ISMS-P 인증 기준 3.1.7.홍보 및 마케팅 목적 활용 시 조치

From IT Wiki


개요[edit | edit source]

항목 3.1.7.홍보 및 마케팅 목적 활용 시 조치
인증기준 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집·이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다.
주요 확인사항
  • 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가?
  • 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가?
  • 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가?
  • 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가?

세부 설명[edit | edit source]

홍보 목적이라고 명확히 표현[edit | edit source]

정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보를 처리하고자 하는 경우에는 정보주체(이용자)가 명확하게 인지할 수 있도록 알리고 별도의 동의를 받아야 한다.

  • ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등으로 목적을 기재하는 행위 금지
  • 상품 홍보, 마케팅 목적으로 수집하는 개인정보는 다른 목적으로 수집하는 정보와 명확하게 구분하여 동의를 받고 수집
  • 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실을 명확하게 표시하여 알아보기 쉽도록 동의서 양식 구현(글씨의 크기는 최소한 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게 하고, 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용을 명확히 표시

수집 동의와 광고 동의의 구분[edit | edit source]

개인정보 보호법 제22조제4항에 따른 홍보·판매권유 목적의 동의는 전송자가 광고성 정보를 전송하기 위하여 수신자의 개인정보를 수집·이용하는 것에 대한 동의에 해당하고, 정보통신망법 제50조제1항 동의는 전송자가 보내는 광고성 정보를 수신하겠다는 것에 대한 동의에 해당하여 두 개의 동의는 구분 후 별개로 받아야 함.

  • 스마트폰 앱(애플리케이션)을 다운받아 단순히 설치만 한 상태에서는 광고성 정보(앱 푸시 광고)를 전송하여서는 안 되며, 앱을 최초로 실행하는 경우 광고성 정보의 수신동의 여부를 확인하여 동의를 받은 후 광고를 전송하여야 함.
  • 다만 거래관계에 의한 예외에 해당하는 경우에는 수신동의를 받지 않고 광고성 정보 전송이 가능함

※ 거래관계에 의한 광고성 정보전송 수신동의 예외

  • 재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 6개월 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우
  • 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집 출처를 고지하고 전화권유를 하는 경우

정기적 수신동의 확인[edit | edit source]

전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받아야 하며, 2년마다 정기적으로 수신자의 수신동의 여부를 확인하여야 한다.

  • ʻ전자적 전송매체ʼ란 휴대전화, 유선전화, 팩스, 메신저, 이메일, 게시판 등을 말함.
  • 영리목적의 광고성 정보를 전송하려면 문서(전자문서 포함) 또는 구술의 방법으로 수신자의 명시적인 수신동의를 받아야 함.

※ 영리목적의 광고성 정보의 개념

  • 영리목적의 광고성 정보는 전송자가 경제적 이득을 취할 목적으로 전송하는 ①전송자에 관한 정보, ②전송자가 제공할 재화나 서비스의 내용을 말함. 전송을 하게 한 자도 전송자에 포함됨.
  • 영업을 하는 자가 고객에게 보내는 정보는 원칙적으로 모두 광고성 정보에 해당함.
  • 영리법인은 존재목적이 영리추구이기 때문에 원칙적으로 고객에게 전송하는 모든 정보는 영리 목적 광고성 정보에 해당하며, 비영리법인은 전송하는 정보의 성격에 따라 영리목적 광고성 여부를 판단함.
  • 구체적인 재화나 서비스의 홍보가 아니더라도 수신자에게 발송하는 정보가 발신인의 이미지 홍보에 해당하는 경우에는 광고성 정보로 볼 수 있음.
  • 주된 정보가 광고성 정보가 아니더라도 부수적으로 광고성 정보가 포함되어 있으면 전체가 광고성 정보에 해당함.

※ 영리목적의 광고성 정보의 예외

  • 수신자와 이전에 체결하였던 거래를 용이하게 하거나, 완성 또는 확인하는 것이 목적인 정보
  • 수신자가 사용하거나 구매한 재화 또는 서비스에 대한 설명, 보증, 제품 리콜, 안전 또는 보안 관련 정보
  • 고객의 요청에 의하여 발송하는 1회성 정보(견적서 등)
  • 수신자가 금전적 대가를 지불하고 신청한 정보(뉴스레터, 주식정보, 축산물 거래정보 등)
  • 전송자가 제공하는 재화 또는 서비스에 대하여 수신자가 구매 또는 이용과 관련한 안내 및 확인 정보 등
  • 수신자의 수신동의를 받아 광고성 정보를 전송하는 자는 수신동의 여부를 수신동의를 받은 날부터 2년마다 확인하여야 함.
    • 수신동의자에게 수신동의 하였다는 사실에 대한 안내의무를 부과한 것이므로 재동의를 받을 필요는 없음.
  • 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 그대로 유지되는 것으로 봄.
    • 수신 여부 확인 시 수신자에게 알려야 할 사항
      • 1. 전송자의 명칭
      • 2. 수신동의 날짜 및 수신에 동의한 사실
      • 3. 수신동의에 대한 유지 또는 철회 의사를 표시하는 방법

광고 동의 철회 및 수신거부[edit | edit source]

전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대하여 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하여야 한다.

  • 거래관계가 있더라도 수신자가 수신거부 의사를 표시한 경우 광고성 정보의 전송이 금지됨.
  • 회원탈퇴를 하는 것도 수신거부 의사표시를 한 것으로 볼 수 있으므로 회원탈퇴를 한 수신인에게 광고성 정보를 전송하면 안 됨.
  • 수신자가 특별히 범위를 정하여 수신동의 철회 및 수신거부 의사표시를 한 것이 아니라면 그 효력은 당해 광고만이 아니라 당해 전송자가 보내는 모든 광고에 적용됨.

올바른 영리목적 광고 방법[edit | edit source]

영리목적의 광고성 정보를 전송하는 경우 전송의 명칭, 수신거부 방법 등을 구체적으로 밝혀야 한다.

  • 전자적 전송매체를 이용하여 영리목적의 광고성 정보 전송 시 함께 알려야 할 사항
    • 1. 전송자의 명칭 및 연락처
    • 2. 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항

야간시간(오후 9시부터 그 다음 날 오전 8시까지)에는 전자적 전송매체를 이용하여 영리 목적의 광고성 정보 전송은 금지됨.

  • 야간시간에 광고성 정보를 전송하기 위해서는 별도의 수신동의가 필요함.
  • 단, 전자우편의 경우 별도 동의가 없더라도 야간 전송 가능

※ 상세한 내용은 ʻ불법 스팸 방지를 위한 정보통신망법 안내서ʼ 참고

증거 자료[edit | edit source]

  • 개인정보 보호법 제22조(동의를 받는 방법)
  • 정보통신망법 제50조(광고성 정보 전송 제한)
  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 마케팅 동의 기록
  • 광고성 정보전송 수신동의 기록 및 수신동의 의사확인 기록
  • 광고성 정보 발송 시스템 관리자 화면(메일, SMS, 앱 푸시 등)
  • 광고성 정보 발송 문구
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등과 같이 목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의를 받는 경우
  • 모바일 앱에서 광고성 정보전송(앱 푸시)에 대하여 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우
  • 온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대하여 디폴트로 체크되어 있는 경우
  • 광고성 정보 수신동의 여부에 대하여 2년마다 확인하지 않은 경우
  • 영리목적의 광고성 정보를 전자우편으로 전송하면서 제목이 시작되는 부분에 ʻ(광고)ʼ 표시를 하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)