ISMS-P 인증 기준 3.1.1.개인정보 수집∙이용

IT위키


개요

항목 3.1.1.개인정보 수집 ∙ 이용
인증기준 개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.
주요 확인사항
  • 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?
  • 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가?
  • 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?
  • 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
  • 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?
  • 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가?
  • 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?
  • 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
  • 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
관련법규

※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요

세부 설명

적법하게 수집

개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결·이행 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 수집하여야 한다.

  • 개인정보 수집 경로 별로 개인정보 수집의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리
    • 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 수집하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화
  • 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용 가능

★ 개인정보의 수집이 가능한 경우(개인정보 보호법 제15조제1항)

  • 1. 정보주체의 동의를 받는 경우
  • 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
  • 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
  • 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

필요한 시점에 수집

정보주체에게 개인정보 수집 동의를 받는 경우에는 개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다.

  • 개인정보 수집 동의는 수집매체의 특성에 따라 다음의 사항을 고려하여 적절한 방법으로 정보주체의 동의를 받아야 함

★ 개인정보 처리에 대한 동의를 받는 방법(개인정보 보호법 시행령 제17조제2항)

  • 1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
  • 2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
  • 3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
  • 4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
  • 5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
  • 6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
  • 회원가입 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함
    • 서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함
    • 웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집
    • 다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능

명확하게 고지하고 동의

정보주체에게 개인정보 수집 동의를 받는 경우에는 법정 고지사항에 대해 명확하게 고지하고 동의를 받아야 하며, 법령에서 정한 중요 내용에 대해 명확히 표시하여 정보주체가 이를 알아보기 쉽게 하여야 한다.

  • 정보주체로부터 개인정보 수집·이용 동의를 받을 때에는 4가지의 법정 고지사항을 구체적이고 명확하게 알리고 동의를 받아야 함

★ 개인정보의 수집·이용 동의 시 고지사항(개인정보 보호법 제15조제2항)

  • 1. 개인정보의 수집·이용 목적
  • 2. 수집하려는 개인정보의 항목
  • 3. 개인정보의 보유 및 이용 기간
  • 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
  • 정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함

★ 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항)

  • 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것.
  • 2. 동의를 받으려는 내용이 구체적이고 명확할 것.
  • 3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것.
  • 4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것.

※ 단, 본 규정은 2024년 9월 15일부터 시행

  • 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함

★ 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항)

  • 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
  • 처리하려는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
  • 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
  • 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

★ 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)

  • 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
  • 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

※ 종이 인쇄물, 컴퓨터 표시화면 등 서면 동의를 요구하는 매체의 특성과 정보주체의 이용환경 등을 고려하여 정보주체가 쉽게 알아볼 수 있도록 표시

         ※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고

법정대리인에게 고지하고 동의 (14세 미만 아동)

만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다.

  • 만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 적절한 연령 확인 절차를 통해 만 14세 미만 아동의 개인정보를 수집하지 않도록 조치
  • 만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치

★ 법정대리인이 동의했는지를 확인하는 방법(개인정보 보호법 시행령 제17조의2제1항)

  • 1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
  • 2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드·직불카드 등의 카드정보를 제공받는 방법
  • 3. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
  • 4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통하여 전달하고, 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
  • 5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
  • 6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
  • 7. 그 밖에 제1호부터 제6호까지의 규정에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

법정대리인의 필요 최소한의 정보수집 및 자격요건 확인

법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(성명·연락처에 관한 정보)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다.

  • 법정대리인 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 성명·연락처에 관한 정보)는 법정대리인의 동의 없이 아동으로부터 직접 수집이 가능함
    • 다만 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조제1항)
    • 아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함
  • 법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정대리인의 진위 여부를 확인하여야 함
    • 법정대리인의 미성년자 여부 확인
    • 아동과의 나이 차이 확인 등

※ (참고)미성년자의 법정대리인

  • 1차적으로 아동의 부모 등 친권자가 법정대리인에 해당(민법 제911조)
  • 미성년자에게 부모가 없거나 부모가 친권을 행사할 수 없는 때에는, 2차적으로 후견인이 법정 대리인이 되며, 후견인은 지정후견인(민법 제931조), 선임후견인(민법 제932조) 순서를 따름
  • 법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항)

명확하고 알기 쉬운 언어로 표현 (만 14세 미만의 아동)

만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하여야 한다.

  • 아동이 이해하기 쉬운 언어, 그림, 동영상 등 아동 친화적인 방식으로 정보를 투명하게 전달
  • 연령대별 아동의 역량과 이용행태 등을 고려

※ 상세한 내용은 ʻ아동·청소년 개인정보 보호 가이드라인(개인정보 보호위원회)ʼ 참고

개인정보 수집·이용 동의 기록·보존

개인정보 수집·이용 동의에 따른 적법 근거를 입증할 수 있도록 정보주체 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다.

  • 기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등
  • 보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지

동의 없이 개인정보 처리 시 알림

정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알려야 한다.

  • 정보주체의 동의 없이 개인정보 수집·이용이 가능한 경우 : 개인정보 보호법 제15조제1항 제2호부터 제7호에 해당하는 경우
  • 정보주체에게 알려야 할 사항 : 동의 없이 처리할 수 있는 개인정보 항목 및 처리의 법적 근거
  • 정보주체에게 알리는 방법 : 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)으로 정보주체에게 통지

개인정보의 추가적인 이용

정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 이용이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다.

★ 개인정보의 추가적인 이용 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)

  • 1. 당초 수집 목적과 관련성이 있는지 여부
  • 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
  • 3. 정보주체의 이익을 부당하게 침해하는지 여부
  • 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

증거 자료

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 개인정보 수집 동의 기록(회원 데이터베이스 등)
  • 법정대리인 동의 기록
  • 개인정보 처리방침

결함 사례

  • 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우
  • 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우
  • 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우
  • Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우
  • 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
  • 만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우
  • 법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
  • 만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
  • 법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
원본 주소 "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_3.1.1.개인정보_수집∙이용&oldid=39168"