개인정보 제3자 제공·마케팅 동의, 왜 분리해서 받아야 할까

1. 제3자 제공 동의는 왜 별도로 받아야 할까 (개인정보보호법 §17)

개인정보보호법 제17조는 개인정보 처리자가 정보주체의 개인정보를 제3자에게 제공하려는 경우 정보주체의 동의·법령 근거 등 일정 요건이 충족되어야 한다는 분기를 두고 있다는 것이 일반적인 해석이다. 「제3자 제공」은 통상 동일한 처리자가 동일 목적으로 처리하는 행위와 구별되며, 외부 사업자에게 개인정보를 넘기는 행위로 알려져 있다. 따라서 「수집·이용」을 위한 동의와 「제3자 제공」을 위한 동의는 동의 사항이 서로 다르고, 분리해서 받아야 한다는 견해가 통상이라는 것이 일반적입니다.

제3자 제공 동의를 받을 때에는 일반적으로 ① 제공받는 자, ② 제공 목적, ③ 제공하는 개인정보 항목, ④ 제공받는 자의 보유·이용 기간 등을 명시하도록 되어 있다는 것이 일반적인 운용으로 볼 수 있다. 구체 기재 사항은 시행령에서 정해진 분기를 따르는 것이 통상이며, 본 가이드는 구체 항목을 단정하지 않으니 사안 발생 시점의 시행령 본문을 사전에 확인하는 방식이 안전하다.

2. 마케팅 활용 동의는 별도 동의 의무 (개인정보보호법 §22)

개인정보보호법 제22조는 동의를 받을 때 처리 목적별로 구분해 동의를 받도록 정하고 있다는 분기가 일반적인 해석이다. 마케팅· 광고 등 별도 목적의 동의는 서비스 제공에 반드시 필요한 필수 동의와 별도로 구분되어 받아야 한다는 견해가 일반적이며, 따라서 「필수 동의」와 「선택 동의(마케팅 활용)」 항목을 분리해 두고, 선택 동의를 거부해도 서비스 이용에 제한이 없도록 설계되는 방식이 통상의 실무 운용으로 볼 수 있다.

마케팅 활용 동의를 받지 않은 정보주체에게 광고성 정보를 전송 하는 경우에는 정보통신망법 등 별도 법령에서 정한 제재가 적용될 수 있다는 분기 서술이 통상이다. 위반 시 과태료·과징금 액수는 법령에서 정한 기준에 따라 산정되고 사안에 따라 달라지므로 본 가이드에서는 구체 액수를 단정하지 않으며, 소관 기관 안내를 확인하는 방식이 안전하다는 것이 통상의 권장이다.

3. 동의 철회 절차 (사전 공지 + 처리 중단)

개인정보보호법 일반론에 따르면 정보주체는 자신의 동의를 언제든지 철회할 수 있고, 개인정보 처리자는 철회 시점 이후 해당 목적의 처리를 중단해야 한다는 것이 일반적인 해석으로 볼 수 있다. 철회 절차는 개인정보 처리자가 사전에 공지한 방법(전자우편· 홈페이지 양식·고객센터 등)을 따르는 방식이 통상의 운용이라고 알려져 있으며, 처리자는 철회 방법을 정보주체가 인식할 수 있도록 안내하는 의무가 있다는 견해가 통상이다.

다만 철회 이전에 이미 적법하게 처리된 개인정보에 대해서는 처리 행위 자체가 곧바로 무효가 되지 않을 수 있다는 분기 서술이 통상이며, 보존 의무 법령이 적용되는 경우 일정 기간 보관이 유지되는 사례가 있다고 알려져 있다. 따라서 「동의를 철회하면 모든 정보가 즉시 삭제된다」는 단정은 회피하는 방식이 안전하며, 철회 후 처리 결과를 정보주체에게 통지하는 방식이 통상의 실무 권장으로 알려져 있다.

4. 동의서 양식 설계 — 항목 분리·체크박스 분리

동의서 양식에서는 「필수 동의(수집·이용)」, 「제3자 제공 동의」, 「마케팅 활용 동의(선택)」를 각각 별도 체크박스로 분리하는 방식이 통상의 실무 운용으로 볼 수 있다. 하나의 체크박스로 여러 동의 항목을 묶어 두는 「일괄 동의」 패턴은 동의 분리 의무에 부합하지 않는 사례로 알려져 있어 위반 분기로 이어질 수 있다. 따라서 동의 항목별로 ① 항목명, ② 처리 목적, ③ 처리 항목, ④ 보유 기간을 병기하고 체크박스를 별도로 두는 설계가 권장된다.

특히 마케팅 활용 동의는 「선택」 항목임을 분명히 표기하고, 거부 시에도 서비스 이용에 제한이 없음을 함께 안내하는 방식이 통상의 권장이다. 본 사이트 표준 동의서 양식은 항목 분리·체크박스 분리 설계를 기본 옵션으로 제공한다.

5. 위반 시 적용 가능한 제재 (분기 일반론)

개인정보보호법은 동의 없는 제3자 제공·마케팅 활용 등 일정한 위반 분기에 대해 법령에서 정한 과태료·과징금·시정명령 등을 적용할 수 있도록 정하고 있다는 견해가 일반적입니다. 다만 구체 제재 액수와 적용 범위는 위반 항목·반복 횟수·정보주체 수 등 사안 요소에 따라 달라지는 것이 통상으로 알려져 있어 본 가이드에서는 구체 액수를 단정하지 않습니다. 사전에 소관 기관(개인정보보호 위원회·관할 행정기관) 안내를 확인하는 방식이 권장된다.

6. 동의서 작성 체크리스트

• 필수 동의(수집·이용) 항목과 제3자 제공 동의 항목 분리
• 마케팅 활용 동의는 「선택」 표기 + 별도 체크박스
• 제3자 제공 동의 항목: 제공받는 자·목적·항목·보유 기간 명시
• 철회 방법(전자우편·홈페이지 양식 등) 사전 공지
• 철회 시 처리 중단 시점·기존 처리 정보 분기 안내
• 광고성 정보 전송 시 별도 동의·수신거부 안내 의무 확인
• 위반 시 적용 가능 제재는 소관 기관 안내를 사전 확인

7. 자주 묻는 질문 3가지

• 개인정보 제3자 제공 동의는 왜 별도로 받아야 하나요? 개인정보보호법 제17조는 개인정보 처리자가 정보주체의 개인정보를 제3자에게 제공하려는 경우 정보주체의 동의·법령 근거 등 일정 요건이 충족되어야 한다는 분기를 두고 있다는 것이 일반적인 해석입니다. 같은 법 제22조는 동의를 받을 때 처리 목적별로 구분해 동의를 받도록 정하고 있다는 견해가 일반적이며, 따라서 「수집·이용 동의」와 「제3자 제공 동의」는 항목을 분리해 별도로 동의 의사를 확인하는 방식이 통상의 실무 운용으로 알려져 있다.
• 마케팅 활용 동의는 필수 동의와 묶어서 받아도 되나요? 마케팅·광고 등 별도 목적의 동의는 서비스 제공에 반드시 필요한 필수 동의와 별도로 구분해서 받아야 한다는 것이 개인정보보호법 제22조의 일반적인 해석이다. 따라서 동의서 양식에 「필수 동의」와 「선택 동의(마케팅 활용)」 항목을 분리해 두고, 선택 동의를 거부해도 서비스 이용에 제한이 없도록 설계되는 방식이 통상의 실무 운용이라는 견해가 일반적입니다. 위반 시 법령에서 정한 제재가 적용될 수 있다는 분기 서술이 통상이며, 구체 액수는 소관 기관 안내를 확인하는 방식이 안전합니다.
• 이미 동의한 개인정보 처리는 어떻게 철회할 수 있나요? 개인정보보호법 일반론에 따르면 정보주체는 자신의 동의를 언제든지 철회할 수 있고, 개인정보 처리자는 철회 시점 이후 해당 목적의 처리를 중단해야 한다는 것이 일반적인 해석이다. 다만 철회 이전에 이미 적법하게 처리된 개인정보에 대해서는 처리 행위 자체가 곧바로 무효가 되지 않을 수 있다는 분기 서술이 통상이며, 보존 의무 법령이 적용되는 경우 일정 기간 보관이 유지되는 경우가 있다고 알려져 있다. 철회 절차는 개인정보 처리자가 사전에 공지한 방법(전자우편·홈페이지 양식 등)을 따르는 방식이 권장됩니다.

관련 법령

본 가이드는 개인정보보호법 제17조(개인정보 제3자 제공)·제22조 (동의 받는 방법) 일반론을 참고하여 작성되었습니다. 인용한 조항의 해석은 가이드 작성 시점의 일반적인 견해이며, 시행령 개정·개별 사안 사정에 따라 결론이 달라질 수 있습니다.

면책