되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이 하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호·제3호·제5호 및 제39조의3제2항제2호·제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하 는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경 우에는 그 불이익의 내용
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하 는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주 체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동 의 없이 개인정보를 제공할 수 있다.
시행령
제14조의2(개인정보의 추가적인 이용·제공의 기준 등) ① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하 려는 경우에는 다음 각 호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가 적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 ② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조
제1항에 따른 개인정보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제 공을 하고 있는지 여부를 점검해야 한다.
제17조 개인정보의 제공
106 -표준지침
제7조(개인정보의 제공) ① 개인정보의 “제공”이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자 와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다.
② 법 제17조의 “제3자”란 정보주체와 정보주체에 관한 개인정보를 수집·
보유하고 있는 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대 리인(명백히 대리의 범위 내에 있는 것에 한한다)과 법 제26조제2항에 따른 수 탁자는 제외한다(이하 같다).
③ 개인정보처리자가 법 제17조제2항제1호에 따라 정보주체에게 개인정보 를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.
1. 개인정보 제3자 제공의 의미
개인정보의 제공이란 개인정보처리자 외의 제3자에게 개인정보의 지배·관리권이 이전되 는 것을 의미한다. 즉 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람·복사가 가능하게 하여 개인정보를 공유하는 경우 등도 ‘제공’에 포함된다.
한편, 민감정보 및 고유식별정보를 제3자에게 제공하는 경우에는 제23조, 제24조 및 제 24조의2를 따라야 한다.
2. 이용, 처리업무 위탁 및 영업양도와의 차이 가 이용과의 차이
개인정보의 이용이란 개인정보처리자(기관·단체·법인 등) 내에서 개인정보의 지배·
관리권 이전 없이 스스로의 목적으로 쓰는 것을 의미하는 반면, 개인정보의 제공이란 개 인정보처리자(개인정보 처리업무 수탁자 포함) 및 정보주체(정보주체의 대리인 포함) 외의 제3자에게 개인정보의 지배·관리권이 이전되는 것을 말한다. 따라서 같은 개인정보처리 자 내의 다른 부서가 당초 수집 목적과 달리 이용하는 경우라면 제공이 아니라 목적 외 이용에 해당한다.
나 처리업무 위탁과의 차이
업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람(제3자)에게 이전되거나 공동 으로 처리하게 된다는 측면에서는 동일하다. 그러나 ‘업무위탁’의 경우에는 개인정보처 리자의 업무를 처리할 목적으로 개인정보가 제3자(수탁자)에게 이전되지만, ‘제공’은 제공 받는 자의 업무를 처리할 목적 및 이익을 위해서 개인정보가 이전된다는 점이 다르다. 또 한 위탁의 경우에는 개인정보처리자의 관리·감독을 받지만, 제3자 제공은 개인정보가 제 공된 이후에는 제3자가 자신의 책임 하에 개인정보를 처리하게 되며, 개인정보처리자의 관 리·감독권이 미치지 못한다.
판례 개인정보 처리위탁에 있어 ‘수탁자’가 제3자 제공의 ‘제3자’에 해당하는지 여부
「개인정보 보호법」 제17조에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집ㆍ 이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전 되는 경우인 반면, 「개인정보 보호법」 제26조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집ㆍ이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리 에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리ㆍ감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 「개인 정보 보호법」 제17조에 정한 ‘제3자’에 해당하지 않는다(대법원 2017. 4. 7 선고 2016도 13263 판결).
다 영업양도 등과의 차이
영업의 양도·합병(제27조)은 비록 개인정보가 제3자에게 이전된다는 점에서는 ‘제공’과 유사하다. 그러나 영업의 양도·합병은 그 개인정보를 이용한 업무의 형태는 변하지 않고 단지 개인정보의 관리주체만 변한다는 점에서 ‘제공’과는 차이가 있다. 이에 따라 영업 의 양도·합병에 대해서는 제27조에서 별도의 규정을 두고 있으며, 제공과 관련한 규정은 적용되지 않는다.
3. 개인정보처리자의 제3자 제공이 가능한 경우
개인정보처리자는 정보주체의 동의를 받아 개인정보를 제3자에게 제공하거나 제15조제 1항제2호(법률 규정 또는 법령 상 의무 준수), 제3호(공공기관 소관업무 수행) 및 제5호(급 박한 생명·신체·재산상 이익)에 따라 개인정보를 수집한 목적 범위 내에서 동의 없이 제3자에게 제공할 수 있다.
108
-가 정보주체의 동의를 받은 경우
개인정보처리자가 제3자 제공에 대한 동의를 받을 때에는 정보주체가 제공의 내용과 의 미를 명확히 알 수 있도록 미리 ① 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에 는 그 명칭) ② 제공받는 자의 개인정보 이용 목적 ③ 제공하는 개인정보의 항목 ④ 제공 받는 자의 개인정보 보유 및 이용 기간 ⑤ 동의 거부권이 존재하다는 사실 및 동의 거부에 따 른 불이익이 있는 경우에는 그 내용을 알려주어야 한다. 알려야 할 사항 중 어느 하나에 변 경이 있는 경우에도 정보주체에게 변경 사실을 다시 알리고 동의를 받아야 한다.
‘개인정보를 제공받는 자’란 제공받는 자의 이름 또는 상호를 의미하므로, 금융기관, 정부기 관 등과 같이 정보주체가 제공받는 자를 알기 어렵도록 포괄적으로 알려서는 아니 되며, 제공받는 자가 여러 명일 경우에는 각각의 이름 또는 상호를 알리고 제공되는 목적, 항목, 기간 등이 다를 경우에는 제공받는 자별로 그 목적, 항목, 기간 등을 각각 알려야 한다. 이 경우 개 인정보처리자는 제공받는 자의 연락처도 함께 알리는 것이 바람직하다.
이와 같이 제공받는 자가 특정되어 있어야 하기 때문에 우리나라에서는 사실상 데이터베 이스 마케팅(정보주체들의 동의를 받아 대량의 개인정보를 수집하여 저장해 두고, 다른 사람들에게 개인정보를 판매·대여하거나, 다른 사람이 보유하고 있는 개인정보 데이터베이 스를 최신의 상태로 업데이트시켜 주거나, 다른 사람의 상품 광고를 대행해 주는 서비스)은 금 지되어 있다고 할 수 있다.
< 관련 위반 사례 >
• XX서점은 영업의 특성상 제휴업체가 빈번히 변경된다는 이유로 회원가입신청서 상에 “개인정보 를 제공받는 자(제휴업체명) 및 개인정보의 제공목적”을 고지하지 않고 개인정보를 여러 제휴 업체와 제공·공유함
• XX마트는 “개장 기념 경품이벤트”를 실시하면서, 경품행사에 응모한 고객의 정보가 제휴 생 명보험사에 제공되어 「휴일 무료 상해보험」에 가입된다는 사실에 대한 동의를 받지 않고 제휴업체에 제공함
나 법률에 특별한 규정이 있거나 법령상 의무준수를 위해 불가피하여 수 집한 경우로서 그 수집 목적 범위 내에서 개인정보를 제공하는 경우
1) 법률의 특별한 규정
‘법률의 특별한 규정이 있는 경우’란 법률에서 개인정보의 활용에 대하여 구체적으로 요 구하거나 허용하고 있는 경우를 말한다. 따라서 시·군·구의 장의 공직선거 입후보자에 대한 선거인명부 교부(「공직선거법」 제46조), 보험요율산출기관의 보험회사에 대한 보 험계약자 교통법규위반 개인정보 제공(「보험업법」 제176조) 등의 경우 개인정보처리자 는 정보주체의 동의 없이 개인정보를 관계 당사자에게 제공할 수 있다.
참고 소득세법
제127조(원천징수의무) ① 국내에서 거주자나 비거주자에게 다음 각 호의 어느 하나에 해당하 는 소득을 지급하는 자(제3호의 소득을 지급하는 자의 경우에는 사업자 등 대통령령으로 정 하는 자로 한정한다)는 이 절의 규정에 따라 그 거주자나 비거주자에 대한 소득세를 원천징 수하여야 한다.
1. 이자소득 2. 배당소득
3. 대통령령으로 정하는 사업소득(이하 “원천징수대상 사업소득”이라 한다) 4. 근로소득. 다만, 다음 각 목의 어느 하나에 해당하는 소득은 제외한다.
가. 외국기관 또는 우리나라에 주둔하는 국제연합군(미군은 제외한다)으로부터 받는 근로소득 나. 국외에 있는 비거주자 또는 외국법인(국내지점 또는 국내영업소는 제외한다)으로부터
받는 근로소득. 다만, 다음의 어느 하나에 해당하는 소득은 제외한다.
1) 제120조제1항 및 제2항에 따른 비거주자의 국내사업장과 「법인세법」 제94조제1항 참고 공직선거법
제46조(명부사본의 교부) ① 구·시·군의 장은 후보자[비례대표국회의원후보자 및 비례대표 지방의회의원(비례대표시·도의원 및 비례대표자치구·시·군의원을 말한다. 이하 같다)후 보자를 제외한다]·선거사무장(비례대표국회의원선거 및 비례대표지방의회의원선거의 선거 사무장을 제외한다) 또는 선거연락소장의 신청이 있는 때에는 작성된 선거인명부 또는 부재 자신고인명부의 사본이나 전산자료복사본을 후보자별로 1통씩 24시간 이내에 신청인에게 교 부하여야 한다.
② 제1항에 따른 선거인명부 또는 부재자신고인명부의 사본이나 전산자료복사본의 교부신청 은 선거기간개시일까지 해당 구·시·군의 장에게 서면으로 하여야 한다.
2) 법령상 의무 준수
법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로서 해당 개인정보처리 자가 그 의무 이행을 위해서 개인정보를 불가피하게 수집·이용할 수밖에 없는 경우를 말한 다. 법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따른 의무도 포함된다.
‘불가피한 경우’란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하 는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우를 의미한다.
법령상 의무준수를 위하여 불가피한 경우에 해당하여 개인정보를 수집·이용한 경우 에는 그 목적 범위 내에서 개인정보를 제공할 수 있다. 학원을 설립·운영하려는 자의 강 사명단 등을 교육감에게 등록하여야 하는 의무(「학원의 설립·운영 및 과외교습에 관한 법률」 제6조), 소득지급자의 소득귀속자에 대한 원천징수의무 및 원천징수이행상황신고 의무(「소득세법」 제127조 및 제128조) 등을 이행하기 위한 개인정보의 제공이 법령상 의무 준수의 예에 속한다.