1. 개인정보 제3자 제공 개요

개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인

-> 적법 근거가 있는 경우에만 최초 수집한 목적외로 개인정보를 이용하거나 제3자 제공가능

업무를 목적으로 개인정보를 목적외로 이용하거나 제3자에게 제공하는 경우 개인정보 보호 조직의 사전 확인을 받을 필요

 

처벌 규정 : 위반 시 5년 이하 징역 또는 5천만 원 이하 벌금, 전체 매출애의 100분의 3 이하의 과징금(제64조의2제1항제1호)

 

제3자 제공 개념 : 개인정보를 최초 수집한 개인정보처리자 외의 다른 개인정보처리자에게 개인정보가 제공되는 것

ex) 제휴 업체와 공동 이벤트 개최 후 응모자의 개인정보를 제휴사에 전달, 온라인 플랫폼에서 주문자의 개인정보를 판매자 등 물품/서비스 판매자에게 전달 등

 

위탁과 제3자 제공의 구분

당초 수집한 목적 범위 내 이용 -> 정보주체가 사전 예측 가능, 신뢰범위 내

당초 수집한 목적을 벗어나 외부로 제공 -> 정보주체가 사전 예측 곤란, 신뢰범위 밖

 

유사 개념 비교

  • 제3자 제공 : 개인정보처리자 외의 제3자에게 개인정보의 지배 관리권이 이전되는 것
  • 위탁 : 개인정보처리자의 업무 처리 목적으로 외부의 수탁사에게 전달하는 것
  • 영업 양도/합병 : 개인정보 처리 형태가 변하는 것이 아니라 관리주체만 변경 되는 것으로 제3자 제공과는 차이가 있음

개인정보취급자 금지행위

제59조(금지행위)

개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.

  1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
  2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
  3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위

=> 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금

 

형사 처벌 사례 - 개인정보 유출로 인한 신변보호자 살인 사건(2021)

경위 : 구청 계약직 공무원이 행정 시스템으로 조회한 피해자 주소 등 개인정보 1101건을 약 4000만원에 흥신소에 판매 -> 가해자가 피해자 정보를 입수해 범행에 악용

처벌 : 개인정보를 흥신소에 판매한 전직 공무원 징역 5년, 벌금 8천만 원 확정, 흥신소 종사자도 각각 징역 4년,2년 선고

2. 개인정보 제3자 제공 적법 근거

1. 정보주체의 동의를 받은 경우

2. 다음의 경우에 따라 수집한 목적 범위 내에서 제공하는 경우

1) 법률의 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

2) 공공기관이 법령 등에서 정한 소관업무 수행을 위해 불가피한 경우

3) 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해, 필요한 경우

4) 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우로서, 명백하게 정보주체의 권리보다 우선하는 경우

5) 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

 

처벌 규정

- 위반 시 5년 이하 징역 또는 5천만 원 이하 벌금

- 전체 매출액의 100분의 3 이하여 과징금(제64조의2제1항제1호)

 

제3자 제공 동의 받을 때 고지 의무 사항

1) 개인정보를 제공받는 자

2) 제공받는 자의 개인정보 이용 목적

3) 제공하는 개인정보의 항목

4) 제공받는 자의 개인정보 보유/이용기간

5) 동의거부 권리 및 동의거부 시 불이익 내용

수집한 목적 범위내에 개인정보 제공

법률에 제3자 제공에 관한 특별한 규정이 있는 경우 혹은 법령상 의무를 준수하기 위해 제3자 제공이 불가피한 경우

-> 법률에서 개인정보의 활용에 대하여 구체적으로 요구하거나 허용하여야 함

 

법률의 특별 규정 예시) 공직선거법 제46조(시/군/구의 장의 공직선거 입후보자에 대한 선거인명부 교부), 보험업법 제176조(보험요율산출기관의 보험회사에 대한 보험계약자 교통법규위반 개인정보 제공)

법령상 의무 준수 예시) 학원의 설립/운영 및 과외교습에 관한 볍률 제6조, 소득세법 제127조 및 제128조

 

공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우로서 그 수집 목적 범위 내에서 개인정보를 제공하는 경우

(정부조직법, 주민등록법, 국세기본법, 의료법, 국민건강 보험법 등 소관법령에 의해서 부여된 권한과 의무

 

명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우로서 그 수집 목적 범위 내에서 개인정보를 제공하는 경우

 

개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함.

 

공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

 

당초 수집 목적과 합리적으로 관련된 범위 내일 경우 정보주체 동의 없이 개인정보 이용/제공 가능

 

제3자 제공 규제 사례

3. 개인정보 처리 위탁

위탁 시 조치 사항

개인정보 처리업무 위탁 문서화

개인정보 처리업무 공개 및 수탁사 관리 감독

 

<-> 개인정보 처리 업무 위탁에 포함되지 않는 경우

ex) 이동통신사 등 기간통신사업자가 전송되는 개인정보를 확인할 수는 없고 단순히 전달 또는 전송하는 업무만 수행하는 경우

전자처방전 서비스 플랫폼을 통하여 그 서비스 이용자인 병원이 전자처방전을 환자가 지정한 약국으로 직접 전송함에 있어서 해당 플랫폼이 중계를 위하여 처방 정보를 일시 보관하는 경우

 

위수탁 계약 종료 전후 개인정보보호 조직의 검토 및 확인

개인정보 위수탁 관련 처벌 사례

 

4. 개인정보취급자 실천수칙

  1. 개인정보는 반드시 최초 수집한 목적 범위 내에서 이용/제공하기
  2. 개인정보를 제3자에게 제공적법 근거를 확인하기
  3. 동의를 받아서 제3자에게 제공하는 경우에는 동의서 내 법적 고지 사항을 포함하기
  4. 위탁 계약 시 개인정보보호에 대한 사항을 계약서에 포함하기
  5. 수탁자를 주기적으로 교육하고 점검하여 관리/감독을 철저히 하기
  6. 위탁 계약 종료 후에 개인정보 파기 여부를 확인하기
  7. 제3자 제공과 위탁 처리 전 반드시 개인정보 보호 담당자의 검토 받기

퀴즈

1. 개인정보를 제3자에게 제공할 때 정보주체로부터 동의를 받는 경우, 반드시 고지해야 하는 사항이 아닌 것은?
①제공받는 자의 개인정보 이용 목적
②제공하는 개인정보의 항목
③개인정보처리자의 연간 매출액
④동의 거부 권리 및 거부 시 불이익 내용

 

2. 개인정보 처리 위탁과 제3자 제공의 가장 핵심적인 차이점은 무엇인가?

①처리하는 개인정보의 항목 수 차이
②개인정보의 지배·관리권이 이전되는지 여부
③계약서 작성 의무의 유무
④정보주체 동의를 받는 방식의 차이

3. 개인정보처리자는 당초 수집한 목적과 합리적으로 관련된 범위 내라면, 정보주체의 동의 없이도 개인정보를 이용하거나 제3자에게 제공할 수 있다. (O/X)

4. 영업 양도·합병의 경우 개인정보의 지배·관리권이 새로운 주체로 이전되므로, 이는 제3자 제공과 동일한 개념으로 본다.(O/X)

 

5. 개인정보 보호법 제59조(금지행위) 위반 시, 개인정보를 누설하거나 권한 없이 타인이 이용하도록 제공한 자에게 부과될 수 있는 처벌은 몇 년 이하의 징역 또는 얼마 이하의 벌금인가요?

 

정답

문제 1 (객관식) 개인정보를 제3자에게 제공할 때 동의를 받는 경우, 반드시 고지해야 하는 사항이 아닌 것은?

정답: ③ 개인정보처리자의 연간 매출액

고지 의무 사항 5가지는 ①제공받는 자, ②제공받는 자의 이용 목적, ③제공하는 개인정보 항목, ④제공받는 자의 보유·이용 기간, ⑤동의 거부 권리 및 거부 시 불이익입니다. 연간 매출액은 해당 없습니다.

문제 2 (객관식) 개인정보 처리 위탁과 제3자 제공의 가장 핵심적인 차이점은?

정답: ② 개인정보의 지배·관리권이 이전되는지 여부

제3자 제공은 개인정보의 지배·관리권 자체가 외부 주체에게 넘어가는 것이고, 위탁은 개인정보처리자의 업무 목적 범위 내에서 수탁사에 전달하는 것으로 관리권은 이전되지 않습니다.

문제 3 (OX) 당초 수집 목적과 합리적으로 관련된 범위 내라면, 정보주체 동의 없이도 이용·제공이 가능하다.

정답: O

법에서 정한 요건(수집 목적과의 관련성, 예측 가능성, 정보주체 불이익 여부 등)을 충족하면 별도 동의 없이도 이용·제공이 허용됩니다.

문제 4 (OX) 영업 양도·합병은 관리권이 새 주체로 이전되므로 제3자 제공과 동일한 개념이다.

정답: X

영업 양도·합병은 개인정보 처리 형태가 바뀌는 것이 아니라 관리 주체만 변경되는 것으로, 제3자 제공과는 구별되는 별개의 개념입니다.

문제 5 (단답형) 제59조(금지행위) 위반 시 부과될 수 있는 징역 형량은?

정답: 5년 (이하)

개인정보 보호법 제59조 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처합니다. 목적 외 이용·제3자 무단 제공 위반(제17조·제18조)의 경우 여기에 더해 전체 매출액의 3% 이하 과징금도 부과될 수 있습니다.

 

PPT 자료

개인정보 처리 단계별 절차 이해 - 이용_제공.pdf
2.47MB

'개인정보보호 > 개인정보보호 강의 수강' 카테고리의 다른 글

[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 수집/동의  (0) 2026.05.17
[가명정보 지원 플랫폼] 5차시 : 가명처리 이해  (0) 2026.05.10
[가명정보 지원 플랫폼] 가명정보 관련 제도에 대한 이해  (0) 2026.04.12
[개인정보 배움터] 사례로 보는 개인정보 이슈  (1) 2026.04.11
[가명정보 지원 플랫폼] 가명정보 관련 법에 대한 이해  (0) 2026.04.05

티스토리툴바