최근 보호위원회의 처분례와 위탁자 면책 방안을 중심으로
[보안뉴스= 최문영 지키다·법률사무소 웨일앤썬 변호사] 개인정보보호법 제26조에서 규정하는 개인정보 처리위탁이란, 개인정보처리자가 개인정보 수집·이용 등의 처리 자체를 제3자에게 위탁하거나, 개인정보 이용·제공 등 처리가 수반되는 업무를 수탁자에게 위탁하는 것을 의미한다. 이는 개인정보를 외부 제3자에게 물리적으로 이전한다는 점에서 개인정보 보호법 제17, 18조의 개인정보 제3자 제공(이하 ‘제3자 제공’)과 상당히 유사하므로 두 개념의 구분이 종종 문제 된다.
[자료: gettyimagesbank]
1. 개인정보 처리위탁의 개념 및 제3자 제공과의 차이점
통상 양자는 개인정보 이전으로 인해 발생하는 이익과 목적의 귀속 주체, 그리고 개인정보가 이전된 이후 해당 개인정보에 대한 지배·관리권의 귀속 주체가 누구인지를 기준으로 구분한다. 이때 각 귀속 주체가 개인정보를 이전한 자일 경우는 개인정보 처리위탁, 개인정보를 이전받은 자일 경우는 개인정보 제3자 제공으로 본다. 대법원은 이에 더해 취득 목적, 취득 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리 및 감독 여부, 정보 주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향, 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등 다양한 요소를 종합적으로 고려해 양자를 구분하는 입장이다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).
위와 같이 개인정보 처리위탁과 제3자 제공을 구분하는 기준 자체는 비교적 명확하다고 볼 수 있지만, 하나의 사실관계를 두고 그것이 개인정보 처리위탁인지, 제3자 제공인지를 결정하는 것은 규범적 판단의 영역인 만큼 막상 실제 사례에서는 그 구분이 쉽지 않다. 이를 잘 보여주는 대표적 사례가 2015년 발생한 홈플러스 사건이다. 홈플러스는 ‘보험 텔레마케팅 지원 업무’ 목적으로 여러 보험사와 고객 개인정보 이전 약정을 체결하고, 이후 고객 개인정보가 대량 저장된 데이터베이스를 보험사들에게 실제로 이전했다. 이 과정에서 해당 이전 행위의 규범적 성격이 개인정보 처리위탁인지, 제3자 제공인지가 쟁점이 되었는데, 1심과 2심은 모두 이를 개인정보 처리위탁이라고 판단했으나, 대법원은 고객의 개인정보가 궁극적으로 보험사의 업무 목적과 이익을 위해 이전되었다는 점에 주목해 이를 개인정보 제3자 제공에 해당한다고 보아 원심을 파기하고 사건을 환송했다.
이러한 쟁점은 최근 발생한 카카오페이 사건에서도 반복되고 있다. 카카오페이는 Apple Distribution International Limited(이하 ‘애플’)로부터 개인정보 처리 업무를 위탁받은 Alipay Singapore E-Commerce Private Limited(이하 ‘알리페이’)에게 ‘애플의 서비스 이용자 평가’ 등을 목적으로 약 4000만명에 달하는 자사 이용자의 개인정보를 이용자들의 동의 없이 전달해 문제가 되었다. 개인정보보호위원회는 이와 같은 이전 행위를 제3자 제공으로 판단해 카카오페이에 과징금 부과, 시정명령 및 공표명령 처분을 내렸으나, 카카오페이는 이를 개인정보 처리위탁에 따른 이전이라고 주장하며 위 처분에 불복해 법원의 문을 두드리고 있는 형국이다.
2. 개인정보 처리위탁에 따른 법적 책임 개요
그렇다면 개인정보 처리위탁과 제3자 제공의 구분이 다양한 사안에서 반복적으로 문제가 되고, 그 구분이 중요한 쟁점으로 대두되는 근본적인 이유는 무엇일까? 이는 법률적 책임의 부담 또는 그 책임의 회피 가능성 때문이다. 개인정보 처리위탁의 경우 원칙적으로 정보주체의 동의를 별도로 요구하지 않으나, 제3자 제공은 개인정보 보호법 제17, 18조에 따라 정보주체의 동의와 같은 명확한 법적 근거가 요구된다. 따라서 정보주체의 동의 없이 개인정보를 이전한 행위가 제3자 제공으로 인정되면 그 제공자는 형사제재 혹은 과징금 부과 대상이 될 수 있지만, 개인정보 처리위탁으로 인정되면 이러한 처벌의 대상이 되지 않는다.
그렇다면 위탁자는 법적 책임에서 완전히 자유로운 것일까? 그렇지 않다. 전술한 바와 같이 개인정보 처리위탁에 해당하면 위탁자는 정보주체의 동의와 같은 명확한 법적 근거 없이도 개인정보 이전이 가능하지만, 개인정보 처리위탁은 본질적으로 위탁자의 목적이나 이익을 위해 이루어지는 것인 만큼 위탁자는 개인정보 이전 시점 이후부터 발생하는 개인정보에 대한 각종 침해행위 등에 대해서도 법적 책임을 부담하기 때문이다. 이는 소정의 법적인 근거에 기초해 개인정보가 이전되는 제3자 제공의 경우에는 개인정보를 이전한 자에게 더 이상 법적인 책임을 묻지 않는 것과 대변되는 면이기도 하다.
그럼 결국 위탁자는 ‘손해배상’, ‘과태료’, ‘벌금’ 등과 같은 민사·형사·행정상 책임에서 완전히 자유로울 수 없는 것일까? 원칙은 안타깝게도 그렇다는 것이다. 그렇다면 이를 낮추는 방법은 없을까? 이에 관해서는 위탁자가 실제로 부담하게 될 법적 책임의 종류와 함께 아래에서 자세히 논의하도록 하겠다.
3. 개인정보 보호법상 위탁 관련 개정 사항과 최신 처분례
2023년 3월 14일 개정된 개인정보 보호법에서 개인정보 처리위탁과 관련해 주요하게 변경된 사항은 다음과 같다. 우선 ①기존부터 위수탁에 관한 규정이 적용되는지에 관해 논란이 있던 ‘재위탁’의 경우 개인정보 보호법 제26조 제2항이 적용된다고 명시했고(제26조 제2항), 재위탁 시 위탁자의 동의를 받도록 하는 규정 또한 신설했다(제26조 제6항). ②또한 수탁자에게 준용되는 규정의 범위를 대폭 확대함과 동시에(제26조 제8항), 수탁자를 제64조의2(과징금의 부과) 뿐만 아니라 제71조 내지 제73조(벌칙), 제75조(과태료)와 같은 벌칙 규정의 제재 대상에 명시적으로 포함했다. ③마지막으로 기존에 정보통신망서비스 제공자에게만 적용되던 과징금 부과 규정을 모든 개인정보처리자에 확대 적용하는 제64조의2를 신설하면서, 과징금 부과 대상에 ‘제26조 제4항에 따른 관리·감독 또는 교육을 소홀히 해 수탁자가 이 법의 규정을 위반(제64조의2 제1항 제5호)할 경우’를 신설했다.
법 조문을 들여다보는 것만으로는 개정안의 함의를 쉽게 이해하기 어렵기 때문에 개인정보보호위원회가 수탁자의 침해행위가 문제된 실제 사례에서 개정된 법령을 근거로 어떤 처분을 내렸는지를 살펴보는 편이 도움이 될 것이다. 개인정보보호위원회는 2025년 1월 22일 복권위원회(위탁자)로부터 복권 시스템 구축 및 운영 등에 관련된 개인정보 처리 업무를 위탁받은 동행복권(수탁자)에 대해 개인정보 보호법상 안전조치 의무를 이행하지 않아 개인정보를 유출했다는 이유로 총 5억 780만원의 과징금 및 과태료를 부과하고 공표명령까지 내렸지만, 위탁자인 복권위원회에 대해서는 관리·감독 및 교육의무를 소홀히 했다고 보기 어렵다고 판단해 아무런 처분도 하지 않았다.
마찬가지로 개인정보보호위원회는 2025년 4월 23일 통신사들로부터 개인정보 처리 업무를 위탁받은 각 수탁사에 대해서 개인정보 보호법상 안전조치 의무 등을 이행하지 않은 것에 대한 책임을 물어 과태료를 부과했으나, 위탁자인 각 통신사에 대해서는 관리·감독 및 교육의무를 소홀히 했다고 보기 어렵다고 판단해 아무런 처분도 하지 않았다. 즉, 위 사례들은 법을 위반한 수탁자에게는 개인정보 보호법에 따라 행정책임을 부과한 반면, 위탁자에 대해서는 개인정보 보호법 제26조 제4항에 따른 수탁자 관리·감독 및 교육의무를 성실히 이행하였음을 근거로 행정책임을 면해 주었다는 공통점이 있다.
4. 개정 개인정보 보호법의 함의와 그에 따른 위탁자 및 수탁자의 법적 책임
개정 전의 개인정보 보호법하에서는, 수탁자의 침해행위로 인해 정보 주체에게 법적 책임을 부담해야 할 경우, 본질적으로 개인정보 처리위탁이 위탁자의 목적과 이익을 위한 행위라는 점에 비추어 위탁자가 전적으로 그 책임을 부담하도록 하는 것이 일반적인 해석론이었다. 그에 따라 당시 법령에는 수탁자에 대한 처벌이나 행정 제재가 규정되어 있지 않았기에 수탁자가 부담해야 할 법적 책임은 민사책임을 제외하고는 없는 것에 가까웠다. 그러나 앞서 3항에서 소개한 내용을 종합해 살펴보면, 2023년 개인정보 보호법 개정안에서는 다소 변경된 책임 구조에 따라 위탁자가 부담하게 되는 법적 책임의 부담을 어느 정도 완화하려 한 것으로 해석하는 것이 합리적으로 보인다. 물론 개정법에서도 위탁자에게 기본적으로 법적 책임이 귀속되고 있으나, 명문의 규정을 통해 수탁자에게도 법적 책임을 부담케 하고 있으며, 위탁자 또한 일정한 요건 하에서 면책될 가능성을 열어 두고 있다는 것이다.
우선 수탁자의 법적 책임에 관해 개정법에 규정된 사항을 먼저 살펴보자. 개정법에는 수탁자가 법 위반의 책임이 있는 범위 내에서 수탁자가 기존부터 부담하던 민사상 책임(주로 정보 주체에 대한 민법 제750조의 불법행위책임이나 위탁자에 대한 책임이 될 수 있을 것이다)에 더해 형사·행정 책임까지 부담하게끔 함으로써 수탁자에게 적용되는 법적 책임의 범위를 기존 대비 현저히 확대했다. 실제로 앞서 살펴본 바와 같이 법 제26조 제8항을 개정함으로써 수탁자에게 준용되는 의무규정의 범위를 대폭 확대했을 뿐만 아니라, 벌칙·과징금·과태료에 관한 각 규정에서도 수탁자 또한 제재 대상에 포함한다고 명시함으로써 수탁자에게 가해지는 형사적·행정적 제재의 근거를 명확히 했다.
아울러 개정법에는, 위탁자가 수탁자에 대한 관리·감독 및 교육의무를 성실히 이행하면 면책받을 수 있는 여지를 열어 둠으로써 위탁자의 법적 부담을 완화하려 한 것으로 보인다. 개정법에서 이러한 입법 취지가 가장 잘 드러난 곳은 과징금 부과 대상에 관해 규정한 개인정보 보호법 제64조의2 제1항 제5호이다. 해당 조항은 ‘위탁자가 수탁자에 대한 관리·감독 또는 교육을 소홀히 한 경우’ 과징금을 부과한다고 규정되어 있어, 그 반대해석 상 위탁자가 위 각 의무를 충실히 이행했다면 과징금 부과 처분을 면할 수 있도록 여지를 두고 있다. 이에 더해, 앞서 살펴본 바와 같이 수탁자에게 부과되는 법적 책임을 대폭 확대하는 방향으로 개정이 이루어졌다는 점까지 고려하면, 입법자가 위탁자의 책임을 합리적인 범위 내에서 완화하려 하였다는 해석에 더욱 힘이 실린다. 또한 이러한 해석에 의하면 위탁자의 정보 주체에 대한 민사책임이 경감될 여지도 있을 것으로 보인다.
비록 이에 관해 명확히 규정한 조문이나 관련 판례는 없으나, 위탁자가 개인정보 보호법 제26조 제6항에 따라 부담하게 되는 민법 제756조의 사용자책임에 대해서도 ‘피용자의 선임 및 그 사무감독에 상당한 주의를 한 때’에 해당하는 사유로 인한 면책을 거의 인정하지 않는 기존 실무상의 법리가 그대로 적용되지 않을 가능성이 높다고 보는 것이 위와 같은 해석에 비추어 합리적이기 때문이다.
[글_ 최문영 지키다·법률사무소 웨일앤썬 변호사]
[보안뉴스= 최문영 지키다·법률사무소 웨일앤썬 변호사] 개인정보보호법 제26조에서 규정하는 개인정보 처리위탁이란, 개인정보처리자가 개인정보 수집·이용 등의 처리 자체를 제3자에게 위탁하거나, 개인정보 이용·제공 등 처리가 수반되는 업무를 수탁자에게 위탁하는 것을 의미한다. 이는 개인정보를 외부 제3자에게 물리적으로 이전한다는 점에서 개인정보 보호법 제17, 18조의 개인정보 제3자 제공(이하 ‘제3자 제공’)과 상당히 유사하므로 두 개념의 구분이 종종 문제 된다.
[자료: gettyimagesbank]
1. 개인정보 처리위탁의 개념 및 제3자 제공과의 차이점
통상 양자는 개인정보 이전으로 인해 발생하는 이익과 목적의 귀속 주체, 그리고 개인정보가 이전된 이후 해당 개인정보에 대한 지배·관리권의 귀속 주체가 누구인지를 기준으로 구분한다. 이때 각 귀속 주체가 개인정보를 이전한 자일 경우는 개인정보 처리위탁, 개인정보를 이전받은 자일 경우는 개인정보 제3자 제공으로 본다. 대법원은 이에 더해 취득 목적, 취득 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리 및 감독 여부, 정보 주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향, 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등 다양한 요소를 종합적으로 고려해 양자를 구분하는 입장이다(대법원 2017. 4. 7. 선고 2016도13263 판결 참조).
위와 같이 개인정보 처리위탁과 제3자 제공을 구분하는 기준 자체는 비교적 명확하다고 볼 수 있지만, 하나의 사실관계를 두고 그것이 개인정보 처리위탁인지, 제3자 제공인지를 결정하는 것은 규범적 판단의 영역인 만큼 막상 실제 사례에서는 그 구분이 쉽지 않다. 이를 잘 보여주는 대표적 사례가 2015년 발생한 홈플러스 사건이다. 홈플러스는 ‘보험 텔레마케팅 지원 업무’ 목적으로 여러 보험사와 고객 개인정보 이전 약정을 체결하고, 이후 고객 개인정보가 대량 저장된 데이터베이스를 보험사들에게 실제로 이전했다. 이 과정에서 해당 이전 행위의 규범적 성격이 개인정보 처리위탁인지, 제3자 제공인지가 쟁점이 되었는데, 1심과 2심은 모두 이를 개인정보 처리위탁이라고 판단했으나, 대법원은 고객의 개인정보가 궁극적으로 보험사의 업무 목적과 이익을 위해 이전되었다는 점에 주목해 이를 개인정보 제3자 제공에 해당한다고 보아 원심을 파기하고 사건을 환송했다.
이러한 쟁점은 최근 발생한 카카오페이 사건에서도 반복되고 있다. 카카오페이는 Apple Distribution International Limited(이하 ‘애플’)로부터 개인정보 처리 업무를 위탁받은 Alipay Singapore E-Commerce Private Limited(이하 ‘알리페이’)에게 ‘애플의 서비스 이용자 평가’ 등을 목적으로 약 4000만명에 달하는 자사 이용자의 개인정보를 이용자들의 동의 없이 전달해 문제가 되었다. 개인정보보호위원회는 이와 같은 이전 행위를 제3자 제공으로 판단해 카카오페이에 과징금 부과, 시정명령 및 공표명령 처분을 내렸으나, 카카오페이는 이를 개인정보 처리위탁에 따른 이전이라고 주장하며 위 처분에 불복해 법원의 문을 두드리고 있는 형국이다.
2. 개인정보 처리위탁에 따른 법적 책임 개요
그렇다면 개인정보 처리위탁과 제3자 제공의 구분이 다양한 사안에서 반복적으로 문제가 되고, 그 구분이 중요한 쟁점으로 대두되는 근본적인 이유는 무엇일까? 이는 법률적 책임의 부담 또는 그 책임의 회피 가능성 때문이다. 개인정보 처리위탁의 경우 원칙적으로 정보주체의 동의를 별도로 요구하지 않으나, 제3자 제공은 개인정보 보호법 제17, 18조에 따라 정보주체의 동의와 같은 명확한 법적 근거가 요구된다. 따라서 정보주체의 동의 없이 개인정보를 이전한 행위가 제3자 제공으로 인정되면 그 제공자는 형사제재 혹은 과징금 부과 대상이 될 수 있지만, 개인정보 처리위탁으로 인정되면 이러한 처벌의 대상이 되지 않는다.
그렇다면 위탁자는 법적 책임에서 완전히 자유로운 것일까? 그렇지 않다. 전술한 바와 같이 개인정보 처리위탁에 해당하면 위탁자는 정보주체의 동의와 같은 명확한 법적 근거 없이도 개인정보 이전이 가능하지만, 개인정보 처리위탁은 본질적으로 위탁자의 목적이나 이익을 위해 이루어지는 것인 만큼 위탁자는 개인정보 이전 시점 이후부터 발생하는 개인정보에 대한 각종 침해행위 등에 대해서도 법적 책임을 부담하기 때문이다. 이는 소정의 법적인 근거에 기초해 개인정보가 이전되는 제3자 제공의 경우에는 개인정보를 이전한 자에게 더 이상 법적인 책임을 묻지 않는 것과 대변되는 면이기도 하다.
그럼 결국 위탁자는 ‘손해배상’, ‘과태료’, ‘벌금’ 등과 같은 민사·형사·행정상 책임에서 완전히 자유로울 수 없는 것일까? 원칙은 안타깝게도 그렇다는 것이다. 그렇다면 이를 낮추는 방법은 없을까? 이에 관해서는 위탁자가 실제로 부담하게 될 법적 책임의 종류와 함께 아래에서 자세히 논의하도록 하겠다.
3. 개인정보 보호법상 위탁 관련 개정 사항과 최신 처분례
2023년 3월 14일 개정된 개인정보 보호법에서 개인정보 처리위탁과 관련해 주요하게 변경된 사항은 다음과 같다. 우선 ①기존부터 위수탁에 관한 규정이 적용되는지에 관해 논란이 있던 ‘재위탁’의 경우 개인정보 보호법 제26조 제2항이 적용된다고 명시했고(제26조 제2항), 재위탁 시 위탁자의 동의를 받도록 하는 규정 또한 신설했다(제26조 제6항). ②또한 수탁자에게 준용되는 규정의 범위를 대폭 확대함과 동시에(제26조 제8항), 수탁자를 제64조의2(과징금의 부과) 뿐만 아니라 제71조 내지 제73조(벌칙), 제75조(과태료)와 같은 벌칙 규정의 제재 대상에 명시적으로 포함했다. ③마지막으로 기존에 정보통신망서비스 제공자에게만 적용되던 과징금 부과 규정을 모든 개인정보처리자에 확대 적용하는 제64조의2를 신설하면서, 과징금 부과 대상에 ‘제26조 제4항에 따른 관리·감독 또는 교육을 소홀히 해 수탁자가 이 법의 규정을 위반(제64조의2 제1항 제5호)할 경우’를 신설했다.
법 조문을 들여다보는 것만으로는 개정안의 함의를 쉽게 이해하기 어렵기 때문에 개인정보보호위원회가 수탁자의 침해행위가 문제된 실제 사례에서 개정된 법령을 근거로 어떤 처분을 내렸는지를 살펴보는 편이 도움이 될 것이다. 개인정보보호위원회는 2025년 1월 22일 복권위원회(위탁자)로부터 복권 시스템 구축 및 운영 등에 관련된 개인정보 처리 업무를 위탁받은 동행복권(수탁자)에 대해 개인정보 보호법상 안전조치 의무를 이행하지 않아 개인정보를 유출했다는 이유로 총 5억 780만원의 과징금 및 과태료를 부과하고 공표명령까지 내렸지만, 위탁자인 복권위원회에 대해서는 관리·감독 및 교육의무를 소홀히 했다고 보기 어렵다고 판단해 아무런 처분도 하지 않았다.
마찬가지로 개인정보보호위원회는 2025년 4월 23일 통신사들로부터 개인정보 처리 업무를 위탁받은 각 수탁사에 대해서 개인정보 보호법상 안전조치 의무 등을 이행하지 않은 것에 대한 책임을 물어 과태료를 부과했으나, 위탁자인 각 통신사에 대해서는 관리·감독 및 교육의무를 소홀히 했다고 보기 어렵다고 판단해 아무런 처분도 하지 않았다. 즉, 위 사례들은 법을 위반한 수탁자에게는 개인정보 보호법에 따라 행정책임을 부과한 반면, 위탁자에 대해서는 개인정보 보호법 제26조 제4항에 따른 수탁자 관리·감독 및 교육의무를 성실히 이행하였음을 근거로 행정책임을 면해 주었다는 공통점이 있다.
4. 개정 개인정보 보호법의 함의와 그에 따른 위탁자 및 수탁자의 법적 책임
개정 전의 개인정보 보호법하에서는, 수탁자의 침해행위로 인해 정보 주체에게 법적 책임을 부담해야 할 경우, 본질적으로 개인정보 처리위탁이 위탁자의 목적과 이익을 위한 행위라는 점에 비추어 위탁자가 전적으로 그 책임을 부담하도록 하는 것이 일반적인 해석론이었다. 그에 따라 당시 법령에는 수탁자에 대한 처벌이나 행정 제재가 규정되어 있지 않았기에 수탁자가 부담해야 할 법적 책임은 민사책임을 제외하고는 없는 것에 가까웠다. 그러나 앞서 3항에서 소개한 내용을 종합해 살펴보면, 2023년 개인정보 보호법 개정안에서는 다소 변경된 책임 구조에 따라 위탁자가 부담하게 되는 법적 책임의 부담을 어느 정도 완화하려 한 것으로 해석하는 것이 합리적으로 보인다. 물론 개정법에서도 위탁자에게 기본적으로 법적 책임이 귀속되고 있으나, 명문의 규정을 통해 수탁자에게도 법적 책임을 부담케 하고 있으며, 위탁자 또한 일정한 요건 하에서 면책될 가능성을 열어 두고 있다는 것이다.
우선 수탁자의 법적 책임에 관해 개정법에 규정된 사항을 먼저 살펴보자. 개정법에는 수탁자가 법 위반의 책임이 있는 범위 내에서 수탁자가 기존부터 부담하던 민사상 책임(주로 정보 주체에 대한 민법 제750조의 불법행위책임이나 위탁자에 대한 책임이 될 수 있을 것이다)에 더해 형사·행정 책임까지 부담하게끔 함으로써 수탁자에게 적용되는 법적 책임의 범위를 기존 대비 현저히 확대했다. 실제로 앞서 살펴본 바와 같이 법 제26조 제8항을 개정함으로써 수탁자에게 준용되는 의무규정의 범위를 대폭 확대했을 뿐만 아니라, 벌칙·과징금·과태료에 관한 각 규정에서도 수탁자 또한 제재 대상에 포함한다고 명시함으로써 수탁자에게 가해지는 형사적·행정적 제재의 근거를 명확히 했다.
아울러 개정법에는, 위탁자가 수탁자에 대한 관리·감독 및 교육의무를 성실히 이행하면 면책받을 수 있는 여지를 열어 둠으로써 위탁자의 법적 부담을 완화하려 한 것으로 보인다. 개정법에서 이러한 입법 취지가 가장 잘 드러난 곳은 과징금 부과 대상에 관해 규정한 개인정보 보호법 제64조의2 제1항 제5호이다. 해당 조항은 ‘위탁자가 수탁자에 대한 관리·감독 또는 교육을 소홀히 한 경우’ 과징금을 부과한다고 규정되어 있어, 그 반대해석 상 위탁자가 위 각 의무를 충실히 이행했다면 과징금 부과 처분을 면할 수 있도록 여지를 두고 있다. 이에 더해, 앞서 살펴본 바와 같이 수탁자에게 부과되는 법적 책임을 대폭 확대하는 방향으로 개정이 이루어졌다는 점까지 고려하면, 입법자가 위탁자의 책임을 합리적인 범위 내에서 완화하려 하였다는 해석에 더욱 힘이 실린다. 또한 이러한 해석에 의하면 위탁자의 정보 주체에 대한 민사책임이 경감될 여지도 있을 것으로 보인다.
비록 이에 관해 명확히 규정한 조문이나 관련 판례는 없으나, 위탁자가 개인정보 보호법 제26조 제6항에 따라 부담하게 되는 민법 제756조의 사용자책임에 대해서도 ‘피용자의 선임 및 그 사무감독에 상당한 주의를 한 때’에 해당하는 사유로 인한 면책을 거의 인정하지 않는 기존 실무상의 법리가 그대로 적용되지 않을 가능성이 높다고 보는 것이 위와 같은 해석에 비추어 합리적이기 때문이다.
[글_ 최문영 지키다·법률사무소 웨일앤썬 변호사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
