서비스 런칭을 준비하는 당신, 법적인 부분도 고려됐나요
이용약관, 개인정보처리방침과 개인정보 동의를 뜯어보자
목차
1. 회원가입을 완료했다고요? 이제 저와 계약을 맺은 겁니다.
2. 개인정보 동의를 받지 않은 당신, 이제 범죄자입니다.
3. 개인정보처리방침 vs 개인정보 수집 및 이용 동의
4. 카카오 소셜 로그인에 얽힌 개인정보 처리
5. 그러면, 이 정책을 어떻게 만들어야 하죠?
회사 오피스 툴에 능숙한
일잘러가 되고 싶다면?
마이플랜잇 창업 팀에서 투두몰을 3월에 정식 런칭할 예정이다. 지난 CBT 테스트도 성공적으로 마쳤고, 우리가 생각한 "고객이 원하는 가치는 무엇인가?" 이른바 가치 가설도 성공적으로 검증했다. 가치 있는 서비스를 만들었다는 확신과 함께 정식 런칭 서비스를 밤낮을 가리지 않고, 준비하고 있다. 요즘 평균 수면 시간 4시간...
정식 런칭을 준비하는 와중에 발목을 가장 크게 붙잡은 건 회원가입 단계였다. 이용약관, 개인정보처리방침, 개인정보 수집 및 이용 동의, 광고성 정보 동의, 푸쉬 알림 동의 등 고려할 부분이 너무도 많았다. 애초에 화학공학을 전공으로 한 나에게 법은 지나치게 심오하고 먼 영역이다. 관련 경험과 지식이 부족하기에 준비 과정에서 많은 허들이 있었다. 나와 같이 갓 창업을 했거나, 신규 서비스의 정식 런칭을 처음 하는 분에게 도움이 되고자 관련 경험을 공유한다. 되게 내용이 장대하니 개떡같이 말해도 찰떡같이 이해해 보자!
진짜 준비하면서 머리를 384대 맞은 느낌.... 깡! 회원가입을 완료했다고요?
이제 저와 계약을 맺은 겁니다.
회원가입 단계에서 유저에게 필수 동의로 (1) 이용약관과 (2) 개인정보 수집 및 이용을 받는다. 이 둘은 도대체 왜 필요할까? 관련 맥락을 이해하면, 왜 필수 동의를 받는지 쉽게 이해할 수 있다.
스타벅스 회원가입 페이지. 이용약관을 묻는다. (출처 : <스타벅스>)먼저 이용약관의 맥락을 뜯어보자. 보통 계약을 맺을 때, 계약서에서 효력 범위를 구체적으로 정의하며, 이를 통해 계약 당사자 간의 권리를 보호하기 위해 계약서를 작성한다. 이는 IT 서비스에서도 유효하다. 사실, 유저가 서비스를 이용할 수 있는 것은 계약을 맺기에 가능한 부분이다. 회원가입은 계약이다. 유저와 서비스 제공자 사이에 "유저는 서비스를 이용할 수 있다"라는 계약 내용을 상호가 동의함으로써, 회원가입한 유저는 서비스를 이용할 수 있다. 회원가입을 완료하는 것은 이 계약의 승인을 뜻한다.
예...? 전 계약한 적이 없었는데요...? (출처 : <BBC>)"회원가입 완료는 계약의 승인을 뜻한다."라는 말이 이질적으로 들릴 수 있다. 이게 계약이라면, 도대체 계약 내용은 어디에 있는가? 왜 계약 내용도 보여주지 않고, 계약을 맺는 게 말이 되나? 사실 계약 내용은 회원가입 단계에서 항상 묻고 있는데, 우리가 이를 인지하지 못했을 뿐이다. 회원가입을 할 때, 이용약관의 동의를 묻는데 이를 동의하는 건, 계약을 동의한다는 의미이기도 하다.
실제로 정부에서 제공하는 이용약관 표준 자료를 보면, 아래와 같이 명시됐다. 애초에 약관 자체에서 "이용약관을 동의했을 때, 이용 계약이 체결된다."라고 나와있다. 서비스 사용과 관련해 분쟁이 일어났을 때, 이용 약관은 계약 내용이므로, 옳고 그름의 판단 기준이 된다. 공정거래위원회가 다양한 업계의 표준 약관 문서를 제공하는 이유도 일맥상 통한다.
모바일게임 표준약관 제5조_이용계약의 체결 및 적용 (출처 : <공정거래위원회>)개인정보 동의를 받지 않은 당신,
이제 범죄자입니다.
이용약관은 계약과 관련됐다면, 개인정보는 법적인 부분과 더 밀접하다. 우선, 개인정보는 서비스 관리에 필수적이기에 반드시 수집할 수밖에 없다. 왜냐하면, 개인정보가 있어야 유저 개개인을 식별해서 관리할 수 있기 때문이다. 극단적인 예시를 들어보자. 개인정보를 수집하지 않으면, 서비스에서 상품을 판매한다고 했을 때 따라오는 이슈가 너무 크다. 개인정보가 없어도, 유저 테이블의 id 값을 활용해 어떤 유저가 구매했는지 알 수는 있다. 다만, 결제 과정에서 이슈가 터져서 구매자에게 안내를 할 때는 어떻게 해야 할까? 이메일, 전화번호가 없다면 안내조차 불가능하다.
결국, 개인정보를 수집하는 건 필수적이다. 근데, 개인정보 수집을 위해선 동의가 필수적이다. 이는 개인정보보호법 및 시행령에 의거한다. 개인정보보호법 제15조(개인정보의 수집 및 이용)를 보면, 제1항을 봐보면 "정보주체의 동의를 받은 경우, 개인정보를 수집할 수 있다."라고 나와있다. 즉, 동의는 필수불가결하며, 이를 준수하지 않으면 범죄자가 된다.
개인정보보호법 제15조 (출처 : <국가법령정보센터>)눈치 빠른 분들은 뭔가 이상함을 느낄 것이다. 회원가입을 할 때, (1) 필수 동의를 받는 개인정보도 있고, (2) 선택 동의를 받는 개인정보도 있다.
보면 개인정보 수집 및 이용 동의에 선택과 필수가 따로 있다. (출처 : <마켓컬리>) 위에서 말했듯, 개인정보를 수집하기 위해서 동의가 필수적이며, 동의를 받아야지 수집한 개인 정보를 활용해 유저를 관리할 수 있다. 즉, 필수 동의를 받는 부분은 서비스 운영을 위해 절대 생략할 수 없는 정보일 뿐이다. 바꿔 말해, 서비스 운영에 필수적이지 않지만, 있으면 좋은 것들은 선택 동의를 받는다. 예시로, 카카오 회원가입에서 유저 관리에 불필요한 정보인 성별, 연령대는 선택 동의가 디폴트다. 이를 필수 정보로 변경하기 위해서 검수를 받아야 한다. 근데 카카오 로그인이 아니라면, 필수든 선택이든 수집하는 개인정보 영역은 서비스 마음이다.
카카오 로그인 관리 설정란개인정보처리방침 vs 개인정보 수집 및 이용 동의
나도 몰랐던 부분이 있는데, 서칭을 하면서 깨달은 바가 있다. 바로, "개인정보처리방침"과 "개인정보 수집 및 이용 동의"는 다르다는 점이었다. 실제로, 회원가입 단계에서 개인정보 수집 및 이용 동의가 아니라, 개인정보처리방침을 동의받는 실수를 많이 저지른다.
이러한 실수를 법을 다루는 많은 서비스에서 언급하고 있다. (출처 : <캐치시큐>)개인정보처리방침과 개인정보 수집 및 이용 동의, 되게 어감은 비슷하지만 기저가 되는 법적 내용이 다르다. 앞서 언급한 개인정보보호법 제15조를 보면, 개인정보를 수집할 때 (1) 동의를 받아야 하며, (2) 동의를 받을 때, 구체적으로 어떤 부분을 알려야 하는지가 명시됐다. 즉, 개인정보 수집 및 이용 동의는 개인정보보호법 제15조에 의거해 동의가 필수적이다. 이때 단순히 동의를 받는 게 아니라, 제2항에 명시된 것처럼 수집한 개인정보의 목적이 명확해야 한다.
개인정보보호법 제15조 (출처 : <국가법령정보센터>)반면, 개인정보처리방침은 개인정보호법 제3조에 의거한다. 여기서 5항을 보면, "개인정보의 처리에 관한 사항을 공개"라고 나와있다. 즉, 개인정보처리방침은 동의가 아닌, 공개의 영역에 해당한다. 결국, 개인정보처리방침과 개인정보 수집 및 이용 동의, 모두 작성이 필수적이다. 다만, 전자는 단순히 보여주면 되고, 후자는 동의를 받아야 한다.
개인정보보호법 제3조 (출처 : <국가법령정보센터>)카카오 소셜 로그인에 얽힌 개인정보 처리
투두몰은 카카오 소셜 로그인을 활용해 회원가입을 진행한다. 카카오 회원가입은 국내에서 되게 친숙한 기능이라, 많은 분들이 딱히 고민하지 않고 회원가입을 진행한다. 근데, 사실 이 부분에서도 개인정보에 대한 많은 부분이 고려된다. 결론부터 말하면, 카카오 소셜 로그인은 제 3자에게 개인정보를 제공하는 것이다.
필수 영역을 보면, 제3자 제공 동의라고 명시됐다. (출처 : <셀로 나인>)우선, 개인정보의 "제 3자 제공"과 "위탁"을 구분해야 한다. 이 둘의 가장 큰 차이는 목적이 어디에 있느냐에 있다. 전자는 개인정보를 제공 받는 자(제3자)의 이익을, 후자는 사업자의 이익을 목적으로 한다. 그렇기에 "위탁"의 경우에 개인정보 수집 및 이용이 사업자가 정의한 영역에서 벗어날 수 없다. 하지만, "3자 제공"의 경우, 개인정보를 제공 받는 자가 자신의 이익을 위해 새로운 영역을 나아갈 수 있다.
앞서 말했듯, 카카오 소셜 로그인은 제 3자 제공에 해당한다. 만약 카카오가 정의한 개인정보 수집의 목적을 벗어나는 영역이 있다면, 서비스 내에서 다시 한 번 목적에 대한 동의를 받아야 한다. 앞서 말했듯. 개인정보보호법 제15조 2항에 의거해 수집되는 정보의 목적을 명확하게 제시해야 한다. 바꿔말해, 서비스의 개인정보 수집 목적이 카카오에서도 명시한 목적을 충족한다면, 굳이 개인정보 수집 및 동의를 받을 필요가 없다.
그러면, 이 정책을 어떻게 만들어야 하죠?
솔직히 말하면, 변호사 자문을 받는 게 베스트다. 나도 관련 자료를 최대한 많이 찾아봤지만, 변호사의 피드백을 받는 순간에 놓치고 있는 정보가 너무 많음을 깨달았다. 애초에 알지 않은 지식이다보니, 해당 정보의 존재 조차 몰랐다. 물론, 초기 스타트업에서 섵불리 법률 자문을 받는 건 비용적 부담이 클 수 있다. 그래서 내가 해당 정책을 잡을 때, 참고했던 곳들을 공유한다.
이런 꿀팁을!우선 이용약관의 경우에는 공정거래위원회의 모바일게임 표준약관을 참고했다. 물론, 이 약관을 무지성으로 쓰는 게 아니라 자사 서비스의 특성에 맞춰 녹여내는 게 중요하다. 공정거래위원회에서 다양한 도메인, 사업에 대한 표준 약관을 작성했으니, 참고하면 큰 도움이 된다.
개인정보처리방침은 개인정보보호 포털에서 기준 양식을 제공하다. 여기에 자신의 서비스 특징에 맞춰 내용을 작성하면, 큰 뼈대를 완성할 수 있다. 물론, 세부적인 부분은 해당 법과 맥락을 모르면, 자사 서비스에 최적화하기 힘들다. 이런 경우, 개인정보보호위원회에서 집필한 지침 자료가 큰 도움이 된다. 개인정보처리방침에서 각 부분에 대한 맥락 및 개념을 차근차근 설명해준다.
앞서 말했듯, 개인정보처리방침과 개인정보 수집 및 이용 동의는 다르다. 회원가입 단계에서 개인정보 수집 및 이용에 대한 동의를 받다 보니, 이에 대한 고려도 필요하다. 나 같은 경우, 개인정보 수집 및 이용 동의 내용은 행정안전부의 보도 자료를 참고했다.
회사 오피스 툴에 능숙한
일잘러가 되고 싶다면?
