[개인정보] 이용내역 통지대상 구분

■ 배경

1. "A"기업은 PG 휴대폰결제대행서비스를 제공하고 있음

2. PG 휴대폰결제대행서비스는 온라인 서비스 가맹점과 계약하여 가맹점 고객에게 온라인 결제창을 제공하고 있음

3. 결제는 일반결제와 간편결제로 구분하고 있음

    * 일반결제 : 매 결제마다 개인정보 수집/이용 동의를 받고 결제를 진행

    * 간편결제 : 회원가입제 서비스로 최초 결제 시 개인정보 수집/이용 동의를 받고 본인인증을 통해 가입하면

                       이후 결제 시 자동으로 결제처리

4. "A"기업은 개인정보보호법 제20조의2(구. 제39조의8)에 따라 매년 1회 간편결제 이용자에게 개인정보 이용내역을 통지하고 있음

 

■ 검토내용

"A"기업은 회원가입 기반의 간편결제 가입 이용자의 회원정보(이름, 휴대폰번호, 생년월일, 성별)테이블을 생성하여 보관하고 있으며 간편결제 이용자에게만 개인정보 이용내역을 통지하고 있는데 일반결제 이용자에게는 개인정보 이용내역을 통지하지 않아도 되는것인가?

 

■ 검토의견

○ 개인정보보호법 제20조의2(개인정보 이용ㆍ제공 내역의 통지)
- 당사는 개인정보보호법에서 정하는 개인정보 이용내역 통지를 이행해야하는 기준에 부합하는 개인정보처리자임

    1. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자

    2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

 

- 일반결제 이용자는 "A"기업의 고객이 아니며, 매 결제 진행 시마다 개인정보 수집/이용 동의를 받고 개인(신용)정보를 수집하고 있음. 매 결제 시마다 수집하는 개인(신용)정보는 개인정보보호법에 따라 그 목적이 다하여 즉시 파기하여야 하나(해당 결제 처리 완료) 전자금융거래법에 따라 1만원 초과하는 거래데이터를 5년간 보관하도록 되어있음.

 

- 즉, 개인정보보호법의 근거가 아닌 전자금융거래법(상위법)에 따라 일반결제 이용자의 개인정보를 보관하고 있기때문에 개인정보보호법에 따른 이용내역 통지 대상자에서 제외할 수 있음

    ※ 개인정보보호법 시행령 제15조의3 (개인정보 이용ㆍ제공 내역의 통지) 제2항

        4. 법률에 특별한 규정이 있거나 법령 상 의무를 준수하기 위하여 이용ㆍ제공한 개인정보의 정보주체

 

■ 추가 검토요청

"A"기업은 제공되는 결제창에서 "A"기업의 기타 서비스 광고의 홍보를 위하여 별도 선택동의를 받은 고객에게 광고성 문자를 전송하고 있는데 이 경우 고객의 휴대폰번호를 이용하여 주기적으로 광고성 문자를 보내고 있으니 개인정보 이용내역 통지를 해야하지 않는지?

 

■ 추가 검토의견

- 이 경우 일반결제, 간편결제 구분없이 광고성 정보 전송을 위하여 별도 동의를 받고 휴대폰번호를 수집하여 주기적으로 이용하기때문에 개인정보보호법에 따라 매년 1회 이상 개인정보 이용내역을 통지해야 할 것으로 봄

 

(결론)

1) 일반결제, 간편결제를 구분했을 때 일반결제 이용자는 개인정보보호법에 근거하지 않고 기타 법령(전자금융거래법)상 의무를 준수하기 위하여 이용자의 개인정보를 보관 후 파기하므로 개인정보 이용내역 통지대상에서 제외 가능

2) 광고성 정보 전송을 위한 선택 동의는 일반결제, 간편결제 구분없이 휴대폰번호를 수집하여 주기적으로 처리하기 때문에 개인정보보호법에 근거하여 개인정보 이용내역 통지대상에 포함

* 정보통신망법 제50조의 규정을 동시에 준수하여야 함