# 개인정보를 수집한 사람‘만’ ‘목적 범위 내’로 개인정보를 이용하는 경우는 흔치 않다

지난 편에서 살펴 본 “개인정보를 수집한 사람‘만’ ‘목적 범위 내’로 개인정보를 이용하는 경우”는 일반적이지 않다. 오히려 개인정보는 ‘제3자’에게 유통되거나 당초의 수집 목적을 ‘벗어나’ 이용되는 경우가 대부분이기 때문이다. 이에 개인정보보호법 역시 이 같은 경우 개인정보를 어떻게 보호할 것인가에 주로 초점을 맞추고 있다.

우선 개인정보가 ‘제3자’에게 유통되는 경우를 살펴보자. 개인정보보호법은 ‘제3자’에게 개인정보를 유통하는 방식을 크게 ‘제공’(제17조, 제18조)과 ‘위탁’(제26조)으로 나누고, 개인정보 유통이 발생되는 대표적인 경우인 ‘영업양도’(제27조)를 별도로 규율하고 있다.

① ‘제공’은 개인정보를 제공받는 사람의 이익을 위해 개인정보에 대한 소유권이 이전되거나 공유하는 것을 의미하며 개인정보 관리에 대한 책임도 전적으로 개인정보를 제공받는 사람이 지게 된다. ‘제공’의 대표적인 사례로는 회원의 포인트 적립과 이용 상의 혜택을 주기 위해 영화관, 레스토랑 등 제휴점에 회원의 개인정보를 제공하는 경우를 들 수 있다. 이 같은 개인정보의 ‘제3자’ 제공이 적법하기 위해서는 정보주체에게 개인정보를 받는 자, 개인정보를 제공 받는 자의 개인정보 이용목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 소상히 밝힌 후 개인정보보호법 상 개인정보의 당사자인 정보주체의 동의를 받아야 한다(제17조 제1항 제1호 참조). 이 때의 동의는 당초 개인정보가 수집될 당시 정보주체가 했던 동의(제15조 제1항)와는 별개의 것이어서 개인정보를 제3자에게 제공하기 위해서는 이와 별도의 동의를 다시 받아야 하며 제3자가 개인정보를 이용할 수 있는 범위는 원래의 ‘목적 범위 내’로 제한적이다. 만약 회원의 포인트 적립과 이용 상의 혜택을 주기 위해 개인정보를 수집한 후 마케팅 등의 목적으로 다른 기업에게 개인정보를 제공하는 경우라면 ‘목적 범위 외’의 제공 및 이용에 해당하므로 개인정보보호법 제18조 제2항 제1호 상 별도의 동의를 받아야 할 것이다.

② ‘위탁’은 비용절감, 업무의 효율화 등의 목적으로 수집된 정보를 제3자에게 일종의 ‘아웃소싱(outsourcing)’하는 경우로 고객 만족도 조사 등을 위해 콜센터를 운영하는 경우가 대표적이다. ‘제공’과 다른 점이라면 개인정보가 제3자에게 이전되기는 하나 그 소유권이 이전되는 것은 아니며, ‘위탁’의 목적이 개인정보를 제공받는 수탁자가 아닌 개인정보를 제공하는 위탁자의 이익을 극대화하는 데 있다는 점, 개인정보 관리에 대한 책임도 여전히 개인정보를 제공하는 위탁자에게 있다는 점일 것이다. 그런 만큼 위탁을 할 때는 개인정보보호법 상 개인정보보호에 대한 책임 소재를 분명히 하기 위해 반드시 위탁업무와 관련한 사항을 문서에 작성하고, 정보주체가 개인정보를 처리하는 주체가 누구인지 알 수 있도록 그러한 사실을 공개하도록 하는 한편, 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 위탁자가 철저히 감시감독해야 할 것이다(제26조 참조).

③ ‘영업양도’는 개인정보를 수집한 자가 자기 영업의 전부 또는 일부를 양도, 합병함에 따라 그 영업과 함께 개인정보를 제3자에게 이전하게 되는 경우를 의미한다는 점에서 본질적인 면에서는 개인정보의 제3자 ‘제공’과 크게 다르지 않다. 다만, ‘제공’과 다른 점은 개인정보보호법 상 정보주체로부터 별도의 동의를 받을 필요 없이 정보주체에게 개인정보를 이전하려는 사실, 개인정보를 이전받는 자, 주소, 전화번호 및 그 밖의 연락처, 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차를 고지하는 것으로 충분하다는 점이다(제27조 참조). 이는 영업양도, 합병은 사실적, 경제적 측면에서는 개인정보를 운영하는 주체가 달라졌지만, 법적인 관계에서는 기존의 법률관계가 그대로 이어진다는 점을 고려하여 정보주체로부터 개인정보 이전에 대한 별도의 동의를 받을 의무를 면해 준 것으로 보인다.

한편, 개인정보보호법 상 개인정보를 ‘목적 범위 외’로 제공 또는 이용하는 경우에도 정보 주체로부터 별도의 동의를 받아야 한다는 점에 대해서는 앞서 언급한 바와 같은데(제18조 제2항 제1호 참조), 유의할 점은 개인정보를 ‘목적 범위 외’의 용도로 제3자에게 ‘제공’하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다는 것이다(제18조 제5항 참조). 원래 개인정보보호법 상 개인정보는 ‘목적 범위 외’로 이용할 수도 제3자에게 ‘제공’할 수도 없지만(제18조 제1항 참조), 예외적으로 제3자에게 ‘목적 범위 외’로 ‘제공’할 수밖에 없는 상황이라면 최소한 개인정보를 제공받은 후 무분별하게 남용하는 것을 막도록 개인정보를 제공하는 쪽에서 개인정보를 제공받는 쪽에 심리적인 강제라도 하라는 취지로 보인다.

다음 편에서는 개인정보보호법이 규율하는 개인정보 중 특수한 경우인 민감정보와 고유식별정보를 어떻게 처리하고, 영상정보처리기기를 어떻게 설치, 운영해야 하는지에 대하여 살펴 보기로 한다.

키워드

#이코노믹리뷰 #조태진 법조전문기자/변호사