법제도/정책

[스타트업 법률상식155] 개인정보 ‘위탁’과 ‘제3자 제공’의 구분

왕혜림

왕혜림 변호사. [ⓒ법무법인 민후]
왕혜림 변호사. [ⓒ법무법인 민후]

[법무법인 민후 왕혜림 변호사] 4차 산업혁명 시대의 핵심 자원인 데이터를 활용하기 위하여, 서로 다른 기업 간 데이터베이스를 공유하는 등의 협업이 활발히 이루어지고 있다.

그런데, 위와 같은 협업에서 공유되는 데이터베이스에 고객의 개인정보가 포함되어 있다면, 개인정보처리자인 기업으로선 그와 관련한 개인정보 보호법상의 의무를 준수하여야 하고, 이를 위반할 경우 관련 법령에 따라 형사 처벌이나 과태료 등의 제재에 처할 수 있다는 점을 유의하여야 한다.

고객의 개인정보가 포함된 데이터를 공유하는 거래는, 개인정보 보호법 제26조에 따른 ‘위탁’ 또는 개인정보 보호법 제17조에 따른 ‘제3자 제공’으로 평가될 수 있다.

특히, 양자는 개인정보가 다른 기업에게 이전되거나 다른 기업과 공동으로 이용하게 된다는 측면에서 유사하나, 각각의 개인정보 이전 목적이 전혀 다르고 이전된 개인정보에 대한 관리·감독 등 법률적 관계도 전혀 다르다.

위탁의 경우 개인정보처리자의 업무처리 범위 내에서 개인정보 처리가 행해지고 위탁자인 개인정보처리자의 관리·감독을 받지만, 제3자 제공은 제3자의 이익을 위해서 개인정보 처리가 행해지고 제3자가 자신의 책임 하에 개인정보를 처리하게 된다.

이에 대하여 대법원은 개인정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우라면 개인정보보호법 제17조가 적용되는 제3자 제공으로 보는 반면, 개인정보를 당초 수집한 위탁자의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우라면 개인정보보호법 제26조가 적용되는 개인정보 위탁으로 본다고 판시하여, 그 구별 기준을 제시한 바 있다(대법원 2017. 4. 7. 선고 2016도13263 판결).

예를 들어 배송위탁 혹은 결제위탁 거래에 따라 고객의 개인정보 데이터를 공유하거나 이전하는 경우는, 위탁자에게 그 사업의 이익이 귀속되는 것이고 수탁자는 그 위탁자의 사업 중 일부의 행위를 대행하는 것에 그칠 뿐이므로 개인정보보호법 제26조가 적용되는 개인정보 위탁에 해당할 것이다.

다만 대법원은, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다고 덧붙였으므로(대법원 2017. 4. 7. 선고 2016도13263 판결), 기업은 데이터 공유 협약의 체결에 앞서 위와 같은 사정들을 고려하여 해당 거래가 양자 중 어디에 해당하는지 엄밀히 구분하고 각각에 따른 법적 요건과 절차를 준수하여야 할 것이다.

<왕혜림 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>

디지털데일리가 직접 편집한 뉴스 채널