개인정보 동의서, 필수·선택 항목 구분부터 제3자 제공까지

1. 개인정보 수집·이용 동의의 일반 구조

개인정보보호법 제15조는 개인정보를 수집·이용하려는 자가 정보주체 로부터 동의를 받을 때 ① 수집·이용 목적, ② 수집 항목, ③ 보유 및 이용 기간, ④ 동의 거부권과 동의 거부 시 불이익 등을 고지하도록 정하고 있다는 것이 일반적인 해석입니다. 따라서 동의서를 작성· 검토할 때 위 네 항목이 모두 명시되어 있는지 먼저 확인하는 것이 안전합니다.

제22조는 동의를 받을 때 필수 동의와 선택 동의를 구분하여 표시하고, 각 동의에 대해 정보주체가 별도로 의사표시를 할 수 있도록 정하고 있다는 것이 일반적인 해석입니다. 즉 「전체 동의」 한 번의 체크 만으로 모든 항목을 처리하는 방식이 아닌, 항목별·목적별 분리 체크박스 방식이 일반적인 운용입니다.

2. 필수 동의 — 본질적 서비스 제공에 필요한 최소 범위

필수 항목은 서비스 제공에 반드시 필요한 최소한의 정보로 한정하는 것이 일반적인 운용 방식입니다. 예를 들어 회원가입 서비스라면 식별 정보(이름·아이디·연락처 일부), 본인 인증을 위한 최소 정보가 필수 항목으로 분류되는 사례가 일반적입니다. 본질적 서비스 제공에 반드시 필요하지 않은 항목(생년월일·성별·관심 카테고리 등)은 가능한 한 선택 항목으로 분리하는 것이 권장됩니다.

필수 항목을 과도하게 넓게 설정하면 「최소 수집 원칙」 위반 논의가 발생할 수 있으므로, 서비스 기획 단계에서 「이 항목 없이 서비스를 제공할 수 있는가」를 기준으로 필수/선택을 구분하는 방식이 안전합니다. 필수 항목 동의를 거부할 경우 본질적 서비스 제공이 제한될 수 있다는 점을 동의서에 명확히 표시하는 것이 일반적입니다.

3. 선택 동의 — 거부 시 처리

선택 항목은 부가 서비스·마케팅·통계·맞춤 추천 등 동의를 거부해도 본질적 서비스 이용에 영향이 없는 항목으로 분류하는 것이 일반적인 운용 방식입니다. 개인정보보호법 제22조 일반론에 따르면 선택 동의 거부를 이유로 서비스 제공을 거부할 수 없다는 견해가 일반적이며, 즉 필수 항목 처리에 기반한 본질적 서비스는 그대로 제공되어야 하고 선택 동의 거부 시 부가 서비스만 제한되는 운용이 일반적입니다.

동의서에는 선택 동의 거부 시 어떤 부가 서비스가 제한되는지 구체적 으로 안내하는 것이 안전합니다. 「전체 동의를 하지 않으면 가입할 수 없다」는 표시는 「선택 동의 강요」로 해석될 가능성이 있으므로, 「선택 동의 항목을 거부해도 회원가입은 가능합니다」 형태의 안내 문구를 함께 두는 방식이 권장됩니다.

4. 제3자 제공 동의 — §17 별도 동의

개인정보를 제3자에게 제공하는 경우 개인정보보호법 제17조는 수집·이용 동의와 별도로 정보주체의 동의를 받아야 한다는 취지로 정하고 있다는 것이 일반적인 해석입니다. 제3자 제공 동의서에는 ① 제공받는 자, ② 제공받는 자의 이용 목적, ③ 제공하는 항목, ④ 제공받는 자의 보유 및 이용 기간, ⑤ 동의 거부권과 거부 시 불이익을 구분하여 표시하는 것이 일반적입니다.

제3자 제공 동의는 수집·이용 동의 체크박스와 별도의 체크박스로 분리하는 것이 안전합니다. 「전체 동의」 한 번의 체크로 수집· 이용과 제3자 제공을 함께 처리하는 방식은 「별도 동의 원칙」 위반 논의가 발생할 수 있는 것이 일반적인 견해입니다. 또한 제3자 제공과 위탁(개인정보 처리 위탁)은 성격이 다르므로 동의서에서 구분해 안내하는 방식이 권장됩니다.

5. 동의서에 반드시 들어가야 할 항목

현장에서 자주 누락되는 항목은 ① 처리자(개인정보처리자) 정보, ② 수집·이용 목적(목적별로 분리), ③ 수집 항목(필수/선택 구분), ④ 보유 및 이용 기간(목적 달성 후 파기 원칙 안내), ⑤ 동의 거부권과 거부 시 불이익, ⑥ 제3자 제공 항목(있는 경우 별도 동의 박스), ⑦ 위탁 항목(있는 경우 위탁사·위탁 업무 안내), ⑧ 만 14세 미만 아동의 경우 법정대리인 동의 절차, ⑨ 정보주체의 권리(열람·정정· 삭제·처리정지 청구) 안내입니다.

동의서의 활자 크기·색상도 점검할 사항입니다. 필수 동의와 선택 동의를 시각적으로 구분하고, 안내 문구를 읽기 쉬운 크기로 표시 하는 것이 권장됩니다. 모호한 표현(「관련 업무」, 「기타」 등)을 사용하면 「목적 명확성 원칙」 위반 논의가 발생할 수 있으므로, 가능한 한 구체적이고 한정된 표현으로 적는 방식이 안전합니다.

6. 동의 철회·정보주체 권리

정보주체는 자신의 개인정보에 관해 동의를 철회하거나, 열람·정정· 삭제·처리정지를 청구할 수 있다는 것이 일반적인 해석입니다. 동의서에 동의 철회 절차와 정보주체 권리 행사 절차(담당자 연락처· 처리 기간 일반론)를 함께 안내하는 것이 안전하며, 동의 철회 시점 이후의 수집·이용·제공은 원칙적으로 중단하는 운용이 일반적입니다.

동의 철회 후에도 법령에서 정한 보존 의무가 있는 정보(예: 일부 거래 기록)는 해당 보존 기간 동안 별도 분리 보관할 수 있다는 것이 일반적인 운용 방식입니다. 다만 보존 사유·기간·범위는 법령에 근거가 있어야 하며, 동의서에 그 일반론을 안내해 두면 정보주체의 오해를 줄이는 효과가 있다는 것이 일반적인 실무 견해입니다.

7. 자주 묻는 질문 3가지

• 개인정보 동의서에서 필수 항목과 선택 항목은 어떻게 구분하나요? 개인정보보호법 제22조는 정보주체에게 동의를 받을 때 필수 동의와 선택 동의를 구분하여 표시하도록 정하고 있다는 것이 일반적인 해석입니다. 필수 항목은 서비스 제공에 반드시 필요한 최소한의 정보(예: 회원가입 시 식별 정보)이고, 선택 항목은 부가 서비스·마케팅·통계 등 동의 거부 시에도 본질적 서비스 이용에는 영향이 없는 항목으로 분리해 표시하는 것이 일반적입니다.
• 선택 동의를 거부하면 서비스를 이용할 수 없나요? 개인정보보호법 제22조 일반론에 따르면 선택 동의 거부를 이유로 서비스 제공을 거부할 수 없다는 것이 일반적인 견해입니다. 즉 필수 항목 처리에 기반한 본질적 서비스는 그대로 제공되어야 하며, 선택 동의 거부 시 부가 서비스(맞춤 광고·이벤트 안내 등)만 제한되는 것이 일반적인 운용 방식입니다.
• 제3자에게 개인정보를 제공할 때도 같은 동의로 충분한가요? 개인정보보호법 제17조는 제3자 제공의 경우 수집·이용 동의와 별도로 정보주체의 동의를 받아야 한다는 취지로 정하고 있다는 것이 일반적인 해석입니다. 동의서에는 제공받는 자·제공 목적·제공 항목·보유 및 이용기간·동의 거부권과 거부 시 불이익을 구분하여 표시하는 것이 일반적이며, 제3자 제공 항목은 별도의 체크박스로 분리하는 것이 안전합니다.

관련 법령

본 가이드는 개인정보보호법 제15조(개인정보 수집·이용), 제17조 (개인정보의 제공), 제22조(동의를 받는 방법) 일반론을 참고하여 작성되었습니다. 인용한 조항의 해석은 가이드 작성 시점의 일반적인 견해이며, 시행령 개정·개별 사안 사정에 따라 결론이 달라질 수 있습니다.

면책