[개인정보 칼럼] 외부 업체에 대한 개인정보 이전 시 위탁과 제3자 제공의 구별 기준
Article posted in 2026-07-09 12:05:05 | VEAT
배송·마케팅·고객상담·데이터 관리 등 상당수 업무가 외주로 이뤄지면서, 기업은 사업 과정에서 고객 개인정보를 외부 사업자에게 넘기는 일이 빈번하게 발생합니다. 이때 해당 개인정보 이전이 개인정보 보호법상 위탁(제26조)인지 제3자 제공(제17조)인지에 따라, 필요한 동의·고지 절차와 사고 발생 시 책임 구조가 달라집니다.
그렇다면 계약에서 위탁이라고 적고 위탁의 형식만 갖추면 위탁으로 인정될까요? 대법원은 이에 대하여 보험 텔레마케팅 '사전필터링' 사건에서 두 개념은 명칭이나 형식이 아니라 실질에 따라 구별해야 한다고 판단했습니다(대법원 2017. 4. 7. 선고 2016도13263 판결). 이 글에서 그 기준과 실무상 유의점을 짚어봅니다.
1. 위탁과 제3자 제공을 가르는 기준
두 행위 모두 개인정보가 외부로 나간다는 점은 같지만, 결정적 차이는 개인정보가 누구의 업무와 이익을 위해 이전되는지에 있습니다.
위탁(제26조)은 개인정보처리자 본인의 업무를 대신 처리하도록 외부에 맡기는 구조입니다. 수탁자는 위탁자의 관리·감독 아래에서 위탁 업무를 수행하며, 대가를 받더라도 개인정보를 자신의 독자적 목적에 쓰지는 않습니다.
반면 제3자 제공(제17조)은 정보를 받는 쪽의 업무와 이익을 위해 개인정보가 넘어가는 구조입니다. 제공받은 자는 자기 책임으로 정보를 처리하고, 원칙적으로 제공자의 관리·감독 관계에 놓이지 않습니다.
책임 구조도 여기서 갈립니다. 위탁에서는 위탁자가 수탁자를 교육·감독할 의무를 지고, 제3자 제공에서는 이후 처리 책임이 원칙적으로 제공받은 자에게 귀속됩니다. 다만 제공자 역시 적법한 제공 요건을 갖추었는지에 대한 책임에서 완전히 자유로운 것은 아닙니다.
2. 사건과 쟁점
보험 텔레마케팅에서는 상담원이 전화로 제3자 제공 동의를 받은 뒤 영업하는데, 영업 가능성이 낮은 사람에게까지 모두 전화하면 비용이 커집니다. 그래서 대상이 될 만한 사람을 미리 추려 내는 작업이 사전필터링입니다.
사업자 A는 자신이 보유한 개인정보를 보험회사 B·C에 넘겨 사전필터링을 하게 했습니다. A는 이를 보험상품 안내 전화를 하기 전 연락 가능한 고객인지 확인하는 절차에 부수되는 업무로 보고, 해당 개인정보 이전이 위탁에 해당한다고 주장했습니다. 쟁점은 외형상 위탁 구조로 설계된 이 이전을 실제 위탁으로 볼 수 있는지, 아니면 보험회사에 대한 제3자 제공으로 보아야 하는지였습니다.
3. 대법원이 제시한 구별 기준
대법원은 위탁과 제공의 구별이 당사자가 붙인 이름이나 계약 형식으로 정해지지 않는다고 전제한 뒤, ▲개인정보의 취득 목적·방법 ▲대가 수수 여부 ▲수탁자에 대한 실질적 관리·감독 여부 ▲정보주체 보호 필요성에 미치는 영향 ▲그 정보를 실제로 이용할 필요가 있는 자가 누구인지를 제시했습니다.
이를 적용해 대법원은, 이전된 정보가 실질적으로 B·C에게 필요했고 B·C가 그 처리에 독자적 이익을 가졌다는 점, 사전필터링이 A의 업무뿐 아니라 보험회사 영업과도 밀접했다는 점, A가 B·C의 처리를 실질적으로 관리·감독했다고 보기 어렵다는 점에 주목했습니다. 그 결과 B·C는 단순 수탁자가 아니라 ‘제3자’이며, 이 이전은 제3자 제공에 해당한다고 판단했습니다.
4. 실무 포인트
먼저, ‘위탁’이라는 명칭을 붙였다는 사정만으로 개인정보 이전이 곧바로 위탁으로 인정되는 것은 아닙니다. 정보를 받는 쪽이 해당 처리를 통해 독자적 이익을 얻고 자기 업무를 목적으로 개인정보를 이용한다면, 외형이 위탁에 가까워 보이더라도 제3자 제공으로 평가될 수 있습니다. 또한 ‘제공’은 문서나 저장매체를 직접 건네는 경우에 한정되지 않고, 상대방에게 접속 권한을 부여하여 열람·복사할 수 있게 하는 경우도 포함될 수 있습니다.
위탁과 제3자 제공은 정보주체에 대한 동의·고지 절차가 다르고 사고 시 책임 구조도 다르므로, 이전 구조를 잘못 판단하면 개인정보 보호법에서 정한 절차 없이 개인정보를 이전한 것으로 평가될 위험이 있습니다.
기업이 개인정보를 외부로 이전하기 전에는 다음 사항을 점검할 필요가 있습니다.
- 개인정보 이전의 목적과 수익 귀속 구조
- 상대방의 독자적 이용 목적 또는 이익 존재 여부
- 상대방에 대한 실질적 관리·감독 가능성
- 지급 대가의 성격과 위탁사무 관련성
- 위탁 또는 제3자 제공으로 판단한 근거의 문서화 여부
핵심은, 실제로 누구의 이익을 위해 정보가 이동하고 누가 그 처리를 관리·감독하는지입니다. 개인정보 외부 이전이 잦은 기업이라면 사전에 그 법적 성격을 검토하고 그에 맞는 절차를 갖춰 두는 것이 안전합니다.
법무법인 비트는 개인정보 특화 서비스 리걸튠(LegalTune)을 운영하고 있습니다. 리걸튠은 서비스 유형과 의무 범위 진단, 이용약관·개인정보 처리방침·각종 동의서 설계, 위탁·제3자 제공 구조의 적법성 검토, 개인정보 관련 분쟁 대응까지 기업의 개인정보보호 실무 전반을 지원합니다.
개인정보 이전 구조에 대한 법률 검토가 필요하시면 법무법인 비트 개인정보센터 리걸튠으로 문의해 주시기 바랍니다.
감사합니다.
법무법인 비트 드림
자주 묻는 질문
Q. 개인정보를 외부 업체에 맡기면 모두 위탁에 해당할까요?
A. 개인정보가 외부 업체로 이전되었다고 해서 곧바로 위탁으로 볼 수는 없습니다. 중요한 것은 개인정보를 받는 업체가 누구의 업무를 위해 정보를 처리하는지, 그 처리로 독자적 이익을 얻는지, 제공자가 해당 업체를 실질적으로 관리·감독할 수 있는지 종합적으로 확인할 필요가 있습니다.
Q. 계약서에 개인정보 처리위탁이라고 적어 두면 충분할까요?
A. 계약서의 명칭은 중요한 참고자료가 될 수 있지만, 그것만으로 법적 성격이 결정되지는 않습니다. 대법원은 당사자가 붙인 이름이나 계약 형식이 아니라 개인정보의 이전 목적, 대가 관계, 관리·감독 구조, 실제 이용 필요성 등을 종합해 판단해야 한다고 보았습니다. 따라서 계약서 문구뿐 아니라 실제 업무 구조가 위탁에 맞게 설계되어 있는지 법률 전문가와 함께 확인하는 것이 바람직합니다.