안녕하세요. 변변찮은 최변 최철민입니다.
정보통신서비스를 제공하거나 통신판매업을 하시는 스타트업을 위해 준비했습니다. 그건 바로!!
개인정보처리방침
고객 입장에서 마주치는 온라인상의 개인정보처리 규정들은 눈에 들어오지도 않죠. 무슨 글씨가 저렇게 많냐며 제대로 읽지도 않고 "동의"를 누릅니다.
그런데 사업자 입장에서 개인정보처리에 관한 규정을 만들때는 막막할거예요. 그래서 그런지 개인정보처리 규정에 대한 자문 요청이 종종 옵니다. 검토해달라는 요청은 간편하지만 간혹 백지로 오셔서 첫 작성부터 해달라고 하시는 분들도 계시죠. 공익 법률자문하는 저 난감하게^^
어차피 개인정보처리에 관한 약관을 사업자 개인이 처음부터 끝까지 작성할 수도 없고 그럴 필요도 없습니다.
방송통신위원회에 속해 있는 "온라인 개인정보포털"에 들어가시면 관련 각종 서식 및 자료가 있습니다.
https://www.i-privacy.kr/servlet/command.user4.IndexCommand
오늘 다룰 내용은 좀 깁니다. 내용이 있지요. 담당자들이 숙지해두시면 큰 도움이 될 거에요.
그럼 갑니다.
우리 회사가 정보통신서비스 제공자인지?
개인정보 제3자 제공 동의 처리방식을 어떻게 해야하는지?
스마트폰 앱 접근권한을 어떻게 설정해야하는지?
개인정보를 보관하는 기간을 얼마로 해야하는지?
정보통신법 제2조 제1항 제3호
"정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통 신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
1. 스타트업 지원 민관기관에서 행사 티켓을 온라인으로 판매하는 경우에 우리 기관도 정보통신서비스 제공자일까요?
2. 오프라인에서 여행상품을 판매하는 회사입니다. 예약 완료된 여행자들의 개인정보를 메일이나 카톡 등으로 받으려고 하는데 이 경우에도 개인정보처리 규정을 지켜야 하나요?
1. 아닙니다. 정보통신서비스 제공자는 영리목적일 경우에만 해당합니다. 위 기관이 비록 티켓판매를 하더라도 이는 비영리기관이고 비영리 목적이라면 정보통신망법이 적용되지 않습니다. 학술, 종교, 자선단체의 경우에도 마찬가지입니다.
2. 아닙니다. 해당 회사가 정보통신서비스를 이용하여 여행상품을 팔거나 통신판매업체로 등록된 것이 아니라면, 개인정보처리 규정 없이 예약 완료된 고객들의 개인정보를 이메일, 카톡 등으로 받아도 됩니다.
어떤가요? 무작정 개인정보처리 규정을 만들거나 혹은 애초에 규정을 만들 생각조차 하지 않으신 분들! 먼저 자신이 정보통신서비스 제공자인지 생각해보세요.
관련규먼 먼저.
정보통신법 제25조(개인정보의 취급위탁)
① 정보통신서비스 제공자와 그로부터 제24조의2제1항(이용자의 개인정보를 제3자에게 제공, 최변 첨가)에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집ㆍ보관ㆍ처리ㆍ이용 ㆍ제공ㆍ관리ㆍ파기 등(이하 "취급"이라 한다)을 할 수 있도록 업무를 위탁(이하 "개인정보 취급위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다.
사례갑니다.
오픈마켓을 운영하는 스타트업이 상품을 배송하기 위해 택배회사에 고객의 배송 정보(이름, 주소, 연락처 등)를 제공합니다. 이 경우에도 정보통신법 제25조에 따라 개인정보 제3자 제공, 위탁이므로 고객의 별도의 동의를 받아야 할까요?
아닙니다. 원칙적으로는 오픈마켓 회사가 택배회사에게 고객의 정보를 제공하고 정보처리를 위탁하는 경우에 해당하므로 정보통신법 제25조에 따라 이용자의 동의를 별도로 받아야 합니다. 다만, 방송통신위원회는 오픈마켓이 택배회사에 고객 배송정보를 주는 경우에는 이용자의 편의 증진을 위한 것으로 보았습니다. 애초에 오픈마켓이 개인정보 처리방침에 이와 같은 내용을 공개한 것이라면 별도의 동의 절차를 받지 않아도 된다고 보았습니다.
따라서 해당 오픈마켓이 회원가입 신청서에 상품 배송시 배송관련 고객정보가 택배회사에 제공될 수 있음을 공개하면 됩니다.
고객들이 회원가입할 때 개인정보 제공 동의 여부를 체크해야하는 것이 불편하다는 의견이 많다고 합시다. 이 경우 개인정보 수집, 제공 "동의"란에 기본적으로 체크한 상태로 설정하고 고객이 원치 않을 경우에 클릭을 해제하는 방식으로 하고 싶은데 가능할까요?
안됩니다. 정보통신법 제22조에서 개인정보 수집, 이용에 대한 동의를 받는 취지는 이용자가 자신의 개인정보가 수집되고 이용된다는 사실을 명확히 알고 중요사항을 숙지하여 자발적으로 동의여부를 선택하도록 한 것에 있습니다. 따라서 동의란 체크를 디폴드로 해놓는 것은 위법입니다.
관련규정 갑니다.
정보통신법 제22조의2 ② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.
사례 갑니다.
음악 추천 큐레이션 앱을 제공하는 스타트업 입니다. 큐레이션 서비스이다 보니 고객의 정보를 최대한 많이 수집하는 것이 사업에 도움이 됩니다. 이때 앱을 다운받고 이용하려면 위치정보를 필수적 접근권한으로하고 싶은데 가능한가요?
안됩니다. 일반적인 음악 추천 큐레이션 서비스는 이용자의 음악 청취 성향을 파악하고 이를 위한 서비스를 제공하는 것입니다. 폰에 저장되어 있는 음원이나 플레이리스트에 접근하도록 하는 것은 가능할 수 있습니다. 하지만 이와 관계 없는 고객의 위치정보를 필수적 접근권한으로 설정하는 것은 위법할 수 있습니다.
방통위는 '스마트폰 앱 접근권한 개인정보보호 안내서'에서 선택적 접근 권한에 비동의한다고해서 해당 서비스를 제공 거부해서는 안된다고 하였습니다. 또한, 필요적 접근권한인지는 해당 서비스의 범위와 성격, 예상 가능성, 기술적 관련성 등을 고려해야한다고 보았습니다.
따라서 위 사례 경우 고객의 위치정보가 필수적 접근권한 사항으로 보기 힘드므로 이는 선택적 접근권한 사항이고, 선택적 접근권한에 비동의하여도 서비스 제공을 거부해서는 안됩니다.
이 질문이 가장 많이 들어옵니다. 먼저 기억하실 숫자는 1년입니다. 관련규정을 먼저 볼까요?
정보통신망법 제29조(개인정보의 파기)
② 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
개인정보 보관에 대해 워낙 민감한 현실이죠. 간혹 기업들이 고객들의 정보를 유출하는 사건도 발생하구요. 그래서 개인정보 보관기간을 빠듯하게 1년으로 잡은 것입니다. 물론 미용자일 경우에요.
그런데, 이용자가 1년 기간이 너무 짧다며 더 길게 요청하거나, 이용자의 포인트나 마일리지가 있을 경우에는 어떻게 할까요?
위 정보통신망법 제29조 제2항 단서를 보면 됩니다. 이용자가 요청한 경우에는 달리 정할 수 있으므로 애초에 설정할 때 기간을 공란으로 두거나 선택지로 둘 수 있습니다.
예를 들어 아래와 같이 할 수 있죠.
개인정보를 파기 또는 분리 저장. 관리하여야 하는 서비스 미용기간을 o년으로 요청합니다. 다만, 별도의 요청이 없을 경우 서비스 미이용 기간은 1년으로 합니다.
마일리지나 포인트가 있는 경우는 어떻게 할까요? 방통위는 회원에게 제공되는 마일리지, 캐시백, 포인트는 상법에 따라 이용자의 개인정보를 5년간 보유해야한다고 안내합니다. 상법상 채권의 소멸시효가 5년이기 때문이지요. 다만, 이 경우에도 일반 이용자의 정보와 분리하여 별도 저장. 관리해야 합니다(정보통신법 시행령 제16조).
내용 전부를 기억하면 좋지만, 체크포인트라도 머리에 남으면 성공입니다.
개인정보처리 규정을 어떻게 할지 막막했던 분들에게 사이다가 됐길!
https://docs.google.com/forms/d/1lVzihSRJhNKl8EqUlnn2dM2EbUaUb8JkE-Kx7pka4fM