Day 04: 개인정보의 제공 및 처리 위탁
목차
Day 04: 개인정보의 제공 및 처리 위탁 #
1. 개인정보의 제3자 제공 #
1.1 제3자 제공이란? #
개인정보처리자가 수집한 개인정보를 당초 수집 목적과 합리적으로 관련된 범위를 넘어 다른 개인정보처리자에게 제공하는 것
1.2 제3자 제공의 요건 (법 제17조) #
다음 중 하나에 해당하는 경우에만 제3자에게 제공할 수 있습니다:
(1) 정보주체의 동의를 받은 경우 #
가장 일반적인 제공 근거
동의 받을 때 고지사항:
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익 (있는 경우)
(2) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 #
예시:
- 국세청의 세무조사를 위한 제공
- 법원의 영장에 따른 제공
- 금융실명법에 따른 금융정보 제공
(3) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 #
(4) 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 #
예시:
- 배송 업체에 배송 정보 제공
- 결제 대행사에 결제 정보 제공
(5) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 #
(6) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 #
1.3 제3자 제공 시 주의사항 #
목적 제한 #
- 당초 수집 목적과 합리적 관련성이 있어야 함
- 제공받는 자는 제공받은 목적 범위 내에서만 이용 가능
투명성 확보 #
- 제공 사실을 정보주체에게 고지
- 개인정보 처리방침에 제3자 제공 내역 명시
안전성 확보 #
- 제공받는 자의 개인정보 보호 수준 확인
- 안전한 전송 방법 사용 (암호화 등)
2. 개인정보 처리 위탁 #
2.1 처리 위탁이란? #
개인정보처리자가 개인정보의 처리 업무를 제3자에게 맡기는 것
핵심 특징:
- 위탁자는 여전히 개인정보처리자로서 책임을 짐
- 수탁자는 위탁받은 업무 범위 내에서만 개인정보 처리
- 위탁자의 지휘·감독을 받음
2.2 위탁과 제3자 제공의 차이 #
| 구분 | 제3자 제공 | 처리 위탁 |
|---|---|---|
| 주체성 | 제공받는 자가 독립적 개인정보처리자 | 수탁자는 위탁자의 지휘·감독 하에 처리 |
| 이용 목적 | 제공받는 자의 고유 목적 | 위탁자의 업무 목적 |
| 책임 | 각자 독립적으로 책임 | 위탁자가 주된 책임 (수탁자는 연대책임) |
| 동의 | 별도 동의 필요 (원칙) | 고지 또는 공개 (동의 불필요) |
2.3 위탁의 요건 (법 제26조) #
(1) 위탁 사실 고지 또는 공개 #
정보주체에게 다음 사항을 알려야 합니다:
- 위탁받는 자 (수탁자)
- 위탁하는 업무의 내용
고지 방법:
- 개인정보 처리방침에 명시
- 인터넷 홈페이지 게재
- 사업장 게시 등
(2) 위탁 계약 체결 #
위탁계약서에 다음 내용을 포함해야 합니다:
- 위탁업무 수행 목적 외 개인정보의 처리 금지
- 개인정보의 기술적·관리적 보호조치
- 재위탁 제한
- 수탁자에 대한 관리·감독
- 손해배상 등 책임에 관한 사항
표준 개인정보 위탁계약서 활용 권장
(3) 수탁자에 대한 관리·감독 #
위탁자는 수탁자가 개인정보를 안전하게 처리하는지 관리·감독해야 합니다:
- 정기적인 점검 실시
- 수탁자의 개인정보 처리 현황 모니터링
- 위반 사항 발견 시 시정 요구
2.4 재위탁 #
수탁자가 위탁받은 업무를 다시 제3자에게 위탁하는 것
요건:
- 원칙적으로 위탁자의 동의 필요
- 재위탁 사실을 정보주체에게 고지 또는 공개
- 재수탁자에 대해서도 동일한 안전성 확보 의무
3. 공동 이용 #
3.1 특정 개인정보를 공동으로 이용하는 경우 (법 제28조의2) #
관계 법령에 따라 설립된 조합, 협회 등이 설립 목적을 달성하기 위해 구성원의 개인정보를 공동으로 이용하는 경우
조건:
- 정보주체에게 다음 사항을 알리고 동의를 받아야 함:
- 공동 이용 목적
- 공동 이용자의 범위
- 공동 이용 항목
- 공동 이용자의 개인정보 보호책임자의 성명 및 연락처
예시:
- 신용카드사들의 신용정보 공동 이용
- 의료기관 간 진료정보 공동 이용
4. 해외 이전 #
4.1 개인정보의 국외 이전 (법 제17조의2, 제39조의3) #
개인정보를 국외의 제3자에게 제공하거나 국외에서 처리하는 경우
이전 요건 #
다음 사항을 정보주체에게 알리고 동의를 받아야 합니다:
- 이전되는 개인정보 항목
- 개인정보가 이전되는 국가, 이전일시 및 이전방법
- 개인정보를 이전받는 자의 성명 (법인인 경우 명칭 및 정보관리책임자의 연락처)
- 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
안전성 확보 의무 #
- 이전받는 국가의 개인정보 보호 수준 확인
- 적정한 보호조치 마련
- 표준계약서 (SCC: Standard Contractual Clauses) 체결
- BCR (Binding Corporate Rules) 수립
- 국제 인증 취득
주요 국가별 보호 수준 #
- EU: GDPR 적용, 매우 엄격
- 미국: 분야별 개별 법률, Privacy Shield 무효화 이후 SCC 활용
- 일본: 개인정보보호법, 한국과 유사
- 중국: 개인정보보호법, 데이터 국지화 요구 강함
5. 보안 컨설팅 관점의 설계 원칙 #
5.1 제3자 제공 관리 #
제공 동의 관리 #
- 제공 내역별로 개별 동의 획득
- 동의 이력 기록 및 관리
- 동의 철회 기능 제공
제공 로그 관리 #
- 누가, 언제, 무엇을, 누구에게 제공했는지 기록
- 최소 3년 이상 보관 (법적 요구)
- 정기적인 제공 내역 검토
안전한 전송 #
- 암호화 전송 (TLS 등)
- 접근 권한 통제
- 전송 오류 검증
5.2 위탁 관리 체계 #
위탁 계약 관리 #
- 표준 위탁계약서 활용
- 계약 갱신 주기 관리
- 계약 내용 이행 여부 점검
수탁자 평가 및 관리 #
- 수탁자 선정 시 보안 수준 평가
- 정기 점검 (연 1회 이상 권장)
- 위반 시 시정 조치 및 계약 해지
위탁 현황 공개 #
- 홈페이지 등에 수탁자 명단 공개
- 위탁 업무 내용 명시
- 변경 시 즉시 업데이트
5.3 해외 이전 관리 #
이전 필요성 검토 #
- 국내 처리 가능 여부 우선 검토
- 이전 시 최소한의 정보만 이전
법적 요건 충족 #
- 별도 동의 획득
- 적정 국가 또는 적정 보호조치 확인
- 표준계약서 체결
이전 현황 관리 #
- 이전 국가, 수령자, 항목 등 기록
- 정기적인 안전성 평가
6. 실무 사례 #
사례 1: 전자상거래 배송 위탁 #
상황: 쇼핑몰이 배송 업무를 물류 회사에 위탁
처리 방법:
- 개인정보 처리방침에 명시
- 수탁자: ○○택배
- 위탁 업무: 상품 배송
- 위탁계약 체결
- 배송 목적 외 이용 금지 명시
- 배송 완료 후 즉시 파기 의무 명시
- 정기 점검 실시 (연 1회 이상)
사례 2: 고객센터 운영 위탁 #
상황: 기업이 고객센터 운영을 전문 업체에 위탁
처리 방법:
- 위탁 사실 고지
- 수탁자: ○○컨택센터
- 위탁 업무: 고객 상담 및 불만 처리
- 상담원 교육
- 개인정보보호 교육 실시
- 상담 내용 녹취 시 고지
- 접근 권한 관리
- 필요 최소한의 정보만 접근 가능
- 접근 로그 기록 및 모니터링
사례 3: 마케팅 대행사에 제공 #
상황: 기업이 마케팅을 위해 광고 대행사에 고객 정보 제공
처리 방법:
- 별도 동의 획득 필수 (제3자 제공)
- 제공받는 자: ○○광고
- 제공 목적: 맞춤형 광고
- 제공 항목: 이름, 이메일, 관심사
- 보유 기간: 캠페인 종료 시까지
- 제공 로그 기록
- 캠페인 종료 후 파기 확인
사례 4: 클라우드 서비스 이용 #
상황: 기업이 AWS, Azure 등 해외 클라우드에 개인정보 저장
처리 방법:
- 국외 이전 동의 획득
- 이전 국가: 미국, 아일랜드 등
- 이전받는 자: AWS, Microsoft 등
- 이전 항목 명시
- 표준계약서 (SCC) 체결
- 암호화 등 안전성 확보 조치
- 정기적인 보안 점검
사례 5: 금융권 신용정보 공동 이용 #
상황: 신용카드사들이 신용정보를 공동 이용
처리 방법:
- 법적 근거: 신용정보법
- 정보주체 동의
- 공동 이용 목적: 신용평가
- 공동 이용자: 신용정보집중기관 및 회원사
- 공동 이용 현황 공개
7. 자주 발생하는 위반 사례 #
위반 사례 1: 위탁 미고지 #
홈페이지에 수탁자 정보를 공개하지 않음
올바른 방법: 개인정보 처리방침에 수탁자 명단 및 위탁 업무 내용 명시
위반 사례 2: 위탁계약서 미체결 #
구두 약속만으로 위탁 처리
올바른 방법: 반드시 서면 계약 체결, 필수 조항 포함
위반 사례 3: 제공 동의 없이 마케팅 업체에 제공 #
회원가입 시 수집한 정보를 별도 동의 없이 광고사에 제공
올바른 방법: 제3자 제공 목적으로 별도 동의 획득
위반 사례 4: 해외 이전 시 별도 동의 미획득 #
클라우드 이용 시 해외 이전 사실을 고지하지 않음
올바른 방법: 국외 이전 시 별도 동의 획득, 이전 국가 및 수령자 명시
위반 사례 5: 수탁자 관리·감독 소홀 #
위탁 후 수탁자의 개인정보 처리 실태를 전혀 점검하지 않음
올바른 방법: 정기적인 현장 점검 및 서면 점검 실시
8. 체크리스트 #
제3자 제공 시 #
- 제공에 대한 법적 근거가 있는가? (동의, 법령 등)
- 제공 시 고지사항을 모두 안내했는가? (제공받는 자, 목적, 항목, 기간, 거부권)
- 제공 로그를 기록하고 있는가?
- 안전한 전송 방법을 사용하는가?
위탁 시 #
- 위탁 사실을 정보주체에게 고지했는가?
- 위탁계약서에 필수 조항이 포함되어 있는가?
- 수탁자에 대한 정기 점검을 실시하는가?
- 재위탁 시 별도 동의를 받았는가?
해외 이전 시 #
- 국외 이전에 대한 별도 동의를 받았는가?
- 이전 국가, 수령자, 항목 등을 명확히 고지했는가?
- 표준계약서(SCC) 또는 적정 보호조치를 마련했는가?
- 이전받는 국가의 개인정보 보호 수준을 확인했는가?
9. 위탁 vs 제3자 제공 판단 예시 #
예시 1: 배송 업무 #
- 관계: 위탁
- 이유: 쇼핑몰의 배송 업무를 대행, 쇼핑몰의 지휘·감독 하에 처리
- 처리: 고지 (동의 불필요)
예시 2: 제휴 마케팅 #
- 관계: 제3자 제공
- 이유: 제휴사가 자신의 마케팅 목적으로 독립적으로 이용
- 처리: 별도 동의 필요
예시 3: 결제 대행 #
- 관계: 위탁 (일반적으로)
- 이유: 쇼핑몰의 결제 업무를 대행
- 처리: 고지 (동의 불필요)
- 단, PG사가 자체 목적으로 이용하면 제3자 제공
예시 4: 클라우드 서비스 #
- 관계: 위탁
- 이유: 데이터 저장 업무를 대행, IaaS 형태
- 처리: 고지 (동의 불필요, 단 해외 이전 시 별도 동의)
예시 5: 공동 마케팅 #
- 관계: 제3자 제공 또는 공동 이용
- 이유: 각 기업이 독립적으로 마케팅 목적으로 이용
- 처리: 별도 동의 필요
학습 정리 #
오늘 학습한 핵심 내용:
- 제3자 제공은 별도 동의가 필요 (원칙)
- 제공 시 제공받는 자, 목적, 항목, 기간, 거부권을 고지
- 위탁은 고지 또는 공개하고, 위탁계약 체결 필수
- 위탁자는 수탁자를 관리·감독할 책임
- 재위탁 시에도 동일한 요건 충족 필요
- 해외 이전 시 별도 동의 및 적정 보호조치 마련
- 위탁과 제3자 제공을 정확히 구분하여 처리
다음 학습 주제 #
Day 05: 정보주체의 권리 - 정보주체는 어떤 권리를 가지는가?