개인정보 처리 위탁 vs 제3자 제공 — 스타트업이 가장 많이 헷갈리는 PIPA 핵심 구분법

스타트업이 PIPA 위반으로 가장 많이 적발되는 사례 중 하나가 개인정보 제3자 제공 동의를 받지 않은 것입니다. 그런데 실제로 따져보면, 상당수는 "제3자 제공"이 아니라 "처리 위탁"이었던 경우입니다.

반대로, 위탁이라고 생각했는데 제3자 제공이 되어버린 경우도 있습니다.

이 둘을 잘못 판단하면 처리방침 작성, 동의 수집, 계약서 체결 방식이 모두 달라집니다.

핵심 차이: 누구의 이익을 위해 처리하는가

| 구분 | 처리 위탁 | 제3자 제공 | |------|----------|-----------| | 개념 | 수탁자가 위탁자의 업무를 대신 처리 | 제3자가 자신의 목적으로 데이터를 활용 | | 이익 귀속 | 위탁자(나의 서비스)에게 귀속 | 제3자에게 귀속 | | 동의 필요 여부 | 별도 동의 불필요 (처리방침 공개만) | 정보주체 동의 필수 | | 처리방침 기재 | 위탁 현황 공개 필수 | 제공 목적·항목·보유기간 공개 | | 계약 | 수탁자 관리·감독 의무 발생 | 별도 규정 없음 |

한 줄로 정리하면: 내 서비스를 위해 외주를 준 것 = 위탁, 상대방이 자기 목적으로 쓰는 것 = 제3자 제공.

실무 예시로 보는 위탁 vs 제3자 제공

✅ 처리 위탁에 해당하는 경우

AWS / Google Cloud / Supabase

서버 인프라를 제공할 뿐, 고객 데이터로 아무것도 하지 않음
내 서비스 운영을 위한 인프라 위탁 → 위탁

채널톡 / 인터콤 (고객 상담 툴)

고객 문의를 처리하기 위해 사용
상담 데이터는 내 서비스 운영 목적 → 위탁

Resend / Mailchimp (이메일 발송)

내 서비스 이름으로 이메일을 대신 발송
발송 인프라 위탁 → 위탁

Sentry / Datadog (에러 모니터링)

서비스 품질 개선 목적으로 에러 로그 수집
내 서비스 운영을 위한 위탁 → 위탁

❌ 제3자 제공에 해당하는 경우

광고 파트너사에 고객 이메일 제공

파트너사가 자사 광고 목적으로 활용
파트너의 이익 → 제3자 제공 (동의 필수)

제휴 서비스에 회원 데이터 공유

"제휴사에서도 혜택을 받을 수 있다"는 명목으로 데이터 공유
제휴사가 자체 마케팅에 활용 → 제3자 제공 (동의 필수)

데이터 분석 회사에 비식별화 없이 원본 제공

분석 결과를 분석 회사가 자사 서비스 개선에도 활용
상대방의 이익도 발생 → 제3자 제공 (동의 필수)

헷갈리는 케이스: Google Analytics / Mixpanel

가장 많이 질문을 받는 케이스입니다.

결론부터: 개인을 특정할 수 있는 데이터(이메일, 이름 등)를 Google Analytics에 넘기면 제3자 제공입니다.

Google Analytics의 표준 사용 방식(익명 세션 데이터)은 위탁에 가깝지만, 구글은 해당 데이터를 자사 광고 시스템 개선에도 활용합니다. 이 점에서 순수한 위탁과 다릅니다.

실무 대응:

GA4 설정에서 "데이터 공유 설정" → Google 제품 개선을 위한 공유 비활성화
IP 익명화 활성화
PII(개인식별정보)를 GA 이벤트에 절대 포함하지 않기

위탁 시 반드시 해야 하는 것

처리 위탁으로 판단했다면 별도 동의는 필요 없지만, 두 가지 의무가 발생합니다.

1. 처리방침 공개

개인정보보호법 제26조 제2항:

개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다.

처리방침에 다음을 포함해야 합니다:

| 항목 | 내용 | |------|------| | 수탁자 | AWS Korea, Resend Inc. 등 | | 위탁 업무 | 서버 인프라 운영, 이메일 발송 등 |

2. 수탁자 관리·감독 의무

위탁 계약서에 다음 내용을 반드시 포함해야 합니다 (법 제26조 제1항):

위탁 업무 수행 목적 외 개인정보 처리 금지
기술적·관리적 보호조치 의무
재위탁 제한
개인정보 반환·파기 의무
손해배상 책임

AWS, 구글 등 대형 클라우드는 자체 DPA(Data Processing Agreement)를 제공합니다. 이를 체결하면 됩니다.

채널톡, Resend 등 국내외 SaaS는 서비스 약관에 DPA가 포함된 경우가 많습니다. 없다면 별도 요청하거나 자체 작성해야 합니다.

체크리스트: 지금 연동한 외부 서비스 점검하기

서비스에 연동된 외부 툴을 나열하고 아래 질문에 답해보세요:

✅ 이 서비스는 내 업무를 대신 수행하는가? (위탁)
   → 처리방침에 수탁자 현황 공개
   → 필요 시 DPA 체결

❌ 이 서비스가 우리 데이터로 자사 이익을 취하는가? (제3자 제공)
   → 정보주체에게 동의 받기
   → 처리방침에 제3자 제공 현황 공개

흔히 놓치는 수탁자 목록:

클라우드 인프라 (AWS, GCP, Azure, Supabase, Vercel)
이메일 발송 (Resend, Mailchimp, Stibee)
고객 상담 (채널톡, Intercom, Zendesk)
결제 (토스페이먼츠, 아임포트, Stripe)
에러 추적 (Sentry, Bugsnag)
분석 (Mixpanel, Amplitude)
알림 (Firebase FCM, 알리고, Solapi)

위반 시 처벌

제3자 제공 동의 없이 제공한 경우:

5년 이하 징역 또는 5천만원 이하 벌금 (법 제71조)

위탁 계약서 미체결, 처리방침 미공개:

3천만원 이하 과태료 (법 제75조)

처리 위탁과 제3자 제공의 구분은 단순히 법적 형식의 문제가 아닙니다. 누구의 이익을 위해 데이터가 사용되는가를 이해하면 대부분의 케이스를 스스로 판단할 수 있습니다.

지금 내 서비스의 외부 연동 현황이 처리방침에 모두 반영되어 있는지 한 번 점검해 보세요.

→ 자동으로 점검하고 싶다면: pipaguard.vercel.app

반대로, 위탁이라고 생각했는데 제3자 제공이 되어버린 경우도 있습니다.

이 둘을 잘못 판단하면 처리방침 작성, 동의 수집, 계약서 체결 방식이 모두 달라집니다.

핵심 차이: 누구의 이익을 위해 처리하는가

한 줄로 정리하면: 내 서비스를 위해 외주를 준 것 = 위탁, 상대방이 자기 목적으로 쓰는 것 = 제3자 제공.

실무 예시로 보는 위탁 vs 제3자 제공

✅ 처리 위탁에 해당하는 경우

AWS / Google Cloud / Supabase

서버 인프라를 제공할 뿐, 고객 데이터로 아무것도 하지 않음
내 서비스 운영을 위한 인프라 위탁 → 위탁

채널톡 / 인터콤 (고객 상담 툴)

고객 문의를 처리하기 위해 사용
상담 데이터는 내 서비스 운영 목적 → 위탁

Resend / Mailchimp (이메일 발송)

내 서비스 이름으로 이메일을 대신 발송
발송 인프라 위탁 → 위탁

Sentry / Datadog (에러 모니터링)

서비스 품질 개선 목적으로 에러 로그 수집
내 서비스 운영을 위한 위탁 → 위탁

❌ 제3자 제공에 해당하는 경우

광고 파트너사에 고객 이메일 제공

파트너사가 자사 광고 목적으로 활용
파트너의 이익 → 제3자 제공 (동의 필수)

제휴 서비스에 회원 데이터 공유

"제휴사에서도 혜택을 받을 수 있다"는 명목으로 데이터 공유
제휴사가 자체 마케팅에 활용 → 제3자 제공 (동의 필수)

데이터 분석 회사에 비식별화 없이 원본 제공

분석 결과를 분석 회사가 자사 서비스 개선에도 활용
상대방의 이익도 발생 → 제3자 제공 (동의 필수)

헷갈리는 케이스: Google Analytics / Mixpanel

가장 많이 질문을 받는 케이스입니다.

결론부터: 개인을 특정할 수 있는 데이터(이메일, 이름 등)를 Google Analytics에 넘기면 제3자 제공입니다.

실무 대응:

GA4 설정에서 "데이터 공유 설정" → Google 제품 개선을 위한 공유 비활성화
IP 익명화 활성화
PII(개인식별정보)를 GA 이벤트에 절대 포함하지 않기

위탁 시 반드시 해야 하는 것

처리 위탁으로 판단했다면 별도 동의는 필요 없지만, 두 가지 의무가 발생합니다.

1. 처리방침 공개

개인정보보호법 제26조 제2항:

개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 위탁하는 업무의 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다.

처리방침에 다음을 포함해야 합니다:

| 항목 | 내용 | |------|------| | 수탁자 | AWS Korea, Resend Inc. 등 | | 위탁 업무 | 서버 인프라 운영, 이메일 발송 등 |

2. 수탁자 관리·감독 의무

위탁 계약서에 다음 내용을 반드시 포함해야 합니다 (법 제26조 제1항):

위탁 업무 수행 목적 외 개인정보 처리 금지
기술적·관리적 보호조치 의무
재위탁 제한
개인정보 반환·파기 의무
손해배상 책임

AWS, 구글 등 대형 클라우드는 자체 DPA(Data Processing Agreement)를 제공합니다. 이를 체결하면 됩니다.

채널톡, Resend 등 국내외 SaaS는 서비스 약관에 DPA가 포함된 경우가 많습니다. 없다면 별도 요청하거나 자체 작성해야 합니다.

체크리스트: 지금 연동한 외부 서비스 점검하기

서비스에 연동된 외부 툴을 나열하고 아래 질문에 답해보세요:

✅ 이 서비스는 내 업무를 대신 수행하는가? (위탁)
   → 처리방침에 수탁자 현황 공개
   → 필요 시 DPA 체결

❌ 이 서비스가 우리 데이터로 자사 이익을 취하는가? (제3자 제공)
   → 정보주체에게 동의 받기
   → 처리방침에 제3자 제공 현황 공개

흔히 놓치는 수탁자 목록:

클라우드 인프라 (AWS, GCP, Azure, Supabase, Vercel)
이메일 발송 (Resend, Mailchimp, Stibee)
고객 상담 (채널톡, Intercom, Zendesk)
결제 (토스페이먼츠, 아임포트, Stripe)
에러 추적 (Sentry, Bugsnag)
분석 (Mixpanel, Amplitude)
알림 (Firebase FCM, 알리고, Solapi)

위반 시 처벌

제3자 제공 동의 없이 제공한 경우:

5년 이하 징역 또는 5천만원 이하 벌금 (법 제71조)

위탁 계약서 미체결, 처리방침 미공개:

3천만원 이하 과태료 (법 제75조)

지금 내 서비스의 외부 연동 현황이 처리방침에 모두 반영되어 있는지 한 번 점검해 보세요.

→ 자동으로 점검하고 싶다면: pipaguard.vercel.app

개인정보 처리 위탁 vs 제3자 제공 — 스타트업이 가장 많이 헷갈리는 PIPA 핵심 구분법

핵심 차이: 누구의 이익을 위해 처리하는가

실무 예시로 보는 위탁 vs 제3자 제공

✅ 처리 위탁에 해당하는 경우

❌ 제3자 제공에 해당하는 경우

헷갈리는 케이스: Google Analytics / Mixpanel

위탁 시 반드시 해야 하는 것

1. 처리방침 공개

2. 수탁자 관리·감독 의무

체크리스트: 지금 연동한 외부 서비스 점검하기

위반 시 처벌

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 처리 위탁 vs 제3자 제공 — 스타트업이 가장 많이 헷갈리는 PIPA 핵심 구분법

핵심 차이: 누구의 이익을 위해 처리하는가

실무 예시로 보는 위탁 vs 제3자 제공

✅ 처리 위탁에 해당하는 경우

❌ 제3자 제공에 해당하는 경우

헷갈리는 케이스: Google Analytics / Mixpanel

위탁 시 반드시 해야 하는 것

1. 처리방침 공개

2. 수탁자 관리·감독 의무

체크리스트: 지금 연동한 외부 서비스 점검하기

위반 시 처벌

지금 바로 PIPA 컴플라이언스 점검하기

관련 글