<9>동의없이 다른 사람에게 개인정보를 전달할 수 있을까[정세진 변호사의 알쓸데이터법]

[파이낸셜뉴스] 다음 중 개인정보 보호법에 위반되는 경우는?
①회사가 자신이 보유하고 있던 고객의 개인정보를 고객의 동의 없이 보험사에 전달하여 보험사가 자사 보험상품 홍보에 이용한 경우
②쇼핑몰이 자신이 보유하고 있던 고객의 개인정보를 고객의 동의 없이 택배회사에 전달하여 택배회사가 고객이 구입한 쇼핑몰 상품 배송에 이용한 경우
정답은 ①번이다. 회사가 가지고 있던 고객의 개인정보를 제3자(보험사 또는 택배회사)에게 전달한다는 점은 동일한데, 왜 결론에는 차이가 있는 것일까?
이를 이해하기 위해서는 개인정보 보호법에서 '개인정보를 제3자에게 이전하는 경우'에 대해 어떠한 의무를 부여하고 있는지를 알아야 한다.

개인정보 보호법에서는 개인정보를 제3자에게 이전하는 경우를 '개인정보의 제3자제공'(이하 '제3자제공')과 '개인정보 처리업무의 위탁'(이하 '처리위탁')이라는 두 가지 개념으로 구분하고 있으며, 제3자제공은 정보주체의 동의를 받는 경우에만 가능하나 처리위탁은 동의 없이도 가능하다고 정하고 있다. 즉, 개인정보를 제3자에게 이전하는 경우 그 성격에 따라 '제3자제공' 또는 '처리위탁' 중 하나로 구분되고 제3자제공의 경우에만 '동의'가 필요하다고 보는 것이다.

그렇다면 이 두 가지를 나누는 기준은 무엇일까? 일반적으로 '제3자제공'은 정보를 제공받는 자의 업무처리 및 이익을 위하여 개인정보가 이전되는 경우를 의미하고, '처리위탁'은 정보를 제공하는 자의 업무처리 및 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 이러한 기준에 따라 ①, ②의 경우를 따져보면 ①은 이전된 정보가 정보를 제공받는 자인 보험회사의 업무처리 및 이익(보험상품 판매)에 이용되므로 '제3자제공'에 해당하고 ②는 정보를 제공하는 자인 쇼핑몰의 업무처리 및 이익(쇼핑몰 판매상품 배송)에 이용되므로 '처리위탁'에 해당한다.

따라서 ①에 경우에는 정보주체의 동의가 필요한데 이를 받지 않았으므로 위법하고 ②의 경우에는 동의가 필요 없으므로 적법하다고 볼 수 있다.

제3자 제공 동의 받아야 하는 이유는?

그렇다면 왜 '제3자제공'의 경우에만 동의를 받아야 하는 것일까? 개인정보 보호법에서 동의를 받으라고 하는 취지를 생각해보면 답을 알 수 있다. 개인정보 보호법은 자신의 개인정보가 어떻게 이용되는지 스스로 결정할 수 있는 권리인 '개인정보 자기결정권'을 보호하기 위한 법이다. 동의라는 행위는 허락 또는 승낙을 의미하므로 정보주체가 동의하였다는 것은 정보주체가 개인정보 자기결정권을 활용하여 자신의 개인정보를 이용해도 된다고 허락하였다는 의미가 된다.

개인정보 자기결정권과 제3자제공 및 처리위탁의 관계를 생각해보면 제3자제공의 경우에는 정보주체가 생각하지 못했던 제3자의 업무 및 이익을 위해 개인정보가 처리되므로 개인정보 자기결정권의 침해가 생기게 된다. 따라서 정보주체가 이를 허락하는 행위인 동의가 있어야만 적법한 이용이 되는 것이다. 처리위탁의 경우에는 정보를 제공하는 자의 업무 및 이익을 위해 정보가 처리되는데 이는 이미 정보주체가 예전에 동의한 범위 내에서의 처리이므로 설사 제3자가 그 업무를 대신 수행한다고 하여도 개인정보 자기결정권의 침해가 발생하지 않는다. 따라서 처리위탁의 경우에는 동의가 필요하지 않은 것이다. 이를 ①, ②에 적용해보면 ①의 경우에는 회사가 고객으로부터 정보를 수집할 시 고객이 허락하지 아니한 새로운 목적인 보험상품 홍보 목적으로 개인정보가 이용되므로 새로운 동의가 필요하나 ②의 경우에는 쇼핑몰이 고객으로부터 정보를 수집할 시 고객이 허락한 즉 고객이 이미 동의한 목적인 구입한 상품의 배송 목적으로 개인정보가 이용되므로 새로운 동의가 필요하지 않은 것이다.

고객 개인정보를 제3자에게 이전할 때에는?

그렇다면 회사에서 고객의 개인정보를 제3자에게 이전할 시 또는 내 정보가 제3자에게 이전되었다는 사실을 알았을 경우에는 어떻게 하여야 할까?
우선 회사에서 고객의 개인정보를 제3자에게 이전하는 경우라면 이전하는 목적이 무엇인지를 명확하게 정리하여야 한다. 그 다음에 정리한 목적에 따라 제3자제공인지 처리위탁인지 여부를 구분할 필요가 있다. 제3자 제공이라면 고객의 동의를 받은 경우에만 정보이전이 가능하다는 점을 잊지 말아야 한다.

내 정보를 가지고 있던 회사가 제3자에게 내 정보를 이전하였다는 점을 알게 되었을 때에도 그 이전의 목적이 무엇인지 확인하는 것이 가장 먼저 해야 하는 일이다. 나에게 따로 동의를 받지 않았음에도 불구하고 보험상품 홍보와 같이 내가 허락한 적이 없는 업무를 위해 정보가 이전되었다면 문제가 되겠지만 구매한 물건의 배송과 같이 내가 이미 허락한 업무를 위해 내 정보가 이전된 경우라면 동의 없이 가능하기 때문이다.

[필자 소개]
정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다.

개발자 출신의 엔지니어이기도 했던 정 변호사는 개발자들 사이에서 '말이 잘 통하는 변호사'로 통한다. 전문분야인 디지털 금융의 기본 법률을 다룬 책 '디지털금융 기초 법률상식'을 지난해 10월 출간했다.

성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다.

정세진 법무법인 율촌 변호사