개인정보 위탁 vs 제3자 제공 차이, 동의 또 받아야 할까? 2026 실무 가이드
"마케팅 대행사에 고객 명단 넘기는데 동의를 또 받아야 하나요?"
스타트업 운영팀에서 가장 자주 나오는 질문입니다. 이메일 발송을 대행사에 맡기거나, CS 챗봇을 외주로 돌리거나, 클라우드에 DB를 올릴 때마다 "이거 정보주체 동의를 따로 받아야 하는 거 아니야?" 하고 멈칫하게 되죠.
결론부터 말하면, 둘을 헷갈리는 순간 과징금 리스크가 시작됩니다. 2023년 9월 개정 개인정보보호법이 시행되면서 과징금이 '위반 관련 매출액'이 아니라 **전체 매출액 기준 최대 3%**로 바뀌었습니다. 한 줄 오판이 수억 원의 차이를 만드는 구조가 된 겁니다. 그런데 다행히도, 위탁이냐 제공이냐는 딱 하나의 기준으로 갈립니다. 바로 "처리 목적이 누구에게 귀속되는가"입니다.
⚠️ 이 글은 실무 판단을 돕기 위한 정리이며, 개별 사안에 대한 변호사·전문가 자문을 대체하지 않습니다.
진짜 구분 기준은 '처리 목적의 귀속 주체'
핵심만 외우세요. 받는 자가 "우리 회사의 일"을 대신 해주면 위탁(제26조), 받는 자가 "자기 일"에 쓰면 제3자 제공(제17조)입니다.
마케팅 대행사가 우리 캠페인 메일을 우리 대신 발송한다면 → 처리 목적은 여전히 우리(위탁자) 것 → 위탁. 반대로 제휴사가 우리 고객 명단을 받아 자기네 상품을 팔려고 한다면 → 목적이 제휴사 것 → 제3자 제공.
| 구분 축 | 위탁 (제26조) | 제3자 제공 (제17조) |
|---|---|---|
| ① 처리 목적 귀속 | 위탁자(우리 회사)의 목적 | 받는 자(제3자)의 목적 |
| ② 정보주체 동의 | 원칙적으로 불요 (고지/공개로 갈음) | 별도 동의 필요 |
| ③ 고지·공개 방법 | 개인정보처리방침에 위탁업무·수탁자 공개 (마케팅 목적 위탁은 정보주체에 통지) | 사전에 제공받는 자·목적·항목·보유기간 고지 후 동의 |
| ④ 책임 소재 | 위탁자가 사용자책임(수탁자 위반 시 손해배상 책임 부담) | 제공 이후 원칙적으로 수령자(제공받는 자) 책임 |
| ⑤ 대표 예시 | 메일/문자 발송대행, 클라우드 호스팅, CS 외주, 데이터 라벨링, 결제대행(PG) 일부 | 제휴 마케팅, 그룹사 영업 공유, 채권 양도, 데이터 판매 |
표의 핵심은 ②번입니다. 위탁은 동의 대신 "공개"로 끝나고, 제공은 반드시 "동의"가 필요합니다. 이 분기점만 잡아도 실무의 90%는 해결됩니다.
5문항으로 끝내는 판단 플로우차트
헷갈릴 때 아래 순서대로 Yes/No만 따라가세요.
[Q1] 받는 자가 '우리의 업무'를 대신 처리하는가?
├─ No → Q4로
└─ Yes ↓
[Q2] 처리 목적·방법을 우리가 정하고 지시하는가?
├─ No → 제3자 제공 의심 (Q4 확인)
└─ Yes ↓
[Q3] 대가(위탁료) 지급 + 관리·감독 관계가 있는가?
├─ No → 경계 사례, 계약 실질로 재판단
└─ Yes → ★ 위탁(제26조): 계약서 + 처리방침 공개
[Q4] 받는 자가 '자신의 목적'으로 정보를 쓰는가?
├─ Yes → ★ 제3자 제공(제17조): 사전 별도 동의 필요
└─ No → 다시 Q1 검토
※ 추가: 받는 자의 서버가 국외에 있는가? → Yes면 '국외 이전'(제28조의8) 별도 요건 중복 적용헷갈리는 경계 사례 7선
- 클라우드 호스팅(AWS/GCP): 우리 서비스 데이터를 보관·연산 → 위탁. 단 리전이 해외면 국외 이전 고지 중복.
- CS 챗봇 외주: 우리 고객 문의를 우리 대신 응대 → 위탁.
- 광고 타겟팅(애드테크): 광고사가 우리 데이터를 자체 광고 네트워크에 활용 → 실질상 제3자 제공(동의 쟁점 多).
- 그룹사 공유: 계열사가 자기 영업에 활용 → 제3자 제공. 단순 시스템 운영 대행이면 위탁.
- 배송대행: 주문 이행을 위한 송장 처리 → 위탁.
- SaaS 재판매(리셀러): 리셀러가 자기 고객에게 판매·관리 → 구조에 따라 제공 또는 별도 처리자.
- 데이터 라벨링·LLM API: 우리 학습용 데이터를 우리 지시로 가공 → 위탁(목적 외 학습 금지 조항 필수).
복붙용 위수탁 계약서 필수 8개 기재사항
제26조·시행령 기준, 계약서에 아래 8개가 빠지면 '위탁사실은 맞는데 계약 미비'로 지적받습니다. 그대로 체크하세요.
- ☐ ① 위탁업무의 목적·범위 (무엇을 왜 맡기는지 특정)
- ☐ ② 재위탁 제한 (위탁자 사전 동의 없이 재위탁 금지)
- ☐ ③ 안전성 확보조치 (암호화·접근통제 등 기술적·관리적 조치)
- ☐ ④ 목적 외 처리 금지 (계약 목적 외 이용·제공 금지, LLM 학습 활용 금지 등)
- ☐ ⑤ 관리·감독 사항 (위탁자의 점검·시정요구 권한)
- ☐ ⑥ 손해배상 책임 (수탁자 귀책 시 구상·배상)
- ☐ ⑦ 보유·파기 (위탁 종료 시 즉시 파기·반환)
- ☐ ⑧ 접근 통제 (취급자 지정·접근권한 관리)
수탁자 관리감독 실무 체크
계약서만 쓰고 끝내면 '관리감독 소홀'로 제재됩니다. 실제로 점검받는 항목입니다.
- ☐ 수탁자 정기 교육 실시 (개인정보 취급자 대상)
- ☐ 연 1회 이상 점검 (현장 또는 서면 자체점검)
- ☐ 점검 기록 보관 (체크리스트·결과보고서)
- ☐ 재위탁 발생 시 위탁자 사전 동의 확인
- ☐ 개인정보처리방침에 수탁자·위탁업무 공개 (변경 시 갱신)
💡 실무 한마디: 제가 본 가장 흔한 사고는 "계약서는 완벽한데 처리방침엔 수탁자가 안 적혀 있는" 경우입니다. 위탁사실 공개는 비용 0원짜리 의무인데, 빠뜨리면 그 자체로 과태료 대상입니다. 신규 외주 계약을 맺는 날 처리방침도 같이 업데이트하는 워크플로우를 만들어 두세요.
위반 시 과징금·실제 처분 리스크
2023년 개정으로 과징금 산정 기준이 전체 매출액의 최대 3%(위반과 무관한 매출 제외)로 바뀌면서 체감 리스크가 크게 올랐습니다. 자주 나오는 처분 유형은 다음과 같습니다.
- 동의 없는 제3자 제공: 가장 무거운 유형. 매출 규모에 따라 수억~수십억 원대 과징금.
- 수탁자 관리감독 소홀: 수탁자에서 유출 사고 발생 시 위탁자도 사용자책임으로 제재.
- 위탁사실 미공개: 처리방침 누락 → 과태료.
PIPC(개인정보보호위원회)는 SaaS·생성형 AI 외주, 애드테크 영역의 위수탁 점검을 강화하는 기조입니다. 데이터 라벨링·LLM API 위탁이 늘면서 "목적 외 학습 금지" 조항 여부가 새로운 점검 포인트로 떠올랐습니다.
결론: 오늘 당장 점검할 5가지
- 분류 재검토 — 진행 중인 외주를 위탁/제공/국외이전으로 다시 판정
- 계약서 보강 — 8개 필수 기재사항 누락분 추가
- 처리방침 공개 — 수탁자·위탁업무 목록 최신화
- 수탁자 점검 — 연 1회 점검·교육·기록 체계 가동
- 재위탁 통제 — 사전 동의 조항과 실제 운영 일치 확인
기억할 한 줄: "처리 목적이 우리 것이면 위탁(공개), 받는 자 것이면 제공(동의)." 이 한 문장이 수억 원의 과징금을 막아줍니다.
자주 묻는 질문 (FAQ)
Q. 클라우드(AWS)에 고객 DB를 올리는데 동의를 받아야 하나요? A. 우리 서비스 운영을 위한 보관·연산이면 위탁이라 별도 동의는 원칙적으로 불요하고, 처리방침에 위탁사실을 공개하면 됩니다. 다만 서버 리전이 해외라면 '국외 이전' 요건(고지 등)이 추가로 적용됩니다.
Q. 위탁인데 정보주체에게 따로 알려야 하는 경우도 있나요? A. 네. 재화·서비스 홍보나 판매 권유 등 마케팅 목적의 위탁은 처리방침 공개만으로 부족하고, 정보주체에게 위탁업무·수탁자를 통지해야 합니다.
Q. 제휴 마케팅으로 고객 명단을 주고받는 건 위탁인가요 제공인가요? A. 제휴사가 자신의 상품·목적에 활용한다면 제3자 제공입니다. 제공받는 자·목적·항목·보유기간을 고지하고 사전에 별도 동의를 받아야 합니다.
이 글은 AI 에이전트가 1차 초안을 작성한 뒤, 사람 편집자가 사실관계·출처·톤과 맥락을 검토하여 발행했습니다. 오류나 부정확한 내용이 확인되면 24시간 이내에 정정합니다.
댓글
불러오는 중...