학술논문
개인정보 처리위탁, 제3자 제공, 공동처리자
이용수 227
- 영문명
- Outsourcing, Provision or Joint Controlling the Personal Information
- 발행기관
- 한국정보법학회
- 저자명
- 전승재
- 간행물 정보
- 『정보법학』제26권 제3호, 193~235쪽, 전체 43쪽
- 주제분류
- 법학 > 민법
- 파일형태
- 발행일자
- 2022.12.31
7,960원
구매일시로부터 72시간 이내에 다운로드 가능합니다.
이 학술논문 정보는 (주)교보문고와 각 발행기관 사이에 저작물 이용 계약이 체결된 것으로, 교보문고를 통해 제공되고 있습니다.
국문 초록
인터넷 서비스가 복수의 개인정보처리자에 의해 제공되는 경우 이들 간 주고받는고객 데이터는 현행법상 개인정보의 처리위탁 또는 제3자 제공 둘 중 하나에 포섭되어야만 적법하다. 실무상 양자의 구분은, 개인정보가 당초 처리자 A의 업무 처리를위하여 이른바 외주업체격인 B에게 공유·이관되었으면 처리위탁에 해당하여 고객의 동의를 받지 않아도 되고, 이와 달리 B의 독자적 이익을 위해 개인정보가 이관되었으면 제3자 제공에 해당하여 동의를 받아야 한다는 것이었다.
그런데 이는 현장에서 유효한 판단기준이 되기 어렵다. 서로의 이익이 중첩된 두 개인정보처리자의 분업화된 일련의 작업 각각을 가리켜 누구의 이익을 위한 것인지 구분하기란 상당히 애매하기 때문이다. 개인정보 처리위탁 및 제3자 제공 사이에 있는중간지대로서 ‘공동처리’ 개념을 도입한다면 법의 현실적합성을 높일 수 있을 것이다.
나아가 A와 B가 공동으로 고객에게 서비스를 제공하는 컨소시엄과 같은 구도에서는 각 서비스 구성요소별로 그 개인정보처리자가 둘 중 누구인지를 일일이 가리는 것이 굳이 의미가 없는 사례도 있다. 이 경우 개별 처리의 행위자가 반드시 한 기관이어야 한다고 관철하기보다는, 복수의 기관이 공동으로 고객정보를 처리할 수 있는 구도또한 적법한 형태로 인정하되 이들에게 연대책임을 부과함으로써 흠결 없는 소비자보호를 기하는 것이 더 실리적일 수 있다. 이에 본고에서는 개인정보 공동처리자 개념을 인정해야 할 필요성을 각종 사례 및 외국의 법제도를 통해 살펴보고자 한다.
더불어, 본고에서는 기존 제도의 합리성을 제고하기 위하여, 개인정보 제3자 제공에 있어서 ‘정보주체와의 계약 체결·이행을 위한 필수적 처리’(이른바 ‘contractual necessity’)를 적법 사유로 인정해줄 것을 제안한다. 그리고 개인정보 처리위탁 가운데에는 클라우드 사례처럼 위탁자가 수탁자를 관리·감독할 것을 기대하기 어려운 사례도 있다는 점을 고려하여, ISMS-P 또는 이에 준하는 인증(예컨대 ISO/IEC 27018)을취득한 수탁자 또는 전자서명인증사업자·본인확인기관 등 특별법에 의한 감독을 받는 수탁자 등에 대하여는 위탁자의 관리·감독 책임을 면제하는 방안도 제안한다.
영문 초록
When Internet services are provided by multiple personal information controllers, exchanging the customer data between them is legal only in either ‘outsourcing’ or ‘provision’ under the current law. In practice, the distinction between the two is as follows. If the personal information is shared or transferred from the controller A to the so-called outsourcing company B to process business of the A, it is ‘outsourcing’ and it is not necessary to obtain the customer’s consent. If personal information was transferred for B’s own benefit, it was a ‘provision’ and had to be consented.
However, it is difficult to be a valid judgment criterion in the field. It is quite ambiguous to distinguish the interests of each of the two personal information controllers whose interests overlapped each other; just like Homeplus case.
Furthermore, in the composition where A and B form a consortium and jointly provide services to customers, there are cases where it is meaningless to decide who is the personal information controller for each operation. In this case, it is not necessary to enforce that the actors of individual processing must be one institution. It is more practical to ensure flawless consumer protection by allowing multiple organizations to control customer information jointly and by imposing joint responsibility on them. Accordingly, in this paper, various cases and foreign legal systems are reviewed while asserting the need for the concept of a personal information co-processor.
In addition, it is proposed to recognize ‘essential processing for the conclusion and implementation of contracts with customers’ (so-called ‘contractual necessity’) as a legitimate reason in providing personal information to a third party. And then, it should be taken into account that there are cases in which it is difficult to expect an outsourcer to manage and supervise outsourcee, such as in the cloud service case. For outsourcees that have obtained ISMS-P or equivalent certification (eg ISO/IEC 27018), it is also proposed to exempt the outsourcer’s responsibility for management and supervision.
목차
Ⅰ. 문제의 소재
Ⅱ. 개인정보 처리위탁·제3자 제공의 구분기준 검토 및 제도개선 제언
Ⅲ. ‘공동처리’에 관한 비교법적 연구 및 사례 분석
Ⅳ. 결론
키워드
해당간행물 수록 논문
참고문헌
관련논문
최근 이용한 논문
교보eBook 첫 방문을 환영 합니다!
신규가입 혜택 지급이 완료 되었습니다.
바로 사용 가능한 교보e캐시 1,000원 (유효기간 7일)
지금 바로 교보eBook의 다양한 콘텐츠를 이용해 보세요!