‘개인정보보호법’에 따라 기업이 개인정보를 잘 보호하고 관리하기 위해 알아야 할 주요 이슈를 지난번 ‘민감한 고객 개인정보 어떻게 처리해야 할까(https://www.junggi.co.kr/article/articleView.html?no=32159)’에 이어 소개한다.
‘개인정보보호법’에 따라 기업이 개인정보를 잘 보호하고 관리하기 위해 알아야 할 주요 이슈를 지난번 ‘민감한 고객 개인정보 어떻게 처리해야 할까(https://www.junggi.co.kr/article/articleView.html?no=32159)’에 이어 소개한다.
◇처리위탁과 제3자 제공의 차이는=사업을 진행하는 과정에서 거래 상대방, 협력사 등의 제3자에게 고객의 개인정보를 전달하는 경우가 발생할 수 있다. 개인정보를 전달하는 것은 법적으로 개인정보의 ‘처리위탁’ 또는 개인정보의 ‘제3자 제공’에 해당할 수 있는데, 무엇에 해당하는지에 따라 관련 요건이 달라진다.
이에 처리위탁과 제3자 제공의 구별 방법을 살펴보면, 대법원은 “개인정보의 제3자 제공은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보의 처리위탁은 본래의 개인정보 수집·이용 목적과 관련된 위탁자의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다”는 입장이다. 아울러, 제3자 제공과 처리위탁을 구분하기 위해서는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합적으로 판단하여야 한다고 판시했다(대법원 2017.4.7. 선고 2016도13263 판결 등).
결국 고객의 개인정보를 전달할 때 전달받는 자의 처리 범위가 전달하는 자의 업무처리와 이익을 위한 것인지(처리위탁), 전달받는 자의 업무처리와 이익을 위한 것인지(제3자 제공)를 전달 목적, 대가, 관리·감독 여부 등을 통해 구체적·개별적으로 살펴볼 필요가 있다.
개인정보의 처리위탁(개인정보보호법 제26조)으로 판단되는 경우에는 위탁업무 수행목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적 관리적 보호조치에 관한 사항, 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항, 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항, 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 등이 포함된 문서(개인정보 처리위탁 계약서)에 의하여야 한다. 또한 개인정보처리 위탁자는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 홈페이지 등에 공개해야 하고, 수탁자를 교육·감독해야 한다. 수탁자로서는 보유기간이 경과하거나 개인정보 처리 목적이 달성되는 등의 경우 개인정보를 모두 파기하는 등의 사항을 준수해야 한다.
개인정보 제3자 제공(개인정보보호법 제17조)으로 판단되는 경우에는 정보주체에게 ①개인정보를 제공받는 자, ②개인정보를 제공받는 자의 개인정보 이용 목적, ③제공하는 개인정보의 항목, ④개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 고지하고 동의를 받아야 한다. 이때 개인정보 수집·이용 동의와 개인정보 제3자 제공 동의는 동의사항을 구분해 명확히 고지한 뒤 각각의 동의를 받아야 하고 포괄동의는 금지되는 점을 유의해야 한다.
◇해외에 소재한 서버를 이용해 고객정보를 처리하는 때에는=많은 양의 고객정보를 관리하기 위해, 또는 글로벌 솔루션을 이용해 고객정보를 분석하기 위해, 해외에 소재한 서버를 이용해 고객정보를 처리하는 경우가 있을 수 있다. 이와 같이 고객정보를 해외로 이전하는 경우에 관해 개인정보보호법에서는 특별한 규정을 두고 있다.
이에 따르면, 개인정보처리자가 개인정보를 국외로 이전(처리위탁 포함)하기 위해서는 정보주체로부터 국외 이전에 관한 별도의 동의를 받거나, 정보주체와의 계약 체결 및 이행을 위하여 필요한 경우로서 개인정보 처리방침에 공개하거나, 개인정보를 이전받는 자가 개인정보보호위원회가 정한 인증을 받는 등의 일정한 요건을 충족하여야 한다(개인정보보호법 제28조의8).
따라서 정보주체와의 계약 체결 및 이행을 위해 반드시 필요하다고 보기 어렵고(단순한 고객정보 분석 등의 경우), 고객정보를 전달받은 자가 개인정보보호위원회의 인증을 받았다는 등의 특별한 사정도 확인되지 않는다면, 해외에 소재한 서버를 이용해 고객정보를 처리하기 위해서는 고객으로부터 별도의 명시적인 동의를 받아야 할 것이다.
이때 고객으로부터 동의를 받을 때에는 ①이전되는 개인정보 항목, ②개인정보가 이전되는 국가·시기·방법, ③개인정보를 이전받는 자의 성명, ④개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간, ⑤개인정보의 이전을 거부하는 방법·절차 및 거부의 효과 등을 고지해야 한다.
◇처리 목적을 달성한 후에는=개인정보보호법은 개인정보처리자로 하여금 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되었을 경우 고객의 개인정보를 파기하도록 정하고 있다(개인정보보호법 제21조).
적법하게 동의를 받아 개인정보를 활용했다고 하더라도, 파기 의무를 다하지 않으면 2년 이하 징역 또는 2000만원 이하 벌금의 형사처벌에 처해질 수 있으므로(개인정보보호법 제73조 1의2) 동의받은 보유기간이 경과했거나 처리 목적을 달성한 때에는 파기 의무를 철저히 이행해야 할 것이다.
두 차례에 걸쳐 ▲개인정보의 의미 ▲민감정보 및 고유식별정보 활용 시의 유의사항 ▲개인정보 활용 동의를 받는 방법 ▲개인정보 처리방침의 수립 및 공개 ▲개인정보 처리위탁·제3자 제공·국외이전 시의 유의사항 ▲목적 달성 후 개인정보 파기 등에 관해 살펴보았다.
중소기업이나 스타트업의 입장에서는 개인정보 관련 규제가 다소 복잡하게 느껴질 수 있지만, 지속적이고 안전한 사업 운영을 위해서는 개인정보를 잘 활용하는 것 뿐만 아니라 개인정보를 잘 보호하고 관리하는 것이 중요하다는 점을 다시 한번 강조한다. 지금과 같은 빅데이터 시대에 개인정보의 활용과 개인정보의 보호는 기업으로서 어느 하나 놓칠 수 없는 중요한 요소이므로 앞서 살펴본 내용을 반드시 숙지해야 한다.
한편, 개인정보보호법은 개인정보 보호에 관한 일반법적 성격을 가지는 바, 고객의 신용정보에 관해서는 ‘신용정보의 이용 및 보호에 관한 법률’이, 고객의 위치정보에 관해서는 ‘위치정보의 보호 및 이용 등에 관한 법률’이 각각 ‘개인정보보호법’에 우선 적용된다. 위에서는 ‘개인정보보호법’에 근거해 살펴보았으나, 만약 기업에서 활용하고자 하는 정보가 신용정보 또는 위치정보에 해당한다면 ‘신용정보의 이용 및 보호에 관한 법률’ 또는 ‘위치정보의 보호 및 이용 등에 관한 법률’도 함께 준수해야 한다. (중기이코노미 객원=법무법인 청향 윤희창 변호사)
<저작권자 ⓒ 중기이코노미. 무단전재 및 재배포 금지>