1. 개념 정의
가. 개인정보 처리위탁
개인정보 처리위탁은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미합니다 (대법원 2017. 4. 7. 선고 2016도13263 판결).
쉽게 말해, 개인정보처리자가 자신의 업무를 효율적으로 처리하기 위해 그 업무의 일부를 다른 사람에게 맡기면서 개인정보를 넘겨주는 것입니다.예를 들어, 온라인 쇼핑몰이 배송업무를 택배회사에 맡기면서 고객의 주소와 연락처를 제공하는 경우가 이에 해당합니다.
나. 개인정보 제3자 제공
개인정보 제3자 제공은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우입니다 (대법원 2017. 4. 7. 선고 2016도13263 판결).
즉, 개인정보를 받는 제3자가 자신의 사업이나 이익을 위해 그 정보를 활용하는 경우를 말합니다. 예를 들어, 쇼핑몰이 제휴 보험회사에 고객정보를 판매하여 보험회사가 자신의 보험상품 마케팅에 활용하는 경우가 이에 해당합니다 .
2. 주요 차이점
가. 정보 이전의 목적
처리위탁: 위탁자(개인정보처리자)의 업무 처리를 위한 것입니다.
제3자 제공: 제공받는 제3자 본인의 업무 처리와 이익을 위한 것입니다.
나. 관리·감독권
처리위탁: 수탁자에게 개인정보가 이전되더라도 위탁자의 관리·감독권이 계속 미칩니다. 수탁자는 위탁자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리합니다 .
제3자 제공: 일단 개인정보가 제3자에게 제공되면 원래 개인정보처리자의 관리·감독권이 미치지 못하고, 제3자가 자신의 책임하에 개인정보를 처리합니다.
다. 독자적 이익 보유 여부
처리위탁: 수탁자는 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않습니다.
제3자 제공: 제3자는 제공받은 개인정보를 자신의 사업이나 이익을 위해 독자적으로 활용합니다.
라. 법적 요건
처리위탁: 정보주체의 별도 동의가 필요 없으며, 위탁 사실을 공개하면 됩니다 (개인정보 보호법 제26조).
제3자 제공: 원칙적으로 정보주체의 동의를 받아야 하며, 동의를 받을때 제공 목적, 제공받는 자, 제공 항목 등을 고지해야 합니다 (개인정보 보호법 제17조).
마. 손해배상 책임
처리위탁: 수탁자가 위탁받은 업무와 관련하여 개인정보 보호법을 위반한 경우, 위탁자가 사용자 책임을 부담합니다 (개인정보 보호법 제26조 제7항).
제3자 제공: 제공받는 제3자가 직접 책임을 부담합니다.
3. 구별 기준
어떤 행위가 개인정보의 제공인지 아니면 처리위탁인지는 다음 사항을 종합하여 판단합니다 (대법원 2017. 4. 7. 선고 2016도13263 판결):
가. 개인정보의 취득 목적과 방법
정보를 이전받는 자가 누구의 업무를 위해, 어떤 목적으로 개인정보를 취득하는지 살펴봅니다.
나. 대가 수수 여부
개인정보 자체에 대한 대가를 지급받는지, 아니면 단순히 위탁업무 수행에 대한 대가를 받는지 확인합니다.
다. 수탁자에 대한 실질적인 관리·감독 여부
위탁자가 수탁자의 개인정보 처리 과정을 실질적으로 관리·감독하는지 검토합니다.
라. 정보주체의 개인정보 보호 필요성에 미치는 영향
개인정보 이전이 정보주체의 권리에 미치는 영향을 고려합니다.
마. 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지
실질적으로 누가 그 개인정보를 필요로 하고 이익을 얻는지 판단합니다.
4. 실제 판례 사례
가. 보험회사 포인트 적립 사건 (서울중앙지방법원 2017. 8. 18. 선고 2017노712 판결)
사실관계
보험회사들이 대형마트와 제휴하여 보험계약을 체결한 고객에게 마트의 포인트를 적립해주기로 약정했습니다. 보험회사는 보험계약 체결 고객의 개인정보(이름, 생년월일, 주민등록번호 등)를 마트에 제공했고, 마트는 이를 받아 해당 고객이 마트 회원인지 확인한 후 회원에게만 포인트를 적립했습니다.
검찰은 이를 ‘정보주체의 동의 없는 제3자 제공’으로 기소했으나, 법원은 다음과 같은 이유로 ‘처리위탁’에 해당한다고 판단하여 무죄를 선고했습니다:
법원의 판단 이유
① 목적: 마트는 보험회사와의 약정 및 고객에 대한 약속에 따라 포인트를 적립해주기 위해 개인정보를 이전받았습니다. 이는 보험회사의 업무(고객에게 포인트 혜택 제공) 이행을 위한 것이었습니다.
② 독자적 이익 부재: 마트는 비회원의 개인정보를 이전받더라도 포인트를 적립할 수 없어 보험회사로부터 대가를 받지 못했습니다. 즉, 마트가 비회원 정보를 취득할 독자적 이익이 없었습니다.
③ 대가의 성격: 마트가 받는 포인트 적립 비용은 포인트 자체에 대한 대가일 뿐 개인정보 제공에 대한 대가가 아니었습니다.
④ 실질적 필요: 보험회사는 자체적으로 마트 회원 여부를 확인하여 포인트를 지급할 방법이 없었고, 마트를 통해서만 포인트 적립이 가능했습니다.
따라서 법원은 마트가 보험회사의 업무 처리와 이익을 위하여 개인정보를 위탁받아 처리한 것으로 판단했습니다 (서울중앙지방법원 2017. 8. 18. 선고 2017노712 판결).
나. 대형마트 개인정보 판매 사건 (대법원 2017. 4. 7. 선고 2016도13263 판결)
사실관계
대형마트가 경품행사를 통해 수집한 고객 개인정보를 보험회사에 판매했습니다. 마트는 콜센터 회사를 통해 고객들에게 전화를 걸어 사후에 개인정보 제3자 제공 동의를 받는 방식을 사용했습니다.
법원의 판단
이 사건에서는 콜센터 회사가 마트의 업무를 위탁받은 ‘수탁자’인지, 아니면 개인정보를 제공받은 ‘제3자’인지가 쟁점이 되었습니다.
법원은 다음과 같은 기준을 제시했습니다:
- 개인정보의 취득 목적과 방법
- 대가 수수 여부
- 수탁자에 대한 실질적인 관리·감독 여부
- 정보주체의 개인정보 보호 필요성에 미치는 영향
- 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지
다. 통신사 개인정보 제공 사건 (대법원 2011. 7. 14. 선고 2011도1960 판결)
사실관계
통신사가 고객들의 동의 없이 개인정보를 다른 회사에 제공했다는 혐의로 기소되었습니다.
법원의 판단
대법원은 개인정보를 제공받은 회사가 통신사의 일부 업무를 위탁받아 수행하는 ‘수탁자’ 지위에 있어 정보통신망법 제24조에서 정한 ‘제3자’가 아니라고 판단했습니다.
법원은 제24조(제3자 제공)와 제25조(처리위탁)의 문언 및 개정 취지를 고려하여, 제24조의 ‘제3자 제공’은 ‘제공받는 자의 목적’을 위한 경우이고, 제25조의 ‘타인 위탁’은 ‘제공하는 자의 사무처리’를 위한 경우로 구별해야 한다고 판시했습니다 (대법원 2011. 7. 14. 선고 2011도1960 판결).
5. 구분이 중요한 이유
가. 법적 요건의 차이
처리위탁의 경우 정보주체의 별도 동의가 필요 없지만, 제3자 제공의 경우 원칙적으로 정보주체의 동의를 받아야 합니다.
잘못 판단하면 동의 없이 개인정보를 처리하여 형사처벌(3년 이하의 징역 또는 3천만 원 이하의 벌금)을 받을 수 있습니다 (개인정보 보호법 제71조 제1호).
나. 책임 소재의 차이
처리위탁의 경우 수탁자의 위반행위에 대해 위탁자가 사용자 책임을 부담하지만, 제3자 제공의 경우 제3자가 직접 책임을 집니다.
다. 관리·감독 의무의 차이
처리위탁의 경우 위탁자는 수탁자를 교육하고 처리 현황을 점검하는 등 관리·감독 의무를 부담합니다. 제3자 제공의 경우에는 이러한 의무가 없습니다.
라. 실무상 영향
기업 입장에서는 업무 효율성을 위해 외부 업체를 활용하는 경우가 많은데, 이것이 위탁인지 제3자 제공인지에 따라 필요한 법적 절차와 준수사항이 완전히 달라집니다.
예를 들어, 배송업무를 택배회사에 맡기는 것은 위탁이므로 고객 동의가 별도로 필요 없지만, 제휴 마케팅을 위해 고객정보를 제공하는 것은 제3자 제공이므로 반드시 고객의 동의를 받아야 합니다.
마. 정보주체 권리 보호
정보주체 입장에서도 자신의 개인정보가 어떤 방식으로 처리되는지 알고 통제할 권리가 있습니다. 제3자 제공의 경우 자신의 정보가 전혀 다른 목적으로 사용될 수 있으므로, 사전 동의를 통해 이를 통제할 수 있어야 합니다.
6. 실무상 유의사항
가. 계약서 작성 시 명확한 구분
외부 업체와 계약을 체결할 때 해당 관계가 위탁인지 제3자 제공인지 명확히 하고, 그에 맞는 계약 조항을 포함해야 합니다.
나. 개인정보 처리방침 기재
처리위탁의 경우 위탁업무 내용과 수탁자를 공개해야 하고, 제3자 제공의 경우 제공받는 자, 제공 목적, 제공 항목 등을 개인정보 처리방침에 기재해야 합니다.
다. 정보주체 동의 획득
제3자 제공에 해당하는 경우 반드시 정보주체로부터 사전에 명시적 동의를 받아야 하며, 동의 시 제공받는 자, 제공 목적, 제공 항목, 보유기간 등을 고지해야 합니다 (개인정보 보호법 제17조 제2항).
라. 관리·감독 체계 구축
처리위탁의 경우 수탁자에 대한 교육, 처리 현황 점검 등 관리·감독 체계를 구축하고 이를 문서화해야 합니다.
이상과 같이 개인정보 처리위탁과 제3자 제공은 개인정보가 이전된다는 점에서 유사하지만, 그 목적, 법적 요건, 책임 소재 등에서 중요한 차이가 있으므로, 실무에서 이를 정확히 구분하여 적절한 법적 조치를 취하는 것이 매우 중요합니다.