개인정보 제3자 제공 완전 가이드

"고객 정보를 파트너사에 넘겨도 되나요?" — 이 질문은 사업 협력, 마케팅 연계, 계열사 공유 등에서 수시로 발생합니다. PIPA(개인정보보호법) 제17조는 제3자 제공에 엄격한 요건을 부과하며, 위반 시 5년 이하 징역 또는 5천만 원 이하 벌금 형사처벌까지 이어질 수 있습니다.

1. 제3자 제공 vs 위탁 — 핵심 구별

가장 먼저 명확히 해야 할 개념이 제3자 제공과 위탁의 구별입니다.

| 구분 | 제3자 제공 | 위탁 | |------|-----------|------| | 데이터 활용 목적 | 제공받는 자의 독자 목적 | 제공자(위탁자)의 목적 대행 | | 이익 귀속 | 제공받는 자에게 귀속 | 위탁자에게 귀속 | | 동의 요건 | 정보 주체 동의 원칙 | 동의 불필요 (위탁 공개 의무) | | 대표 사례 | 파트너사 마케팅 공유 | 배송사, CRM, 이메일 발송사 |

쉬운 판단 기준

"이 데이터를 받는 회사가 자기 사업 목적으로 활용하면 → 제3자 제공" "우리 업무를 대신 처리해 주면 → 위탁"

계열사·자회사라도 별개 법인이면 제3자 제공에 해당합니다.

2. 제3자 제공 시 동의 요건 (제17조)

동의 시 필수 고지 항목

[제3자 제공 동의서 필수 항목]

1. 제공받는 자: ○○주식회사
2. 제공 목적: 제휴 마케팅 서비스 제공
3. 제공 항목: 이름, 이메일, 구매 이력
4. 보관 기간: 제공일로부터 1년
            (또는 동의 철회 시까지)

4가지 항목 중 하나라도 누락되면 유효하지 않은 동의입니다.

포괄 동의의 위험

"관련 기업에 마케팅 목적으로 제공할 수 있습니다"처럼 제공받는 자를 특정하지 않은 포괄 동의는 무효입니다. 제공받는 자를 구체적으로 명시해야 합니다.

파트너사가 추가되면 기존 동의는 효력이 없고 재동의가 필요합니다.

3. 동의 없이 제공 가능한 예외 사유

PIPA 제17조 제2항은 동의 없이 제공 가능한 경우를 열거합니다.

허용 예외 (엄격하게 해석)

① 법률에 특별한 규정이 있는 경우
   예: 수사기관의 영장에 의한 제공
       국세청의 과세 자료 요청

② 공공기관이 법적 소관 업무 수행 목적
   예: 지자체의 복지 서비스 연계

③ 정보 주체 또는 제3자의 생명·신체·재산 보호를 위해
   긴급히 필요하고 동의를 받기 어려운 경우
   예: 실종 아동 수색, 응급 의료 상황

④ 통계 작성·학술 연구·공익 목적 (가명 처리 조건)

⑤ 범죄 수사·공소 제기·유지를 위해 불가피한 경우

오해하기 쉬운 경우

❌ 예외 해당 안 됨:
- "계열사니까 내부 공유"
- "업무 협력을 위해 파트너사와 공유"
- "이미 공개된 정보라서"
- "고객 이익을 위해"
- "묵시적 동의가 있다고 판단"

4. 실무 위반 사례 분석

사례 1: 제휴카드 고객 정보 공유

상황: A 쇼핑몰이 B 카드사와 제휴카드를 출시하면서 기존 회원 중 B 카드 보유자 목록을 B 카드사에 제공

위반 여부: 위반

• 기존 동의서에 "B 카드사에 제공" 항목 없음
• 카드 보유 여부 확인 목적 제공도 별도 동의 필요

올바른 처리: 제휴카드 출시 시 기존 회원에게 별도 동의 수령

---

사례 2: 인수·합병 시 고객 DB 이전

상황: C사가 D사에 인수되면서 C사 고객 DB를 D사에 이전

위반 여부: 원칙적으로 제3자 제공에 해당

• 예외: 사업 양도가 포함된 인수인 경우 일정 요건 하에 허용 (제27조)

올바른 처리:

• 사업 양수도 사실, 개인정보 이전 사실을 고객에게 사전 통지
• 30일 이내 이의 제기 없으면 동의로 간주 (PIPA 제27조)

---

사례 3: 광고 플랫폼에 고객 이메일 업로드

상황: 이메일 마케팅 리스트를 메타(Facebook) 광고 플랫폼에 업로드해 맞춤 타겟 광고 집행

위반 여부: 제3자 제공 해당

• 메타가 독자 목적(광고 최적화)으로 해당 데이터를 활용
• 마케팅 동의만으로는 부족 — "제3자 제공" 항목에 메타 명시 필요

올바른 처리:

• 개인정보처리방침에 "광고 플랫폼(Meta, Google)에 해시 처리된 이메일 제공" 명시
• 별도 동의 또는 처리방침 동의 시 고지

---

사례 4: 계열사 공동 마케팅

상황: 그룹사 통합 앱에서 A계열사 고객 데이터를 B계열사 마케팅에 활용

위반 여부: 위반 (계열사도 별개 법인 = 제3자)

올바른 처리:

• "그룹사 공동 마케팅" 목적 별도 동의
• 제공받는 계열사 목록 명시
• 추후 계열사 변경 시 재동의

5. 제공 후 관리 의무

제3자 제공은 동의를 받는 것으로 끝나지 않습니다.

제공 기록 보관

| 기록 항목 | 보관 기간 | |-----------|-----------| | 제공받은 자, 제공 일시 | 5년 | | 제공 항목, 제공 목적 | 5년 | | 동의 이력 | 5년 |

제공받는 자의 의무 이행 확인

제공받는 자가 동의 범위 내에서만 데이터를 활용하는지 확인할 의무는 없지만, 계약서에 활용 제한 조항을 명시하는 것이 모범 사례입니다.

정보 주체 삭제 요청 시 연쇄 처리

고객이 삭제를 요청하면 제3자에게 제공된 정보도 삭제 요청을 통보해야 합니다.

6. 해외 제공 시 추가 요건

국외 제3자 제공은 추가 요건이 있습니다.

• 이전 국가·회사·목적·기간 명시 필요
• 개인정보보호위원회 인증 국가 외: 표준 계약 조항 또는 동의
• 동의 기반 국외 이전 시 거부 권리 안내 필수

7. 동의 철회 처리

고객이 제3자 제공 동의를 철회하면:

1. 자사 DB에서 마케팅 활용 중단 — 즉시
2. 제3자에게 이미 제공된 정보 — 삭제 요청 통보 의무
3. 제3자가 자체 보관 중인 경우 제3자의 처리방침 따름 (자사가 강제 삭제 불가)

8. PipaGuard 제3자 제공 관리

PipaGuard는 제3자 제공 동의와 기록 관리를 지원합니다.

• 제3자 제공 동의서 생성기: 4가지 필수 항목 포함 동의서 자동 생성
• 제공 기록 대장: 제공 일시·항목·목적 자동 기록 (5년 보관)
• 동의 철회 연동: 철회 시 제3자 통보 프로세스 자동화
• 위탁 vs 제공 판단 도구: 케이스별 구분 가이드

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

제3자 제공은 PIPA에서 가장 엄격하게 규제하는 영역입니다. "계열사니까", "파트너니까"는 예외 사유가 되지 않습니다. 제공받는 자를 특정한 별도 동의, 제공 기록 5년 보관, 삭제 요청 시 연쇄 처리 — 이 세 가지를 표준화하면 제3자 제공 리스크의 대부분을 통제할 수 있습니다.