ISMS-P 인증 기준 3.1.2.개인정보 수집 제한: Difference between revisions

From IT Wiki
No edit summary
No edit summary
Line 27: Line 27:
==== 개인정보 수집 동의를 받는 방법 ====
==== 개인정보 수집 동의를 받는 방법 ====


*개인정보를 수집할 때에는 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받아야 한다.
*개인정보를 수집하는 경우 법률 근거, 법령상 의무준수, 계약의 체결·이행 등 목적에 필요한 범위에서 최소한의 정보만을 수집하여야 한다.  
**개인정보의 수집·이용이 가능한 경우
**정보주체의 동의를 받거나 법률 근거, 법령상 의무준수, 계약의 체결·이행 등을 근거로 정보주체 동의 없이 개인정보를 수집하는 경우에도 그 목적에 필요한 최소한의 개인정보만을 수집하여야 함
***개인정보처리자<br />1. 정보주체의 동의를 받은 경우<br />2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우<br />3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우<br />4. 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우<br />5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우<br />6. 개인정보처리지자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
**최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 있어야 함(이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함)
***정보통신서비스 제공자<br />1. 이용자의 동의를 받은 경우<br /> 2. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우<br /> 3. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우<br /> 4. 다른 법률에 특별한 규정이 있는 경우
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px; margin-left:30px">
**개인정보의 수집·이용 동의 시 고지 사항
'''※ 최소정보(예시)'''
***개인정보처리자 <br />1. 개인정보의 수집·이용 목적<br />2. 수집하려는 개인정보의 항목 <br />3. 개인정보의 보유 및 이용 기간<br /> 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 불이익의 내용
***정보통신서비스 제공자 <br /> 1. 개인정보의 수집·이용 목적 <br /> 2. 수집하려는 개인정보의 항목 <br /> 3. 개인정보의 보유·이용 기간
 
*개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체(이용자)의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다.
**회원가입 또는 계약체결 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함.
***서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함.
***웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집
***다만 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능
*정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대하여 명확히 표시하여 알아보기 쉽게 하여야 한다.
**개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함.
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">'''※ 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조 제2항)'''
*개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
*처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
*개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
*개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적</div>
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">'''※ 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)'''
*글씨크기는 최소 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것
*글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
*동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것</div>
 
==== 미성년자의 개인정보 수집 동의를 받는 방법 ====
 
*만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다.
**만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 수집하지 않도록 조치
**만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 있도록 조치
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 법정대리인 동의를 얻기 위한 방법(예시)'''
 
*법정대리인의 전자서명을 이용하는 방법
*법정대리인이 휴대폰 인증, 아이핀 등을 통하여 본인확인 후 명시적으로 동의하는 방법
*우편, 팩스, 전자우편 등으로 법정대리인이 서명 날인한 서류를 제출받는 방법
*법정대리인과 직접 통화하여 확인하는 방법 등</div>
 
*법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(이름, 연락처)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다.
**법정대리인 동의를 받기 위하여 필요한 법정대리인의 필요한 최소한의 정보(이름, 연락처)는 법정 대리인의 동의 없이 아동으로부터 직접 수집이 가능함.
***다만 법정대리인의 이름·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조).
***아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함.
**법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정 대리인의 진위 여부를 확인하여야 함.
***법정대리인의 미성년자 여부 확인
***아동과의 나이 차이 확인 등
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px; margin-left:55px">
'''※(참고)법정대리인의 정의'''
   
   
· 법정대리인이란 본인의 의사에 의하지 않고 법률의 규정에 의하여 대리인이 된 자로 미성년자의 친권자(「민법」 제909조, 제911조, 제916조, 제920조), 후견인(「민법」 제931조 ~ 제936조), 법원이 선임한 부재자의 재산관리인(「민법」 제22조, 제23조), 상속재산관리인(「민법」 제1023조 제2항, 제1053조), 유언집행자(「민법」 제1096조) 등이 이에 해당한다.</div>
· 쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소정보의 범위를 벗어난 것임


** 법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항).
· 경품 행사에 응모한 고객에게 경품추첨 사실을 알리는데 필요한 개인정보 외에 응모자의 성별, 자녀 수, 동거 여부 등 사생활의 비밀에 관한 정보, 고유식별정보 등을 요구하는 것은 최소정보의 범위를 벗어난 것임


*정보주체(이용자) 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다.
· 취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임</div>
**기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등
*정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알려야 한다.
**보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지
**어떤 정보가 필요 최소한의 정보이고 아닌지를 정보주체가 쉽게 알아볼 수 있도록 구분해서 고지
***※ 상세한 내용은 ʻ개인정보 수집·제공 동의서 작성 가이드라인ʼ 참고
**필요 최소한의 정보가 아닌 정보에 대해서는 재화 또는 서비스의 이용에 방해를 받음이 없이 자유롭게 동의를 거부할 수 있음을 고지
*정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다.
**정보주체가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지
**회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현
※ 상세한 내용은 ʻ알기쉬운 개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고


==증거 자료==
==증거 자료==


*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
*오프라인 개인정보 수집 양식(회원가입신청서 등)
*오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
*개인정보 수집 동의 기록(회원 데이터베이스 등)
*법정대리인 동의 기록
*개인정보 처리방침
*개인정보 처리방침


==결함 사례==
==결함 사례==  


*개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 동의 거부에 따른 불이익 내용ʼ을 누락한 경우
*계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우
*개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우
*정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수있다는 사실을 구체적으로 알리지 않은 경우
*쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우
*회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
*Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우
*홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우
*만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
*채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 과도한 개인정보를 수집하는 경우
*만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아 동 회원이 존재한 경우
*법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
*만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
*법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우


==같이 보기==
==같이 보기==  


*[[정보보호 및 개인정보보호관리체계 인증]]
*[[정보보호 및 개인정보보호관리체계 인증]]
Line 110: Line 66:
*[[ISMS-P 인증 기준 세부 점검 항목]]
*[[ISMS-P 인증 기준 세부 점검 항목]]


==참고 문헌==
==참고 문헌 ==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 20:50, 26 January 2024


개요

항목 3.1.2.개인정보 수집 제한
인증기준 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다.
주요 확인사항
  • 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?
  • 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?
  • 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?
관련법규
  • 개인정보 보호법 제16조(개인정보의 수집제한), 제22조(동의를 받는 방법)

※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요

세부 설명

개인정보 수집 동의를 받는 방법

  • 개인정보를 수집하는 경우 법률 근거, 법령상 의무준수, 계약의 체결·이행 등 그 목적에 필요한 범위에서 최소한의 정보만을 수집하여야 한다.
    • 정보주체의 동의를 받거나 법률 근거, 법령상 의무준수, 계약의 체결·이행 등을 근거로 정보주체 동의 없이 개인정보를 수집하는 경우에도 그 목적에 필요한 최소한의 개인정보만을 수집하여야 함
    • 최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함(이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함)

※ 최소정보(예시)

· 쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소정보의 범위를 벗어난 것임

· 경품 행사에 응모한 고객에게 경품추첨 사실을 알리는데 필요한 개인정보 외에 응모자의 성별, 자녀 수, 동거 여부 등 사생활의 비밀에 관한 정보, 고유식별정보 등을 요구하는 것은 최소정보의 범위를 벗어난 것임

· 취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임
  • 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알려야 한다.
    • 어떤 정보가 필요 최소한의 정보이고 아닌지를 정보주체가 쉽게 알아볼 수 있도록 구분해서 고지
    • 필요 최소한의 정보가 아닌 정보에 대해서는 재화 또는 서비스의 이용에 방해를 받음이 없이 자유롭게 동의를 거부할 수 있음을 고지
  • 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다.
    • 정보주체가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지
    • 회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현

※ 상세한 내용은 ʻ알기쉬운 개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고

증거 자료

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
  • 오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
  • 개인정보 처리방침

결함 사례

  • 계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 및 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우
  • 정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수있다는 사실을 구체적으로 알리지 않은 경우
  • 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
  • 홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우
  • 채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)