Part 3. 개인정보보호 라이프사이클 관리_개인정보 수집, 이용

1.개인정보 수집 및 이용

개인정보보호법 제15조(개인정보의 수집ㆍ이용)

① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보의 수집ㆍ이용 목적 2. 수집하려는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>

 

개인정보보호법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)

① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다. 1. 개인정보의 수집ㆍ이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유ㆍ이용 기간 ② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다. 1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우 3. 다른 법률에 특별한 규정이 있는 경우 ③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다. ④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다. ⑤ 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다. ⑥ 보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보 보호 시책을 마련하여야 한다. [본조신설 2020. 2. 4.]

 

- 개인정보의 수집, 이용이 가능한 경우 상세

① 법률에 특별한 규정이 있는 경우

> 법률에서 개인정보의 수집, 이용을 구체적으로 요구하거나 허용하고 있어야 함

> 법률에 위임근거가 없는 한 시행령이나 시행규칙에 규정하는 것은 인정하지 않음

② 법령상 의무 준수

> 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로, 의무 이행을 위해 불가피하게 개인정보를 수집, 이용하는 경우

> 법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따른 의무도 포함

③ 공공기관이 법령 등에서 정하는 소관 업무의 수행

> 공공기관의 경우 개인정보를 수집할 수 있도록 명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관업무를 지정

④ 정보주체와의 계약의 체결 및 이행

> 계약 체결에는 계약 체결을 위한 준비단계도 포함

> 계약 이행은 물건의 배송, 전달이나 서비스의 이행과 같은 주된 의무의 이행뿐만 아니라 부수의무(경품배달, 포인트 관리, 애프터 서비스 등) 등의 이행도 포함

⑤ 급박한 생명, 신체, 재산의 이익을 위하여 필요

⑥ 개인정보처리자의 정당한 이익을 달성

 

- 개인정보의 추가적인 이용

추가적 이용 요건	설명
당초 수집 목적과 관련성이 있는지 여부	- 당초 수집 목적과 추가적 이용, 제공의 목적 사이에 관련성을 고려 - 관련성이 있다는 것은 당초 수집 목적과 추가적 이용, 제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있다는 것을 의미
개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부	- 수집 정황이나 처리 관행에 비추어 합리적으로 예측 가능한지 고려하여야 함 - 정황은 개인정보의 수집 목적, 내용, 추가적 처리를 하는 개인정보처리자와 정보주체간의 관계, 현재의 기술 수준과 그 기술의 발전 속도 등 비교적 구체적 사정을 의미 - 관행은 개인정보 처리가 비교적 오랜 기간 정립된 일반적 사정을 의미
정보주체의 이익을 부당하게 침해하는지 여부	- 정보주체의 이익을 부당하게 침해하는지 여부는 정보주체의 이익을 실질적으로 침해하는지와 해당 이익 침해가 부당한지를 고려 - 추가적인 이용의 목적이나 의도와의 관계에서 판단되어야 함
가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부	- 개인정보 침해 우려를 최소화하기 위하여, 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하여야 함
개인정보의 추가적인 이용 시 고려하여야 할 사항	- 개인정보처리자는 위 고려사항에 대한 구체적 기준을 스스로 정하여 개인정보 처리방침에 미리 공개하여야 함

2. 동의를 받는 방법

개인정보보호법 제22조(동의를 받는 방법)

① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. <개정 2017. 4. 18.> ② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. <신설 2017. 4. 18., 2017. 7. 26., 2020. 2. 4.> ③ 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18.> ④ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. <개정 2017. 4. 18.> ⑤ 개인정보처리자는 정보주체가 제3항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제4항 및 제18조제2항제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2017. 4. 18.> ⑥ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. <개정 2017. 4. 18.> ⑦ 제1항부터 제6항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법 및 제6항에 따른 최소한의 정보의 내용에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다. <개정 2017. 4. 18.>

 

개인정보보호법 시행령 제48조의3(법정대리인 동의의 확인방법)

① 정보통신서비스 제공자는 법 제39조의3제4항에 따라 다음 각 호의 어느 하나에 해당하는 방법으로 법정대리인이 동의했는지를 확인해야 한다. 1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법 2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법 3. 동의 내용을 게재한 인터넷사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법 4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여 전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법 5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법 6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법 7. 그 밖에 제1호부터 제6호까지의 규정에 따른 방법에 준하는 방법으로 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법 ② 정보통신서비스 제공자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 법정대리인에게 동의 내용을 확인할 수 있는 방법(인터넷주소ㆍ사업장 전화번호 등)을 안내할 수 있다. [본조신설 2020. 8. 4.]

 

- 개인정보의 수집매체에 따른 동의를 받는 방법

개인정보보호법 시행령 제17조(동의를 받는 방법)

① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다. 1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법 2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법 3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법 4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법 5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법 6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

 

- 수집매체 5가지 방법에 준하는 방법

> 전자문서를 통해 동의 내용을 정보주체에게 알리고 정보주체의 전자서명을 받는 방법

> 개인 명의의 휴대전화 문자메세지를 이용한 동의

> 신용카드 비밀번호를 입력하는 방법 등도 해당

3. 개인정보 간접 수집

개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다. 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실 ② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.> ③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.> ④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.> 1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

 

개인정보보호법 시행령 제15조의2(개인정보 수집 출처 등 고지 대상ㆍ방법ㆍ절차)

① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. 1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)를 처리하는 자 2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자 ② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 서면ㆍ전화ㆍ문자전송ㆍ전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다. ③ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제4항에 따라 해당 개인정보를 파기할 때까지 보관ㆍ관리하여야 한다. 1. 정보주체에게 알린 사실 2. 알린 시기 3. 알린 방법

 

개인정보보호법 표준 지침 제9조(개인정보 수집 출처 등 고지)

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다.  1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우  2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우  ② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.

 

- 정보주체 이외의 의미

> 제3자로부터 제공받은 정보

> 신문, 잡지, 인터넷 등에 공개되어 있어 수집한 정보

 

- 가명정보의 처리에는 적용되지 않음

4. 목적 외 이용 및 제공 제한

개인정보보호법 제18조(개인정보의 목적 외 이용ㆍ제공 제한)

① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.> ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.> 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 삭제 <2020. 2. 4.> 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 ③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다) 3. 이용 또는 제공하는 개인정보의 항목 4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.> ⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다. [제목개정 2013. 8. 6.]

 

- 공공기관에서 개인정보 목적 외 이용 및 제3자 제공시 기록, 관리해야 하는 사항 (개인정보보호법 시행령 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리))

① 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭

② 이용기관 또는 제공받는 기관의 명칭

③ 이용 목적 또는 제공받는 목적

④ 이용 또는 제공의 법적 근거

⑤ 이용하거나 제공하는 개인정보의 항목

⑥ 이용 또는 제공의 날짜, 주기 또는 기간

⑦ 이용하거나 제공하는 형태

⑧ 법 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용

 

- 공공기관 관보 또는 인터넷 홈페이지 게재 시점 및 기간 (개인정보 처리 방법에 관한 고시 제2조(공공기관에 의한 개인정보의 목적 외 이용 또는 제3자 제공의 공고))

> 게재 시점: 목적 외 이용, 제공한 날로부터 30일 이내

> 게재 기간: 인터넷 홈페이지에 게재하는 경우 10일 이상

> 게재 정보

① 목적외이용등을 한 날짜 

② 목적외이용등의 법적 근거 

③ 목적외이용등의 목적 

④ 목적외이용등을 한 개인정보의 항목(구성) 

5. 영리목적의 광고성 정보 전송 제한

정보통신망법 제50조(영리목적의 광고성 정보 전송 제한)

① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다. <개정 2016. 3. 22., 2020. 6. 9.> 1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과 같은 종류의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우 2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우 ② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다. ③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. 다만, 대통령령으로 정하는 매체의 경우에는 그러하지 아니하다. ④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다. 1. 전송자의 명칭 및 연락처 2. 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항 ⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니 된다. 1. 광고성 정보 수신자의 수신거부 또는 수신동의의 철회를 회피ㆍ방해하는 조치 2. 숫자ㆍ부호 또는 문자를 조합하여 전화번호ㆍ전자우편주소 등 수신자의 연락처를 자동으로 만들어 내는 조치 3. 영리목적의 광고성 정보를 전송할 목적으로 전화번호 또는 전자우편주소를 자동으로 등록하는 조치 4. 광고성 정보 전송자의 신원이나 광고 전송 출처를 감추기 위한 각종 조치 5. 영리목적의 광고성 정보를 전송할 목적으로 수신자를 기망하여 회신을 유도하는 각종 조치 ⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다. ⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다. ⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.

 

정보통신망법 시행령 제61조(영리목적의 광고성 정보 전송기준) ~ 제62조의3(수신동의 여부의 확인)

제61조(영리목적의 광고성 정보 전송기준)  ① 법 제50조제1항제1호에서 “대통령령으로 정한 기간”이란 해당 재화등의 거래가 종료된 날부터 6개월을 말한다. <개정 2014. 11. 28.> ② 법 제50조제3항 단서에서 “대통령령으로 정하는 매체”란 전자우편을 말한다. <신설 2014. 11. 28.> ③ 법 제50조제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자가 해당 정보에 명시하여야 할 사항과 그 방법은 별표 6과 같다. <개정 2014. 11. 28.> 제62조(수신거부 또는 수신동의 철회용 무료전화서비스 등의 제공)  법 제50조제6항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 별표 6에서 정하는 바에 따라 수신거부 및 수신동의 철회용 무료전화서비스 등을 해당 정보에 명시하여 수신자에게 이를 제공하여야 한다. <개정 2011. 3. 29., 2014. 11. 28.> 제62조의2(수신동의 등 처리 결과의 통지)  법 제50조제7항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 수신동의, 수신거부 또는 수신동의 철회 의사를 표시한 날부터 14일 이내에 다음 각 호의 사항을 해당 수신자에게 알려야 한다. 1. 전송자의 명칭 2. 수신자의 수신동의, 수신거부 또는 수신동의 철회 사실과 해당 의사를 표시한 날짜 3. 처리 결과 제62조의3(수신동의 여부의 확인)  ① 법 제50조제1항 또는 제3항에 따라 수신자의 사전 동의를 받은 자는 같은 조 제8항에 따라 그 수신동의를 받은 날부터 2년마다(매 2년이 되는 해의 수신동의를 받은 날과 같은 날 전까지를 말한다) 해당 수신자의 수신동의 여부를 확인하여야 한다. ② 제1항에 따라 수신동의 여부를 확인하려는 자는 수신자에게 다음 각 호의 사항을 밝혀야 한다. 1. 전송자의 명칭 2. 수신자의 수신동의 사실과 수신에 동의한 날짜 3. 수신동의에 대한 유지 또는 철회의 의사를 표시하는 방법

 

- 영리 목적의 광고성 정보의 개념

> 전송자가 경제적 이득을 취할목적으로 전송하는 정보로 전송을 하게 한 자도 전송자에 포함

> 영리법인은 존재 목적이 영리추구이기 때문에 원칙적으로 모두 광고성 정보에 해당

> 비영리법인은 전송하는 정보의 성격에 따라 영리목적 광고성 여부를 판단

> 구체적인 재화나 서비스의 홍보가 아니더라도 발송하는 정보가 발신인의 이미지 홍보에 해당하는 경우 광고성 정보로 볼 수 있음

> 주된 정보가 광고성 정보가 아니더라도 부수적으로 광고성 정보가 포함되어 있으면 전체가 광고성 정보에 해당

 

- 영리 목적의 광고성 정보의 예외

> 수신자와 이전에 체결하였던 거래를 용이하게 하거나, 완성 또는 확인하는 것이 목적의 정보

> 수신자가 사용하거나 구매한 재화 또는 서비스에 대한 설명, 보증, 제품 리콜, 안전 또는 보안 관련 정보

> 고객의 요청에 의해 발송하는 1회성 정보  (견적서 등)

> 수신자가 금전적 대가를 지불하고 신청한 정보 (뉴스레터, 주식정보 등)

> 전송자가 제공하는 재화 또는 서비스에 대해 수신자가 구매 또는 이용과 관련한 안내 및 확인 정보 (회원 등급 변경, 포인트 소멸 안내 등)

> 명시적인 계약체결을 하여 정보를 전송하되 이를 대가로 직접적인 수익이 발생하지 않아야 하며, 정보의 내용이 서비스, 재화 구매와 직접적인 관련이 없는 정보

 

- 광고의 표시 기준

> 광고를 표시하는 경우 수신자의 수신거부를 회피하기 위한 목적으로 빈칸, 부호, 문자 등을 삽입하거나 표시방법을 조작하는 조치를 하여서는 안됨

> 광고성 정보의 표시의무사항을 이미지파일로 하여 전송하는 것도 금지

 

- 옵트인(Opt-in)과 옵트아웃(Opt-out)

> 옵트인(선동의 후사용): 정보주체에게 동의를 받은 후 개인정보를 처리하는 방식

> 옵트아웃(선사용 후배제): 정보주체의 동의를 받지 않고 개인정보를 수집, 이용한 후 당사자가 거부의사를 밝히면 개인정보 활용을 중지하는 방식

 

- 약관 동의와 일괄 동의 금지

> 약관과 개인정보 처리에 대한 동의를 일괄로 받는 경우 정보주체가 처리에 대한 사항을 자세하게 인지하지 못할 우려 존재

> 개인정보 처리에 대한 동의와 약관에 대한 동의는 별개로 받아야 함

 

- 수신거부 의사표시를 쉽게 할 수 있는 조치 및 방법

> 수신 거부 및 수신 동의 철회의 의사표시를 쉽게 할 수 있는 조치 및 방법을 광고 본문에 표기하여 구체적으로 밝혀야 함

> 동 조치에 의해 수신 거부 또는 동의 철회가 쉽게 이루어지지 않거나 불가능할 경우 이를 표기하지 않은 것으로 간주

 

- 광고 정기적 동의 여부 확인

> 수신 동의 했다는 사실에 대한 안내의무를 부과한 것이므로 재동의를 받을 필요는 없음

> 수신자의 의사표시가 없는 경우 수신동의 의사가 그대로 유지되는 것으로 봄

6. 개인정보 수집 및 이용 시 유의사항

- 동의, 고지, 통지, 안내 용어 설명

용어	정의	용도	정보주체 피드백	사례
고지	기별을 보내어 사전에 알게 함	어떤 방식으로든 상대방에게 무엇을 알게 하는 경우	불필요	수집동의 고지, 납세 고지서, 범칙금 고지서
동의	의사나 의견을 같이함	고지 행위를 승인하거나 시인하는 경우	필요	개인정보 수집 동의, 광고 전송 수신 동의
통지	게시나 글을 통하여 사후에 알림	게시나 글이 매개가 되어 상대방에게 무엇을 알리는 경우	불필요	침해사실 통지, 입영 통지서
안내 (공개,게시)	어떤 내용을 소개하여 알려줌	어떤 사실이나 사물, 내용 따위를 여러 사람에게 알리는 경우	불필요	개인정보 처리방침 공개, 인터넷 웹사이트 공지

 

- 개인정보 동의 관련 유의 사항

> 동의를 받는 경우 명확히 표시해야 하는 중요 내용

개인정보보호법 시행령 제17조(동의를 받는 방법) 제2항

② 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다. <신설 2017. 10. 17.> 1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항 가. 제18조에 따른 민감정보 나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호 3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

 

개인정보 처리 방법에 관한 고시 제4조(서면 동의 시 중요한 내용의 표시 방법)

법 제22조제2항에서 "보호위원회가 고시로 정하는 방법"이란 다음 각 호의 방법을 말한다.   1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것  2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것  3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

 

- 개인정보 수집 동의 시 유의 사항

유의 사항	설명
필수, 선택 구분	필수정보와 선택정보 구분
시점에 따라 동의	배송주소, 결제용 신용카드 번호, 환불 계좌는 필요한 시점에 동의
고지 항목 포함	목항기거, 목항기거자 등 (목적, 항목, 기간, 거부, 제공받는 자)
포괄적 안내 금지	개인정보 항목에서 등
디폴트 동의 체크 금지	웹 페이지에서 사전 동의 체크 금지
모두 동의 금지	개인정보 수집 목적별 별도 동의
만 14세 아동 법정대리인 동의	아동 나이 체크, 부모 연락처 동의 거절 시 파기
동의 기록 보존	기록 보존

 

- 개인정보 수집, 이용 시 위험 및 대책

원인	위험	대책
과도한 개인정보 수집, 이용	오남용, 유출로 인한 정보주체 개인정보 침해	- 정보주체 동의, 법적 근거에 수집, 이용 - 필수정보, 선택정보 구분하여 수집
정보주체 개인정보 수집 시 불명확한 고지	개인정보 처리에 대한 정보주체의 개인정보 자기결정권 침해 우려	개인정보 수집 시 법적 요건에 맞게 명확하게 고지 후 동의
고유식별정보 등 별도 동의 절차 미흡	개인정보 수집 시 별도 동의 법 위반 및 개인정보 자기결정권 침해 우려	고유식별정보, 민감정보, 홍보 및 마케팅, 제3자 제공, 목적외 이용 등 개인정보 수집 시 별도 동의
만14세 미만 아동 개인정보 무단 수집이용	만14세 미만 아동의 개인정보 오남용 피해 및 개인정보 수집 동의 법 위반	만14세 미만 아동 개인정보 수집 시 법정대리인 동의
수집, 동의 사실 등 기록 보관 미흡	이용내역 통지, 정보주체 요구 시 동의 사실 등 통지 미흡	수집, 동의 사실 기록 보관
영상정보처리기기 설치, 운영 시 보호조치 미흡	영상정보처리기기에 개인영상정보 오남용으로 인한 정보주체 피해	법적 요건 확인 후 설치, 안내판 설치, 공공기관 의견 수렴절차 이행, 개인영상정보 열람 등 조치
홍보 및 마케팅 목적 개인정보 무단수집, 이용	원하지 않는 광고 수신 및 판매 권유로 인한 정보주체 스트레스 등 피해	- 홍보 및 마케팅 목적 개인정보 수집 별도 동의 - 광고성 정보전송 수신 동의 - 수신 거부 절차 마련 및 수신 거부 시 처리결과 전송 - 매 2년마다 광고성 정보전송 수신 재동의 이행