개인정보 처리와 처리 업무 위탁의 구별과 관련 쟁점은?
[보안뉴스= 장은호 김·장 법률사무소 변호사] 개인정보보호법이 시행된 지 어느새 만 4년을 바라보고 있다. 본래 정보통신망 이용촉진 및 정보보호 등에 관한 법률(‘정보통신망법’), 신용정보의 이용 및 보호에 관한 법률(‘신용정보법’), (구)공공기관의 개인정보보호에 관한 법률 등 정보의 처리 관계를 바탕으로 개인정보보호를 규율하고 있는 법률들이 존재해 왔고, 그에 따라 적지 않은 선례가 축적되어 왔으며, 국민들의 개인정보에 관한 높은 관심, 주무기관인 행정자치부를 비롯한 정부 각 부처의 노력으로 개인정보보호법의 주요 사항에 관한 쟁점이 어느 정도 정리되고 그 쟁점에 관한 많은 홍보까지 이루어졌다.
그럼에도 불구하고 실무상 정리되지 않는 몇 가지의 쟁점이 있는데, 그 개념 구분에 따라 법 적용의 측면이 완전히 달라지는, ‘처리’와 ‘처리 업무 위탁’의 구별 문제이다. 특히 행위 태양을 ‘정보의 이전’으로 좁히게 되면, 개인정보보호법 제3장에서 예정한 행위 중 그 요건이 가장 까다로운 개인정보의 제3자 제공(개인정보 보호법 제17조 등)과 요건이 그리 까다롭지 않은 개인정보 처리 업무 위탁(개인정보 보호법 제26조) 중 어느 규정이 적용될 것인지의 문제로 귀착된다.
개인정보 처리 업무의 위탁이 반드시 개인정보의 이전을 수반하는 것은 아니나, 그 정보처리 목적이 수탁자가 아닌 위탁자에게 속하는 만큼 개인정보 처리 업무 위탁은 개인정보 이전을 수반하게 되고, 이 부분이 실무상 가장 문제가 되고 있기 때문이다.
처리 업무의 위탁이라는 용어에서 보는 바와 같이, 처리와 처리 업무 위탁은 구분되는데, 먼저 처리의 의미를 확정할 필요가 있다. 개인정보보호법은 제2조에서 처리의 정의를 ‘개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위’라고 정하고 있으며, 제3장의 제15조 내지 제25조에서 처리의 주체로서 개인정보 처리자가 준수해야 할 사항에 관하여 정하고 있다.
반면 제26조는 위와 같은 개인정보 처리자의 처리행위를 위탁하는 경우의 준수사항을 규율하고 있다. 그리고 ‘위탁’은 제2조가 나열하여 정하고 있는 처리의 양태에 포함되어 있지 않은데, 이와 같은 규정 내용과 취지를 종합해 보면 수집·이용, 제3자 제공, 공개, 파기 및 이와 유사한 행위를 주체적으로 수행하는 것을 가리키는 개념인 ‘처리’와 그 처리를 대신 수행토록 하는 행위에 해당하는 ‘처리 업무 위탁’은 엄격히 구분된다고 보는 것이 맞다.
개인정보 처리(제3자 제공)와 처리 업무 위탁의 구별 방법 우리나라의 경우, 개인정보보호법 제정 이전부터 정보통신망법이나 신용정보법 관련하여 개인정보 처리 업무의 위탁을 위한 개인정보의 이전이 문제되어 왔고 그 결과 개인정보 제3자 제공과 처리 업무 위탁의 구별을 중심으로 양자의 구별 논의가 정리됐다. 그에 따라서 현재는 정보를 제공하는 측의 사업 목적을 위하여 개인정보가 이전되는 경우에는 ‘위탁’에 해당하고, 정보를 제공받는 측의 사업 목적을 위해 개인정보가 이전되는 경우에는 ‘제3자 제공’에 해당한다는 점에 특별한 이론(異論)이 존재하지 않는다. 이는 행정자치부의 개인정보 보호법령 및 지침·고시 해설서와 방통위의 정보통신서비스 제공자를 위한 개인정보 보호법령 해설서는 물론 대법원 판례(대법원 2011. 7.14. 선고 2011도1960판결) 등에서도 드러난다.
한편, 개인정보보호에 관한 법령 체제를 우리보다 일찍 구축했으며, 개인정보보호법의 실질적인 기초로 평가되고 있는 유럽 개인정보 법제의 해석에 따르면, Controller(개인정보통제자)와 Processor(개인정보 처리업무 수행자)는 구별되는데, Controller가 우리 개인정보보호법이 정하고 있는 개인정보처리자에 해당하며, Processor는 Controller를 위해 Controller의 통제에 따라 개인정보 처리업무를 대신 수행해 주는 자로서 개인정보 처리업무를 위탁받은 자에 해당한다고 평가된다.
그리고 양자의 구별에 관하여, The Article 29 Data Protection Working Party(유럽연합 내 프라이버시 관련 자문기구)에서 발간한 Opinion 1/2010 on the concepts of “controller” and “processor”은 정보처리의 목적과 수단을 결정하는 것(“Determines the purposes and means of processing”)을 Controller 개념의 핵심 징표로 본다.
결국 개인정보의 처리와 처리 업무의 위탁은 그 개인정보 처리의 목적과 관리·통제의 권한이 종국적으로 누구에게 귀속하는지를 기초로 구별해야 하는데, 구체적으로는 아래와 같은 사항을 확인할 필요가 있다(각각의 상황에 해당하는 경우 개인정보 처리 업무를 수행하는 자는 개인정보 처리자가 아닌 개인정보 처리 업무의 수탁자로 판단될 가능성이 높다).
- 법령이 명백히 위탁 업무로 정하고 있는 업무 수행 관계
- 계약의 내용
①계약 체결 시 당사자의 의사가 개인정보처리 업무를 수행하는 자로 하여금 오직 상대방의 업무를 대신 수행하여 주기 위한 것으로 해석되는 경우 ②개인정보처리 업무를 수행하는 자가 실제 자기 고유의 업무 목적만으로 개인정보를 열람할 수 없는 경우 ③해당 계약이 종료되는 경우 개인정보처리 업무를 수행하는 자가 개인정보를 반환하여야 하거나 즉시 파기해야 하는 경우 ④계약 계속 중이라고 하여도 상대방의 요구에 따라 개인정보처리 업무를 수행하는 자가 개인정보를 즉시 파기해야 하는 경우 ⑤개인정보처리 업무를 수행하는 자가 그 업무 수행으로 인하여 상대방에게 편익을 제공하고, 개인정보 처리업무를 수행하는 자는 해당 편익 제공을 업으로 하는 경우
- 부수적인 사정
①개인정보처리 업무를 수행하는 자가 상대방으로부터 업무 수행에 따른 대가를 지급받을 것 ②개인정보보호법 제26조의 의무사항을 이행할 것 ③해당 업무의 규모나 난이도에 비추어 개인정보처리 업무를 수행하는 자에 의한 수행을 예상할 수 있을 것
현재 실제 문제되고 있는 쟁점과 시사점
현재 개인정보 유출사건 이외에 개인정보와 관련한 현업 또는 수사나 조사 과정에서 실제 문제되고 있는 주요 쟁점으로 개인정보 제3자 제공과 개인정보처리 업무 위탁의 구별 문제를 들 수 있다.
이에 대해서는 개인정보처리 업무 위탁을 다소 제한적으로 인정하여 정보주체의 개인정보 자기결정권을 보다 강하게 보호하려는 입장이 수사나 조사를 담당하고 있는 측의 입장으로 이해되고, 이와 달리 현업을 중심으로는 개인정보처리 업무 위탁의 개념을 합리적인 범위 내에서라면 다소 넓게 인정해야 개인정보와 관련된 사업이 활성화된다는 입장인 것으로 풀이된다.
현재까지 각종 조사나 수사 과정에서 문제된 주요 사례는 다음과 같다.
- 위탁을 인정한 사례
①정보유출 사례에 있어서 정보를 유출한 직원이 소속된 용역업체와 정보가 유출된 회사와의 관계 ②유통업체, 보험회사의 경품 대행사 ③마케팅 콜을 수행하기 전 단계에서 퍼미션 콜을 수행하는 콜센터
- 위탁을 부정한 사례 또는 그 부정의 논거
①계약상 용역 대금에 관하여 정하고 있지 않고 실제 용역대금이 오고 가지 않은 경우 ②계약서 등에 개인정보보호법 제26조 제1항이 정하고 있는 사항을 포함하지 않거나, 위탁이라는 명칭을 기재하지 않은 경우 ③위탁하려는 개인정보처리 업무가 법령상 위탁자의 업무에 포함되어 있지 아니한 경우
물론 각 개별 사례가 가진 구체적인 사실관계가 존재하므로 개인정보처리 업무 위탁에 관한 입장을 획일적으로 규정할 수 없으나, 사업자가 개인정보처리 업무 위탁임을 전제로 업무를 수행하기 위해서는 위와 같은 조사나 수사 주체의 시각을 충분히 참고할 필요가 있다.
즉, 경우에 따라서는 기존 선례나 해석례에서 인정하고 있는 개인정보처리 업무 위탁 사례에 해당하더라도, 그 업무 수행에 따른 대가 관계를 명확히 하고, 개인정보보호법이 정하고 있는 위탁에 관한 사항을 모두 준수하며, 위탁하는 자가 해당 업무를 직접 수행하거나 남에게 위탁할 수 있는 적정한 권한이 있는 것인지를 함께 검토하는 한편, 그와 같은 이유로 정보주체의 동의를 받지 않았음을 명확히 증명할 수 있는 자료를 남겨두는 것이 좋다.
그리고 만약 개인정보의 제3자 제공인지 아니면 처리 업무 위탁인지 여부가 불명확한 경우 그 리스크를 최소화하기 위해 개인정보 처리 동의서에 제3자 제공과 처리 업무 위탁을 구별하지 아니하고 모두 묶어 정보주체의 동의를 받는 방법 등도 차선책으로 고려할 수 있을 것이다.
[글 _ 장 은 호 김·장 법률사무소 변호사]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
