위반 사례로 보는 개인정보 수집 동의 안전하게 받는 법(필수 체크리스트+문구 예시포함)

고객의 개인정보 보호가 중요하다는 사실은 알고 있지만, 정작 실무에서는 정확히 어떤 항목에 대해 어떻게 동의를 받아야 하는지 알기 어려운 경우가 많습니다. 특히 회원가입 절차를 만들 때나 마케팅 이메일이나 문자를 보낼 때 '이렇게 해도 괜찮나'하는 고민을 자주 하게 되죠.

명확한 개인정보 보호-관리 정책을 구축하지 않으면 나중에 수천만 원 이상의 과징금 부과나 개인정보 유출 사고로 인한 고객 이탈, 브랜드 신뢰 하락과 같은 문제로 이어질 수 있습니다. 실제로 많은 기업들이 잘 몰라서 놓친 개인정보 관리 이슈로 큰 피해를 보고 있죠.

그래서 이번 아티클에서는 스타트업이 반드시 알아야 할 개인정보 관련 핵심 사항과 3가지 상황별 개인정보 수집 동의 문구 예시, 그리고 개인정보 보호 위반 사례까지 정리해 드리겠습니다.

스타트업을 위한 로펌, 저희 임팩터스와 함께 개인정보 관련 문제가 발생하지 않도록 미리 예방해 보세요. 바로 옆에서 법률 자문을 받는다는 느낌이 들 수 있도록 친절히 설명드리겠습니다!

1. 개인정보에는 어떤 것들이 해당될까?

‘개인정보’는 살아 있는 개인에 관한 모든 정보로서, 성명·주민등록번호·영상 등을 통해 특정 개인을 식별할 수 있는 것을 말합니다. 해당 정보만으로는 개인을 식별하기 어렵다 해도, 다른 정보와 결합되어 특정인을 알아볼 수 있다면 역시 개인정보로 분류해야 하죠.

예를 들어, 이메일처럼 흔히 개인정보가 아니라고 생각하기 쉬운 항목도 다른 정보와 결합되면 얼마든지 개인을 특정할 수 있으니 주의해야 합니다.

⚠️ 잠깐, 민감정보도 알고 가셔야 해요.

‘민감정보’는 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보처럼 특히 사생활 침해 우려가 큰 개인정보를 말합니다. 이 정보들을 수집할 때는 별도 동의가 필수적입니다.

특히 최근 AI 기술을 활용해 얼굴·표정 등 각종 생체 정보를 처리하는 경우가 늘어났는데, 이런 신체·건강 관련 정보들은 대부분 ‘민감정보’에 속합니다. 따라서 이미 개인정보 수집동의를 받았다 하더라도 민감정보 수집 동의 절차를 추가로 밟아야 한다는 점을 꼭 기억해 두셔야 합니다.

그렇다면, 개인정보를 수집하기 위해서 동의를 받아야 하는 사항에는 어떤 것들이 있을까요?

2. 개인정보보호법에 따라 동의 받아야 하는 6가지 사항

“고객의 정보를 수집할 때는 개인정보 수집 동의를 받아야 합니다”라고 법률 자문을 드리면, 대부분의 대표님들이 개인정보 수집 이용 동의 하나만 받으면 된다고 생각하시는데요.

개인정보보호법에 따르면 아래 총 6가지 사항에 대한 동의를 개별적으로 받아야 합니다. 물론 해당하는 사항이 있는 경우에만요.

[개인정보보호법에 따라 동의 받아야 하는 6가지 사항]

1. 개인정보 수집 및 이용 동의: 서비스를 제공하거나 업무를 수행하기 위해 필요한 개인정보를 수집하고 이용하는 것에 대한 동의.

2. 개인정보 제3자 제공 동의: 수집한 개인정보를 당초 수집 목적과 다른 목적으로 제3자에게 제공하는 것에 대한 동의.

3. 마케팅 활용 동의: 개인정보를 마케팅 목적으로 활용 (예: 맞춤형 광고 제공, 이메일 뉴스레터 발송 등) 하기 위한 별도의 동의.

4. 개인정보의 목적 외 이용·제공 동의: 원래 수집했던 목적 외의 다른 목적으로 개인정보를 이용하거나 제공할 때 필요한 동의.

5. 민감정보 처리 동의: 개인의 사생활을 심각하게 침해할 우려가 있는 민감정보 (예: 건강 정보, 유전 정보, 범죄 기록 등)를 수집·이용하기 위한 별도의 동의.

6. 개인정보 국외 이전 동의: 수집된 개인정보를 국외에 있는 서버로 이전하거나, 국외의 제3자에게 제공하는 경우 필요한 동의.

이 때 중요한 것은, 반드시 필수 동의와 선택 동의 항목을 구분해서 수집/이용 동의를 받아야 한다는 것입니다. 스타트업들이 가장 실수하기 쉬운 부분이 필수 동의와 선택 동의를 구분하지 않는 것인데요.

✅ 필수 동의 → 서비스 제공을 위해 반드시 필요한 정보
✅ 선택 동의 → 마케팅 활용, 광고 목적 등 부가적인 정보

예를 들어, 서비스 제공을 위해 사용자의 이름과 이메일 주소가 필요한 경우, 서비스 가입 과정에서 이와 같은 정보는 필수적으로 수집할 수 있습니다. 하지만 이 경우에도 광고 메시지 수신 여부는 선택적으로 동의를 받아야 합니다. 만약 이를 하나로 묶어 사용자가 무조건 개인정보 수집에 동의하도록 하면 최대 1천만 원의 과태료가 부과될 수 있습니다.

3. 상황별 개인정보 수집 동의 문구 예시

상황에 따라서 위에서 소개해 드린 6가지 항목 중 필요한 항목에 대한 수집 동의를 각각 받아야 하는데요. 실제 작성하기 어려운 분들을 위해서 문구 예시를 가져왔습니다.

예시는 가장 자주 활용되는 [개인정보 수집 및 이용 동의], [개인정보 제3자 제공 동의], [마케팅 활용 동의] 이렇게 3가지 항목을 준비했습니다.

각 항목별 핵심 개념 정리, 문구 예시, 작성시 체크리스트까지 준비했으니 차근차근 읽고 활용해 보시길 바랍니다.

3.1 개인정보 수집 및 이용 동의

서비스 제공이나 업무를 수행하기 위해 꼭 필요한 개인정보를 어떻게 수집하고, 또 어디에 활용할지 명확히 고지하고 동의를 받는 절차입니다.

기억하셔야할 점은 ‘고객 편의를 위해서’처럼 추상적 표현이 아닌, ‘회원가입 시 본인 확인’, ‘상품 배송’, ‘이벤트 당첨 안내’처럼 구체적으로 안내해야 신뢰도가 높아진다는 점입니다. 또한 선택 항목과 필수 항목을 나눠 동의를 받아야 합니다.

[개인정보 수집 및 이용 동의] 문구 예시
(회사명)은(는) (구체적인 서비스 또는 이벤트 명칭) 제공 및 운영을 위해 다음과 같이 귀하의 개인정보를 수집 및 이용하고자 합니다.

• 수집하는 자: 수집하는 회사명

• 개인정보 수집 및 이용 목적: 구체적인 서비스 또는 이벤트 명칭

• 수집하는 개인정보 필수 항목: 성명, 소속, 이메일 주소

• 수집하는 개인정보 선택 항목: 부서, 직급

• 개인정보 보유 및 이용 기간: (구체적인 서비스 또는 이벤트 명칭) 운영 기간 또는 정보 주체의 동의 철회 시까지

• 동의 거부 권리 및 불이익 안내: 귀하께서는 위 개인정보 수집 및 이용에 동의하지 않을 권리가 있습니다. 동의를 거부하실 경우 (구체적인 서비스 또는 이벤트 명칭)에 참여 할 수 없습니다.
  
  [ ] (필수) 위 개인정보 수집 및 이용에 필수 항목에 동의합니다.
  [ ] (선택) 위 개인정보 수집 및 이용에 선택 항목에 동의합니다.

✅ 개인 정보 수집 및 이용 동의 문구 작성시 체크리스트

1. 필요한 개인정보 항목을 구체적으로 명시하기

2. 선택·필수 항목을 구분해 안내해야 하기

3. 선택 항목에 동의하지 않아도 기본 서비스를 제공받는 데 제한이 없다는 점 알리기.

4. 회사의 전반적인 개인정보 처리 현황을 확인할 수 있도록 별도로 개인정보 처리방침 링크를 제공하기.

3.2 개인정보 제3자 제공 동의

개인정보를 제3자에게 제공하려면, 반드시 별도 동의를 받아야 합니다. 특히 제공받는 자가 누구이고, 어떤 목적으로 얼마 동안 보유·활용하는지도 구체적으로 밝혀야 합니다.

[개인정보 제3자 제공] 문구 예시
(회사명)은(는) (구체적인 서비스 또는 이벤트)를 위해 다음과 같이 귀하의 개인정보를 제3자에게 제공하고자 합니다.

• 제공받는 자: 제공받는 회사명

• 제공받는 자의 이용 목적: 구체적인 서비스 또는 이벤트 명칭

• 제공하는 개인정보 항목: 이름, 연락처, 이메일 주소

• 제공받는 자의 개인정보 보유 및 이용 기간: 수집일로부터 N일

• 동의 거부 권리 및 불이익 안내: 귀하께서는 개인정보 제3자 제공에 동의하지 않을 권리가 있습니다. 동의하지 않을 경우 구체적인 서비스 또는 이벤트를 제공받을 수 없습니다.
  
  [ ] (선택) 위 개인정보 제3자 제공에 동의합니다. 

✅ 개인정보 제3자 제공 동의 문구 작성시 체크리스트

1. 원칙적으로는 처음 개인정보를 수집할 때 고지한 목적 안에서만 활용하기.

2. 목적 범위를 벗어나는 제3자 제공은 매우 엄격하게 제한하기.

3. 제공받는 자가 개인정보를 언제까지 보관·이용할지도 구체적으로 안내하기.

4. 마케팅 목적으로 쓰인다면 별도 동의를 확실히 받기.
   

3.3 마케팅 활용 동의

개인정보를 마케팅에 활용하는 경우(맞춤형 광고, 이메일 뉴스레터 발송 등) 기본적인 수집·이용 동의와는 별도로 명확히 동의를 얻어야 합니다.

[마케팅 활용 동의] 문구 예시
(회사명)은 (는) 귀하에게 다음과 같은 마케팅 정보를 제공하기 위해 귀하의 개인정보를 활용하고자 합니다.

• 마케팅 정보의 내용: [구체적인 마케팅 정보 내용 명시 - 예: 신상품/서비스 안내, 이벤트 및 프로모션 정보, 맞춤형 광고 등]

• 활용하는 개인정보 항목: [마케팅 활용에 필요한 개인정보 항목 명시 - 예: 이름, 연락처, 이메일 주소, 구매 내역, 관심사 등]

• 개인정보 보유 및 이용 기간: [마케팅 활용을 위한 보유 및 이용 기간 명확히 명시 - 예: 동의 철회 시까지, 회원 탈퇴 시까지 등]

• 동의 거부 권리 및 불이익 안내: 귀하께서는 위 마케팅 활용에 동의하지 않을 권리가 있습니다. 동의를 거부하실 경우에도 서비스 이용에는 제한이 없습니다. 다만, 마케팅 정보를 받아보실 수 없습니다.
  
  [ ] 위 마케팅 활용에 동의합니다.(선택) 

✅ 마케팅 활용 동의 문구 작성시 체크리스트

1. 반드기 ‘선택’ 동의로 작성하기

2. 동의 여부에 따른 차별 대우 하지 않기.

3. 어떤 식으로, 어떤 채널을 통해 마케팅 정보를 제공할 것인지 명확히 알리기.

4. 정보 주체가 언제든 동의를 철회할 수 있도록 배려하기.
   

4. 개인정보보호법을 위반하면 어떤 처벌을 받나요?

개인정보 보호법 위반은 결코 가볍게 볼 일이 아닙니다. 법적 제재부터 금전적 손실, 고객 신뢰 하락까지 다양한 방식으로 타격을 입을 수 있죠. 대표적으로 아래와 같은 처벌이 있을 수 있습니다.

🚨 동의받지 않고 개인정보를 수집 → 매출액의 최대 3% 과징금
🚨 개인정보 보호 미흡으로 사고 발생 → 매출액의 최대 3% 과징금
🚨 개인정보 보호 조치를 소홀히 하여 정보 유출 발생 → 매출액의 최대 3% 과징금 및 피해 보상 책임
🚨 개인정보를 목적 외로 이용하거나 제3자에게 제공한 경우 → 최대 5천만 원 이하의 과태료
🚨 정보주체의 요청에 따라 개인정보를 파기하지 않은 경우 → 최대 3천만 원 이하의 과태료
🚨 선택 동의를 필수 동의로 강제 → 최대 1천만 원 과태료

이외에도 고객 신뢰도 저하와 법적 분쟁, 사업 운영에 차질이 생길 수 있으니, 문제를 예방하는 것이 무엇보다 중요합니다.

5. 스타트업을 위한 개인정보 보호 위반 사례 예시

개인정보 관련 이슈가 얼마나 치명적인지는 실제 문제가 벌어지지 않으면 체감하기가 어렵습니다. 그래서 이번에는 가상의 사례를 통해서 스타트업들이 실수할 법만 개인정보 보호 위반 사례를 준비했습니다.

실제로 충분히 일어날 수 있는 상황들이니, 같은 실수를 저지르고 있진 않은지 점검해 보시기 바랍니다.

[A 푸드 딜리버리 스타트업] – 동의 절차 없이 필수 정보만 수집한 사례

A사는 고객이 회원가입할 때 이름, 전화번호, 주소를 필수로 입력하도록 하였습니다. 그러나 이 정보를 수집할 때 별도의 개인정보 수집·이용 동의를 받지 않았습니다. 고객이 입력한 정보가 자동으로 저장되었고, 배달에만 사용되었기 때문에 문제가 없다고 생각했던 것입니다.

위반 내용: 개인정보 보호법 제15조(개인정보의 수집·이용)에 따라 개인정보를 수집할 때는 반드시 고객으로부터 사전 동의를 받아야 합니다. 하지만 A사는 이러한 동의 절차를 거치지 않아 행정처분을 받게 되었고, 개선 명령과 함께 과징금이 부과되었습니다.

[B 핀테크 스타트업] – 데이터베이스 해킹으로 고객 계좌 정보 유출

B사는 사용자의 계좌 정보를 연동하여 핀테크 서비스를 제공하였습니다. 그러나 보안 관리가 미흡하여 내부 개발 서버에 저장된 고객의 계좌 정보가 해킹되는 사고가 발생했습니다. 고객 5만 명의 계좌번호와 은행 정보가 다크웹에 유출되었고, 일부 고객의 계좌에서는 소액 인출 피해까지 발생했습니다.

위반 내용: 개인정보 보호법 제29조(안전조치 의무)에 따라 기업은 개인정보 보호를 위한 기술적·관리적 조치를 철저히 해야 합니다. B사는 암호화 조치를 제대로 하지 않았고, 보안 점검도 소홀했던 사실이 밝혀졌습니다. 이로 인해 회사는 매출의 3%에 해당하는 5억 원의 과징금을 부과받았고, 고객의 신뢰 회복에도 큰 어려움을 겪었습니다.

[C 이커머스 스타트업] – 마케팅 수신 동의 없이 광고 문자 발송

C사는 회원가입 시 ‘개인정보 수집·이용 동의’만 받았고, 마케팅 목적 활용에 대한 별도의 동의를 받지 않았습니다. 그러나 가입한 고객들에게 할인 행사나 신상품 안내 등 광고 문자를 지속적으로 발송했습니다. 이로 인해 불만을 느낀 고객들이 개인정보보호위원회에 신고했고, C사는 조사를 받게 되었습니다.

위반 내용: 정보통신망법 제50조(영리 목적의 광고성 정보 전송 제한)에 따라, 마케팅 목적으로 개인정보를 이용하려면 반드시 고객으로부터 별도의 동의를 받아야 합니다. C사는 이러한 별도의 광고성 정보 수신 동의를 받지 않아 3천만 원의 과태료 처분을 받았습니다.

[D 헬스케어 스타트업] – 민감정보 별도 동의 없이 신체 정보 수집

D사는 사용자들의 건강 상태를 분석하여 맞춤형 식단을 추천하는 서비스를 제공했습니다. 회원가입 시 키, 몸무게, 병력 등의 민감한 정보를 입력받았으나, 일반적인 개인정보 수집·이용 동의만 받고 민감정보에 대한 별도의 동의는 받지 않았습니다.

위반 내용: 개인정보 보호법 제23조(민감정보 처리 제한)에 따르면, 건강 정보와 같은 민감정보를 수집할 때는 반드시 별도의 명시적 동의를 받아야 합니다. D사는 이 규정을 위반하여 과징금 처분을 받았으며, 서비스 개선 명령까지 이행해야 했습니다.

6. CRM 마케팅 성과를 높이는 개인정보 수집 가이드라인이 필요하다면?

최근 광고 피로감의 증가와 함께 기존 광고를 통한 고객 유치 효율이 점차 낮아지는 추세입니다. 이에 따라 이미 자사 제품이나 서비스를 경험한 고객과의 관계를 강화하여 재구매를 유도하는 CRM 마케팅의 중요성이 더욱 부각되고 있는데요.

많은 기업들이 고객 데이터를 수집하여 마케팅에 활용하면서 개인정보보호 관련 법규 위반 사례 또한 증가하고 있습니다. 이런 점에서 CRM 마케팅을 본격적으로 도입하고 실행하기 전에 개인정보 수집 및 활용에 대한 전문가의 법률 자문을 구하는 건 이제 선택이 아닌 필수입니다.

특히 단순히 안전한 개인정보 수집을 넘어, 더 많은 고객의 DB를 효율적으로 수집하는 정책을 설계하고자 한다면, 스타트업 자문 경험이 풍부한 스타트업 전문 변호사에게 자문을 받는 게 좋습니다.

임팩터스는 스타트업 전문 변호사들이 모여 창립한 스타트업을 위한 로펌입니다. 풍부한 스타트업 자문 레퍼런스를 보유한 로펌을 찾으신다면, 임팩터스에 문의해 보세요!

👉 법률 이슈를 비즈니스 임팩트를 풀어내는 로펌, 임팩터스에 문의하기