개인정보를 제3자에게 제공할 수 있는 경우

개인정보처리자가 정보주체로부터 개인정보를 수집한 이후에 이를 제3자에게 제공해야 할 필요성이 있는 경우가 있을 수 있습니다. 하지만 개인정보를 제3자에게 함부로 제공할 수는 없고, 일정한 법적 근거가 있어야 합니다. 개인정보보호법은 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공할 수 있는 요건들을 유형별로 나누어 규정하고 있는데, 그 내용을 알아보겠습니다. 

 

제공의 의미

본격적인 설명에 앞서 여기서 말하는 개념들을 우선 명확히 해 보겠습니다. 개인정보의 제3자 제공이라고 할 때 "제공"이란 개인정보처리자 외의 제3자에게 개인정보의 지배ㆍ관리권이 이전되는 것을 의미합니다. 즉 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 얼람ㆍ복사가 가능하게 하여 개인정보를 공유하는 경우 등도 여기의 제공에 해당합니다. 

 

제3자의 의미

또한 개인정보가 제3자에게 제공된다는 것은 개인정보처리자(개인정보 처리업무 수탁자 포함) 및 정보주체(정보주체의 대리인 포함) 외의 제3자에게 개인정보의 지배ㆍ관리권이 이전되는 것을 말하기 때문에 같은 개인정보처리자 내의 다른 부서가 이용하는 것은 여기의 제3자 제공에 해당하지 않습니다. 

 

업무위탁과의 구별

그리고 개인정보 제3자 제공은 개인정보 업무위탁과도 구별됩니다. 업무위탁의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보가 제3자(수탁자)에게 이전되지만, "제공"은 제공받는 자의 업무를 처리할 목적 및 이익을 위해서 개인정보가 이전된다는 점이 다릅니다. 또한 위탁의 경우에는 개인정보처리자의 관리ㆍ감독을 받지만, 제3자 제공은 개인정보가 제공된 이후에는 제3자가 자신의 책임 하에 개인정보를 처리하게 되며 개인정보의 관리ㆍ감독권이 미치지 못합니다. 즉 누구의 이익을 위한 것인가 내지 관리감독권이 미치는가 여부에 따라 제3자 제공과 업무위탁은 구별됩니다. 

 

영업양도ㆍ합병과의 구별

영업의 양도ㆍ합병은 비록 개인정보가 제3자에게 이전된다는 점에서는 "제공"과 유사하지만, 영업의 양도ㆍ합병은 그 개인정보를 이용한 업무의 형태는 변하지 않고 단지 개인정보의 관리주체만 변한다는 점에서 "제공"과는 차이가 있습니다. 개인정보보호법은 영업의 양도ㆍ합병에 대하여는 제27조에서 별도의 규정을 두고 있습니다. 

 

그럼 본격적으로 개인정보를 제3자에게 제공할 수 있는 경우를 살펴볼까요? 개인정보는 ① 당초 수집목적 범위 내에서 개인정보보호법이 정한 일정한 경우에 해당하는 경우라면 정보주체의 동의가 없더라도 제3자에게 제공할 수 있습니다. 법률에 근거가 있기 때문에 정보주체의 동의를 요구하지 않는 것이겠지요. ② 그리고 당초 수집목적과 합리적으로 관련된 범위에서는 정보주체의 동의 없이도 개인정보를 제3자에게 제공해 줄 수 있습니다. 이를 개인정보의 추가적 제공이라 합니다. ③ 이러한 사정들이 없다면 정보주체의 동의를 얻어 개인정보를 제3자에게 제공해 줄 수 있습니다. 물론 정보주체의 동의를 받기 위해서는 일정한 사항들을 정보주체에게 알려 주도록 하고 있습니다. ④ 마지막으로 목적범위 외 제공이 있습니다. 이는 당초 정보수집의 목적에는 반하지만 정보주체로부터 추가적인 동의를 얻거나 개인정보보호법이 정한 일정한 사유에 해당하는 경우에 가능하도록 되어 있습니다. 각 항목별로 좀 더 자세히 살펴보겠습니다. 

 

수집목적 범위 내 제공 (법 제17조 제1항 제2호)

개인정보처리자는 개인정보를 제3자에게 제공하는 것이 원래의 수집목적 범위 내이고, 법률이 규정한 일정한 경우에 해당한다면 정보주체의 동의 없이도 수집한 개인정보를 제3자에게 제공해 줄 수 있습니다. 그렇다면 어느 경우에 수집한 개인정보를 수집목적 범위 내에서 제3자에게 제공할 수 있을까요? 개인정보보호법은 다음의 사항들을 규정하고 있습니다. 

 

반응형

 

• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우: 예를 들면, 공직선거법은 시/군/구 장이 공직선거 입후보자에 대해 선거인명부를 교부해 줄 수 있도록 하는 규정을 두고 있습니다. 법률에 특별한 규정이 있다면 당연히 정보주체의 동의 없이도 개인정보의 제3자 제공이 가능하겠지요. 그리고 개인정보를 제3자에게 제공하지 않고서는 법령에서 부과하는 의무를 이행하는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우도 개인정보를 정보주체 동의 없이 제3자에게 제공할 수 있습니다. 예를 들면, 소득지급자가 소득세법에 따라 소득귀속자에 대한 원천징수의무 및 원천징수이행상황신고의무 등을 이행하기 위해 개인정보를 제공하는 경우가 여기에 해당합니다. 

 

• 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우: 지방자치단체 등 공공단체는 법령에 의해 권한과 의무가 부과되는데, 다양한 인허가사무, 신고수리, 복지업무, 관리감독 등의 업무를 수행하기 위해 실무적으로 개인정보를 제3자에게 제공해야 하는 경우가 여기에 해당하겠습니다. 

 

• 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우: 예를 들면, 경찰관서가 시급히 수술 등의 의료조치가 필요한 환자의 연락처를 의료기관에 알려주는 행위, 조난이나 홍수 등으로 실종되거나 고립된 사람을 구조하기 위해 연락처, 주소, 위치정보 등 개인정보를 제공하는 경우, 아파트에 화재가 발생하여 집안에 있는 자녀를 구하기 위해 해당 자녀 또는 부모의 이동전화번화를 제공하는 경우 등이 여기에 해당합니다. 또한 생명, 신체, 재산상 이익이 급박해야 하기 때문에 정보주체 또는 법정대리인의 동의를 받을 수 있는 충분한 시간적 여유가 있거나 다른 수단에 의해서도 생명, 신체, 재산상 이익을 보호할 수 있다면 급박한 상태에 있다고 할 수 없습니다. 

 

• 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우는 개인정보처리자의 정당한 이익과 상당한 관련이 있고, 합리적인 범위를 초과하지 않는 경우에 한정됩니다. 예를 들면, 사업자가 요금정산, 채권추심 등을 위하여 고객의 서비스 이용내역, 과금내역 등의 개인정보를 제공하는 경우가 여기에 해당하겠습니다. 계약이행에 따른 정당한 대가를 받기 위한 것이므로 허용되는 것입니다. 다만, 명백하게 정보주체의 권리보다 우선해야 하므로, 개인정보처리자의 정당한 이익을 위한 것이라 할지라도 정보주체의 사생활을 과도하게 침해하거나 다른 이익을 침범하는 경우에는 정보주체의 동의 없이 개인정보를 제공할 수 없습니다. 

 

• 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우: 종전에는 "공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보"의 경우에는 개인정보보호법 제3장부터 제7장까지를 적용하지 않도록 규정하고 있었는데, 코로나19 확산 상황에서 해당 개인정보가 안전조치, 피기, 정보주체의 권리 등 규정을 적용 배제함으로 인해 발생할 수 있는 문제에 대한 보완 필요성이 제기되었고, 이에 따라 개인정보보호법을 개정하여 이 경우에도 개인정보보호법이 적용되도록 하면서 개인정보를 수집ㆍ이용 ㆍ제공하도록 한 것입니다. 

 

추가적 제공 (법 제17조 제4항)

개인정보처리자는 당초 수집목적과 합리적으로 관련된 범위에서 정보주체의 동의 없이도 개인정보를 제3자에게 제공해 줄 수 있습니다. 이 경우 다음의 사항들을 고려해야 합니다. 지나치게 경직적으로 수집 목적 내에서만 이용ㆍ제공하도록 하는 경우 오히려 정보주체의 개인정보자기결정권 보호에는 기여하지 못하면서 사회적 비용이나 비효율만을 초래할 수 있다는 고려를 반영한 것입니다. 

• 당초 수집 목적과 관련성이 있는지 여부: 개인정보처리자가 적법하게 수집하여 보관 중인 개인정보를 추가적인 목적으로 제공하려면, 당초 수집 목적과 추가적 제공의 목적 사이에 관련성을 고려해야 합니다. 여기서 관련성이 있다는 것은 당초 수집 목적과 추가적 제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있다는 것을 의미합니다. 
• 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측가능성이 있는지 여부: 여기의 정황은 개인정보의 수집 목적ㆍ내용, 추가적 처리를 하는 개인정보처리자와 정보주체 간의 관계, ㅎ션재의 기술 수준과 그 기술의 발전 속도 등 비교적 구체적 사정을 의미하고, 관행은 개인정보 처리가 비교적 오랜 기간 정립된 일반적 사정을 의미합니다. 
• 정보주체의 이익을 부당하게 침해하는지 여부: 정보주체의 이익을 부당하게 침해하는지 여부는 정보주체의 이익을 실질적으로 침해하는지와 해당 이익 침해가 부당한지를 고려해야 하며, 또한 추가적인 이용의 목적이나 의도와의 관계에서도 판단되어야 합니다. 
• 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부: 동의 없는 개인정보 이용ㆍ제공에 따른 개인정보 침해 우려를 최소화하기 위하여 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 해야 합니다. 

 

동의에 의한 제공 (법 제17조 제1항 제1호)

앞의 두 경우, 즉 ① 수집목적 범위 내 제공, ② 추가적 제공은 정보주체의 동의를 받지 않고도 그 개인정보를 제3자에게 제공해 줄 수 있는 대신 개인정보보호법에서 일정한 조건을 요구합니다. 그러한 요건들은 앞서 살펴본 바와 같습니다. 이러한 요건들에 해당되지 않음에도 불구하고 개인정보처리자가 개인정보를 제3자에게 제공하고자 한다면 결국 정보주체의 동의를 얻는 수밖에 없습니다.

 

비록 개인정보보호법이 정보주체의 동의를 받는 대신 충족해야 할 조건들을 제시하고 있지만, 이러한 조건이 충족하였는지 여부는 다툼의 여지가 있기 때문에 결국 가장 깔끔한 방법은 정보주체의 동의를 받고 개인정보를 제3자에게 제공하는 것입니다. 그래서 실생활에서는 대부분 정보주체의 동의에 근거하여 개인정보의 제3자 제공이 이루어지는데요, 깨알같이 적힌 개인정보제공 동의서를 제시받고 귀찮은 마음에 자세히 읽어보지 않은 상태에서 서명한 경험이 꽤 있을 것입니다. 

 

개인정보처리자가 정보주체로부터 개인정보의 제3자 제공에 대한 동의를 받을 때에는 정보주체가 제공의 내용과 의미를 명확히 알 수 있도록 다음의 사항을 알려야 합니다. 알려야 할 사항 중 어느 하나에 변경이 있는 경우에도 정보주체에게 변경 사실을 다시 알리고 동의를 받아야 합니다. 형식적 동의가 아닌 "informed consent"를 얻으라는 것입니다.  

• 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)
• 제공받는 자의 개인정보 이용 목적
• 제공하는 개인정보의 항목
• 제공받는 자의 개인정보 보유 및 이용 기간
• 동의 거부권이 존재한다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 내용

정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 개인정보를 제공받은 자는 5년 이하 징역 또는 5천만 원 이하 벌금에 처해질 수 있습니다. (법 제71조 제1호)

 

수집목적 범위 외 제공 (법 제18조)

지금까지는 개인정보를 수집한 목적범위 내의 제3자 제공에 대해 살펴보았습니다. 그런데 개인정보보호법이 정한 일정한 사유에 해당한다면 개인정보를 수집한 목적범위 외에서도 해당 개인정보를 제3자에게 제공해 줄 수도 있습니다. 다만, 개인정보의 목적범위 외 제3자 제공은 원칙적으로 금지되는 것이고 예외적으로만 허용된다는 점을 유의해야 하겠습니다.  

 

개인정보의 목적 외 제공 사례
사례#1. 주민센터의 복지카드 담당 공무원이 복지카드 신청자의 개인정보를 홍보 마케팅 등으로 개인정보 제공 동의를 받지 않았음에도 불구하고 정보주체의 동의 없이 사설학습지 회사에 제공
사례#2. 홈쇼핑 회사가 주문 상품을 배달하기 위해 수집한 고객정보를 정보주체의 동의 없이 계열 콘도미니엄사에 제공하여 콘도미니엄 판매용 홍보자료 발송에 활용한 경우

 

다음과 같은 예외적 사유가 있으면 수집한 개인정보를 수집목적 범위 외에서도 제3자에게 제공할 수 있습니다. 

• 정보주체로부터 별도의 동의를 받은 경우. 마찬가지로 동의에 앞서 일정한 사항을 정보주체에게 알려야 합니다. 
• 다른 법률에 특별한 규정이 있는 경우 
• 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 개인정보를 목적 외 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정한 소관 업무를 수행할 수 없는 경우로서, 보호위원회의 심의ㆍ의결을 거친 경우 (공공기관에 한정)
• 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 (공공기관에 한정)
• 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 (공공기관에 한정) : 따라서 공공기관의 경우 수사기관이 범죄수사, 공소제기 및 유지를 위해 필요하다고 요청하는 경우에는 개인정보를 정보주체의 동의 없이 제공해 줄 수 있습니다. 다만, 공공기관 외의 개인정보처리자에 대하여는 비록 범죄 수사 목적이라 하더라도 원칙적으로 형사소송법 등의 규정에 따라서만 개인정보 제공을 요구할 수 있습니다. 
• 법원의 재판업무 수행을 위하여 필요한 경우 (공공기관에 한정)
• 형 및 감호, 보호처분의 집행을 위하여 필요한 경우 (공공기관에 한정)
• 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

한편 공공기관은 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우에는 개인정보보호법 제18조 제4항에 따라 개인정보를 목적 외 이용ㆍ제공을 한 날부터 30일 이내에 일정한 사항을 관보 또는 인터넷 홈페이지에 게재하여야 합니다. 다만, 정보주체의 동의를 받거나 범죄수사와 공소제기 및 유지를 위해 개인정보를 목적 외로 이용하거나 제공한 경우에는 게재하지 않습니다. 

 

정리하자면, ① 개인정보보호법이 정하는 5가지 사유에 해당할 경우 개인정보를 수집목적 범위 내에서 제3자에게 제공해 줄 수 있고, ② 애초 개인정보 수집목적과 합리적 관련성이 있는 경우에는 개인정보의 추가적 제공이 가능하며, ③ 이러한 사유에 해당하지 않더라도 정보주체의 동의에 의해 개인정보를 제3자에게 제공해 줄 수 있습니다. ④ 개인정보를 그 수집한 목적범위 외에서 제3자에게 제공하는 것은 원칙적으로 금지되어 있지만, 정보주체의 추가적인 동의를 얻거나 개인정보보호법이 정하는 일정한 사유에 해당한다면 예외적으로 제3자 제공이 가능합니다.