- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 145. 개인정보 처리방침 수립 및 공개 의무 가이드: 온라인 쇼핑몰 필수 항목과 법적 위반 사례 분석
전체 목록 보기
이 주제의 전문가를
소개합니다.
145.개인정보 처리방침 수립 및 공개 의무 가이드: 온라인 쇼핑몰 필수 항목과 법적 위반 사례 분석
145.
개인정보 처리방침 수립 및 공개 의무 가이드: 온라인 쇼핑몰 필수 항목과 법적 위반 사례 분석
생성자
기여자
0
온라인 쇼핑몰 필수 항목과 법적 위반 사례 분석
<핵심요약>
온라인 쇼핑몰 운영자는 고객의 개인정보를 수집할 때 제3자 제공 내역을 포함한 8가지 필수 항목을 명확히 명시한 개인정보 처리방침을 수립하고 홈페이지에 공개해야 한다. 필수 항목 누락 시 최대 1천만 원의 과태료가 부과되며, 제3자 제공 사실을 허위로 기재하고 정보를 무단 제공하면 5년 이하의 징역 등 엄중한 형사처벌을 받게 된다. 따라서 타사의 방침을 단순 복사하는 관행에서 벗어나, 사업장의 실제 데이터 수집 및 위탁 흐름과 정확히 일치하는 방침을 설계하여 손해배상 등 법적 리스크를 선제적으로 차단해야 한다.
자세한 기본 법리는 아래 위키들을 참고하십시오.
1. 개인정보 처리방침 수립 및 공개 의무의 개요 및 중요성
온라인 쇼핑몰 운영자는 소비자의 성명, 주소, 연락처 등 다양한 개인정보를 필수적으로 수집하게 된다. 이러한 정보는 정보주체의 프라이버시와 직결되는 민감한 데이터이므로 법률에 따라 엄격하게 관리되어야 한다. 개인정보의 오남용 및 유출을 방지하고 소비자의 알 권리를 보호하기 위해, 온라인 판매자는 자신들이 수집한 개인정보를 어떻게 처리하고 보호하는지 명시한 '개인정보 처리방침'을 수립하고 투명하게 공개할 법적 의무를 부담한다.
2. 관련 법규 및 기본 원칙
온라인 쇼핑몰 운영자는 아래 법령에 따라 반드시 개인정보 처리방침을 수립하고 공개해야 한다. 특히 '제3자 제공'과 '처리 위탁'을 명확히 구별하여 기재해야 하며, 허위 사실을 기재할 경우 단순 누락보다 중한 제재를 받을 수 있음에 유의해야 한다.
- 개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개): 개인정보처리자는 개인정보의 처리 목적, 처리 및 보유 기간, 제3자 제공 현황 등 대통령령으로 정하는 사항이 포함된 개인정보 처리방침을 정하여야 하며, 이를 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
- 개인정보 보호법 제75조(과태료): 개인정보 보호법 제30조 제1항 또는 제2항을 위반하여 개인정보 처리방침을 정하지 아니하거나 이를 공개하지 아니한 자에게는 1천만 원 이하의 과태료를 부과한다.
- 개인정보 보호법 제71조(벌칙): 개인정보 처리방침에 제3자 제공 사실이 없다고 허위로 기재하거나, 정보주체의 동의 없이 개인정보를 제3자에게 무단으로 제공한 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다.
3. 단계별 법적 절차와 핵심 유의사항
- Q: 온라인몰 개인정보 처리방침 작성 시 반드시 포함해야 하는 필수 항목은 무엇인가?
A: 개인정보 보호법 및 관련 법령에 따라 다음의 8가지 항목은 개인정보 처리방침에 필수적으로 기재되어야 한다.
- (1) 수집 및 이용 목적: 구매계약 이행을 위한 상품 배송, 고객 상담 등 구체적인 처리 목적.
- (2) 수집하는 개인정보의 항목: 성명, 전화번호, 주소, 이메일 등 실제 수집하는 정보 내역.
- (3) 개인정보의 처리 및 보유 기간: 회원 탈퇴 시 즉시 파기 또는 전자상거래법 등 타 법령에 따른 보존 기간.
- (4) 개인정보의 제3자 제공에 관한 사항: 제3자 제공 여부를 명확히 하고, 제공 시 제공받는 자와 목적 등 내역 필수 기재.
- (5) 개인정보처리의 위탁에 관한 사항: 택배회사 등 외부 업체에 업무 위탁 시 수탁 업체명과 위탁 업무 내용 명시.
- (6) 정보주체의 권리·의무 및 그 행사방법: 고객이 자신의 개인정보를 열람, 정정, 삭제할 수 있는 구체적인 절차와 방법.
- (7) 개인정보 보호책임자 등에 관한 사항: 책임자의 성명, 직책, 부서, 전화번호 및 이메일 등 연락처.
- (8) 개인정보 유출 대응 절차: 유출 사고 발생 시 고객 통지, 개인정보보호위원회 신고 등 구체적인 조치 방법.
- (1) 수집 및 이용 목적: 구매계약 이행을 위한 상품 배송, 고객 상담 등 구체적인 처리 목적.
- Q: 작성된 개인정보 처리방침은 어떻게 공개하고 관리해야 하는가?
A: 개인정보처리방침은 작성하는 것만큼이나 '공개'가 중요하다. 법은 정보주체가 '쉽게 확인할 수 있도록' 공개할 것을 요구한다.
- 홈페이지 게시: 온라인몰 홈페이지 하단(Footer)에 '개인정보처리방침'이라는 명칭으로 링크를 제공하여, 사용자가 어느 페이지에서든 쉽게 접근할 수 있도록 해야 한다. 글자 크기나 색상을 다르게 하여 눈에 띄게 배치하는 것이 원칙이다.
- 회원가입 시 동의: 회원가입 단계에서 이용약관과 별도로 개인정보처리방침에 대한 동의 절차를 마련해야 한다.
- 변경 시 고지: 내용이 변경될 경우, 홈페이지 공지사항 등을 통해 변경 전후 내용을 비교하여 고지해야 할 의무가 있다.
- 홈페이지 게시: 온라인몰 홈페이지 하단(Footer)에 '개인정보처리방침'이라는 명칭으로 링크를 제공하여, 사용자가 어느 페이지에서든 쉽게 접근할 수 있도록 해야 한다. 글자 크기나 색상을 다르게 하여 눈에 띄게 배치하는 것이 원칙이다.
※ 관련 법률 인사이트
해당 주제에 대한 변호사의 전문적인 분석과 실무적인 조언은 아래 법률 인사이트에서 더 깊이 있게 확인할 수 있습니다.
4. 관련 법규
| 개인정보 보호법 제30조 (개인정보 처리방침의 수립 및 공개) 제1항, 제2항 ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4., 2023. 3. 14 .> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 3의3. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 개인정보 보호법 제71조 (벌칙) 제1호, 2호 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. <개정 2016. 3. 29., 2020. 2. 4., 2023. 3. 14.> 1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 개인정보를 제공받은 자 2. 제18조제1항ㆍ제2항, 제27조제3항 또는 제28조의2(제26조제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 개인정보 보호법 제17조 (개인정보의 제공) 제1항 ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4., 2023. 3. 14 .> 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 개인정보 보호법 제18조 (개인정보의 목적 외 이용ㆍ제공 제한) 제1항, 제2항 ① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4., 2023. 3. 14 .> ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지에 따른 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4., 2023. 3. 14 .> 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 삭제 <2020. 2. 4 .> 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 10. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 개인정보 보호법 제19조 (개인정보를 제공받은 자의 이용ㆍ제공 제한) 개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 개인정보 보호법 제27조 (영업양도 등에 따른 개인정보의 이전 제한) 제3항 ③ 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다. 개인정보 보호법 제28조의2 (가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. ② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다. 개인정보 보호법 제26조 (업무위탁에 따른 개인정보의 처리 제한) 제5항, 제8항 ⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. ⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다. <개정 2023. 3. 14 .> 개인정보 보호법 제75조 (과태료) 제4항 제8호 ④ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. 8. 제30조제1항 또는 제2항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보 처리방침을 정하지 아니하거나 이를 공개하지 아니한 자 |
0
공유하기
최근 작성일시: 2026년 3월 5일
