[보안] 개인정보 목적 외 이용 및 제3자 제공: 개념과 사례, 목적 내 제3자 제공과의 차이점

 보통은 정보주체의 동의를 받아, 명시된 개인정보 처리목적에 따라 이용합니다. 하지만 개인정보보호법 제18조에 해당하는 사안에 대해서는 처리목적 외로 이용할 수 있습니다. 이를 아래에서 살펴보겠습니다.

 

[ Contents ]

 

 

1. 개인정보 목적 내 제3자 제공

정보주체로부터 동의받은 처리목적 내에서 제3자에게 개인정보를 제공하는 경우

  일반적으로 개인정보 동의서에서 볼 수 있는 제3자 제공 항목이 위 경우입니다.

 

알기쉬운 개인정보 처리 동의 안내서 中

 주로 정보주체의 동의를 받아서 제공하기 때문에, '목적 내' 제3자 제공에 해당합니다.

 

① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.

1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
5. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
6. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

- 개인정보보호법 제17조 (개인정보의 제공)

 개인정보보호법 제17조에 해당하는 내용으로, 2~6항에 해당하면 정보주체 동의 없이도 제3자에게 개인정보를 제공할 수 있습니다.

 

 

 

2. 개인정보 목적 외 이용 및 제공

업무를 위해 동의받고자 하는 본래 목적과 별개의 개인정보 이용 및 제3자 제공

 목적 외 이용 및 제공은 기존에 정보주체로부터 동의를 받았던 처리목적과 별개로 개인정보 이용 및 제3자 제공을 하는 경우입니다. 따라서 정보주체로부터 별도의 동의가 필요합니다.

 간혹 회원약관이 변경되었다며, 재동의나 별도 동의를 요청하곤 하죠. 사실상 별도 동의를 받으면 '동의를 받은 처리목적 내 이용 및 제공'과 다를 게 없긴 합니다.

 

1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
5. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
6. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
7. 법원의 재판업무 수행을 위하여 필요한 경우
8. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
9. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

- 개인정보보호법 제18조(개인정보의 목적 외 이용·제공 제한)

 개인정보의 목적 외 이용 및 제3자 제공은 2~9항목일 때 진가를 발휘하죠. 실은 2~9항목에 한해 정보주체의 별도 동의를 받지 않고 개인정보를 이용 및 제공하기 위해 만든 법률입니다. 이전에는 '통계적 목적'도 해당되었기 때문에, 많이 이용했으나... 이번 개정안에서 삭제되었습니다.

 반대로 2~9항목이 아닌데, 별도 동의를 받지 않고 개인정보를 이용 및 제공했으면 제18조 위법입니다. 보통 제15조에 따라 수집한 개인정보를 맘대로 사용하다가 걸리곤 합니다.

 

 

1. 법률에 따른 감사나 조사를 위해 개인정보를 제공할 때 [상위부서 감사자료 제출]
2. 법률에 따른 안전 및 위생 업무 진행 [건강검진 기초자료 제출] 등

 정보주체의 동의 없이 목적 외 이용 및 제공할 수 있는 사례는 지극히 제한적이며, 관련 법률 및 사례가 반드시 있어야 합니다. 위와 관련된 위법사례가 가장 많으므로, 면밀한 검토가 필요하며 왠만하면 별도 동의를 받는 게 좋습니다.

 

 

 

반응형

 

3. 목적 외 이용 및 제공 시 필요 조치

1) 목적 외 이용 및 제3자 제공 공지

④ 공공기관은 제2항제2호부터 제6호까지, 제8호부터 제10호까지에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.

 목적 외 이용 및 제3자 제공이 있을 때마다, 모든 정보주체에게 별도 동의를 받지 않아서 편리하긴 하지만... 그에 따른 추가 조치는 필요합니다. 주로 인터넷 홈페이지를 통해 게재하며, 아래와 같은 형식을 갖춰야 합니다.

 

고용노동부 서울남부지청

 제공받는 자, 제공 날짜, 제공 목적, 제공 항목, 법적 근거, 보유 및 이용기간이 들어가며, 추가로 제공방법이나 안전성 확보조치에 관한 사항을 게재하기도 합니다.

 

 

 

2. 안전성 확보조치

 ⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다. [제목개정 2013. 8. 6.]

 목적 내 제3자 제공은 '제공받는 자'가 전적인 책임을 지지만, 목적 외 제3자 제공은 위수탁과 같이 제공하는 자도 일말의 책임을 집니다. 따라서 제공하는 자는 '안전성 확보조치 요청서' 등을 받아야 하며, 제공받은 자는 안전성이 확보된 상태로 개인정보를 이용하고 제때 파기해야 합니다.

 보통 '안전성 확보조치 요청서'를 받고, 이후 제3자 제공한 곳으로부터 '개인정보 파기 확인서'를 받아야 하죠. 

 

 이상, '목적 내'와 '목적 외' 개인정보 이용 및 제3자 제공에 대해서 알아봤습니다. 법률상으로 해석이 갈릴 정도로 의견이 분분한 주제입니다. 따라서 개인정보보호법에서 제17조는 '목적 내 제3자 제공', 제18조는 '목적 외 제3자 제공'으로 구분하는 정도로 이해하시면 좋을 거 같습니다.