ISMS-P 인증 기준 3.1.1.개인정보 수집∙이용 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
24번째 줄: | 24번째 줄: | ||
* 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가? | * 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가? | ||
* 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가? | * 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가? | ||
*개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하여야 한다. | |||
|- | |- | ||
|'''관련법규''' | |'''관련법규''' | ||
36번째 줄: | 37번째 줄: | ||
==세부 설명== | ==세부 설명== | ||
==== | ====개인정보 수집 방법==== | ||
개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결·이행 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 수집하여야 한다. | *개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결·이행 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 수집하여야 한다. | ||
*개인정보 수집 경로 별로 개인정보 수집의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리 | **개인정보 수집 경로 별로 개인정보 수집의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리 | ||
**예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 수집하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화 | ***예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 수집하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화 | ||
*개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용 가능 | **개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용 가능 | ||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left: | <div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:50px; margin-right:50px"> | ||
''' | '''※ 개인정보의 수집이 가능한 경우(개인정보 보호법 제15조제1항)''' | ||
*1. 정보주체의 동의를 받는 경우 | *1. 정보주체의 동의를 받는 경우 | ||
*2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 | *2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 | ||
51번째 줄: | 52번째 줄: | ||
*5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 | *5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 | ||
*6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. | *6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. | ||
* 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우</div> | *7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우</div> | ||
*정보주체에게 개인정보 수집 동의를 받는 경우에는 개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다. | |||
정보주체에게 개인정보 수집 동의를 받는 경우에는 개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다. | **개인정보 수집 동의는 수집매체의 특성에 따라 다음의 사항을 고려하여 적절한 방법으로 정보주체의 동의를 받아야 함 | ||
*개인정보 수집 동의는 수집매체의 특성에 따라 다음의 사항을 고려하여 적절한 방법으로 정보주체의 동의를 받아야 함 | |||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left: | <div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:50px; margin-right:50px"> | ||
''' | '''※ 개인정보 처리에 대한 동의를 받는 방법(개인정보 보호법 시행령 제17조제2항)''' | ||
*1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법 | *1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법 | ||
*2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법 | *2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법 | ||
66번째 줄: | 66번째 줄: | ||
*6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법</div> | *6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법</div> | ||
*회원가입 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함 | **회원가입 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함 | ||
**서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함 | ***서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함 | ||
**웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집 | ***웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집 | ||
**다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능 | ***다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능 | ||
*정보주체에게 개인정보 수집 동의를 받는 경우에는 법정 고지사항에 대해 명확하게 고지하고 동의를 받아야 하며, 법령에서 정한 중요 내용에 대해 명확히 표시하여 정보주체가 이를 알아보기 쉽게 하여야 한다. | |||
**정보주체로부터 개인정보 수집·이용 동의를 받을 때에는 4가지의 법정 고지사항을 구체적이고 명확하게 알리고 동의를 받아야 함 | |||
**정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함 | |||
** 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함 | |||
※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고 | |||
====14세 미만 아동에 대한 개인정보 수집 동의를 받는 방법==== | |||
*만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다. | |||
**만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 적절한 연령확인 절차를 통해 만 14세 미만 아동의 개인정보를 수집하지 않도록 조치 | |||
**만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치 | |||
*법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(성명·연락처에 관한 정보)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다. | |||
**법정대리인 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 성명·연락처에 관한 정보)는 법정대리인의 동의 없이 아동으로부터 직접 수집이 가능함 | |||
*** 다만 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조제1항) | |||
***아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함 | |||
** 법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정대리인의 진위 여부를 확인하여야 함 | |||
***법정대리인의 미성년자 여부 확인 | |||
***아동과의 나이 차이 확인 등 | |||
**법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항) | |||
*만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하여야 한다. | |||
**아동이 이해하기 쉬운 언어, 그림, 동영상 등 아동 친화적인 방식으로 정보를 투명하게 전달 | |||
**연령대별 아동의 역량과 이용행태 등을 고려 | |||
만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다. | |||
* 만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 적절한 | |||
*만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치 | |||
* | |||
법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(성명·연락처에 관한 정보)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다. | |||
*법정대리인 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 성명·연락처에 관한 정보)는 법정대리인의 동의 없이 아동으로부터 직접 수집이 가능함 | |||
** 다만 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조제1항) | |||
**아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함 | |||
*법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정대리인의 진위 여부를 확인하여야 함 | |||
**법정대리인의 미성년자 여부 확인 | |||
** 아동과의 나이 차이 확인 등 | |||
* | |||
*법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항) | |||
만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하여야 한다. | |||
*아동이 이해하기 쉬운 언어, 그림, 동영상 등 아동 친화적인 방식으로 정보를 투명하게 전달 | |||
*연령대별 아동의 역량과 이용행태 등을 고려 | |||
※ 상세한 내용은 ʻ아동·청소년 개인정보 보호 가이드라인(개인정보 보호위원회)ʼ 참고 | ※ 상세한 내용은 ʻ아동·청소년 개인정보 보호 가이드라인(개인정보 보호위원회)ʼ 참고 | ||
*개인정보 수집·이용 동의에 따른 적법 근거를 입증할 수 있도록 정보주체 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다. | |||
개인정보 수집·이용 동의에 따른 적법 근거를 입증할 수 있도록 정보주체 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다. | **기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등 | ||
*기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등 | **보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지 | ||
*보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지 | |||
====동의 없이 개인정보 처리 시 알림==== | ====동의 없이 개인정보 처리 시 알림==== | ||
정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알려야 한다. | *정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알려야 한다. | ||
* 정보주체의 동의 없이 개인정보 수집·이용이 가능한 경우 : 개인정보 보호법 제15조제1항 제2호부터 제7호에 해당하는 경우 | **정보주체의 동의 없이 개인정보 수집·이용이 가능한 경우 : 개인정보 보호법 제15조제1항 제2호부터 제7호에 해당하는 경우 | ||
*정보주체에게 알려야 할 사항 : 동의 없이 처리할 수 있는 개인정보 항목 및 처리의 법적 근거 | **정보주체에게 알려야 할 사항 : 동의 없이 처리할 수 있는 개인정보 항목 및 처리의 법적 근거 | ||
*정보주체에게 알리는 방법 : 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)으로 정보주체에게 통지 | ** 정보주체에게 알리는 방법 : 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)으로 정보주체에게 통지 | ||
*정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 이용이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다. | |||
정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 이용이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다. | |||
==증거 자료== | == 증거 자료== | ||
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등) | *온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등) | ||
190번째 줄: | 121번째 줄: | ||
*Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우 | *Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우 | ||
*만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우 | *만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우 | ||
*만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우 | * 만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우 | ||
*법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우 | *법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우 | ||
*만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우 | *만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우 | ||
203번째 줄: | 134번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |