안녕하세요, 법무법인오킴스에서는
기업법무와 관련된 필요한 법률 사항에 대해
다양한 정보를 전달드리고 있습니다.
기업에서 홈페이지를 개설하는 경우 개인정보처리방침과 이용약관을 작성하여 게시하여야 합니다.
두 법률 문서가 함께 작성되어 게시되는 경우가 많지만, 이 둘의 성격은 상이합니다.
해당 콘텐츠에서 개인정보처리 방침과 이용약관 작성에 대해
자세히 알아보도록 합니다.
✅ 개인정보처리 방침과 이용약관
✔ 개인정보 보호 관련 법규가 궁금하신가요?
✔ 개인정보처리방침 작성 의무를 기억하세요!
✔ 작성 의무가 없는 계약인 이용약관 작성법
개인정보 보호 관련 법규
「개인정보 보호법」은 개인정보 보호 분야의 일반법입니다.
따라서, 「정보통신망법」, 「신용정보법」, 「전자금융거래법」, 「의료법」 등 다른 법률에 특별한 규정이 있는 경우에는 해당 규정들이 우선 적용됩니다. 「개인정보 보호법」은 모든 국민의 개인정보를 보호대상으로 하고,
「정보통신망법」은 정보통신망서비스 제공자의 이용자, 즉 고객이 개인정보를 보호대상으로 하며,
「신용정보법」은 금융기관 고객의 개인신용정보를 보호대상으로 합니다.
개인정보란?
살아있는 개인에 대한 정보로 이름, 주민등록번호, 주소, 신체정보, 재산 정보, 사회적 지위 등 개인을 식별하는 모든 정보를 말합니다.
가령 누군가의 이름만 안다면 누구인지 모르지만 다니는 학교와 이름을 함께 안다면 식별요소가 될 수 있습니다.
이처럼 두 종류 이상의 정보를 합쳐 누구인지 식별한다면 개인정보에 속합니다.
개인정보처리방침 작성 의무
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.(「개인정보보호법」 제2조 제5호)
「개인정보보호법」 제30조에 따라, 개인정보처리자는 개인정보 처리방침 작성 의무가 있습니다.
개인정보처리자에 해당하는 기업들도, 개인정보보호법 제30조에 따른 개인정보 처리방침을 수립하여야 하고 이를 공개해야 합니다.
(「개인정보보호법」 제30조 제1항, 제2항)
개인정보보호법
제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4., 2023. 3. 14.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
3의3. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
(생략) |
개인정보보호위원회에서 개인정보 처리방침의 내용, 공개 여부 등에 대해 평가하고 개선을 권고할 수도 있습니다.
(「개인정보보호법」 제30조의2 제1항)
작성 의무가 없는 계약인 이용약관
개인정보처리방침이 수립 및 공개 의무가 있는 법률 문서인 것임에 반해, 약관은 미리 작성해 놓은 "계약"입니다.
특정 법인 또는 개인에게 작성 의무가 있는 것은 아니고, 기업이나 행정관청 등이 편의를 위해 계약의 내용을 미리 작성해 놓는 것입니다.
「약관의 규제에 관한 법률」 제2조에 따르면,
"약관"
그 명칭이나 형태 또는 범위에 상관없이 계약의 한쪽 당사자가 여러 명의 상대방과 계약을 체결하기 위하여 일정한 형식으로 미리 마련한 계약의 내용을 말합니다.
사업을 통해 서비스를 제공하는 기업이 작성하는 약관에는 보통 개인정보 보호와 이용자 보호에 관한 사항 이외에도,
손해배상, 면책, 제공 서비스의 내용, 서비스 이용자의 의무 등 서비스 제공자와 이용자 사이의 거래 관계에서 분쟁의 소지가 있을 수 있는 사항들에 대해 미리 정하는 내용들이 다양하게 포함되어 있습니다.
개인정보 보호법
제30조 ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다 |
각각의 규제 방법
「개인정보 보호법」 제30조 제1항 또는 제2항 등에 위배되어 개인정보 처리방침이 적절하게 수립 및 공개되지 않은 개인정보 처리자게에는 1천만원 이하의 과태료가 부과됩니다. (같은 법 제75조 제4항 제9호)
「약관의 규제에 관한 법률」 제6조에서 제10조의 불공정한 약관 조항을 계약의 내용으로 한 사업자에 대해,
공정거래위원회는 특정한 경우에 한해 해당 불공정약관조항의 삭제·수정, 시정명령을 받은 사실의 공표, 그 밖에 약관을 시정하기 위하여 필요한 조치를 명할 수 있습니다. (같은 법 제17조의2 제2항)
이 조치에 따르지 않는 경우에는 같은 법 제32조의 벌칙 규정이 적용됩니다.
이외에도, 표준 약관과 다른 내용을 약관으로 사용하면서 약관 표지를 사용하는 경우 등에는 과태료가 부과됩니다. (같은 법 제34조)
약관의 규제에 관한 법률
제6조(일반원칙) ① 신의성실의 원칙을 위반하여 공정성을 잃은 약관 조항은 무효이다.
② 약관의 내용 중 다음 각 호의 어느 하나에 해당하는 내용을 정하고 있는 조항은 공정성을 잃은 것으로 추정된다.
1. 고객에게 부당하게 불리한 조항
2. 고객이 계약의 거래형태 등 관련된 모든 사정에 비추어 예상하기 어려운 조항
3. 계약의 목적을 달성할 수 없을 정도로 계약에 따르는 본질적 권리를 제한하는 조항
(생략)
제17조의2(시정 조치)
② 공정거래위원회는 제17조 를 위반한 사업자가 다음 각 호의 어느 하나에 해당하는 경우에는 사업자에게 해당 불공정약관조항의 삭제ㆍ수정, 시정명령을 받은 사실의 공표, 그 밖에 약관을 시정하기 위하여 필요한 조치를 명할 수 있다. <개정 2013. 5. 28., 2020. 12. 29.>
1. 사업자가 「독점규제 및 공정거래에 관한 법률」 제2조 제3호 의 시장지배적사업자인 경우
2. 사업자가 자기의 거래상의 지위를 부당하게 이용하여 계약을 체결하는 경우
3. 사업자가 일반 공중에게 물품ㆍ용역을 공급하는 계약으로서 계약 체결의 긴급성ㆍ신속성으로 인하여 고객이 계약을 체결할 때에 약관 조항의 내용을 변경하기 곤란한 경우
4. 사업자의 계약 당사자로서의 지위가 현저하게 우월하거나 고객이 다른 사업자를 선택할 범위가 제한되어 있어 약관을 계약의 내용으로 하는 것이 사실상 강제되는 경우
5. 계약의 성질상 또는 목적상 계약의 취소ㆍ해제 또는 해지가 불가능하거나 계약을 취소ㆍ해제 또는 해지하면 고객에게 현저한 재산상의 손해가 발생하는 경우
6. 사업자가 제1항에 따른 권고를 정당한 사유 없이 따르지 아니하여 여러 고객에게 피해가 발생하거나 발생할 우려가 현저한 경우
(생략)
제32조(벌칙) 제17조의2 제2항 에 따른 명령을 이행하지 아니한 자는 2년 이하의 징역 또는 1억원 이하의 벌금에 처한다. |
개인정보의 종류
일반정보 | 이름, 주민등록번호, 주소, 전화번호, 생일, 가족관계 |
신체정보 | 지문, 홍채, DNA, 신장, 건강상태, 진료기록, 장애등급 |
습관, 취미정보 | 여가활동, 선호스포츠, DVD대여기록, 종교, 정당 |
재산정보 | 소득정보, 신용카드번호, 계좌번호, 주택, 토지, 자동차 등 |
사회정보 | 학력, 성적, 상벌기록, 생활기록부, 자격증 보유내역 |
기타정보 | 통화내역, 전자우편, 개인위치, IP주소, CCTV화상정보 |
지금의 시대는 과거와 다르게 개인의 정보가 시스템 상에 모두 기록되고,
인터넷 상에서 대량으로 처리되기 때문에
이 과정에서 개인 정보 유출이 쉽게 발생할 수 있습니다.
개인정보보호법은 개인의 동의를 받지 않고 정보를 수집하거나, 활용하는 것을 금지하며
다른 사람에게 제공받지 못하도록 하는 내용을 포함하고 있습니다.
개인정보보호법의 주요 내용 |
개인정보 보호 대상의 확대 | 개인 정보를 의무적으로 보호해야 하는 대상 기관을 공공 기관으로부터 병원, 동창회 등 민간 부문까지 확대함. |
정보 처리 금지 | 주민 등록 번호, 여권 번호 등과 같은 정보 요구를 원칙적으로 금지하고, 별도로 동의를 얻은 경우에만 가능하도록 함. 회원 가입을 위해 본인 확인이 필요한 경우 아이핀 등의 대체 수단 제공 |
CCTV 처리 기기 규제 | CCTV는 범죄 예방, 수사, 화재 예방 등과 같이 특정한 목적을 위해 사용하는 경우 공개된 장소에 설치 가능하며, 반드시 안내판을 설치해야 함. |
개인정보유출 신고 | 개인 정보가 유출되었을 경우 유출 사실을 해당 개인에게 알리고 대규모로 유출되었을 경우 전문 기관에 신고함 |
정보 수집 이유 고지 | 정보 주체자의 동의를 얻어 정보를 수집하였을 경우 수집된 개인 정보를 목적 범위 안에서 이용해야 하며 수집 목적, 이용 항목, 보유 및 이용 기간을 고지해야 한다. |
새로운 사업과 서비스 개시 및 홈페이지 구성을 앞둔 기업들의 입장에서는,
각 기업들의 사업 내용과 서비스 내용에 적합하고 통상 사용되는 조항들이 잘 포함되도록
법률 전문가의 손길을 거쳐 개인정보 처리방침과 이용약관을 안전하게 준비할 필요가 있을 것입니다.
©(주)법무법인 오킴스. All rights reserved.
<무단 전재 및 재배포 금지>
안녕하세요, 법무법인오킴스에서는
기업법무와 관련된 필요한 법률 사항에 대해
다양한 정보를 전달드리고 있습니다.
기업에서 홈페이지를 개설하는 경우 개인정보처리방침과 이용약관을 작성하여 게시하여야 합니다.
두 법률 문서가 함께 작성되어 게시되는 경우가 많지만, 이 둘의 성격은 상이합니다.
해당 콘텐츠에서 개인정보처리 방침과 이용약관 작성에 대해
자세히 알아보도록 합니다.
✅ 개인정보처리 방침과 이용약관
✔ 개인정보 보호 관련 법규가 궁금하신가요?
✔ 개인정보처리방침 작성 의무를 기억하세요!
✔ 작성 의무가 없는 계약인 이용약관 작성법
「개인정보 보호법」은 개인정보 보호 분야의 일반법입니다.
따라서, 「정보통신망법」, 「신용정보법」, 「전자금융거래법」, 「의료법」 등 다른 법률에 특별한 규정이 있는 경우에는 해당 규정들이 우선 적용됩니다. 「개인정보 보호법」은 모든 국민의 개인정보를 보호대상으로 하고,
「정보통신망법」은 정보통신망서비스 제공자의 이용자, 즉 고객이 개인정보를 보호대상으로 하며,
「신용정보법」은 금융기관 고객의 개인신용정보를 보호대상으로 합니다.
개인정보란?
살아있는 개인에 대한 정보로 이름, 주민등록번호, 주소, 신체정보, 재산 정보, 사회적 지위 등 개인을 식별하는 모든 정보를 말합니다.
가령 누군가의 이름만 안다면 누구인지 모르지만 다니는 학교와 이름을 함께 안다면 식별요소가 될 수 있습니다.
이처럼 두 종류 이상의 정보를 합쳐 누구인지 식별한다면 개인정보에 속합니다.
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.(「개인정보보호법」 제2조 제5호)
「개인정보보호법」 제30조에 따라, 개인정보처리자는 개인정보 처리방침 작성 의무가 있습니다.
개인정보처리자에 해당하는 기업들도, 개인정보보호법 제30조에 따른 개인정보 처리방침을 수립하여야 하고 이를 공개해야 합니다.
(「개인정보보호법」 제30조 제1항, 제2항)
개인정보보호법
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
<개정 2016. 3. 29., 2020. 2. 4., 2023. 3. 14.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
3의3. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
(생략)
개인정보보호위원회에서 개인정보 처리방침의 내용, 공개 여부 등에 대해 평가하고 개선을 권고할 수도 있습니다.
(「개인정보보호법」 제30조의2 제1항)
개인정보처리방침이 수립 및 공개 의무가 있는 법률 문서인 것임에 반해, 약관은 미리 작성해 놓은 "계약"입니다.
특정 법인 또는 개인에게 작성 의무가 있는 것은 아니고, 기업이나 행정관청 등이 편의를 위해 계약의 내용을 미리 작성해 놓는 것입니다.
「약관의 규제에 관한 법률」 제2조에 따르면,
"약관"
그 명칭이나 형태 또는 범위에 상관없이 계약의 한쪽 당사자가 여러 명의 상대방과 계약을 체결하기 위하여 일정한 형식으로 미리 마련한 계약의 내용을 말합니다.
사업을 통해 서비스를 제공하는 기업이 작성하는 약관에는 보통 개인정보 보호와 이용자 보호에 관한 사항 이외에도,
손해배상, 면책, 제공 서비스의 내용, 서비스 이용자의 의무 등 서비스 제공자와 이용자 사이의 거래 관계에서 분쟁의 소지가 있을 수 있는 사항들에 대해 미리 정하는 내용들이 다양하게 포함되어 있습니다.
개인정보 보호법
제30조 ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다
「개인정보 보호법」 제30조 제1항 또는 제2항 등에 위배되어 개인정보 처리방침이 적절하게 수립 및 공개되지 않은 개인정보 처리자게에는 1천만원 이하의 과태료가 부과됩니다. (같은 법 제75조 제4항 제9호)
「약관의 규제에 관한 법률」 제6조에서 제10조의 불공정한 약관 조항을 계약의 내용으로 한 사업자에 대해,
공정거래위원회는 특정한 경우에 한해 해당 불공정약관조항의 삭제·수정, 시정명령을 받은 사실의 공표, 그 밖에 약관을 시정하기 위하여 필요한 조치를 명할 수 있습니다. (같은 법 제17조의2 제2항)
이 조치에 따르지 않는 경우에는 같은 법 제32조의 벌칙 규정이 적용됩니다.
이외에도, 표준 약관과 다른 내용을 약관으로 사용하면서 약관 표지를 사용하는 경우 등에는 과태료가 부과됩니다. (같은 법 제34조)
약관의 규제에 관한 법률
제6조(일반원칙) ① 신의성실의 원칙을 위반하여 공정성을 잃은 약관 조항은 무효이다.
② 약관의 내용 중 다음 각 호의 어느 하나에 해당하는 내용을 정하고 있는 조항은 공정성을 잃은 것으로 추정된다.
1. 고객에게 부당하게 불리한 조항
2. 고객이 계약의 거래형태 등 관련된 모든 사정에 비추어 예상하기 어려운 조항
3. 계약의 목적을 달성할 수 없을 정도로 계약에 따르는 본질적 권리를 제한하는 조항
(생략)
제17조의2(시정 조치)
② 공정거래위원회는 제17조 를 위반한 사업자가 다음 각 호의 어느 하나에 해당하는 경우에는 사업자에게 해당 불공정약관조항의 삭제ㆍ수정, 시정명령을 받은 사실의 공표, 그 밖에 약관을 시정하기 위하여 필요한 조치를 명할 수 있다. <개정 2013. 5. 28., 2020. 12. 29.>
1. 사업자가 「독점규제 및 공정거래에 관한 법률」 제2조 제3호 의 시장지배적사업자인 경우
2. 사업자가 자기의 거래상의 지위를 부당하게 이용하여 계약을 체결하는 경우
3. 사업자가 일반 공중에게 물품ㆍ용역을 공급하는 계약으로서 계약 체결의 긴급성ㆍ신속성으로 인하여 고객이 계약을 체결할 때에 약관 조항의 내용을 변경하기 곤란한 경우
4. 사업자의 계약 당사자로서의 지위가 현저하게 우월하거나 고객이 다른 사업자를 선택할 범위가 제한되어 있어 약관을 계약의 내용으로 하는 것이 사실상 강제되는 경우
5. 계약의 성질상 또는 목적상 계약의 취소ㆍ해제 또는 해지가 불가능하거나 계약을 취소ㆍ해제 또는 해지하면 고객에게 현저한 재산상의 손해가 발생하는 경우
6. 사업자가 제1항에 따른 권고를 정당한 사유 없이 따르지 아니하여 여러 고객에게 피해가 발생하거나 발생할 우려가 현저한 경우
(생략)
제32조(벌칙) 제17조의2 제2항 에 따른 명령을 이행하지 아니한 자는 2년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
일반정보
이름, 주민등록번호, 주소, 전화번호, 생일, 가족관계
신체정보
지문, 홍채, DNA, 신장, 건강상태, 진료기록, 장애등급
습관, 취미정보
여가활동, 선호스포츠, DVD대여기록, 종교, 정당
재산정보
소득정보, 신용카드번호, 계좌번호, 주택, 토지, 자동차 등
사회정보
학력, 성적, 상벌기록, 생활기록부, 자격증 보유내역
기타정보
통화내역, 전자우편, 개인위치, IP주소, CCTV화상정보
지금의 시대는 과거와 다르게 개인의 정보가 시스템 상에 모두 기록되고,
인터넷 상에서 대량으로 처리되기 때문에
이 과정에서 개인 정보 유출이 쉽게 발생할 수 있습니다.
개인정보보호법은 개인의 동의를 받지 않고 정보를 수집하거나, 활용하는 것을 금지하며
다른 사람에게 제공받지 못하도록 하는 내용을 포함하고 있습니다.
개인정보보호법의 주요 내용
개인정보 보호 대상의 확대
개인 정보를 의무적으로 보호해야 하는 대상 기관을 공공 기관으로부터 병원, 동창회 등 민간 부문까지 확대함.
정보 처리 금지
주민 등록 번호, 여권 번호 등과 같은 정보 요구를 원칙적으로 금지하고, 별도로 동의를 얻은 경우에만 가능하도록 함. 회원 가입을 위해 본인 확인이 필요한 경우 아이핀 등의 대체 수단 제공
CCTV 처리 기기 규제
CCTV는 범죄 예방, 수사, 화재 예방 등과 같이 특정한 목적을 위해 사용하는 경우 공개된 장소에 설치 가능하며, 반드시 안내판을 설치해야 함.
개인정보유출 신고
개인 정보가 유출되었을 경우 유출 사실을 해당 개인에게 알리고 대규모로 유출되었을 경우 전문 기관에 신고함
정보 수집 이유 고지
정보 주체자의 동의를 얻어 정보를 수집하였을 경우 수집된 개인 정보를 목적 범위 안에서 이용해야 하며 수집 목적, 이용 항목, 보유 및 이용 기간을 고지해야 한다.
새로운 사업과 서비스 개시 및 홈페이지 구성을 앞둔 기업들의 입장에서는,
각 기업들의 사업 내용과 서비스 내용에 적합하고 통상 사용되는 조항들이 잘 포함되도록
법률 전문가의 손길을 거쳐 개인정보 처리방침과 이용약관을 안전하게 준비할 필요가 있을 것입니다.
©(주)법무법인 오킴스. All rights reserved.
<무단 전재 및 재배포 금지>