ISMS-P 인증 기준 3.1.2.개인정보 수집 제한: Difference between revisions

From IT Wiki
No edit summary
No edit summary
 
(6 intermediate revisions by the same user not shown)
Line 22: Line 22:
*개인정보 보호법 제16조(개인정보의 수집제한), 제22조(동의를 받는 방법)
*개인정보 보호법 제16조(개인정보의 수집제한), 제22조(동의를 받는 방법)
|}
|}
※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요
==세부 설명==
==세부 설명==


==== 개인정보 수집 동의를 받는 방법 ====
==== 최소한의 정보만 수집 ====


*개인정보를 수집할 때에는 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받아야 한다.
개인정보를 수집하는 경우 법률 근거, 법령상 의무준수, 계약의 체결·이행 등 그 목적에 필요한 범위에서 최소한의 정보만을 수집하여야 한다.  
**개인정보의 수집·이용이 가능한 경우
*정보주체의 동의를 받거나 법률 근거, 법령상 의무준수, 계약의 체결·이행 등을 근거로 정보주체 동의 없이 개인정보를 수집하는 경우에도 목적에 필요한 최소한의 개인정보만을 수집하여야 함
***개인정보처리자<br />1. 정보주체의 동의를 받은 경우<br />2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우<br />3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우<br />4. 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우<br />5. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우<br />6. 개인정보처리지자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
*최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함(이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함)
***정보통신서비스 제공자<br />1. 이용자의 동의를 받은 경우<br /> 2. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우<br /> 3. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우<br /> 4. 다른 법률에 특별한 규정이 있는 경우
**개인정보의 수집·이용 동의 시 고지 사항
***개인정보처리자 <br />1. 개인정보의 수집·이용 목적<br />2. 수집하려는 개인정보의 항목 <br />3. 개인정보의 보유 및 이용 기간<br /> 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
***정보통신서비스 제공자 <br /> 1. 개인정보의 수집·이용 목적 <br /> 2. 수집하려는 개인정보의 항목 <br /> 3. 개인정보의 보유·이용 기간


*개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체(이용자)의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다.
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px; margin-left:30px">
**회원가입 또는 계약체결 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함.
'''※ 최소정보(예시)'''
***서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함.
***웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집
· 쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소정보의 범위를 벗어난 것임
***다만 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능
*정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대하여 명확히 표시하여 알아보기 쉽게 하여야 한다.
**개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함.
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">'''※ 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조 제2항)'''
*개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
*처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
*개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
*개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적</div>
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">'''※ 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)'''
*글씨크기는 최소 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것
*글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록
*동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 있도록 그 밖의 내용과 별도로 구분하여 표시할 것</div>


==== 미성년자의 개인정보 수집 동의를 받는 방법 ====
· 경품 행사에 응모한 고객에게 경품추첨 사실을 알리는데 필요한 개인정보 외에 응모자의 성별, 자녀 수, 동거 여부 등 사생활의 비밀에 관한 정보, 고유식별정보 등을 요구하는 것은 최소정보의 범위를 벗어난 것임


*만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다.
· 취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임</div>
**만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 수집하지 않도록 조치
**만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 법정대리인 동의를 얻기 위한 방법(예시)'''


*법정대리인의 전자서명을 이용하는 방법
==== 정보 수집 동의 거부 ====
*법정대리인이 휴대폰 인증, 아이핀 등을 통하여 본인확인 후 명시적으로 동의하는 방법
정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알려야 한다.
*우편, 팩스, 전자우편 등으로 법정대리인이 서명 날인한 서류를 제출받는 방법
*어떤 정보가 필요 최소한의 정보이고 아닌지를 정보주체가 쉽게 알아볼 수 있도록 구분해서 고지
*법정대리인과 직접 통화하여 확인하는 방법 등</div>
*필요 최소한의 정보가 아닌 정보에 대해서는 재화 또는 서비스의 이용에 방해를 받음이 없이 자유롭게 동의를 거부할 수 있음을 고지


*법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(이름, 연락처)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다.
==== 선택 항목 미 제공 시 서비스 거부 금지 ====
**법정대리인 동의를 받기 위하여 필요한 법정대리인의 필요한 최소한의 정보(이름, 연락처)는 법정 대리인의 동의 없이 아동으로부터 직접 수집이 가능함.
정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다.  
***다만 법정대리인의 이름·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조).
*정보주체가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지
***아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함.
*회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 필수적인 서비스는 이용이 가능하도록 구현<br><p> ※ 상세한 내용은 ʻ알기쉬운 개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고</br>
**법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정 대리인의 진위 여부를 확인하여야 함.
***법정대리인의 미성년자 여부 확인
***아동과의 나이 차이 확인
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px; margin-left:55px">
'''※(참고)법정대리인의 정의'''
· 법정대리인이란 본인의 의사에 의하지 않고 법률의 규정에 의하여 대리인이 된 자로 미성년자의 친권자(「민법」 제909조, 제911조, 제916조, 제920조), 후견인(「민법」 제931조 ~ 제936조), 법원이 선임한 부재자의 재산관리인(「민법」 제22조, 제23조), 상속재산관리인(「민법」 제1023조 제2항, 제1053조), 유언집행자(「민법」 제1096조) 등이 이에 해당한다.</div>
 
** 법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항).
 
*정보주체(이용자) 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다.
**기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등
**보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지
***※ 상세한 내용은 ʻ개인정보 수집·제공 동의서 작성 가이드라인ʼ 참고


==증거 자료==
==증거 자료==
 
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
*오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
*오프라인 개인정보 수집 양식(회원가입신청서 등)
*개인정보 수집 동의 기록(회원 데이터베이스 등)
*법정대리인 동의 기록
*개인정보 처리방침
*개인정보 처리방침


==결함 사례==
==결함 사례==  


*개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 동의 거부에 따른 불이익 내용ʼ을 누락한 경우
*계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우
*개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우
*정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수있다는 사실을 구체적으로 알리지 않은 경우
*쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우
*회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
*Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우
*홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우
*만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
*채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 과도한 개인정보를 수집하는 경우
*만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아 동 회원이 존재한 경우
*법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
*만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
*법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우


==같이 보기==
==같이 보기==  


*[[정보보호 및 개인정보보호관리체계 인증]]
*[[정보보호 및 개인정보보호관리체계 인증]]
Line 112: Line 70:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 23:56, 27 January 2024


개요[edit | edit source]

항목 3.1.2.개인정보 수집 제한
인증기준 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다.
주요 확인사항
  • 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?
  • 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?
  • 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?
관련법규
  • 개인정보 보호법 제16조(개인정보의 수집제한), 제22조(동의를 받는 방법)

세부 설명[edit | edit source]

최소한의 정보만 수집[edit | edit source]

개인정보를 수집하는 경우 법률 근거, 법령상 의무준수, 계약의 체결·이행 등 그 목적에 필요한 범위에서 최소한의 정보만을 수집하여야 한다.

  • 정보주체의 동의를 받거나 법률 근거, 법령상 의무준수, 계약의 체결·이행 등을 근거로 정보주체 동의 없이 개인정보를 수집하는 경우에도 그 목적에 필요한 최소한의 개인정보만을 수집하여야 함
  • 최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함(이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함)

※ 최소정보(예시)

· 쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소정보의 범위를 벗어난 것임

· 경품 행사에 응모한 고객에게 경품추첨 사실을 알리는데 필요한 개인정보 외에 응모자의 성별, 자녀 수, 동거 여부 등 사생활의 비밀에 관한 정보, 고유식별정보 등을 요구하는 것은 최소정보의 범위를 벗어난 것임

· 취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임

정보 수집 동의 거부[edit | edit source]

정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알려야 한다.

  • 어떤 정보가 필요 최소한의 정보이고 아닌지를 정보주체가 쉽게 알아볼 수 있도록 구분해서 고지
  • 필요 최소한의 정보가 아닌 정보에 대해서는 재화 또는 서비스의 이용에 방해를 받음이 없이 자유롭게 동의를 거부할 수 있음을 고지

선택 항목 미 제공 시 서비스 거부 금지[edit | edit source]

정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다.

  • 정보주체가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지
  • 회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현

    ※ 상세한 내용은 ʻ알기쉬운 개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고

증거 자료[edit | edit source]

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
  • 오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • 계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 및 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우
  • 정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수있다는 사실을 구체적으로 알리지 않은 경우
  • 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
  • 홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우
  • 채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)