ISMS-P 인증 기준 3.1.1.개인정보 수집∙이용: Difference between revisions

From IT Wiki
No edit summary
 
(28 intermediate revisions by 3 users not shown)
Line 8: Line 8:
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!3.1.1.개인정보 수집 제한
!3.1.1.개인정보 수집 ∙ 이용
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center" |'''인증기준'''
Line 24: Line 24:
* 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
* 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
* 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
* 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
|-
|'''관련법규'''
|
*[https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제15조 개인정보 보호법 제15조](개인정보의 수집·이용)
**인증심사 대상기관이 개인정보 보호법 제15조를 위반한 경우 항상 3.1.1 위반
*[https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제22조 개인정보 보호법 제22조](동의를 받는 방법)
*[https://www.law.go.kr/법령/개인정보보호법/(20230915,19234,20230314)/제22조의2 개인정보 보호법 제22조의2](아동의 개인정보 보호)
|}
|}
'''※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요'''
'''※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요'''


== 관련 법률 ==
==세부 설명==
 
====적법하게 수집====
 
개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결·이행 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 수집하여야 한다.
*개인정보 수집 경로 별로 개인정보 수집의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리
**예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 수집하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화
*개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용 가능
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 개인정보의 수집이 가능한 경우(개인정보 보호법 제15조제1항)'''
*1. 정보주체의 동의를 받는 경우
*2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
*3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
*4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
*5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
*6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
* 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우</div>
 
====필요한 시점에 수집 ====
정보주체에게 개인정보 수집 동의를 받는 경우에는 개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다.
*개인정보 수집 동의는 수집매체의 특성에 따라 다음의 사항을 고려하여 적절한 방법으로 정보주체의 동의를 받아야 함
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 개인정보 처리에 대한 동의를 받는 방법(개인정보 보호법 시행령 제17조제2항)'''
*1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
*2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
*3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
*4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
*5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
*6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법</div>
 
*회원가입 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함
**서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함
**웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집
**다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능
 
====명확하게 고지하고 동의====
 
정보주체에게 개인정보 수집 동의를 받는 경우에는 법정 고지사항에 대해 명확하게 고지하고 동의를 받아야 하며, 법령에서 정한 중요 내용에 대해 명확히 표시하여 정보주체가 이를 알아보기 쉽게 하여야 한다.
*정보주체로부터 개인정보 수집·이용 동의를 받을 때에는 4가지의 법정 고지사항을 구체적이고 명확하게 알리고 동의를 받아야 함
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 개인정보의 수집·이용 동의 시 고지사항(개인정보 보호법 제15조제2항)'''
*1. 개인정보의 수집·이용 목적
*2. 수집하려는 개인정보의 항목
*3. 개인정보의 보유 및 이용 기간
*4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
</div>
 
*정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항)'''
*1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것.
*2. 동의를 받으려는 내용이 구체적이고 명확할 것.
*3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것.
*4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것.
※ 단, 본 규정은 2024년 9월 15일부터 시행
</div>
 
*개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항)'''
*개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
*처리하려는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
*개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
*개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
</div>
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)'''
*글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
*동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
※ 종이 인쇄물, 컴퓨터 표시화면 등 서면 동의를 요구하는 매체의 특성과 정보주체의 이용환경 등을 고려하여 정보주체가 쉽게 알아볼 수 있도록 표시
</div>
 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고
 
====법정대리인에게 고지하고 동의 (만 14세 미만 아동)====  
만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다.
* 만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 적절한 연령 확인 절차를 통해 만 14세 미만 아동의 개인정보를 수집하지 않도록 조치
*만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치
 
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''★ 법정대리인이 동의했는지를 확인하는 방법(개인정보 보호법 시행령 제17조의2제1항)'''
*1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
*2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드·직불카드 등의 카드정보를 제공받는 방법
*3. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
*4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통하여 전달하고, 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
*5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
*6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
*7. 그 밖에 제1호부터 제6호까지의 규정에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
</div>


* [[개인정보 보호법 제15조]](개인정보의 수집ㆍ이용)
====법정대리인의 필요 최소한의 정보수집 및 자격요건 확인====
** 인증심사 대상기관이 개인정보 보호법 제15조를 위반한 경우 항상 3.1.1 위반
법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(성명·연락처에 관한 정보)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다.
* [[개인정보 보호법 제22조]](동의를 받는 방법)
*법정대리인 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 성명·연락처에 관한 정보)는 법정대리인의 동의 없이 아동으로부터 직접 수집이 가능함
* [[개인정보 보호법 제22조|개인정보 보호법 제22조의2]](아동의 개인정보 보호)
** 다만 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조제1항)
* [[개인정보 보호법 제22조|개인정보 처리 방법에 관한 고시]]
**아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함
*법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정대리인의 진위 여부를 확인하여야 함
**법정대리인의 미성년자 여부 확인
** 아동과의 나이 차이 확인 등


====필요최소한의 정보 수집====
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
'''※ (참고)미성년자의 법정대리인'''
*1차적으로 아동의 부모 등 친권자가 법정대리인에 해당(민법 제911조)
*미성년자에게 부모가 없거나 부모가 친권을 행사할 수 없는 때에는, 2차적으로 후견인이 법정 대리인이 되며, 후견인은 지정후견인(민법 제931조), 선임후견인(민법 제932조) 순서를 따름
</div>


*개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하여야 한다.
*법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항)
**정보주체(이용자)의 동의를 받거나 법령에 따른 개인정보 수집 또는 계약의 체결·이행 등을 위하여 불가피하게 개인정보를 수집하는 경우에도 필요한 최소한의 개인정보만을 수집하여야 함.
**최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함. (이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함.)
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
'''※ 최소정보(예시)'''


*쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 배송과 관련 없는 개인정보를 요구하는 것은 최소 정보의 범위를 벗어난 것임.
====명확하고 알기 쉬운 언어로 표현 (만 14세 미만의 아동)====
*취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할 수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임.</div>
만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하여야 한다.
*아동이 이해하기 쉬운 언어, 그림, 동영상 아동 친화적인 방식으로 정보를 투명하게 전달
*연령대별 아동의 역량과 이용행태 등을 고려
※ 상세한 내용은 ʻ아동·청소년 개인정보 보호 가이드라인(개인정보 보호위원회)ʼ 참고


====선택 정보 별도 동의====
====개인정보 수집·이용 동의 기록·보존====  
개인정보 수집·이용 동의에 따른 적법 근거를 입증할 수 있도록 정보주체 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다.
*기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등
*보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지


*수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 있도록 하여야 한다.
====동의 없이 개인정보 처리 시 알림====
**정보주체(이용자)가 직접 동의 여부를 선택할 있도록 수집하는 개인정보의 항목을 필수 동의 항목과 선택 동의 항목으로 구분하여 각각 동의를 받을 수 있도록 하여야 함.
정보주체의 동의 없이 처리할 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알려야 한다.
* 정보주체의 동의 없이 개인정보 수집·이용이 가능한 경우 : 개인정보 보호법 제15조제1항 제2호부터 제7호에 해당하는 경우
*정보주체에게 알려야 할 사항 : 동의 없이 처리할 있는 개인정보 항목 및 처리의 법적 근거
*정보주체에게 알리는 방법 : 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)으로 정보주체에게 통지


====서비스 제공 거부 금지====
====개인정보의 추가적인 이용====  
정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 이용이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다.


*정보주체(이용자)수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다.
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:20px; margin-left:20px; margin-right:20px">
**정보주체(이용자)가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지
'''★ 개인정보의 추가적인 이용 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)'''
**회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 필수적인 서비스는 이용이 가능하도록 구현
*1. 당초 수집 목적과 관련성이 있는지 여부
*※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고
*2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
*3. 정보주체의 이익을 부당하게 침해하는지 여부
*4. 가명처리 또는 암호화 안전성 확보에 필요한 조치를 하였는지 여부
</div>


==증거 자료==
==증거 자료==  


*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
*오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
*오프라인 개인정보 수집 양식(회원가입신청서 등)
*개인정보 수집 동의 기록(회원 데이터베이스 등)
*법정대리인 동의 기록
*개인정보 처리방침
*개인정보 처리방침


==결함 사례==
==결함 사례==


*회원가입 시 서비스 제공을 위하여 필요한 최소한의 정보 외의 기타 정보를 수집하면서 필수항목과 선택항목으로 구분하지 않고 일괄로 동의를 받는 경우
*개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우
*회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보 항목에 서비스 제공을 위하여 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우
*개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우
*회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택 정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
*쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우
*홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우
*Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우
*채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우
*만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
*만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우
*법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
*만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
*법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우


==같이 보기==
==같이 보기==
Line 80: Line 203:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 16:37, 17 February 2024


개요[edit | edit source]

항목 3.1.1.개인정보 수집 ∙ 이용
인증기준 개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.
주요 확인사항
  • 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?
  • 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가?
  • 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?
  • 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
  • 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?
  • 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가?
  • 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?
  • 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
  • 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
관련법규

※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요

세부 설명[edit | edit source]

적법하게 수집[edit | edit source]

개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결·이행 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 수집하여야 한다.

  • 개인정보 수집 경로 별로 개인정보 수집의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리
    • 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 수집하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화
  • 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용 가능

★ 개인정보의 수집이 가능한 경우(개인정보 보호법 제15조제1항)

  • 1. 정보주체의 동의를 받는 경우
  • 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
  • 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
  • 7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

필요한 시점에 수집[edit | edit source]

정보주체에게 개인정보 수집 동의를 받는 경우에는 개인정보 수집매체의 특성을 반영하여 적절한 방법으로 정보주체의 동의를 받아야 하며, 해당 정보가 필요한 시점에 수집하여야 한다.

  • 개인정보 수집 동의는 수집매체의 특성에 따라 다음의 사항을 고려하여 적절한 방법으로 정보주체의 동의를 받아야 함

★ 개인정보 처리에 대한 동의를 받는 방법(개인정보 보호법 시행령 제17조제2항)

  • 1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
  • 2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
  • 3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
  • 4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
  • 5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
  • 6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
  • 회원가입 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함
    • 서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함
    • 웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집
    • 다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능

명확하게 고지하고 동의[edit | edit source]

정보주체에게 개인정보 수집 동의를 받는 경우에는 법정 고지사항에 대해 명확하게 고지하고 동의를 받아야 하며, 법령에서 정한 중요 내용에 대해 명확히 표시하여 정보주체가 이를 알아보기 쉽게 하여야 한다.

  • 정보주체로부터 개인정보 수집·이용 동의를 받을 때에는 4가지의 법정 고지사항을 구체적이고 명확하게 알리고 동의를 받아야 함

★ 개인정보의 수집·이용 동의 시 고지사항(개인정보 보호법 제15조제2항)

  • 1. 개인정보의 수집·이용 목적
  • 2. 수집하려는 개인정보의 항목
  • 3. 개인정보의 보유 및 이용 기간
  • 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
  • 정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함

★ 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항)

  • 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것.
  • 2. 동의를 받으려는 내용이 구체적이고 명확할 것.
  • 3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것.
  • 4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것.

※ 단, 본 규정은 2024년 9월 15일부터 시행

  • 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함

★ 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항)

  • 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
  • 처리하려는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
  • 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
  • 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

★ 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)

  • 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
  • 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

※ 종이 인쇄물, 컴퓨터 표시화면 등 서면 동의를 요구하는 매체의 특성과 정보주체의 이용환경 등을 고려하여 정보주체가 쉽게 알아볼 수 있도록 표시

         ※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고

법정대리인에게 고지하고 동의 (만 14세 미만 아동)[edit | edit source]

만 14세 미만 아동에 대하여 개인정보를 수집·이용·제공 등 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받아야 한다.

  • 만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 적절한 연령 확인 절차를 통해 만 14세 미만 아동의 개인정보를 수집하지 않도록 조치
  • 만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치

★ 법정대리인이 동의했는지를 확인하는 방법(개인정보 보호법 시행령 제17조의2제1항)

  • 1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
  • 2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드·직불카드 등의 카드정보를 제공받는 방법
  • 3. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
  • 4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통하여 전달하고, 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
  • 5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
  • 6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
  • 7. 그 밖에 제1호부터 제6호까지의 규정에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

법정대리인의 필요 최소한의 정보수집 및 자격요건 확인[edit | edit source]

법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(성명·연락처에 관한 정보)만을 수집하여야 하며, 법정대리인이 자격요건을 갖추고 있는지 확인하는 절차와 방법을 마련하여야 한다.

  • 법정대리인 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 성명·연락처에 관한 정보)는 법정대리인의 동의 없이 아동으로부터 직접 수집이 가능함
    • 다만 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조제1항)
    • 아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함
  • 법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정대리인의 진위 여부를 확인하여야 함
    • 법정대리인의 미성년자 여부 확인
    • 아동과의 나이 차이 확인 등

※ (참고)미성년자의 법정대리인

  • 1차적으로 아동의 부모 등 친권자가 법정대리인에 해당(민법 제911조)
  • 미성년자에게 부모가 없거나 부모가 친권을 행사할 수 없는 때에는, 2차적으로 후견인이 법정 대리인이 되며, 후견인은 지정후견인(민법 제931조), 선임후견인(민법 제932조) 순서를 따름
  • 법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항)

명확하고 알기 쉬운 언어로 표현 (만 14세 미만의 아동)[edit | edit source]

만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하여야 한다.

  • 아동이 이해하기 쉬운 언어, 그림, 동영상 등 아동 친화적인 방식으로 정보를 투명하게 전달
  • 연령대별 아동의 역량과 이용행태 등을 고려

※ 상세한 내용은 ʻ아동·청소년 개인정보 보호 가이드라인(개인정보 보호위원회)ʼ 참고

개인정보 수집·이용 동의 기록·보존[edit | edit source]

개인정보 수집·이용 동의에 따른 적법 근거를 입증할 수 있도록 정보주체 및 법정대리인에게 동의를 받은 기록을 남기고 보존하여야 한다.

  • 기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등
  • 보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지

동의 없이 개인정보 처리 시 알림[edit | edit source]

정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알려야 한다.

  • 정보주체의 동의 없이 개인정보 수집·이용이 가능한 경우 : 개인정보 보호법 제15조제1항 제2호부터 제7호에 해당하는 경우
  • 정보주체에게 알려야 할 사항 : 동의 없이 처리할 수 있는 개인정보 항목 및 처리의 법적 근거
  • 정보주체에게 알리는 방법 : 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)으로 정보주체에게 통지

개인정보의 추가적인 이용[edit | edit source]

정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 이용이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다.

★ 개인정보의 추가적인 이용 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)

  • 1. 당초 수집 목적과 관련성이 있는지 여부
  • 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
  • 3. 정보주체의 이익을 부당하게 침해하는지 여부
  • 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

증거 자료[edit | edit source]

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 개인정보 수집 동의 기록(회원 데이터베이스 등)
  • 법정대리인 동의 기록
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우
  • 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우
  • 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우
  • Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우
  • 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
  • 만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우
  • 법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
  • 만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
  • 법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)