위탁자의 의무와 책임 (2)
개인정보보호법이 적용되는 조직의 경우, 위탁자의 경우 ⑴ 문서 작성 의무(개인정보보호법 제26조 제1항), ⑵ 공개 또는 통지의무(제2, 3항), ⑶ 교육 및 관리ㆍ감독 의무(제4항)를 부담한다. 정보통신망법이 적용되는 조직과의 차이점은, 정보통신망법의 고지ㆍ동의의무 대신에 대폭 감경된 공개의무가 적용되고, 대신 정보통신망법과 달리 문서작성의무 및 교육의무가 추가로 존재한다는 것이다.
위탁자는 위탁시 위탁사실, 위탁업무의 내용과 수탁자를 인터넷, 일간지 등에 공개하여야 한다(공개의무). 다만 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우, 위탁하는 업무의 내용이나 수탁자가 변경된 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법으로 통지하여야 한다(통지의무).
위탁자는 반드시 문서로써 위탁하여야 하며, 문서에는 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항, 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항, 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항, 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항이 포함되어 있어야 한다. 이 문서는 위탁계약 내용에 포함되어 있을 필요는 없어 보인다.
정보통신망법이 적용되는 조직이 문서를 갖추지 않고 위탁하는 경우에 이를 제재할 수 있을까?
정보통신망법이 적용되는 조직의 경우에는 문서작성의무가 존재하지 않기에 제재할 수 없다는 견해와 정보통신망법에 명시적인 조문이 없다고 하더라도 일반법인 개인정보보호법에 의무 조항이 있는 이상 개인정보보호법 제26조 제1항으로 제재할 수 있다는 견해, 문서 작성의무를 위반한 정보통신망법 적용 조직에 대하여 제재할 수 있되, 행정처분의 근거 조문은 개인정보보호법 제26조 제1항이 아닌 정보통신망법 제25조 제4항의 관리ㆍ감독의무가 되어야 한다는 견해로 갈린다.
위탁자는 수탁자에 대한 교육의무 및 관리ㆍ감독의무도 부담한다. 정보통신망법이 적용되는 조직이 교육의무를 이행하지 않은 경우에 이를 제재할 수 있을까? 문서를 갖추지 않고 위탁하는 경우와 동일한 논의가 가능하다.
교육 및 관리ㆍ감독의무의 내용에 대하여 안전행정부 발간 해설서에는 “위탁자는 수탁자에 대하여 정기적인 교육을 실시하는 외에 수탁자의 개인정보처리 현황 및 실태, 목적외 이용ㆍ제공, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 조사ㆍ점검하여야 한다.”라고 규정하고 있다. 하지만 위탁자가 수탁자에 대한 교육이나 관리ㆍ감독을 강요할 수 없는 약자인 경우가 많기에 현실적으로 이 조문의 실효성이 문제되고 있다.
입법론적으로는 위탁시 의무적으로 작성하는 문서에 반드시 포함되어야 할 내용을 위탁자와 수탁자 사이에 작성된 위탁계약서에 의무적으로 포함하게끔 하여 법적으로ㆍ계약적으로 수탁자에 대한 위탁자의 지위를 보장해 주는 것이 이 조문의 실효성을 높이는 하나의 방법이 될 것이다.
정보통신망법이 적용되는 조직이나 개인정보보호법이 적용되는 조직 모두는 위탁자는 수탁자의 정보주체에 대한 손해배상책임과는 별도로, 수탁자 또는 수탁자의 직원의 행위에 대하여 민사적인 사용자책임(민법 제756조)을 부담한다(정보통신망법 제25조 제5항, 개인정보보호법 제26조 제6항). 이 경우 수탁자와 위탁자는 모두 정보주체에 대하여 손해배상책임을 부담할 수 있는데, 양자의 관계는 부진정연대채무의 관계이다. 정보주체에게 손해배상을 해 준 위탁자는 수탁자에게 구상권을 행사할 수 있다.
수탁자의 의무와 책임
수탁자의 가장 중요한 의무는 위탁받은 해당 업무 범위를 초과한 개인정보 이용이나 제3자 제공 금지 의무이다(정보통신망법 제25조 제3항, 개인정보보호법 제26조 제5항). 수탁자의 이 의무 위반시 위탁자는 관리ㆍ감독의무 위반 책임을 부담할 수 있다.
더불어 수탁자는 정보통신서비스 제공자의 의무나 개인정보처리자의 의무를 준수하여야 한다(정보통신망법 제67조 제2항, 개인정보보호법 제26조 제7항). 따라서 수탁자는 보관하고 있는 개인정보에 관하여 물리적ㆍ관리적ㆍ기술적 보호조치를 취하여야 하며, 개인정보취급방침이나 처리방침을 공개하여야 하고, 정보주체의 열람요구에 응하여야 하며, 이용자에게 정기적으로 개인정보이용내역에 관하여 통지를 하여야 한다. 다만 개인정보파일의 등록의무는 존재하지 않는다.
한편 개인정보파일 등록의무뿐만 아니라 손해배상책임인 정보통신망법 제32조, 개인정보보호법 제39조도 수탁자에 대하여 준용되지 않고 있다. 때문에 손해를 입은 정보주체는 수탁자에 대하여 정보통신망법 제32조, 개인정보보호법 제39조가 아닌 일반 불법행위책임(민법 제750조)을 물을 수밖에 없는데, 규범적으로 수탁자의 고의ㆍ과실을 피해자인 정보주체가 입증해야 하는 점에서 정보통신망법 제32조 또는 개인정보보호법 제39조의 적용시보다 불리하다.
더불어 정보주체는 직접 위탁자에 대하여 정보통신망법 제32조, 개인정보보호법 제39조의 기한 손해배상책임을 물을 수 있지만, 위탁한 개인정보의 점유가 수탁자에게 있는 이상 경우에 따라서는 수탁자의 법위반사실뿐만 아니라 위탁자의 관리ㆍ감독상의 법위반사실까지 입증하여야 한다는 점에서 정보주체는 입증상의 상당한 불리함을 안게 된다.
입법론적으로는, 수탁자에게도 정보통신망법 제32조, 개인정보보호법 제39조의 손해배상책임을 물을 수 있도록 하는 것이 타당해 보인다.
재위탁
재제공에 대한 근거 조문이 정보통신망법 제24조의2 제2항 또는 개인정보보호법 제19조에 있는 것과는 별개로, 재위탁에 대한 법령상의 근거 조문은 존재하지 않는다.
다만 개인정보보호법에 관한 보충 규정으로서 이용되고 있는 표준지침 제21조에는 재위탁에 대하여 규정하면서, 정보주체는 수탁자로부터 재수탁자가 재위탁 받은 개인정보 처리 업무를 수행하면서 발생하는 손해에 대한 배상을 청구할 수 있으며, 개인정보 처리 업무의 재위탁에 대해서는 개인정보보호법 제26조를 준용한다고 규정하고 있다.
입법론적으로는 재위탁에 관한 법령상의 명시적인 근거 조문을 정보통신망법 및 개인정보보호법에 신설하면서 동시에 위탁에 관한 준용규정을 마련해 둘 필요가 있다.
결어
개인정보 위탁은 수집시부터 형성되는 엄격한 목적제한성을 탈피하면서 유연성을 제공할 수 있는 가장 좋은 방법으로 꼽히고 있다. 하지만 몇 가지 입법의 결여로 악의적인 탈법행위에 대하여 대처할 수 없는 문제점도 가지고 있다. 개인정보의 활용과 보호를 모두 제고시키기 위해서는, 가장 빈번하게 발생하는 처리현상인 개인정보의 위탁에 있어 입법의 결여 문제를 조속하게 해결할 필요가 있어 보인다.
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2014. 1. 10.), 블로그(2014. 1. 10.) 기고.
