목차

1. 필요한 최소한의 개인정보 수집 기준
   1-1) 기본원칙
   1-2) 세부사항

2. 단계별 개인정보 파기 기준
   2-1) 개인정보 수집 이용 보관 단계
   2-2) 제공 단계
   2-3) 파기 단계

3. 이해해가 쉬운 동의서 작성 기준
   3-1) 동의 받는 방법
   3-2) 동의 받는 내용

4. 개인정보 열람 제공 등 요구 운영 기준
   4-1) 열람 제공 등 요구 항목 및 방법과 절차 고지
   4-2) 열람 제공 등 요구 메뉴 등 운영
   4-3) 열람 제공 등 요구에 대해 필요한 조치
   4-4) 열람 제공 등 요구 제한 및 거절

5. 개인정보 처리 방침 공개 운영 기준

6. 개인정보 이용내역 통지 운영 기준

---

사업자의 개인정보 최소 수집 이용 문화 정착을 위하여 개인정보의 처리 단계별 기준, 동의절차 및 이용자 권리 보장 운영 기준을 제시

사업자가 수집하는개인정보를 최소한으로 줄이고 단계별 불필요한개인정보는 지체없이 파기하도록 하며, 동의서 양식 등을 이용자가 이해하기 쉽게 작성하도록 기준을 마련하며, 개인정보 열람 제공 요구 등 이용자의 권리 보장을 위한 운영 기준을 마련

---

필요 최소한의 개인정보 수집 기준

필수동의 항목의 범위를 최소화하고, 선택동의 항목에 대한 이용자의 실질적 동의권을 보장

필요한 시점에 수집하도록 하여 불필요한 개인정보 수집 제한

단계별 개인정보의 파기 기준

(수집 이용 보관 단계) 수집 이용 목적, 보유 기간 등을 명확히 하고, 개인정보 파기 사유 발생시 지체없이 파기

(제공단계) 제3자가 제공 시 이용자의 파기 선택권을 보장하고, 처리위탁한 경우 파기확인 등 조치사항을 계약서에 반영

(파기단계) 목적 달성 등 파기 사유 발생 시 지체 없이 파기하고, 법령상 의무이행을 위해 보관하는 경우 별도 분리 보관 및 접근 통제 강화

이해하기 쉬운 동의서 작성 기준

법정 고지사항만을 간결하게 고지하고 쉬운용어 그림 표 강조표시 등을 사용하여 동의서를 읽기 쉽게 개선

필수 동의사항과 그 외 선택동의 사항을 구분하여 동의 내용을 한눈에 알아 볼 수 있도록 표시

개인정보 처리 방침 공개 운영 기준

이용자가 본인의 권리에 대해 쉽게 이해하고 행사할 수 있도록 공개 항목 순서를 변경하거나 별도 목차를 두도록 개선

개인정보 이용내역 통지 운영 기준

이용자가 자신의 개인정보 이용내역을 정확히 알고 통제할 수 있도록 개인정보 이용내역을 개별적ㆍ구체적으로 통지하도록 개선

---

1.기본원칙

1. 해당 서비스의 본질적인 기능을 수행하기 위해 반드시 필요한 개인정보만을 수집해야함

2. 서비스 제공을 위해 반드시 필요한 개인정보에 대해서는 이용자로부터 수집 동의를 받아야하며, 이를 필수 동의 항목

3. 사업자가 해당 서비스의 추가적인 기능 또는 사업자의 필요에 의해 이용자에게 개인정보 수집 동의를 요청할 수 있으며 이를 선택동의 항목이라함

4. 사업자는 이용자의 개인정보 수집 시 필수 동의 항목과 선택동의 항목으로 구분하여 각각의 동의를 받아야 함

5. 또한 선택동의 항목은 서비스 목적별로 나누어 '개별적으로 동의' 받도록 구성하여 이용자가 개인정보 제공여부를 선별적으로 결정하도록 함

• 선택동의 항목은 서비스 목적을 포괄적으로 기재하지 않아야 하며, 구체적으로 기재하여 동의 받아야 함

6. 이용자가 서비스를 실제 이용하는 시점에 이용자의 개인정보 수집 이용 동의를 받도록 하여 미리 동의 받는 관행을 개선함

• 서비스 개시를 위해 필요한 개인정보에 한정하여야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공 시점에 동의를 받아야 함

• 다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택동의 항목으로 분류하여 동의를 받은 경우에는 '미리' 수집 이용이 가능함

2.세부사항

서비스 가입 단계

(온라인) 사업자가 홈페이지를 회원제로 운영하는 경우, 회원계정 생성을 위한 최소한의 개인정보만을 수집해야함

• 회원과 비회원의 서비스 이용에 차이가 없는 경우임에도 홈페이지를 회원제로 운영하고 그 과정에서 불필요한 개인정보를 수집하는 행위는 최소수집 원칙에 반함

• 법률상 의무이행(연령 본인확인 등) 및 서비스 제공에 반드시 필요한 경우를 제외하고, 불필요하게 '이용자 본인확인(휴대전화, 아이핀, 공인인증서, 신용카드 등)'을 강제하면서 개인정보를 요구하는 것은 최소수집 원칙에 반함

(오프라인) 사업자가 서비스 신청인이 본인 또는 대리인인지를 확인하기 위해 신청인에게 신분증 제시를 요구하는 경우에는 확인만 하고 수집 저장하지 말아야 하며,

• 증빙을 위해 수집 저장이 필요한 경우에도 불필요한 정보는 마스킹 처리해야 함

---

동의 없는 수집 이용

(서비스 이용내역 개인정보) 서비스 계약 이행을 위해 필요한 경우로서, 사업자가 서비스 제공 과정에서 수집 생성하는 서비스 이용내역 정보나 자동수집장치에 의해 수집하는 개인정보의 경우에도 최소수집 원칙이 적용됨

• 다만 서비스 제공 과정에서 지속적으로 수집되는 특성으로 인해 매 시점마다 동의를 받는 것이 곤란한 경우에는 동의 없이 수집 가능

• 이 경우에도 수집하는 개인정보의 항목 목적 보유 기간을 특정하여 개인정보 처리방침에 명시해야 함

(요금 정산을 위해 필요한 개인정보) 이용자의 동의 없이도 수집 가능하나, 요금정산이라는 목적을 위해 필요한 최소한의 정보만을 수집해야함

(법률에 특별한 규정이 있는 경우) 이 법 또는 다른 법률상 특별한 규정이 있으나, 수집항목이 포괄적으로 규정된 경우에도 법이 규정한 목적 범위 안에서 최소한의 개인정보만을 수집 이용 보관 해야함

---

단계별 개인정보 파기 기준

(개인정보 수집 시 목적 및 보유 기간 구체적 명시) 수집 이용 목적과 보유 이용 기간을 구체적으로 명시하고, 파기 사유(목적 달성, 보유 이용 기간 종료, 사업폐업 등)발생시에는 지체없이 파기함

• 목적을 더 나은 서비스 제공을 위하여, 서비스 개선을 위하여 와 같이 포괄적으로 제시하지 않아야 하고, 보유 기간을 특정해야 함

(영업점의 개인정보 수집 보관 최소화) 통신사 유료 방송사 등 영업점을 운영하는 사업자(본사)는 영업점에서 보관하는 개인정보를 최소화하도록 개인정보 관리체계(예: 내부관리 계획 등)를 마련하고, 영업점에 대한 관리 감독을 주기적으로 실시해야함.

(서비스 이용단계에서 수집 생성된 정보) 정보통신망법 제22조제2항제1호에 따라 이용자의 동의 없이 이용과정에서 수집 생성하는 정보의 경우에도

• 개인정보 처리방침에 공개한 수집 이용 목적을 달성하였으나 보유 이용 기간이 종료된 경우에는 지체 없이 파기해야 함

(이용자가 동의를 철회하는 경우) 이용자가 개인정보 수집 이용 동의를 철회하는 경우, 법정 의무 이행을 위해 수집된 정보가 아닌 한 지체없이 파기해야함(정보통신망법 제30조 제3항)

제공 단계

(제3자의 제공시의 조치) 이용자의 개인정보를 제3자에게 제공하고자 할 때에는 제3자와의 계약서에 개인정보의 안전한 관리와 파기 의무 및 확인사항을 명시하는 것이 바람직함

• 이용자의 개인정보를 제3자에게 제공한 후, 이용자가 '해당 사업자'
  나 또는 '제3자'에게 선택적으로 파기를 요청할 수 있도록 하며,
  해당 사업자 에게 파기를 요청하면 해당 사업자는 제3자에게 전달하여 계약서에 따라 제3자가 파기하도록 하는 것이 바람직함

(처리위탁시 수탁자에 대한 파기 확인) 개인정보 처리를 위착하고자 할 때에는 수탁자의 개인정보 보호조치 능력 등을 고려하여야 하고, 위탁계약서에 위탁된 개인정보의 안전한 관리와 파기 및 확인 사항을 포함하여 작성해야함

• 계약서 반영 내용 : 개인정보 파기ㆍ보호조치 관련 사항 외에 주기적 확인사항 과 관련한 사항 등

• 이용자는 해당 사업자와 수탁자에게 선택적으로 파기를 요청할 수 있고 해당 사업자와 수탁자는 내부 업무 연락을 통해 파기해야함.

파기 단계

(개인정보의 지체없는 파기 및 예외) 개인정보의 파기 사유가 발생하는 경우 사업자는 지체없이, 복구 재생할수 없는 방법 으로 이용자의 개인정보를 파기해야 함

다만 다른 법률에 따라 개인정보를 보존하여야 하는 경우는 파기의 예외에 해당하며, 다른 법률에 따른 기간 동안 별도 분리 저장 관리 해야함

(장기 미이용자의 개인정보 파기 등)

• (이용자가 미이용 기간을 미리 정한 경우) 해당 기간 경과 후 즉시 파기하거나 별도 분리 저장 관리해야함

• (이용자가 미이용 기간을 미리 정하지 않은 경우) 서비스를 1년 동안 이용하지 않은 이용자의 개인정보는 1년 경과 후 즉시 파기하거나, 다른 이용자의 개인정보와 분리하여 별도로 저장 관리 해야함

(별도 분리 저장 관리)

(대상) 그 자체로 특정 개인이 식별 가능한 개인정보가 포함되어 있는 DB상의 개인정보를 말함

(방법) DB를 분리하는 경우 물리적 분리를 하는것이 바람직하나 논리적 분리(테이블분리 등)도 가능함

논리적 분리의 경우 일반고객 정보와 다르게 보다 엄격한 접근통제 및 외부 해킹방지 등의 보호조치를 하여야 함

(접근통제 강화) 분리 보관된 개인정보는 재이용하거나 제3자에게 제공할 수 없으며 관련 업무 담당자만 연람할 수 있도록 하는 등 접근 통제를 강화 해야 함

(보관기관) 약관이나 개인정보 처리방침에 공개한 보유 기간이 경과하면 분리 보관된 개인정보는 파기해야함

(다른 법률 또는 법령에 따라 개인정보를 보존하여야 하는 경우)
1. 파기 사유가 발생한 경우와
2. 장기 미이용자의 개인정보의 경우, 모두 다른 법령에 따라 개인정보를 보존하여야 한다면 해당 개인정보를 다른 이용자의 개인정보와 분리하여 저장 관리해야 함

• 이 경우에도 이용자의 개인정보가 어떤 사유로 보유되고 있는지 알 수 있도록 개인정보 처리방침에 명시해야 함

파기방법

(종이에 출력된 개인정보나 가입신청서 등)인쇄물 등 파쇄가 가능한 형태인 경우에는 분쇄기 등을 이용하여 재조합이 불가능하도록 물리적으로 파쇄하거나 소각 해야함

(전자적 파일 형태인 경우) 하드디스크, CD/DVD, USB메모리 등의 매체에 전자기적으로 기록된 개인정보는 다시 재생시킬수 없는 기술적 방법으로 삭제하거나 물리적인 방법으로 매체를 파괴하여 복구할 수 없도록 하여야 함

• 파기할 때에는 원본 데이터 외에 백업 데이터가 존재하는 지 여부를 확인하여 백업 데이터를 누락하는 사례가 없도록 주의해야 함

---

이해하기 쉬운 동의서 작성 기준

1. 동의 받는 방법

(읽기 쉽게 동의서 개선) 법정 고지사항 만을 간결하게 고지하고, 일반인이 이해할 수 있을 정도의 쉬운 용어를 사용하도록 하며, 중요 내용은 부호 색체 술고 큰 문자 등을 활용하여 명확하게 표시해야 함

(동의 내용 고지 및 동의 방법) 이용자가 동의여부를 결정하고 자발적 의사에 따라 선택할 수 있는 방법을 마련해야 함

개인정보의 제3자 제공 시, 제공받는 사업자가 회원가입 단계에서 특정되지 않은 경우에는 실제 구매 또는 결제 단계에 제공받는 제3자를 명시하고 동의를 받도록 함(예 : 구매 또는 결제 창 팝업 시 고지 및 동의)

구매(결제) 단계 :
이용자가 직접 동의여부 선택할 수 있도록 동의함 에 미리 표시할 수 없도록 함

• 이용약관 동의, 개인정보 수집 이용 동의 등을 포괄적으로 받지 않도록 함

2. 동의 받는 내용
   법정고지사항 이외의 사항을 장황하게 포함하지 않도록 함

※ 개인정보 처리방침의 내용 전체를 고지하거나 보유ㆍ이용기간을 단순히 개인정보 수집 이용목적 달성 시 까지 와 같이 불명확하게 고지해서는 안되며, 이용자가 파기 사유 발생시점을 명확히 알 수 있도록 표시하여야 함

(중요한 내용) 알아보기 쉽도록 강조하여 표시함

(수집 이용 동의) 수집하는 항목 중 민감정보, 보유 기간, 마케팅 목적, 서비스 제공과 무관한 개인정보 수집 등은 이용자가 동의여부를 결정하는 데 직접적인 영향을 미칠 수 있는 사항임

(제 3자 제공 동의) 제공되는 제3자, 마케팅 목적, 통상의 경우보다 장기의 보유 기간 등을 포함하는 경우는 중요한 내용으로 볼 수 있음

---

개인정보 열람 제공 등 요구 운영 기준

1. 개인정보 열람 제공 등 요구 항목 및 방법과 절차 고지

(열람 제공 등 요구 항목) 개인정보 처리방침(필수)과 홈페이지상의 열람 제공 등 요구 메뉴(선택)를 통해 개인정보 열람 제공 등을 요구할 수 있는 항목을 구체적으로 공개함

• (사업자가 가지고 있는 개인정보) 이용자가 사업자의 서비스를 이용하기 위해 제공한 개인정보 이외에, 서비스 제공 등의 과정에서 자동적으로 생성된 개인정보, 사업자가 이용자의 개입으로 생산한 개인정보등

• (사업자가 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황) 사업자가 이용자의 개인정보를 서비스 제공 등 스스로 목적을 위해 이용한 현황과 물품 배송 위탁 업무 및 사업 제휴 등 사업자 또는 제공받은 자의 업무 처리할 목적으로 제공한 현황

• (사업자에게 이용자가 수집 이용 제공 등의 대해 동의한 현황) 이용자가 사업자의 서비스 이용을 위한 회원가입이나 서비스 관련 정보 수령 등을 위해 사업자에게 개인정보 수집 이용 제공에 동의한 현황

(방법 절차)

• 개인정보 처리 방침(필수)과 홈페이지 상의 열람 제공 등 요구 메뉴(선택)를 통해 개인정보 열람 제공 요구 방법 및 절차를 이용자가 알기 쉽게 공개해야 함

• 개인정보 열람 제공 등 요구를 처리하는 부서의 명칭과 연락처를 명시하되, 고객센터등에 개인정보 민원을 전담하는 직원을 두거나 대표 전화번화나 대표 이메일 주소를 기재하는 것도 가능함

• 개인정보 열람 제공 등을 요구하는 방법은 개인정보 수집 방법보다 쉽게 할 수 있도록 간편한 방법을 마련하여 이용자에게 알려야 함
  EX) 홈페이지, 이메일, 전화

• 이용자가 개인정보 열람 제공 등을 요구하는 경우 개인정보의 수집시에 요구되지 않았던 추가적인 절차를 요구해서는 안됨

---

2. 개인정보 열람 제공 등 요구 메뉴 운영

(별도 메뉴 시스템운영)

• 이용자가 개인정보 열람 제공 요구를 언제든지 간편하게 신청하고 결과를 확인할 수 있도록 열람 제공 요구를 전자적으로 처리할 수 있는 별도의 메뉴나 시스템을 운영할 수 있음

• 별도 메뉴 등을 통해 사업자가 가지고 있는 이용자의 개인정보 뿐만 아니라 제3자 제공 현황과 처리 위탁 현황을 이용자 맞춤형으로 상시 제공하는 것을 권장함

3. 개인정보 열람 제공 등 요구에 대해 필요한 조치

• 열람 제공 등 요구에 대해 사업자는 개인화 조치된 정보의 형태(성명, 연락처, 로그기록, 쿠기 등)로 이용자가 제공받도록 조치해야함

다만 개인화 조치의 여부나 방법은 열람 제공의 대상이 되는개인정보의 성격에 따라 달라질 수 있으며

• 개인화의 의미가 없이 일률적으로 이루어지는 배송이나 고객센터 운영등의 개인정보 처리위탁, 본인확인 관련 개인정보는 개인화 예외 항목으로 운영할 수 있음

이용자의 개인정보 열람 제공 등 요구를 받은 경우 지체없이 회신 해야함

※ 지체없이 란 정당한 사유가 있는 경우를 제외하고는 요구를 받은 날 부터 근무일 기준 10일 이내를 의미함

• 요구되는 개인정보에 따라 회신 기간을 연장 할 수 있으나, 이 경우 이용자에게 연장이 필요한 사유를 통지해야함

• 이용자의 열람 제공 등 요구에 따른 자료 제공으로 발생하는 실비 범위에서 사업자가 정하는 바에 따라 이용자에게 수수료와 우송료
  (사본의 우송을 요구하는 경우에 한함) 청구 할 수 있음

4. 개인정보 열람 제공 등 요구 제한 및 거절

• 사업자는 열람 제공 등을 요구한 목적이 불법적이거나, 목적에 비추어 요구 범위(기간, 항목 등)가 과도하거나, 정당한 이유 없이 반복적으로 요구하는 경우에는 거부할 수 있음

• 사업자는 이용자에게 열람 제공 등을 제한하거나 거절할 경우 그 사유를 알려야 함

• 열람 제공 등을 일부 제한하는 경우, 제한되는 사항을 제외한 부분에 대해서는 열람 제공해야함

※ 필요한 조치를 지체없이 취하지 못하는 경우 예
1. 본인 또는 제3자의 생명, 재산, 신체 또는 권익을 현저하게 해할 우려가 있는 경우

2. 당해 서비스 제공자의 업무에 현저한 지장을 미칠 우려가 있는 경우

3. 다른 법령에 위반하는 경우

---

개인정보 처리방침 공개 운영 기준

공개원칙 : 개인정보 처리방침을 이용자가 언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지 첫 화면 등에 공개해야함

(시행 령 제 14조 참조)

이용자 권리 보호 항목 부각

이용자가 권리를 행사하는데 실질 직접적으로 도움이 되는 항목 과 온라인으로 개인정보를 처리하기 때문에 발생하는 특후한 공개 항목은 이용자가 다른 항목보다 쉽게 확인할 수 있도록 공개할수 있음

가독성 제고 노력

개인정보 처리방침의 많은 내용을 이용자가 읽기 쉽도록 가독성 제고 노력을 해야함

• 공개 항목별 세부사항은 표와 그림을 활용하거나 일부 공개 항목의 경우 이용자가 선택하여 읽을수 있도록 펼침 기능 등을 제공

※ 특히 제3자 제공 업체 및 업무 위탁 업체의 목록은 펼침 기능 등을 활용

---

개인정보 이용내역 통지 운영 기준

기본원칙

• 이용자가 자신의 개인정보 이용내역을 정확히 알고 자기정보를 통제할 수 있도록 하기 위해 사업자는 이용자의 개인정보 이용내역을 연 1회 이상 주기적으로 해당 이용자에게 통지해야함

(통지 대상 사업자)

1. 전년도말 기준 직전 3개월간 개인정보가 저장 관리되고 있는 이용자 수가 일일평균 100만명 이상

※ 전년도 10,11,12월 일일 보유량(개인정보를 보유하고 있는 이용자의 수)의 총합/92(일수)

2. 전년도 정보통신서비스 부문 매출액이 100억원 이상

(이용내역 통지 항목)

1. 개인정보의 수집 이용 목적 및 수집한 개인정보의 항목

2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목

3. 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용

(이용내역 통지 방법)

전자우편, 서면, 모사전송, 전화 또는 이와 유사한 방법 중 어느 하나 선택

---

맞춤형 이용내역 통지

개인정보 처리방침의 내용을 통지하는 수준이 아닌 이용자별로 개인정보의 개별적 구체적인 이용내역을 통지하도록 노력해야함

※ 개인정보의 수집 이용 목적 및 항목과 해당 목적네애서 실제로 제공 위탁한 내역(제3자 제공의 경우 제공받은 자 목적 ㆍ 항목, 처리위탁의 경우 위탁받은 자 목적)을 통지