“개인정보, 제3자 제공-위수탁 구별기준 모호”

“개인정보보호법은 제3자 제공과 위수탁을 구분하고, 처벌도 달리하고 있다. 어떤 유형이냐에 따라 형법 처벌까지 받게 되지만, 제시된 구별 기준이 너무 모호하다. 정보 주체자의 자기결정권도 보장하지 못하면서, 기업의 업무 부담만 늘리고 있다.”

라이나생명보험주식회사 CPO팀 이승윤 변호사는 19일 서울 삼성동 코엑스 그랜드볼룸에서 열린 지디넷코리아 개최 ‘시큐리티 넥스트 컨퍼런스’에서 이같이 밝혔다.

그는 “개인정보를 암호화하는 쪽으로 해결해왔는데, 제휴업체나 제3자에게 제공하는 경우가 많다”며 “어떤 경우는 정보제공동의를 받아야 하고, 어떤 경우는 받지 않아도 되는데, 위수탁과 제3자 제공이란 개념 때문에 발생한다”고 말했다.

그는 “각종 기관에서 내놓은 기준은 개인정보제공이란 동일한 행위란 점을 명시하면서, 업무처리 범위가 어디에 속하느냐로 나눈다고 한다”며 “이는 일반인 관점에서 이해하기 어려워 무분별한 제공동의를 받도록 하고 있다”고 덧붙였다.

그는 새 구별 기준으로 동의를 받은 개인정보의 수집, 이용 목적 범위 내인가로 우선 구분하고, 수집 동의를 받은 개인정보의 항목 범위 내에서 위수탁되고 있는가로 다시 구분하는 게 좋다고 주장했다.

관련기사

개인정보 수집 목적과 항목 등에 따라 동의를 받도록 하는 만큼 이를 기준으로 삼아 위수탁과 제3자 제공을 구분하면 법률적 관계를 규정하기 더 용이하다는 것이다.

그는 “규제 완화라고 하면 법령 재개정이나 철폐같은 거창한 걸 생각하지만, 기준을 쉽게 바꾸는 것만으로도 업무를 원활하게 할 수 있다”며 “기준 명확화로 개인정보 자기결정권을 강화하는 법 본연의 목적을 달성하고, 개인정보 처리자의 형사처벌 또는 과태료 대상을 미리 예측할 수 있어 기업 운용의 유용성을 기대할 수 있다”고 강조했다.