1. 개인정보 수집출처 통지란?
개인정보 수집출처 통지는 말 그대로 ‘개인정보가 어디서부터 수집되었는지’를 정보주체에게 알려주는 제도적 장치입니다.
정보주체(개인) 입장에서는 “도대체 내 개인정보가 어떻게 이 회사(단체)에게 넘어갔지?” 하는 궁금증을 해소하고,
기업이나 단체 입장에서는 법적으로 요구되는 사항을 준수하며, 잠재적 리스크를 줄이는 중요한 수단이 됩니다.
2. 개인정보 수집출처 통지 법적 근거 및 조항
- 개인정보 보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다. <개정 2023. 3. 14.>
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29., 2023. 3. 14.>
1. 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 통지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
- 개인정보 보호법 시행령 제15조의2(개인정보 수집 출처 등 통지 대상ㆍ방법ㆍ절차)
제15조의2(개인정보 수집 출처 등 통지 대상ㆍ방법ㆍ절차)
① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. 이 경우 다음 각 호에 규정된 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균을 기준으로 산정한다. <개정 2023. 9. 12.>
1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)를 처리하는 자
2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 다음 각 호의 어느 하나에 해당하는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다. <개정 2023. 9. 12.>
1. 서면ㆍ전자우편ㆍ전화ㆍ문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
2. 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법
③ 개인정보처리자는 법 제20조제2항에 따라 개인정보의 수집 출처 등에 관한 사항을 알리는 것과 법 제20조의2제1항에 따른 이용ㆍ제공 내역의 통지를 함께 할 수 있다. <신설 2023. 9. 12.>
④ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제5항에 따라 해당 개인정보를 파기할 때까지 보관ㆍ관리하여야 한다. <개정 2023. 9. 12.>
1. 정보주체에게 알린 사실
2. 알린 시기
3. 알린 방법
[본조신설 2016. 9. 29.]
[제목개정 2023. 9. 12.]
- 표준 개인정보 보호지침 제9조(개인정보 수집 출처 등 통지)
제9조(개인정보 수집 출처 등 통지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다.
1. 통지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 통지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.
3. 어떤 상황에서 개인정보 수집출처를 통지해야 하고, 어떤 방법으로 통지해야 할까?
개인정보 보호법 제20조에 따라 "개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리한 때에 1) 정보주체의 요구가 있거나 2) 대통령령으로 정하는 기준에 해당하는 개인정보처리자"일 경우 통지해야 합니다.
먼저, 정보주체 이외로부터 수집한 개인정보를 처리한 때의 몇 가지 상황 예시를 살펴봅시다.
예시 1) 오픈마켓(3자 판매 플랫폼)에서 고객 정보를 전달받는 경우
- 상황 예시
G마켓, 11번가, 네이버 스마트스토어 등 오픈마켓(중개 플랫폼)을 통해 고객이 상품을 주문했고, 해당 플랫폼이 주문 정보를 판매자(쇼핑몰)에게 공유하는 경우
- 핵심 포인트
고객(정보주체)은 오픈마켓에 자신의 개인정보(이름, 주소, 연락처 등)를 입력했을 뿐, 직접 판매자 쇼핑몰에 제공한 것이 아닙니다.
판매자 쇼핑몰은 ‘오픈마켓’이라는 제3자로부터 고객 정보를 수집한 셈이므로, 수집출처 통지 의무가 발생할 수 있습니다. 다만 일반적으로 오픈마켓 이용약관 및 제3자 제공 동의 절차에서 처리 기준이 마련되어 있는지 확인해야 합니다.
예시 2) “선물하기” 기능에서 수취인(제3자) 정보를 입력받는 경우
- 상황 예시
구매자가 “선물하기” 옵션을 선택해 수취인의 이름, 연락처, 주소 등을 입력하여, 수취인에게 직접 배송되도록 하는 경우.
이때 ‘수취인 본인’이 아닌 ‘구매자’가 제3자의 개인정보(수취인)를 입력해 주는 구조입니다.
- 핵심 포인트
선물받는 사람(수취인)은 쇼핑몰에 직접 정보를 제공하지 않았기 때문에, 쇼핑몰은 “정보주체 이외로부터 개인정보를 수집”한 셈이 됩니다.
법적으로는 선물 수취인의 정보가 필요한 최소 범위를 넘어 추가적인 마케팅 용도로 활용하려면 반드시 당사자 본인(수취인)의 동의가 있어야 하며, 수집출처(“구매자가 입력함”)를 안내해야 할 수 있습니다.
예시 3) 공동 프로모션·제휴사·인플루언서 이벤트 등으로 인한 정보 취득
- 상황 예시
쇼핑몰이 유명 인플루언서 또는 다른 업체와 협업해 이벤트를 진행하며, 참여자 정보를 제휴사가 대신 받아 취합한 뒤 공유해주는 경우
예를 들어, 인플루언서가 SNS 이벤트 응모자들의 정보를 수집하고, 이벤트 상품 발송을 위해 쇼핑몰 측에 그 정보를 넘겨주는 상황
- 핵심 포인트
정보를 쇼핑몰이 직접 받지 않고, 제휴사나 인플루언서 측이 수집한 후 전달받는 형태는 전형적인 “정보주체 이외” 수집에 해당합니다.
이벤트 안내 시점에 ‘개인정보를 어느 기업(쇼핑몰)에 제공하는지’, ‘어떤 목적으로 활용하는지’가 안내되어 있어야 하며, 실제 데이터를 전달받은 쇼핑몰 역시 수집출처 통지를 이행해야 합니다.
통지 의무 요건1) "정보주체 요구"가 있는 경우
| 구분 | 내용 |
| 통지 의무가 부과되는 조건 | 정보주체의 요구가 있는 경우 즉시(정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내) 정보주체에게 알려야 함 |
| 통지하여야 할 사항 | 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실 |
| 통지 예외 | - 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 - 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ※ 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한함 |
통지 의무 요건2) " 대통령령으로 정하는 기준에 해당하는 개인정보처리자 "인 경우
| 구분 | 내용 |
| 통지 의무가 부과되는 조건 | 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 개인정보 제3자 제공 동의를 근거로 다른 개인정보처리자로부터 개인정보를 제공받은 경우 |
| 통지 의무가 부과되는 개인정보처리자 요건 | - 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자 - 100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자 ※ (정보주체수 산정기준) 전년도말 기준 직전 3개월 간 일일평균 기준 |
| 통지하여야 할 사항 | 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실 |
| 통지 시기 | - 개인정보를 제공받은 날로부터 3개월 이내 - 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 함 |
| 통지 방법 | 1. 서면·전자우편·전화·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법 2. 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법 |
| 통지 예외 | - 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우 - 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 - 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ※ 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한함 |
| 통지 참고사항 | - 법 제20조제2항에 따라 개인정보의 수집 출처 등에 관한 사항을 알리는 것과 법 제20조의2제1항에 따른 이용·제공 내역의 통지를 함께 할 수 있음 - 정보주체에게 수집 출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관·관리(정보주체에게 알린 사실, 알린 시기, 알린 방법) |
4. 개인정보 수집출처 의무를 위반할 경우, 과징금/과태료/벌칙 부과는 어떻게 될까?
- 과태료 5천만원 이하 : 개인정보 보호법 제20조제1항 · 2항을 위반하여 같은 조 제1항 각 호의 사실을 알리지 아니한 자
- 과징금 부과 기준 없음
- 벌칙(징역 또는 벌금) 부과 기준 없음
'관리체계 > 개인정보보호' 카테고리의 다른 글
| 개인정보 보호법 위반 시 부과되는 과징금, 과태료, 벌칙은 어떤 차이가 있을까? (0) | 2025.02.01 |
|---|---|
| 개인정보 영향평가는 무엇인가요? (0) | 2024.07.25 |
| 개인정보의 종류와 범위가 어떻게 된다구요? (4) | 2024.07.24 |