개인정보의 수집·이용 관련 의무

인터넷쇼핑몰 사업자는 소비자의 개인정보를 이용하려는 경우 소비자가 명확하게 알 수 있는 방법으로 미리 소비자에게 동의를 얻어야 합니다.

개인정보의 수집·이용 시 동의

• 사전 동의 원칙 및 예외

  • 인터넷쇼핑몰 사업자가 소비자의 개인정보를 이용하려고 수집하는 경우에는 다음의 모든 사항을 소비자에게 알리고 동의를 받아야 합니다. 다음의 어느 하나를 변경하려는 경우에도 이를 알리고 동의를 얻어야 합니다(「개인정보 보호법」 제15조제2항).

    • 개인정보의 수집·이용 목적
    • 수집하는 개인정보의 항목
    • 개인정보의 보유 및 이용 기간
    • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

  • 인터넷쇼핑몰 사업자는 당초 수집 목적과 합리적으로 관련된 범위에서 소비자에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 소비자의 동의 없이 개인정보를 이용할 수 있습니다(「개인정보 보호법」 제15조제3항).

• 위반 시 제재

  • 이를 위반해서 동의를 얻지 않고 개인정보를 이용하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제10호).

동의 획득 방법

• 인터넷쇼핑몰 사업자는 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 “처리”라 함)에 대하여 소비자의 동의를 받을 때에는 각각의 동의 사항을 구분하여 소비자가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 합니다(「개인정보 보호법」 제2조제2호 및 제22조제1항).

• 인터넷쇼핑몰 사업자는 개인정보의 처리에 대해 다음 어느 하나에 해당하는 방법으로 소비자의 동의를 받아야 합니다(「개인정보 보호법」 제22조 및 「개인정보 보호법 시행령」 제17조제2항).

  • 동의 내용이 적힌 서면을 소비자에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 소비자가 서명하거나 날인한 동의서를 받는 방법

  • 전화를 통해 동의 내용을 소비자에게 알리고 동의의 의사표시를 확인하는 방법

  • 전화를 통해 동의 내용을 소비자에게 알리고 소비자에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법

  • 인터넷 홈페이지 등에 동의 내용을 게재하고 소비자가 동의 여부를 표시하도록 하는 방법

  • 동의 내용이 적힌 전자우편을 발송하여 소비자로부터 동의의 의사표시가 적힌 전자우편을 받는 방법

  • 그 밖에 위에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

개인정보 이용내역의 통지

• 다음 어느 하나에 해당하는 인터넷쇼핑몰 사업자는 수집한 개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 소비자에게 통지해야 합니다(「개인정보 보호법」 제20조의2제1항 본문 및 「개인정보 보호법 시행령」 제15조의3제1항).

  • 5만명 이상의 이용자(전년도 말 기준 직전 3개월 간 일일평균 기준)에 관하여 민감정보 또는 고유식별정보를 처리하는 자

  • 100만명 이상의 이용자(전년도 말 기준 직전 3개월 간 일일평균 기준)에 관하여 개인정보를 처리하는 자

  • 다만, 연락처 등 소비자에게 통지할 수 있는 개인정보를 수집·보유하지 않은 경우에는 통지하지 않을 수 있습니다(「개인정보 보호법」 제20조의2제1항 단서).

• 소비자에게 통지해야 하는 정보는 다음과 같습니다(「개인정보 보호법」 제20조의2제1항 및 「개인정보 보호법 시행령」 제15조의3제3항).

  • 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목

  • 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 범죄수사, 재판, 국가안보 등를 위한 통신사실 확인자료의 열람이나 제출에 따라 제공한 정보는 제외함

  • 이하에서 동의가 필요한 행위에 대한 동의 획득 방법에 대해서도 위 내용이 동일하게 적용됩니다.

사생활 침해우려 개인정보의 수집 금지

• 수집 금지 원칙과 예외

  • 인터넷쇼핑몰 사업자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 및 그 밖에 소비자의 사생활을 현저히 침해할 우려가 있는 개인정보(이하 “민감정보”라 함)를 처리해서는 안 됩니다(「개인정보 보호법」 제23조제1항 본문).

  • 다만, 다음 어느 하나에 해당하는 경우에는 그렇지 않습니다(「개인정보 보호법」 제23조제1항 단서).

    • 소비자에게 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    • 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

• 위반 시 제재

  • 이를 위반하여 소비자의 동의를 받지 않고 민감정보를 처리한 경우 매출액의 100분의 3이하에 해당하는 금액이 과징금으로 부과될 수 있습니다(「개인정보 보호법」 제64조의2제1항 본문 및 제3호).

    • 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우에는 20억원을 초과하지 않는 범위에서 과징금이 부과될 수 있습니다(「개인정보 보호법」 제64조의2제1항 단서).

  • 또한 이를 위반하여 민감정보를 처리한 인터넷쇼핑몰 사업자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제4호).

필요 최소 정보의 수집 의무 등

• 정보의 수집 방법 및 정보 제공의 선택 방법

  • 소비자의 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 합니다(「개인정보 보호법」 제16조제1항).

  • 인터넷쇼핑몰 사업자는 소비자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 재화 또는 서비스의 제공을 거부해서는 안 됩니다(「개인정보 보호법」 제22조제5항).

• 위반 시 제재

  • 소비자가 최소한의 정보 외에 개인정보를 제공하지 않는다는 이유로 재화 또는 서비스의 제공을 거부하면 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제1호).

동의 받은 범위 외 이용 금지

• 이용 금지 원칙

  • 인터넷쇼핑몰 사업자는 수집한 개인정보를 소비자로부터 동의를 받은 범위나 동의를 받지 않고 개인정보를 수집할 수 있도록 한 범위를 초과하여 이용해서는 안 됩니다(「개인정보 보호법」 제18조제1항).

• 위반 시 제재

  • 이를 위반하여 소비자로부터 동의를 받은 범위나 동의를 받지 않고 개인정보를 이용할 수 있도록 한 범위를 초과하여 개인정보를 처리한 경우 매출액의 100분의 3이하에 해당하는 금액이 과징금으로 부과될 수 있습니다(「개인정보 보호법」 제64조의2제1항제1호).

  • 또한 이를 위반하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제2호).

개인정보의 제3자 제공

• 개인정보 제공의 동의 원칙

  • 인터넷쇼핑몰 사업자는 다음 어느 하나에 해당되는 경우에는 소비자의 개인정보를 제3자에게 제공(공유를 포함함. 이하 같음)할 수 있습니다(「개인정보 보호법」 제17조제1항).

1. 소비자의 동의를 받은 경우

2. 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

• 인터넷쇼핑몰 사업자는 위 1.의 동의를 받을 때에는 다음의 사항을 소비자에게 알려야 합니다. 다음 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 합니다(「개인정보 보호법」 제17조제2항).

  • 개인정보를 제공받는 사람
  • 개인정보를 제공받는 사람의 개인정보 이용 목적
  • 제공하는 개인정보의 항목
  • 개인정보를 제공받는 사람의 개인정보 보유 및 이용 기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

• 개인정보 제공의 동의 원칙의 예외

  • 인터넷쇼핑몰 사업자는 소비자의 동의 없이 개인정보를 이용 또는 제공하려는 경우 다음 사항을 고려해야 합니다(「개인정보 보호법」 제17조제4항 및 「개인정보 보호법 시행령」 제14조의2제1항).

    • 당초 수집 목적과 관련성이 있는지 여부
    • 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
    • 소비자의 이익을 부당하게 침해하는지 여부
    • 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

  • 인터넷쇼핑몰 사업자는 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우에는 위 고려사항에 대한 판단 기준을 개인정보 처리방침에 공개하고, 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 합니다(「개인정보 보호법 시행령」 제14조의2제2항).

• 위반 시 제재

  • 이를 위반하여 소비자로부터 동의를 받지 않고 개인정보를 제3자에게 제공한 경우 매출액의 100분의 3이하에 해당하는 금액이 과징금으로 부과될 수 있습니다(「개인정보 보호법」 제64조의2제1항 본문 및 제1호).

    • 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우에는 20억원을 초과하지 않는 범위에서 과징금이 부과될 수 있습니다(「개인정보 보호법」 제64조의2제1항 단서).

  • 이를 위반하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제1호).

개인정보 처리의 업무위탁

• 개인정보 처리 업무위탁의 방법

  • 인터넷쇼핑몰 사업자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음의 내용이 포함된 문서로 해야 합니다(「개인정보 보호법」 제26조제1항 및 「개인정보 보호법 시행령」 제28조제1항).

    • 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
    • 개인정보의 기술적·관리적 보호조치에 관한 사항
    • 위탁업무의 목적 및 범위
    • 재위탁 제한에 관한 사항
    • 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
    • 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
    • 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 함)가 준수해야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

  • 업무 위탁 시 위의 내용이 포함된 문서로 하지 않은 경우 1천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제4항제4호).

• 개인정보 처리 업무위탁의 공개

  • 개인정보의 처리 업무를 위탁하는 인터넷쇼핑몰 사업자는 위탁하는 업무의 내용과 수탁자를 소비자가 언제든지 쉽게 확인할 수 있도록 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하여야 합니다(「개인정보 보호법」 제26조제2항 및 「개인정보 보호법 시행령」 제28조제2항).

  • 위탁하는 업무의 내용과 수탁자를 공개하지 않은 경우 1천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제4항제5호).

• 개인정보 처리 업무위탁의 알림

  • 인터넷쇼핑몰 사업자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 소비자에게 알려야 합니다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같습니다(「개인정보 보호법」 제26조제3항 및 「개인정보 보호법 시행령」 제28조제4항).

    • 인터넷쇼핑몰 사업자가 과실없이 위의 방법으로 위탁하는 업무의 내용과 수탁자를 소비자에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재해야 합니다(「개인정보 보호법 시행령」 제28조제5항).

  • 소비자에게 위탁하는 업무의 내용과 수탁자를 알리지 않고 개인정보처리를 위탁한 경우 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제12호).

개인정보 제공에 대한 동의와 처리위탁 동의의 구분 등

• 동의의 구분 및 서비스제공 거부 금지

  • 인터넷쇼핑몰 사업자는 개인정보의 처리에 대하여 소비자의 동의를 받을 때에는 각각의 동의 사항을 구분하여 소비자가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 합니다(「개인정보 보호법」 제22조제1항).

  • 인터넷쇼핑몰 사업자는 소비자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 재화 또는 서비스의 제공을 거부해서는 안 됩니다(「개인정보 보호법」 제22조제5항).

• 위반 시 제재

  • 이를 위반하여 서비스의 제공을 거부한 경우 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제1호).

개인정보처리 수탁자에 대한 관리·감독 및 교육 의무

• 인터넷쇼핑몰 사업자는 업무 위탁으로 인하여 소비자의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독해야 합니다(「개인정보 보호법」 제26조제4항).

• 수탁자는 인터넷쇼핑몰 사업자로부터 위탁받은 해당 업무를 초과하여 개인정보를 이용하거나 제3자에게 제공해서는 안되며, 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 「개인정보 보호법」 위반으로 발생한 손해배상책임에 대해서는 수탁자를 인터넷쇼핑몰 사업자의 소속 직원으로 봅니다(「개인정보 보호법」 제26조제5항 및 제7항).

개인정보의 이전에 따른 통지 의무

• 개인정보 이전의 통지

  • 인터넷쇼핑몰 사업자가 영업의 전부 또는 일부의 양도·합병 등으로 그 소비자의 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음의 사항을 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 소비자에게 알려야 합니다(「개인정보 보호법」 제27조제1항 및 「개인정보 보호법 시행령」 제29조제1항).

    • 개인정보를 이전하려는 사실
    • 개인정보를 이전받는 자(이하 “영업양수자등”이라 함)의 성명(법인인 경우에는 법인의 명칭), 주소, 전화번호 및 그 밖의 연락처
    • 소비자가 개인정보의 이전을 원하지 않는 경우 조치할 수 있는 방법과 절차

  • 개인정보를 이전하려는 자가 과실없이 위의 사항을 소비자에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 합니다(「개인정보 보호법」 제27조제1항 및 「개인정보 보호법 시행령」 제29조제2항 본문).

• 위반 시 제재

  • 이를 위반하면 1천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제4항제6호).

영업양수자 등의 개인정보 이용 범위

• 본래 목적 내에서의 개인정보 이용

  • 영업양수자등은 영업의 양도·합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있습니다(「개인정보 보호법」 제27조제3항).

• 위반 시 제재

  • 이를 위반하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제2호).

  • 인터넷쇼핑몰 이용자의 개인정보 이용·수집에 대한 자세한 내용은 이 사이트(www.easylaw.go.kr)%EC%9D%98 "새창으로 열림")의 『개인정보보호』에서 확인할 수 있습니다.