한편, 기업들은 효율성과 생산성의 향상, 가격 경쟁력의 확보를 위해 영업, A/S 등 다양한 분야에서 아웃소싱을 실시하고 있다. 즉 이는 개인정보 데이터베이스를 활용하는 아웃소싱이 과거에 비해 보다 활발하게 이루어지고 있음을 뜻한다.
현재 우리나라에서는 개인정보의 오남용이라든지 유출 사례들이 빈번히 발생하고 있어, 결코 개인정보보호에 대해 안심할 수 있는 수준은 아니다.
특히 개인정보가 제3자에게 제공, 활용되는 경우는 엄격한 통제가 필요하다는 것이 사회 공통의 인식이다. 개인정보 처리의 아웃소싱(위탁)도 그 형태로 볼 때 개인정보의 제3자 제공의 일종에 해당한다.
이러한 취지에서, 온라인상의 개인정보보호에 대해 규율하고 있는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’)은 개인정보 취급 위탁시 기업이 준수해야 하는 사항을 상세히 규정하고 있다.
▶ ‘개인정보 취급위탁’이란
우선 개인정보의 취급 위탁이 무엇인지를 명확히 살펴보자. (구)정보통신망법은 단지 ‘개인정보의 수집, 취급, 관리 등을 위탁하는 경우’라고만 규정하여 위탁의 범위에 대해 논란이 있었다.
예컨대 고객정보 DB시스템을 위탁 운영하는 경우(전산 아웃소싱)는 개인정보 취급위탁에 해당하지만, 대리점과 같은 영업위탁, 텔레마케팅, 배송 등과 같은 업무가 개인정보 취급위탁에 해당하는지에 대해서는 논란이 있었던 것이 사실이다.
그러나 ’07.1.26일 개정된 현행 정보통신망법은 어떠한 방식이던지 ‘제3자가 개인정보를 수집, 보관, 처리, 이용, 제공, 관리, 파기 등 취급하도록 한 경우’는 모두 개인정보의 취급 위탁으로 보도록 함으로써 법률의 적용범위를 명확히 하였다.
▶ 고객의 동의가 필요하다 ?
(구)정보통신망법은 기업이 제3자에게 개인정보 취급을 위탁하는 경우에는 단지 고객에게 그 사실을 미리 고지하면 위탁이 가능
그러나 앞서 본 바와 같이 개인정보 취급위탁도 본질적으로는 개인정보를 제3자에게 제공하는 행위이기 때문에, 이용자(고객)의 동의에 따라 엄격히 통제되어야 할 필요성이 제기되었다. 이에 현행 정보통신망법은 개인정보 취급을 아웃소싱하기 위해서는 원칙적으로 이용자의 동의를 반드시 받도록 하였다(제25조제1항).
그러나 효율성과 신속성을 중시하는 기업의 시각에서 보면 모든 개인정보 취급의 아웃소싱에 대해 일일이 고객의 동의가 있어야 한다는 것은 일견 과도한 규제로 보일 수 있다.
이러한 의견을 반영하여, 현행 정보통신망법 제25조제2항은 ‘계약의 이행을 위해 필요한 경우’로서 사전에 위탁사실을 이용자에게 공개 또는 통지한 경우에 대해서는 별도의 동의 없이도 위탁이 가능하도록 허용하였다.
이에 따라 물품의 배송, A/S 등 사업 수행에 불가피한 아웃소싱에 대해서는 이용자의 개인정보 권리도 보장하면서 기업의 영업 효율성을 극대화할 수 있는 길이 열려져 있다.
▶ 개인정보 취급위탁, 이것만은 알아두자
마지막으로, 개인정보 취급업무를 위탁하는 경우 기업이 주의하여야 할 사항이 몇가지 있다.
먼저 업무를 위탁하는 기업 측은 수탁자가 고객의 개인정보를 취급할 수 있는 목적을 미리 명확히 정해두어야 하고, 수탁자도 그 목적을 벗어나 개인정보를 취급할 수 없다.
물론 위탁 기업은 수탁자에 대해 개인정보보호를 준수하도록 관리 감독할 의무가 있음은 물론이다. 이와 관련하여, 정보통신망법은 업무 수탁자가 법률상의 개인정보보호 규정을 위반한 때에는 위탁 기업에게 책임을 물을 수 있도록 하고 있으므로 위탁 기업의 각별한 주의가 요구된다.
아웃소싱은 오늘날 격화되고 있는 무한경쟁 시대에 있어 필수불가결한 마케팅 방식으로 자리잡고 있다. 그러나 한편으로는 개인정보의 유출과 침해 위험성에 항상 노출되어 있는 것도 사실이다.
많은 기업들이 정보통신망법의 관련 내용을 잘 숙지하여 기업의 효율성 극대화와 고객의 개인정보 보호라는 두 마리 토끼를 모두 잡을 수 있기를 기대해본다.
[인터뷰] 박형민 산자부 개인정보보호팀 서기관
저작권자 © 아웃소싱타임스 무단전재 및 재배포 금지
