[개인정보보호법]개인정보처리 위탁, 수탁, 제3자 제공이란

[개인정보보호법]개인정보처리 위탁, 수탁, 제3자 제공이란(2020년2월4일 일부개정)

 

2020년에 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)이 개정 및 일부 통합이 되면서 두 법의 차이로 인해 혼란스러웠던 개인정보처리의 위탁과 수탁 그리고 제3자 제공에 대한 규정도 대부분 정리가 되었다.
두 법률의 통합에서 가장 바람직한 부분은 정보통신망법에서 개인정보의 위탁 및 수탁 그리고 3자 제공에 대한 조항들을 포함해 개인정보의 국외 이전에 대한 부분까지 모두 개인정보보호법으로 통합되었다는 점이다.

이는 "우리는 정보통신망법 적용 대상 기업이므로 개인정보보호법 적용을 받지 않는다"는 조금은 책임회피성 변명이 더 이상 통하지 않는다는 점이다. 이제 영리목적의 정보통신서비스를 제공하는 모든 기관이나 기업이 개인정보보호법과 정보통신망법을 모두 준수해야 하는 매우 기본적인 법률체계의 적용을 받게되었다는 점에서 매우 바람직하다 할 수 있다.

[개인정보처리의 위탁과 수탁의 차이] 
정보통신망법에서는 더 이상 개인정보처리의 위탁과 수탁 그리고 제3자 제공에 대한 법률조항을 찾아볼 수 없다. 유일하게 이용자에게 동의를 받거나 업무를 위탁하는 경우에 준수하도록 규정하고 있는 것은 정보통신서비스 제공자가 "영리 목적의 광고성 정보를 전송"하고자 동의를 받도록 하는 것과 전송할 때 준수해야 하는 것을 규정하고 있는 제50조(영리목적의 광고성 정보 전송 제한) 및 관련 조항 뿐이다.

그렇다면 개인정보처리의 위탁과 수탁 그리고 3자 제공이 차이는 무엇일까?
개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)에 따르면 개인정보처리의 위탁은 "개인정보를 수집한 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁"하는 것을 말한다. 예를 들면...

-개인정보 위탁의 사례-
이용자 "홍길동"은 "다팔아 쇼핑몰"에 상품의 구매를 위해 회원가입을 하고 쇼핑을 하면서 ID,비밀번호,이름,전화번호,생년월일,성별,주소 등의 개인정보를 제공하였고 다팔아 쇼핑몰은 상품의 배송을 위해 "다보내 택배"에 홍길동의 이름,전화번호,배송지 주소를 제공하였다.

위의 경우 다팔아 쇼핑몰이 다보내 택배에 이용자의 이름, 전화번호, 배송지 주소를 제공하는 것은 다팔아 쇼핑몰의 입장에서는 개인정보처리 위탁이고 다보내 택배의 입장에서는 개인정보처리 수탁이 된다.
즉 위탁은 개인정보처리 업무를 제3자에게 맏기는 관점에서의 용어이고 수탁은 개인정보처리 업무를 이관받아 처리하는 처리자 입장의 용어다. 즉 주느냐 받느냐의 관점에서 구분하여 사용해야 하는 용어다.
즉 개인정보처리의 위탁과 수탁은 개인정보처리를 제3자에게 주는 하나의 행위를 주는자와 받는자의 입장에 따라 다른 용어를 사용하는 것 뿐이다.
이쯤에서 개인정보처리 위탁의 정의를 내려보면 다음과 같다.

-개인정보 위탁의 정의-
이용자의 개인정보를 수집한 개인정보처리자가 개인정보의 수집∙이용 목적 범위 내 업무의 처리를 목적으로 제3자에게 개인정보 처리 업무의 일부를 이전하는 행위

위에서 가장 중요한 것은 "개인정보의 수집∙이용 목적 범위 내 업무의 처리를 목적"으로 제3자에게 개인정보가 제공된다는 점이다. 즉 개인정보처리를 위탁받은 수탁자는 위탁자가 개인정보를 수집할 때 이용자에게 수집 및 이용 목적으로 제시한 것 이외의 목적으로 처리해서는 안되며 위탁자는 수탁자가 제공받은 개인정보를 목적 외 이용을 하지 못하도록 관리∙감독해야 한다. 반면 개인정보 제3자 제공은 수집∙이용 목적외 이용을 전제로 제공되는 것이다.

개인정보처리 위탁과 제3자 제공 비교

[개인정보의 제 3자 제공] 
개인정보의 제3자 제공은 이용자의 개인정보가 개인정보를 수집한 주체로부터 제3자에게 제공된다는 점에서 위탁과 동일하다. 그러나 제공되는 개인정보의 처리 목적이 제공자의 수집∙이용 목적이 아닌 제공받는 자의 전혀 다른 목적이라는 점이 다르다.

개인정보 제3자 제공의 정의를 내려보면 다음과 같다.

-개인정보 제3자 제공의 정의-
개인정보처리자가 개인정보 수집∙이용 목적의 범위를 벗어나 제공받는 자의 별도의 개인정보 처리 목적을 위해 이용자의 개인정보를 제3자에게 제공하는 행위

이러한 제3자 제공의 정의에 따르면 개인정보처리자가 이용자의 개인정보 수집∙이용 목적과는 무관하게 제3자에게 이용자의 개인정보를 제공하는 경우다. 예전에는 웹사이트 회원가입 시 개인정보 제3자 제공 동의를 무분별하게 미리 받거나 개인정보 수집∙이용 동의 시 일괄로 동의를 받아 제3자 제공 동의를 하지 않으면 회원가입 자체가 불가능한 경우가 많았는데 주요 정보통신서비스 제공자들의 ISMS인증 획득 의무화 등으로 인해 심사 과정에서 대부분 걸러지고 있다.

개인정보처리자는 서비스 제공을 위해 필수적으로 개인정보를 제3자에게 제공하여야 하는 경우에도 원칙적으로 회원가입 시 필수항목으로 제3자 제공동의를 받아서는 안된다. 서비스 제공의 형태가 제3자 제공이 불가피한 경우에도 회원가입 자체를 막아서는 안되며 회원 가입 후 해당 서비스를 실제로 이용하고자 하는 단계에서 제3자 제공 동의를 추가로 "필수" 항목으로 받는 것이 바람직 하다.