반응형
Notice
Recent Posts
Recent Comments
관리 메뉴

꿈꾸는 사람.

[개인정보보호법][제3자 제공 vs. 위탁][목적 외 이용 vs 목적 외 제공] 본문

IT/Security

[개인정보보호법][제3자 제공 vs. 위탁][목적 외 이용 vs 목적 외 제공]

현무랑 니니 2016. 9. 21. 12:51
반응형

 정보보안 관련 자격을 준비하려면, 개인정보보호법을 꼭 알아야 한다.

개인정보보호법에서 ‘제3자 제공’과 ‘위탁’은 혼돈하기 쉬운 개념이다.

실생활에서도 ‘제3자 제공’과 ‘위탁’은 아주 자주 일어난다.

패키지 여행 상품을 구매하여 해외 여행을 갈 때는 ‘위탁’이 발생할 수 있다.

반면에 항공사에 항공권만 구매하였는데 항공사가 숙박이나 렌터카 등에 정보주체의 정보를 제공할 때 제 ‘제3자 제공’이 발생할 수 있다.


‘제3자 제공’과 ‘위탁’의 차이를 자세히 알아보자.

[정의]

‘제3자 제공’이란 개인정보처리자 외에 제3자에게 개인정보의 지배, 관리권이 이전되는 것이다.

‘위탁’은 어떤 일이나 사물의 처리를 남에게 부탁하여 맡기는 것이다.

[비교]

 구분

업무위탁 

제3자 제공 

관련 조항

법 제26조 

법 제17조 (목적 내 제3자 제공)

법 제18조 (목적 외 제3자 제공)

예측가능성

정보주체가 사전 예측 가능.

정보주체가 사전 예측 곤란.

온라인 쇼핑몰(위탁자)이 물건 배송을 위해 택배회사(수탁자)에 개인정보 제공.

백화점(위탁자)이 고객상담 업무를 콜센터(수탁자)에서 관리,운영하도록 함.

여행사가 패키지 여행상품을 판매할 때 항공사/호텔/렌트카 등의 관계가 일어날 수 있다.

[목적 내 제3자 제공] 

교통사고 환자를 치료한 의료기관(제공하는 자)의 진료기록을 보험회사(제공받는 자)가 열람하는 것.

[목적 외 제3자 제공]백화점(제공하는 자)과 업무제휴한 신용카드사(제공받는 자)가 카드 발급 마케팅에 백화점 고객정보를 이용.

이전목적

(이익)

위탁자

제3자

관리.감독

책임

위탁자

제3자

손해배상

책임

위탁자

제3자

 이전방법

원칙: 위탁사실 공개.

예외: 위탁사실 고지.

[목적 내 제3자 제공]

원칙: 제공목적 등 고지 후 동의획득

[목적 외 제3자 제공]

원칙: 제공목적 등 고지 후 별도의 동의획득


['제3자 제공'과 '업무위탁'의 구분]

첫째, 예측가능성이 유무에 있다.

위탁은 정보주체가 목적 달성을 위해 제3자가 개입하는 것을 예측할 수 있다.

위 예시처럼 온라인 서점에서 책을 구매했을 때 배송은 택배회사가 할 것이라는 것을 쉽게 알 수 있지만, 백화점 회원 가입을 했더니 신용카드사에서 카드 발급 마케팅 전화를 받을 것을 알 수 없다. 

이처럼 예측가능성이 있으면 '위탁'이고 없으면 '제3자 제공'이다.


둘째, 이전 목적(이익)의 주체로 구분할 수 있다.

위탁자가 보면 위탁이고 제3자가 얻으면 제3자 제공이다.

개인정보 제공의 주된 이익을 얻는 자를 기준으로 해야 한다.

온라인 서점이 택배회사를 통해 책을 구매자에게 배송할 때 주된 이익을 얻는자는 온라인 서점인 위탁자가 본다.


세째, 관리의 주체에 따른다.

주된 관리자가 위탁자면 위탁이고 제3자이면 제3자 제공이다.

 구분

 관련 조항

 업무위탁

 제26조 

 ④위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.


관리의 책임에 따라 손해배상의 책임도 따른다.

위탁의 경우 손해배상 책임

 구분 

 관련 조항 

 업무위탁

 제26조 

 ⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.

수탁자를 소속직원으로 간주하기 때문에 위탁자는 손해배상을 먼저하고 구상권 청구를 이후에 할 수 있다.


['목적 외 이용' 목적 외 제공' 구별]

개인정보보호법 제18조(개인정보의 목적 외 이용·제공 제한)에 

'개인정보의 목적 외 이용'과 '개인정보의 목적 외 제공'이 함께 있다.

이 둘은 어떻게 구분되는가?

"개인정보의 처리(수집,이용, 제공 등)하는 개인정보처리자가 동일한 개인정보처리자인가?"로 판단한다.

 

 목적 외 이용

 목적 외 제공

 동일한 개인정보처리자

○ 

× 

앞의 예에서 온라인 서점(개인정보처리자)이 책의 판매를 위해 개인정보를 수집하였는데 온라인 서점 내 마케팅 팀에서 매출 증진을 위해 쿠폰 발행을 위해 정보 주체의 개인정보를 이용한 경우를 보자.

수집과 이용한 곳이 동일한 개인정보처리자이므로 온라인 서점은 '목적 외 이용'을 하는 것이다.

개인정보가 두 개의 개인정보처리자에게 제공되면 '목적 외 제공'이 된다.


이상으로 제3자 제공과 위탁의 차이에 대한 글을 마친다.




반응형
Comments