[프라임경제] 개인정보를 외부에 이전하는 행위는 기업의 일상적인 업무 수행 과정에서 매우 빈번하게 발생한다. 마케팅, 고객관리, IT 운영은 물론PG사를 통한 결제 처리 등 다양한 영역에서 외부 사업자와의 협업이 이루어지는 이상, 개인정보의 이동 자체를 피하기는 어렵다. 그러나 이러한 정보 이전이 모두 동일한 법적 성격을 가지는 것은 아니다.
현행 법률은 이를 '제3자 제공'과'처리위탁'으로 구별하고 있고, 그에 따라 개인정보를 처리하는 방식 및 책임의 범위 역시 달라진다. 실무상 고객사들로부터도 이 두 개념이 어떻게 다른지, 동일하게 외부로 정보가 나가는 구조임에도 왜 법적 취급이 달라지는지에 대해 문의를 받는 경우가 적지 않다.
개인정보 보호법 제17조는 개인정보의 제3자 제공이 가능한 경우를 한정적으로 규정하고 있으며, 정보주체의 동의를 받은 경우 또는 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우 등 일정한 요건을 충족하는 경우에만 개인정보의 제3자 제공을 허용하고 있다. 이를 위반할 경우에는 동법 제71조 제1호에 따라 형사처벌까지도 예정되어 있다.
반면, 개인정보 보호법 제26조는 개인정보 처리 업무의 위탁에 관한 별도의 규정을 두고 있으며, 이 경우에는 정보주체로부터의 별도 동의를 요하는 것이 아니라, 위탁업무의 내용과 수탁자를 정보주체가 쉽게 확인할 수 있도록 공개하게 하는 방식으로 규율하고 있다. 이처럼 개인정보가 외부로 이전되는 경우라 하더라도, 그 성격에 따라 적용되는 법률 규정과 리스크가 달라진다는 점에서 두 개념의 구별은 실무상 중요한 의미를 가진다.
위 법 문언 및 판례(대법원2017. 4. 7. 선고2016도13263 판결)의 취지를 종합해 고려할 때, 개인정보의 '제3자 제공'과 '처리위탁'은 그 목적과 구조에서 차이를 가진다. '제3자 제공'은 본래의 개인정보 수집·이용 목적의 범위를 넘어, 개인정보를 제공받는 제3자의 독자적인 업무 처리와 이익을 위해 정보가 이전되는 경우를 의미한다.
반면, '처리위탁'은 본래의 개인정보 수집·이용 목적의 범위 내에서, 위탁자의 업무를 대신해서 수행하기 위해 개인정보가 이전되는 경우를 의미하며, 수탁자는 위탁자의 지시와 관리·감독 하에 위탁을 받은 범위 내에서만 개인정보를 처리하게 된다. 이때 수탁자는 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리와 관련해 독자적인 이익을 가지지 않으며, 개인정보 처리의 실질적인 주체는 여전히 위탁자로 본다.
대법원은 '제3자 제공'과 '처리위탁'의 구별에 있어 계약서상의 명칭이나 형식에 구애될 것이 아니라, 개인정보의 취득 목적과 방법, 대가 수수의 여부, 수탁자에 대한 실질적인 관리·감독 여부, 개인정보 처리로 인한 이익의 귀속 주체, 그리고 정보주체의 권익 보호에 미치는 영향 등을 종합적으로 고려해 판단해야 한다는 입장을 취하고 있다.
결국, 누가 해당 개인정보를 이용해 실질적인 이익을 얻는지, 그리고 그 이용이 위탁자의 사업 수행을 위한 것인지 아니면 제공받는 자의 독자적인 사업을 위한 것인지가 중요한 기준으로 작용하는 것이다.
따라서 외주업체와의 계약에서 단순히'위탁'이라는 표현을 사용하였다는 사정만으로 개인정보의 '처리위탁'이 인정되는 것은 아니며, 실제 운영 구조가 위탁의 요건을 충족하는지에 대한 점검이 필수적이다. 수탁자가 위탁자의 구체적인 지시에 따라 업무를 수행하고 있는지, 개인정보의 이용 범위가 위탁 목적에 한정되어 있는지, 그리고 수탁자가 해당 정보를 활용해 별도의 영업적 이익을 추구하고 있지는 않은지 등을 면밀히 검토할 필요가 있다.
나아가 수탁자에 대한 관리·감독 체계를 계약서 및 내부 절차를 통해 명확히 하고, 이를 실제로 이행하고 있는지에 대한 점검 역시 중요하다.
동일하게 개인정보가 외부로 이전되는 구조라 하더라도, 해당 정보가 누구의 이익을 위해, 누구의 통제 아래에서 이용되는지 등에 따라 규율이 달라지며, 이러한 구별은 단순한 개념적 차이에 그치지 않고 형사책임과도 연결된다.
'제3자 제공'을 단순한 편의나 관행에 따라 '처리위탁'으로 오인해 운영할 경우, 사후적으로 예상치 못한 형사 리스크에 직면할 수 있다는 점을 특히 유념해야 한다. 따라서 기업으로서는 외부 사업자와의 협업 구조를 설계하는 초기 단계에서부터 이러한 기준에 대한 명확한 이해를 바탕으로 개인정보 처리구조를 정립할 필요가 있다.
장현지 법무법인 디엘지 변호사와세다대학교 국제교양학부 졸업 / 옥스퍼드 대학교 미술사학과 석사 졸업 / 연세대학교 법학전문대학원 졸업/ (前) 대림미술관 큐레이터
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기