들어, 어느 쇼핑몰 업체가 고객 A/S 대응을 위해 별도의 콜센터 업체와 계약을 맺고 고객의 개인정보를 이전하는 경우는 어떨까요. 이는 콜센터 업체가 쇼핑몰 업체의 고객 대응 서비스라는 업무를 대신 처리하고 그 업체의 이익을 위해 개인정보를 이전받는 것이므로 제3자 제공이 아닌 처리위탁에 해당합니다. 만일 콜센터 업체가 자신의 업체를 홍보하고 마케팅하기 위해 쇼핑몰 업체로부터 고객의 개인정보를 제공받는 것이라면, 이는 콜센터 업체 자신의 업무처리와 이익을 위한 것이므로 제3자 제공에 해당합니다. 대법원과 개인정보보호 위원회 발간 안내서에서는, 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적은 관리감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향, 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합적으로 고려하여 제3자 제공과 위탁을 구분하여야 한다고 설명합니다. 2. ‘개인정보 제3자 제공’과 ‘개인정보 처리 업무 위탁’의 비교 그럼 이 둘을 구별하는데 성공하였다면, 각 경우에서 어떠한 점을 유의하여야 하는지 살펴보겠습니다. 먼저, 개인정보를 이전할 때 적법하기 위한 요건입니다. ‘개인정보 제3자 제공’의 경우에는 개인정보 보호법 제17조, 제18조 등에 따른 요건을 충족하여야 합니다. 정보주체의 동의가 있거나 법률에 특별한 규정에 근거가 있거나 공공의 안전을 위하여 긴급히 필요한 경우 등에 해당하여야 적법합니다. 그러나 ‘개인정보 처리 업무 위탁’의 경우에는 위탁하는 업무의 내용과 수탁자를 홈페이지에 게시하거나 신문에 싣거나 사업장 등의 보기 쉬운 장소에 게시하는 등의 쉽게 확인할 수 있는 방법으로 공개하여야 합니다(개인정보 보호법 제26조 제2항)(다만, 홍보나 판매 권유 업무 위탁의 경우는 정보주체에게 개별고지가 필요합니다). 다음으로는 이전되는 개인정보에 대한 책임 주체가 다르므로 자신이 개인정보의 관리 및 감독에 대한 책임을 부담하는 주체인지 확인하는 것이 중요합니다. ‘개인정보 처리 업무 위탁’의 경우 앞서 설명드린 바와 같이, 자신의 업무와 이익을 위하여 개인정보를 수탁자에게 맡기는 만큼, 그에 따른 책임은 위탁자에게 있습니다. 그러나 ‘개인정보 제3자 제공’의 경우 정보주체의 동의나 별도의 요건이 충족되어야 하고 위탁자의 업무나 이익과도 상관없이 이전되는 것이므로, 그 이전된 개인정보에 대한 관리 및 감독 책임은 제공받은 제3자에게 있습니다. 이에 따라 만일 해당 개인정보가 유출되는 등으로 정보주체에 손해가 발생하였다면, ‘개인정보 제3자 제공’의 경우 제공한 자와 제공받은 자 각각의 책임유무나 범위에 따라 달라지겠으나, ‘개인정보 처리 업무 위탁’의 경우 원칙적으로 위탁자가 부담하고 만일 수탁자에 귀책이 있는 경우에는 위탁자가 수탁자에게 구상책임을 물을 수 있겠습니다. 마지막으로, ‘개인정보 처리 업무 위탁’의 경우에는 위탁에 관한 내용이 담긴 문서로써 위탁하여야 합니다. 즉, 위탁자와 수탁자 사이 계약서를 작성하여야 한다는 것입니다. 위 계약서에는 개인정보 보호법 제26조 제1항, 같은 법 시행령 제8조 제1항에 따른 1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 2) 기술적·관리적 보호조치에 관한 사항, 3) 위탁업무의 목적 및 범위, 4) 재위탁 제한에 관한 사항, 5) 접근 제한 등 안전성 확보 조치에 관한 사항, 6) 보유 개인정보의 관리 현황 점검 등 감독에 관한 사항, 7) 수탁자가 의무 위반시 손해배상 등 책임에 관한 사항이 모두 포함되어야 합니다. ‘개인정보 제3자 제공’의 경우에는 물론 제공하는 자와 받는 자 사이에 사업제휴 등의 목적으로 계약을 체결할 수는 있지만, 위에서 본 바와 같이 해당 개인정보의 정보주체의 동의나 별도의 요건을 충족하여야 하고 개인정보 보호법이 제공받는 자를 규율하게 되므로 위와 같은 별도의 계약서를 필수적으로 요구하지는 않습니다. 최근 SK 텔레콤의 개인정보 유출 이슈로 인해 회사를 운영하는 측에서 뿐만 아니라 소비자 개개인 또한 개인정보에 대한 관심이 부쩍 많아진 것 같습니다. 그만큼 개인정보 보호 및 관리에 관한 컴플라이언스 업무에 더욱더 신경을 써야 하겠습니다. 최근 올해 7월 개인정보보호위원회에서는 2023년 전면 개정된 개인정보 보호법 내용을 반영하고 앞서 발간되었던 여러 안내서의 내용들을 망라한 “개인정보 처리 통합 안내서”를 마련하였습니다. 본 글에서도 해당 안내서의 내용을 참고하였습니다(개인정보보호위원회 「개인정보 처리 통합 안내서」 2025.7., 개인정보보호위원회 홈페이지에서 다운로드 받으실 수 있습니다). 여러분들도 개인정보를 처리 업무를 위하여 위 안내서를 참고하시면 큰 도움이 되겠습니다. 관련 칼럼 더보기 https://www.venturesquare.net/993848