개인정보보호 실무를 담당하거나 ISMS-P 인증을 준비하다 보면 가장 먼저 마주치는 난관이 있습니다. 바로 개인정보 처리 위탁, 제3자 제공, 제3자 수령의 구분입니다.
"업체에 정보를 넘기는 건 똑같은데, 왜 어떤 건 동의를 받고 어떤 건 안 받아도 되나요?"
겉보기엔 비슷해 보이지만, 누구의 이익을 위한 것인지, 책임은 누가 지는지에 따라 법적 성격은 하늘과 땅 차이입니다.
오늘은 실무자도 자주 헷갈리는 위탁(수탁사), 제3자 제공, 그리고 정보를 받는 제3자 수령의 개념을 상세하게 정리하여 안내드리겠습니다.
1. 누구의 "목적(이익)"을 위한 것인가?
위 그림에서 보셨듯이, 이 두가자를 구분하는 가장 중요한 기준은 바로 "업무의 목적과 이익"이 누구에게 있느냐입니다.
① 개인정보 처리 위탁
"내(위탁자) 일을 대신 해주는 손과 발"
| 상황 | 우리 회사(위탁자)가 해야 할 일을 외부 업체(수탁사)에 맡기는 경우 |
| 목적 | 철저히 위탁자(우리 회사)의 업무 처리와 이익을 위함 |
| 예시 | 기업(개인정보처리자)이 고객에게 물품을 배송하기 위해 택배사에 주소 정보를 넘길 때 (배송 업무 대행) |
| 콜센터 운영을 전문 업체에 맡길 때 |
| 회원가입 시 본인인증기관(NICE, KCB, 통신사 등)을 이용하는 경우 |
| 간편결제서비스, 이벤트 업무 처리 등 서비스 제공 업무, 이벤트 경품 대행 |
| 특징 | 정보주체(고객)의 별도 동의가 필요 없습니다
(단, 개인정보 처리방침에 위탁 사실을 공개하고 통지해야 합니다) |
② 제3자 제공
"정보를 건네주면 끝, 그들(제3자)의 목적을 위해 사용"
| 상황 | 우리 회사의 본래 업무와는 상관없이, 정보를 받는 쪽의 필요나 제휴 관계에 의해 정보를 건네주는 경우 |
| 목적 | 제공받는 자(제3자)의 업무 처리와 이익을 위함 |
| 예시 | 오픈마켓(네이버, 쿠팡)이 주문 처리를 위해 입점 판매자에게 구매자의 배송 정보를 제공하는 경우 |
| 회사가 직원들에게 특별 할인을 제공해주기 위해 제휴 쇼핑몰에 직원 명단(이름, 사번 등)을 넘겨서 제휴 회원으로 가입시킬 때 |
| 카카오/네이버(플랫폼)가 사용자의 '간편가입' 요청에 따라, 쇼핑몰에 이름·전화번호 등 개인정보를 제공하는 경우 |
| 특징 | 정보주체의 별도 동의가 반드시 필요합니다 |
③ 제3자 수령 (정보를 받는자)
"정보를 건네받아 독자적인 책임을 지는 새로운 주인"
| 상황 | 제3자 제공 절차를 통해 개인정보를 적법하게 넘겨받은 상태 |
| 목적 | 제공자(보내는 곳)의 간섭 없이, 수령인 스스로의 영업 이익과 업무 처리를 위함 |
| 예시 | 입점 판매자가 플랫폼으로부터 주문 정보를 넘겨받아, 독자적인 책임 하에 상품을 발송하는 경우 |
| 제휴 쇼핑몰이 회사로부터 직원 명단을 넘겨받아, 자사 회원으로 일괄 등록하고 마케팅에 이용하는 경우 |
| 신규 쇼핑몰이 '간편가입' 기능을 통해 카카오/네이버로부터 고객 정보를 넘겨받아, 자사 회원으로 등록하는 경우 |
| 특징 | 당초 제공받은 목적(예: 배송, 상담) 범위 내에서만 이용해야 하며, 다른 용도로 쓰려면 본인이 직접 고객에게 다시 동의를 받아야 합니다 |
2. 제3자 제공과 제3자 수령은 무슨 차이인가?
제3자 제공이 정보를 '보내는 과정'에서의 적법성(동의 획득 등)을 다룬다면, 제3자 수령은 정보를 '받은 이후'의 관리 책임(목적 외 이용 금지 등)을 강조하는 개념입니다. 즉, 똑같은 데이터 이동이지만 책임의 바통이 넘어가는 것으로 이해하시면 됩니다.
| 구분 | 제3자 제공 (보내는 사람) | 제3자 수령 (받는 사람) |
| 주체 | 정보를 주는 쪽 (우리 회사) | 정보를 받는 쪽 (상대방 회사) |
| 행위 | "자, 여기 정보 줄게" (전달) | "고맙습니다. 잘 쓸게요" (획득) |
| 핵심 의무 | 동의 받았니?
(정보를 넘겨주기 전, 고객에게 허락을 받을 책임) | 약속대로 쓰니?
(넘겨받은 후, 약속한 목적 외로 쓰지 않을 책임) |
| 법적 상태 | 정보를 넘기는 순간 책임 종료
(단, 적법하게 넘겼는지까지는 책임) | 정보를 받은 순간부터 새로운 주인(처리자)
(이제부터 사고 나면 내 책임) |
3. 이름만 '제휴사'면 다 제3자 제공일까?
실무자들이 가장 많이 하는 오해가 있습니다. 우리 회사랑 제휴 맺은 파트너사니까, 정보 넘기면 무조건 제3자 제공이겠지?
Q1. PG사(결제)나 택배사도 '제휴사' 아닌가요?
맞습니다. 하지만 이들은 우리 회사의 물건을 팔고 배송하기 위해 우리를 도와주는(대행하는) 업체입니다. 법적으로는 '제3자 수령에 포함되지 않는 제휴사', 즉 '수탁사'라고 부릅니다. 내 일을 도와주는 곳이니 고객에게 허락(동의)을 받을 필요가 없죠.
Q2. 택배사(수탁사)가 바쁘다고 하청 업체(재수탁사)를 또 쓴대요. 이건 어쩌죠?
우리가 일을 맡긴 수탁사가 다른 업체에 일감을 또 넘기는 것을 '재위탁'이라고 합니다. 이때 수탁사는 마음대로 넘기면 안 되고, 반드시 위탁자(우리 회사)에게 사전 승인(동의)을 받아야 합니다. 또한, 우리 회사는 이 '재수탁사'의 현황도 파악하여 처리방침에 공개해두어야 합니다.
Q3. 그럼 어떤 제휴사가 '제3자 제공' 인가요?
우리 회사를 도와주는 게 아니라, 정보를 가져가서 자기들 돈 벌려고 쓰는 업체들입니다. 예를 들어, 여행사에서 항공권을 샀는데 "면세점 할인 쿠폰 보내드릴게요"라며 정보를 가져가는 면세점이나, "보험 가입하세요"라고 전화하는 보험사가 이에 해당합니다.
글을 마치며, 매번 바뀌는 제휴사와 복잡한 계약 관계 속에서, "이게 위탁이야, 제공이야?" 고민하며 머리 싸매셨던 담당자분들 많으시죠? 오늘 정리해 드린 내용이 여러분의 '안전한 개인정보 관리'와 '불필요한 시행착오를 줄이는 데' 작은 힌트가 되었으면 좋겠습니다. 법은 멀고 실무는 가깝습니다. 애매할 땐 '누구를 위한 일인가'를 다시 한번 떠올려보세요!
 [전도훈] | [jdh@cela.kr] |
개인정보보호 실무를 담당하거나 ISMS-P 인증을 준비하다 보면 가장 먼저 마주치는 난관이 있습니다. 바로 개인정보 처리 위탁, 제3자 제공, 제3자 수령의 구분입니다.
"업체에 정보를 넘기는 건 똑같은데, 왜 어떤 건 동의를 받고 어떤 건 안 받아도 되나요?"
겉보기엔 비슷해 보이지만, 누구의 이익을 위한 것인지, 책임은 누가 지는지에 따라 법적 성격은 하늘과 땅 차이입니다.
오늘은 실무자도 자주 헷갈리는 위탁(수탁사), 제3자 제공, 그리고 정보를 받는 제3자 수령의 개념을 상세하게 정리하여 안내드리겠습니다.
1. 누구의 "목적(이익)"을 위한 것인가?
위 그림에서 보셨듯이, 이 두가자를 구분하는 가장 중요한 기준은 바로 "업무의 목적과 이익"이 누구에게 있느냐입니다.
① 개인정보 처리 위탁
"내(위탁자) 일을 대신 해주는 손과 발"
(단, 개인정보 처리방침에 위탁 사실을 공개하고 통지해야 합니다)
② 제3자 제공
"정보를 건네주면 끝, 그들(제3자)의 목적을 위해 사용"
③ 제3자 수령 (정보를 받는자)
"정보를 건네받아 독자적인 책임을 지는 새로운 주인"
2. 제3자 제공과 제3자 수령은 무슨 차이인가?
제3자 제공이 정보를 '보내는 과정'에서의 적법성(동의 획득 등)을 다룬다면, 제3자 수령은 정보를 '받은 이후'의 관리 책임(목적 외 이용 금지 등)을 강조하는 개념입니다. 즉, 똑같은 데이터 이동이지만 책임의 바통이 넘어가는 것으로 이해하시면 됩니다.
(정보를 넘겨주기 전, 고객에게 허락을 받을 책임)
(넘겨받은 후, 약속한 목적 외로 쓰지 않을 책임)
(단, 적법하게 넘겼는지까지는 책임)
(이제부터 사고 나면 내 책임)
3. 이름만 '제휴사'면 다 제3자 제공일까?
실무자들이 가장 많이 하는 오해가 있습니다. 우리 회사랑 제휴 맺은 파트너사니까, 정보 넘기면 무조건 제3자 제공이겠지?
Q1. PG사(결제)나 택배사도 '제휴사' 아닌가요?
맞습니다. 하지만 이들은 우리 회사의 물건을 팔고 배송하기 위해 우리를 도와주는(대행하는) 업체입니다. 법적으로는 '제3자 수령에 포함되지 않는 제휴사', 즉 '수탁사'라고 부릅니다. 내 일을 도와주는 곳이니 고객에게 허락(동의)을 받을 필요가 없죠.
Q2. 택배사(수탁사)가 바쁘다고 하청 업체(재수탁사)를 또 쓴대요. 이건 어쩌죠?
우리가 일을 맡긴 수탁사가 다른 업체에 일감을 또 넘기는 것을 '재위탁'이라고 합니다. 이때 수탁사는 마음대로 넘기면 안 되고, 반드시 위탁자(우리 회사)에게 사전 승인(동의)을 받아야 합니다. 또한, 우리 회사는 이 '재수탁사'의 현황도 파악하여 처리방침에 공개해두어야 합니다.
Q3. 그럼 어떤 제휴사가 '제3자 제공' 인가요?
우리 회사를 도와주는 게 아니라, 정보를 가져가서 자기들 돈 벌려고 쓰는 업체들입니다. 예를 들어, 여행사에서 항공권을 샀는데 "면세점 할인 쿠폰 보내드릴게요"라며 정보를 가져가는 면세점이나, "보험 가입하세요"라고 전화하는 보험사가 이에 해당합니다.
글을 마치며, 매번 바뀌는 제휴사와 복잡한 계약 관계 속에서, "이게 위탁이야, 제공이야?" 고민하며 머리 싸매셨던 담당자분들 많으시죠? 오늘 정리해 드린 내용이 여러분의 '안전한 개인정보 관리'와 '불필요한 시행착오를 줄이는 데' 작은 힌트가 되었으면 좋겠습니다. 법은 멀고 실무는 가깝습니다. 애매할 땐 '누구를 위한 일인가'를 다시 한번 떠올려보세요!
[전도훈] | [jdh@cela.kr]