개인정보처리자와 취급자의 차이 [알아야 보이는 법(法)]

개인정보처리자, 개인정보취급자, 수탁자, 제3자.

개인정보 보호법에 등장하는 주체들이다. 이들은 대체 누구인가.

개인정보처리자란 문자 그대로 개인정보를 처리하는 자이다. 이용자 개인별 서비스를 제공하는 사업자나 기관 등은 대부분 해당한다. 개인정보는 그 수집 목적을 벗어나서 처리하거나 제3자에게 제공하면 개인정보 보호법 제18조에 위반된다.

개인정보취급자란 개인정보처리자의 지휘·감독을 받는 임직원 등을 가리킨다. 개인정보취급자가 업무상 알게 된 개인정보를 누설하면 동법 제59조 제2호에 따라 처벌된다.

제3자란 통상 개인정보처리자로부터 개인정보를 제공받은 다른 개인정보처리자를 가리킨다. 개인정보를 제3자에게 제공하기 위해서는 정보 주체의 동의를 받는 등 법률상 사유를 갖추어야만 적법하다.

수탁자란 개인정보처리자로부터 그 처리 업무를 위탁받은 자를 뜻한다. 전산 인프라를 제공하는 계열사나 외주·호스팅 업체 등이 대개 그 지위에 있다. 처리위탁을 하려면 어느 수탁사에 맡긴다는 사실만 공개하면 되고 정보 주체의 동의는 필수가 아닌데, 이 점에서 개인정보 제3자 제공과 구분된다.

이러한 구분은 얼핏 간단해 보이지만 실제 사건에 적용되면 단순하지 않다. 먼저 개인정보처리자와 취급자를 구분 취급하는 것이 애매한 사안을 살펴보자.

#1 공공기관의 간부가 다른 직원들의 범죄 경력을 동의 없이 수집해 사내 교육자료로 활용한 사건이 있었다. 민감 정보를 무단 수집한 개인정보처리자는 처벌 대상인데, 헌법재판소는 그 간부가 처리자가 아니라 취급자에 불과해 해당 법률 규정에 따른 처벌 대상이 아니라고 판단했다(2018. 4. 26. 선고 2017헌마711 결정).

#2 라디오 작가가 악성 민원인에게 내용증명을 보내기 위한 목적으로, 평소 경품 배송용으로 수집해둔 그 민원인의 주소 정보를 이용한 사건이 있었다. 라디오 작가는 개인정보를 수집 목적에서 벗어나 이용했다는 이유로 개인정보 보호법 제18조 위반으로 기소되었다. 그러나 법원은 동법 제18조가 개인정보처리자에게만 적용되는데 라디오 방송국에서 근무하는 작가는 처리자가 아니라 취급자이기 때문에 해당 법 규정의 적용 대상이 아니라고 판단했다(서울서부지방법원 2019. 2. 14. 선고 2018노556 판결, 확정).

#3 경찰 공무원이 사인의 지명수배 내역을 조회해 외부에 누설한 행위가 개인정보 보호법 제18조 위반으로 기소된 사건에서도 법원은 그 경찰은 개인정보처리자가 아니라는 이유로 해당 법 규정의 적용 대상이 아니라고 보았다(대법원 2017. 9. 21. 선고 2016도19905 판결).

이렇게만 보면 개인정보처리자를 대상으로 한 개인정보 보호법 제18조를 가지고는 개인정보취급자의 일탈 행위를 견제할 수 없는 것처럼 여겨진다. 대신에 이는 동법 제59조 제2호로써 규율된다. 여기에 따르면 ‘개인정보를 처리하거나 처리하였던 자’가 업무상 알게 된 개인정보를 누설하면 처벌받는데, 그러한 자는 개인정보처리자에 한정되지 않는다(대법원 2016. 3. 10. 선고 2015도8766 판결). 즉 개인정보취급자도 수범자에 포함된다.

다른 관점을 취한 사례도 있다.

대학수학능력시험 감독관이 고사장에서 만난 여학생에게 응시원서에 기재된 휴대폰 번호를 통해 사적 문자 메시지를 전송함으로써 개인정보를 제공받은 목적 외 용도로 이용했다는 이유로 기소된 사안에서 1심은 이 감독관이 개인정보처리자가 아니라 취급자라는 이유로 해당 법 규정의 적용 대상이 아니라고 보았다. 그러나 항소심은 입법의 미비점으로 법 집행의 틈이 생기는 것이 바람직하지 않다면서 1심을 파기하고 유죄로 판단했다(서울중앙지방법원 2020. 10. 15. 선고 2019노4259 판결, 상고심 계류 중). 피해자 입장에서 ‘가해자가 처리자이든, 취급자이든 무슨 상관인가’ 이런 의문점이 생길 텐데, 항소심 판결에 투영된 듯하다.

다음으로 제3자와 수탁자의 구분에 대해서 살펴보자. 사실 이쪽이 훨씬 더 애매하다.

예컨대 온라인 쇼핑몰이 물품을 택배 발송하려면 고객의 주소와 연락처를 당연히 택배 회사에 알려줘야 한다. 이것은 개인정보 제3자 제공일까, 아니면 처리위탁일까. 블록체인의 어느 노드가 새로운 블록을 추가하려 할 때 합의 알고리즘의 일원으로서 작업증명(proof-of-work)에 참여하는 다른 노드들은 제3자인가, 수탁자인가. 오픈마켓 플랫폼은 입점한 판매자들을 비즈니스 파트너로서 제3자라고 여기고 있었는데, 정부는 이들 판매자가 오픈마켓의 개인정보 처리 시스템을 쓰기 때문에 개인정보취급자에 해당한다고 보아 오픈마켓 측에 관리·감독 책임을 물어 과태료를 부과한 사례도 있었다.

정부의 가이드라인에 따르면 이용자의 개인정보 처리에 관해 제휴 사업자들이 각자의 이익 및 권리·의무를 지면 제3자 제공으로, 수탁자가 위탁자에게 종속되어 수탁사무 처리의 대가를 수령하는 것 이외 개인정보 처리에 관해 독자적인 이익을 갖지 않으면 처리위탁으로 각각 구분하게 되어 있다. 하지만 이 기준을 현실에 적용해도 딱 떨어지는 답은 좀처럼 나오지 않는다.

이러한 혼란에 그나마 방향성을 잡으려면 몇가지 원칙을 기억해야 한다.

첫째 본인이 거래 상대방에게 부담하는 채무를 타인(피용자, 수탁자 등)으로 하여금 이행케 함으로써 본인의 행위 범위를 넓혔다면, 그 타인의 행위로 발생하는 법적 책임도 본인의 몫이다.

둘째 그러한 타인이 본인의 그늘에서 움직인다면 수탁자겠지만, 그렇지 않고 고객에게 독자적인 법적 책임을 진다면 그러한 타인은 제3자이다.

첫번째 원칙을 개인정보취급자의 일탈 사례와 대비해보면 어떨까. 개인정보취급자의 개인정보 누설 행위는 개인정보 보호법 제59조 제2호에 따라 처벌 대상이고, 이로 인해 발생한 피해에 대해서 개인정보처리자는 별도의 특별법 규정이 없어도 관리·감독 미흡에 따른 책임을 진다. 한편 동법 제18조는 개인정보처리자가 비즈니스 모델 자체를 고객정보가 오남용·유출되도록 잘못 잡는 등 기관 차원의 불법행위를 금지하는 규정이다. 이렇게 역할이 다른 두 규정을 혼용할 수는 없다. 전자의 사안에서 후자의 법률 조항으로 잘못 기소되었을 때는 검사가 공소장을 변경하거나 법원 직권으로 적용 법조를 변경함으로써 교정을 해주는 것이 절차상 바람직하냐는 관점에서 풀어야 한다.

두번째 원칙을 오픈마켓 사건에 적용해보면 어떨까. 고객에게 오픈마켓은 통신판매 중개자로서 채무를, 입점 판매자는 통신판매업자로서의 채무를 각각 이행한다. 이처럼 독자적인 법적 책임을 지는 입점 판매자는 개인정보취급자가 아니라 제3자의 지위에 있다고 판단되어야 한다. 따라서 오픈마켓 측에는 입점 판매자들을 관리·감독하지 않았다는 이유로 공법적 책임을 물을 것이 아니라, 이로 인해 실제 손해가 발생했을 때 안전배려 의무(예: 2단계 인증 필수화) 미흡을 이유로 민사상 책임을 물어야 적절하다.