개인정보의 제공 , 처리 위탁 이해와 사례

제3자 제공 VS 처리 위탁

개인정보의 이전

다음의 A사와 B사로 예를 들어 살펴볼까요? A사에서 B사로 개인정보가 별도의 법인으로 이전되는 경우, 업무의 관련성에 따라 개인정보의 처리위탁이나 제3자 제공으로 정의할 수 있습니다. 그 중에 위탁은 이전하는 자의 업무처리 범위 내에서 개인정보 처리가 행해지고 위탁자의 관리·감독을 받는 것을 의미하며, 제3자 제공은 이전받는 자, 즉 제 3자의 이익을 위해서 개인정보가 처리되고 제3자가 자신의 책임 하에 개인정보를 처리하는 것을 의미합니다. 제3자 제공과 처리위탁은 개인정보를 제3자에게 제공한다는 점은 동일하지만 제공받은 개인정보를 활용하는 형태에 따라 구분할 수 있습니다. 예를 들어, 제3자 제공은 쇼핑센터가 제3자인 보험사와 업무제휴를 맺고 보험사는 제공받은 정보를 자사의 영업에 활용하고, 처리위탁은 쇼핑센터가 제3자인 택배회사와 업무위탁 계약을 맺고 쇼핑센터로부터 제공받은 주소 등의 정보를 배송에 활용하는 것입니다.

제3자 제공과 처리위탁 사례를 조금 더 살펴볼까요? 제3자 제공은 쇼핑센터가 보험사 상품의 텔레마케팅을 위해 고객정보를 보험사에 제공하거나, 항공기 회사가 면세점에 세일행사 안내 DM 발송에 이용하도록 고객정보를 제공하거나, 영화관이 제휴 카드사의 포인트 적립 및 사용을 위해 고객정보를 카드사에 제공하거나, 리조트가 렌트카 업체에게 할인이벤트 홍보 SMS 발송에 이용하도록 고객정보를 제공하는 경우입니다. 처리위탁은 쇼핑센터가 자사 상품의 텔레마케팅을 위해 고객정보를 외부 콜센터에 제공하거나, 항공기 회사가 IT업체에게 시스템 운영 및 유지보수를 위해 고객정보를 제공하거나, 영화관이 포인트 적립 등 멤버십 서비스 운영을 위해 고객정보를 마케팅업체에 제공하거나, 리조트가 객실 전화예약 서비스 제공을 위해 고객정보를 외부업체에 제공하는 경우입니다.

제3자 제공의 이해와 사례

개인정보 제공은 제3자와의 공유하는 것으로 개인정보의 제공 동의가 필요합니다. 제3자는 이용자로부터 동의를 얻어 개인정보를 수집한 개인·법인·조직을 말합니다. 제3자 제공의 방법으로는 저장매체를 이용하는 등의 물리적 이전, 네트워크를 통한 전송, 제3자의 접근 권한 부여를 통한 전달 등 다양한 방법 등이 있습니다. 개인정보의 제3자 제공은 개인정보 처리자가 개인정보를 전달받는 자의 사업목적 달성을 위해 개인정보를 제공하는 경우로 제휴마케팅, 공통 상품 판매, 기업간 업무 협약 등이 있습니다. 제3자 제공 시 의무사항으로는 제3자에 대한 제공 시 이용자에게 고지하고, 동의 거부 시 불이익 사실을 고지해야 하며, 목적 외 이용 및 제공을 금지하는 의무가 있으며, 제3자 제공에 대한 이용자의 동의 획득 의무가 있습니다. 단, 요금정산을 위해 필요한 경우나 법률에 특별한 규정이 있는 경우 제3자 제공에 관한 이용자의 동의를 받지 않아도 됩니다. 제3자 제공 동의 시에는 개인정보의 수집·이용에 대한 동의와 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 안됩니다.

 

개인정보 제3자 제공에 대한 위반 사례를 살펴볼까요?

온라인 상품 구입을 위해 제공한 개인정보를 이용자의 동의 없이 보험사에 제공한 경우입니다. 정보통신서비스 제공자가 제3자의 목적달성을 위하여 개인정보를 제공하게 되면 이용자의 제3자 제공 동의는 필수적입니다. 수집 동의 목적을 벗어나, 동의 없이 제3자 제공을 한 경우에는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있습니다. 다음 위반 사례는 이용자의 동의 없이 개인정보를 제3자에게 제공한 A 대형마트에게 과징금이 부과된 사례입니다. 경품행사를 진행하면서 응모자에게 생년월일과 휴대전화번호가 제3자(보험사)에 제공된다는 사실을 알리지 않거나, 알아보기 힘들 정도로 작게 표시하여 침해가 발생하였으며 그 결과 공정거래위원회로부터 과징금 4억 3,500만 원을 부과받았습니다.

 

개인정보 처리위탁의 이해와 사례

개인정보 처리자의 업무 목적으로 제3자에게 개인정보 수집, 보관, 처리, 이용, 제공, 파기 등을 위탁하는 경우, 개인정보 처리위탁을 받는 자와 개인정보 처리위탁을 하는 업무내용을 이용자에게 알리고 동의를 얻어야 하며, 수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정해야 합니다. 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 처리해서는 안됩니다. 개인정보 처리위탁 시에는 수탁사에 대한 관리·감독의 책임은 위탁사에 있고, 개인정보 처리위탁 시 문서에 의하여야 하며, 수탁자에 대한 교육을 실시해야 합니다. 그리고 수탁자가 재위탁 시 위탁자의 동의 의무가 있습니다.

 

위탁 예시를 살펴볼까요?

경품 이벤트 업무 대행 등 일회성 위탁업무의 경우도 개인정보 처리위탁 사실을 공개해야 합니다. 단, 이 경우 홈페이지 팝업으로 위탁기간 동안 공개할 수 있으며 또는 전자우편, 서면, 전화 등의 방법으로 안내할 수 있습니다.

다음은 개인정보 처리위탁 동의 방법입니다. 수탁업체와 범위 정보 등을 표기하고 동의를 받아야 합니다. 단, 계약의 이행과 이용자 편의 증진 등을 위해 필요한 경우로서 수탁자, 처리위탁 업무의 내용을 개인정보 처리방침에 공개하거나 전자우편, 서면, 전화 등으로 이용자에게 통지하는 경우는 동의를 받지 않아도 되는 위탁의 범위입니다.

 

개인정보 처리위탁 시 준수사항을 알아볼까요?

개인정보 처리업무를 외부에 위탁하는 경우 개인정보 처리방침에는 수탁자와 위탁업무내용과 항목을 공개하여야 하며, 위탁계약서 체결 시에는 개인정보보호에 관한 요구사항, 관리감독, 법규정 위반의 배상책임 등에 관한 사항을 문서화해야 합니다. 다음은 외주업체를 통해서 발생한 주요 위반사례로, 명백한 수탁사의 실수, 고의 등에 의해 법 위반 또는 사고가 발생한 경우라도 수탁사 관리·감독 소홀로 위탁사가 법적 책임이 있습니다.

목적 외 이용으로 인한 피해

사업자는 이용자의 개인정보를 수집하는 경우 수집 및 이용목적을 고지하고 동의를 얻어야 합니다. 따라서 사업자가 수집한 개인정보는 이용자로부터 동의 받은 수집∙이용목적을 벗어나서 이용할 수 없습니다. 예시와 같이 사업자는 진료를 위하여만 촬영정보를 이용할 수 있으며, 만약 진료결과 사진을 활용하기 위해서는 촬영한 사진을 홍보목적으로 게재한다는 사실을 이용자에게 알리고 동의를 받아야 합니다. 또 다른 예시로 이용자는 회원가입 및 서비스 이용을 위한 개인정보 제공을 동의한 경우, 동의 받은 목적에 반하여 광고성 TM등을 활용한 잘못된 사례입니다. 통신사업자의 경우 다른 목적으로 이용한 것으로 금지하고 있습니다.

관리감독 소홀로 인한 피해

먼저, 위탁사실 고지 누락 사례입니다. 사업자인 여행사에서 이용자에게 가이드 대행업체에 대한 업무 위탁사실을 고지하지 않고 동의를 얻은 경우인데요. 사업자가 제3자에게 개인정보의 수집, 보관, 이용 등 취급업무를 위탁하는 경우에는 처리위탁을 받은 수탁자 및 처리위탁을 하는 업무의 내용을 고지하고 이용자의 동의를 받아야 합니다. 동의 받지 않아도 되는 경우는 서비스 제공을 위해 필요한 경우로써 이용자의 편의 증진을 위한 경우에 가능합니다. 이 때는 개인정보 처리방침에 명시하고, 점포∙사무소 게재∙비치, 간행물∙소식지∙홍보지∙청구서 등에 지속 게재 등의 방법으로 공개하며, 전자우편·서면·모사전송·전화 또는 이와 유사한 방법에 따라 이용자에게 알립니다. 다음은 동의없이 마케팅에 활용한 사례인데요. 사업자가 자신의 이익을 위해 업무를 위탁한 경우 위탁사에 대한 관리·감독 책임을 지게 됩니다. 예시와 같이 이용자가 거부의사를 밝혔음에도 불구하고, 위탁사에서 마케팅 업무를 실시한 경우, 이에 대한 책임을 사업자가 부담하게 됩니다.

 

이어서 개인정보를 무단으로 활용한 사례를 살펴보겠습니다. 위탁사의 IT 시스템 운영을 담당하는 외주업체 직원이 지인의 부탁으로 특정인의 개인정보를 무단 열람 및 유출한 정황이 수사기관에서 개인정보 취득과정 확인 중 적발되었습니다. 외주용역 직원의 개인정보 DB접속 권한에 대한 통제 미흡과 업무 수행 감사가 부재하였던 것이 이유입니다.

 

유사한 다음 사례로 게임업체의 고객정보 DB 운영을 담당하는 외주업체 직원이 시스템에 접근하여 업무 목적 외로 고객정보를 무단 열람하고 수백 명에 달하는 회원들의 게임머니를 조작하고 로그를 삭제하여 1억 원 상당의 부당이익 취득하였습니다. 이 사례는 외주용역 직원의 보안인식 미흡과 외주업체 직원의 업무 수행 감사 부재가 원인이었던 것으로 판단됩니다.

 

다음 사례는 위탁사의 IT 시스템 운영을 담당하는 외주업체 직원이 위탁사 시스템에서 고객정보를 본인 PC로 다운로드 받아 대부광고업체에 판매하여 부당이익 취득한 사례로 외주용역 직원의 핵심정보에 대한 원격접근 허용, 관리적, 기술적 통제대책 미수립 및 감사기능 미흡이 문제였습니다.

 

다음은 계정관리가 미흡한 사례인데요. 위탁사는 외주업체의 업무 수행을 위하여 책임자 승인 하에 내부직원과 함께 화면조회를 하도록 되어있으나, 감사결과 외주직원과 내부직원이 계정을 공동으로 사용하고 있었으며, 외주직원은 내부직원 ID를 통하여 총 1,066회 개인정보에 접근하였습니다. 외주용역 직원의 무분별한 개인정보 접근에 대한 관리적·기술적 통제대책 수립 및 감사기능 미흡이 원인이었습니다.

유사 사례로 외주업체 직원이 노트북을 통하여 위탁사의 IT 시스템 서버에 삭제명령을 입력하여, IT 시스템이 마비되고 경제적 피해가 최소 80억 원 가량 추정되는 사례로 시스템 계정 비밀번호 관리 부실, 외주직원의 정보시스템 접근권한 관리 미흡이 원인이었습니다.

 

마지막은 내부정보 유출 사례인데요. 외주 용역업체 직원이 업무수행 중 알게 된 신제품 설계도 및 고객정보를 경쟁사에 전달하여 부당이익을 취득하고, 위탁사는 경쟁사에서 동일 기능 제품 선출시와 마케팅으로 피해를 입었던 사례로 내부자료에 대한 통제가 부족했던 사례입니다.

Q & A

Q : 개인정보 활용도가 많이 높아지고 있습니다. 이렇게 수집한 개인정보는 사업자의 중요자산으로 계속 보관하면서 이용하고자 합니다. 어떻게 활용하면 좋을까요?

A: 수집한 개인정보를 중요한 정보로 인식하고 보다 철저하고 안전하게 보관할 수 있도록 노력해야 하는것은 맞습니다. 다만, 계속 보관에 대한 부분은 고려해야 할 사항들이 있습니다. 최초 수집시 이용 목적과 이용기간에 대한 부분을 고지하고 동의를 받은 내용에 따라 제한적인 활용을 하셔야 합니다. 개인정보를 제공받은 자가 제3자에게 개인정보를 다시 제공하거나 제공받은 목적과는 다르게 개인정보를 이용하려고 한다면 반드시 이용자의 별도 동의를 얻어야 합니다.