<10>불가피하게 개인정보를 제3자에게 제공해야 할 때[정세진 변호사의 알쓸데이터법]

[파이낸셜뉴스] 다른 사람의 개인정보를 제3자에게 제공하기 위해서는 그 사람으로부터 동의를 받아야 한다(제3자제공과 처리위탁의 구분에 대해서는 지난 편에서 상세히 설명한 바 있다). 그러나 수사기관에서 자료를 요청하였거나 소송분쟁 등에 활용할 목적으로 정보를 제공하는 경우와 같이 '당신의 정보가 다른 사람에게 제공된다'는 점을 알리고 동의를 받는 것이 어려운 상황이 종종 존재하는데 이때는 어떻게 하여야 할까?

동의 없이 개인정보 제3자 제공 가능할까

개인정보 보호법에서는 동의가 없어도 개인정보를 제3자에게 제공할 수 있는 예외 사유(①법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, ②급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우, ③개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우, ④공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 등)를 정하고 있다. 따라서 이러한 예외 사유에 해당하는지 여부에 따라 제공이 가능한지 여부가 정해질 것이다.

여기에서 가장 자주 활용되고 가장 많이 고민하는 경우가 '법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우'인데 이에 대해서는 제대로 알아 둘 필요가 있다.

'법률의 특별한 규정이 있는 경우'란 법률에서 동의 없이 개인정보를 제공할 수 있다는 점을 구체적으로 허용하고 있는 경우를 의미한다. 또한 '법령상 의무를 준수하기 위하여 불가피한 경우'란 개인정보를 제공하지 않고서는 법에서 부과하는 의무를 이행하는 것이 불가능하거나 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우를 의미한다.

따라서, 법에서 단순히 '협조하여야 한다'라고 되어 있는 경우나 '임의로 자료를 제공할 수 있다'라고 되어 있는 경우 등과 같이 반드시 개인정보를 제공하여야 한다는 점을 강제하고 있지 않은 경우에는 이에 근거하여 동의 없이 개인정보를 제공할 수 없다고 보아야 한다.

예를 들어, 법에서 'A가 B기관 등에 대해 필요한 사항의 보고를 요구할 수 있다'라고 정하고 있다면 보고를 요구할 수 있을 뿐 보관하고 있는 서류나 정보의 제공을 요구할 수 있다고 정하고 있지는 아니하므로 B기관은 이 규정에 근거하여 동의 없이 A기관에 고객의 개인정보를 제공할 수 없다고 보아야 한다.

이와 관련하여, 법원은 회사가 수사기관에 개인정보가 포함되어 있는 자료를 임의제출 방식으로 제공한 사안에 대해 수사기관은 압수수색 영장을 받아 해당 정보를 압수하였어야 한다고 해석하면서 영장 없이 개인정보를 제공받은 것은 개인정보 보호법에 위반된다고 판단한 바 있다. 또한 고발인이 업무상 알게 된 개인정보를 수사기관에 제공한 행위에 대해서도 동의 없이 이러한 정보를 제공한 것은 업무상 알게 된 개인정보를 누설한 행위로서 개인정보 보호법에 위반된다고 판단하였다.

한편, 규제기관에서도 관리사무소가 세대 간 분쟁 해결 목적으로 분쟁조정 당사자의 연락처 및 성명을 분쟁조정 신청자에게 제공할 수 있는지 여부에 대해, 공동주택관리법에서 관리사무소가 공동주택을 안전하고 효율적으로 관리하여 공동주택의 입주자 등의 권익을 보호하기 위한 업무를 수행할 수 있다고 정하고 있기는 하나 이를 위해 동의 없이 개인정보를 제공할 수 있다고 정하고 있는 규정은 없으므로 당사자의 동의를 받는 경우에만 정보제공이 가능하다고 판단하였다.

회사가 불가피하게 고객 개인정보 제공해야 한다면

그렇다면 회사에서 불가피하게 고객의 개인정보를 제공하여야 하는 상황이 생긴다면(특히 다른 기관으로부터 정보제공을 요청받는다면) 어떻게 하여야 할까?
먼저 제공해야 하는 정보가 동의받은 정보인지 아닌지를 판단하여야 한다. 동의받은 정보라고 하더라도 동의서상의 '정보를 제공받는 자' 항목에 '정보를 요청한 기관명'이 기재되어 있는지 및 동의받은 목적의 범위 내에 포함되는지도 확인해야 한다.

동의받은 정보가 아니라면 제공하기 전에 동의를 받는 것이 최선이다. 그러나 고객에게 새로운 동의를 받는 것 자체가 쉽지 않을 뿐만 아니라 특히 소송, 분쟁 등에 활용할 목적으로 정보가 제공되는 경우라면 이에 동의할 고객은 많지 않을 것이다. 이러한 경우에는 개인정보 보호법에서 정하고 있는 '동의 없이 정보를 제3자 제공할 수 있는 예외 사유'에 해당하는지를 체크하여야 하는데, '법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우'에 해당하는지 여부가 문제가 된다면 해당 법령을 꼼꼼히 확인할 필요가 있다. 해당 법령에서 정보를 제공해도 된다는 점을 명확히 나타내고 있지 않다면 관련 사례도 찾아보는 것이 안전하다. 만약 동의 없이 정보를 제공할 수 있다는 점이 확실하지 않다면 이를 확인할 때까지는 제공을 미뤄두는 게 바람직하다.

마지막으로, 예외 사유에 해당하는 경우에도 필요한 최소한의 정보만을 제공해야 한다는 점을 반드시 기억해야 한다. 정보를 필요로 하는 목적과 관련이 없는 정보까지 제공하는 경우에는 법 위반에 해당하는데, 법원은 엄격한 기준에서 이를 판단하고 있다. 따라서 꼭 필요한 정보가 무엇인지 분석한 뒤 그 정보만 제공해야 할 것이다.

[필자 소개]
정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다.

개발자 출신의 엔지니어이기도 했던 정 변호사는 개발자들 사이에서 '말이 잘 통하는 변호사'로 통한다. 전문분야인 디지털 금융의 기본 법률을 다룬 책 '디지털금융 기초 법률상식'을 지난해 10월 출간했다.

성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다.

정세진 법무법인 율촌 변호사