- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 84. 온라인 경품행사 개인정보 보호 가이드라인
- 84.3. 온라인 경품행사 관련 개인정보 처리 시 준수사항
84.3.온라인 경품행사 관련 개인정보 처리 시 준수사항
온라인 경품행사 관련 개인정보 처리 시 준수사항
1. 행사 기획·공지 단계 ㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇㅇ
탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕탕
통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통통
투타타타타타타투타타타타탙투ㅏ타타타
두두두두두두두두두두두두두두두
탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓탓
ㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍㅍ
ㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌㅌ
ㅂㅈㄱㅈㅂㄷㄹㅇㄴㄹㄷㅈㄹㄷㅈㄷㄹㅈㅍ
사과사과사과사과사과카레
행사 기획·공지 → 당첨자 추첨·발표 → 경품 발송 → 행사 종료
| [주요 점검 사항] • 행사 기획 : 개인정보 침해 사례별 준수사항을 반영하여 행사 기획 • 행사 공지 : 경품행사 시 처리되는 개인정보 내용을 구체적으로 공지 |
개인정보 침해 사례별 준수사항을 반영하여 행사 기획
① 행사 운영 계정을 사칭하여 당첨사실을 허위로 알리고 개인정보 수집 및 결제를 유도하는 사례
- 참여자의 ID 등이 일반에 공개되는 경품행사 유형*에서 발생 가능
* 행사를 운영하는 SNS 계정 팔로우, 퀴즈 정답·응원 문구 등을 댓글로 작성, 참여자의 SNS에 사진 등을 게시한 후 운영자가 제시한 해시태그 추가 등
준수사항 비밀댓글 기능 등을 활용하여 참여자의 ID 공개를 차단하되, 공개가 불가피한 경우 참여자가 주의하여
야 할 사항*을 사전에 충분히 안내
* (예시) 개인정보 수집 및 결제를 유도하는 개별 메시지 등을 받으셨다면 정식 계정인지 여부를 반드시 확인하시기 바랍니다.좋은사례 사칭계정으로 개인정보 수집 및 결제 유도 주의 안내
좋은 사례 비밀댓글 기능을 활용하여 참여자 ID 공개 차단
② 참여자 모두를 대상으로 성명·연락처 등 경품 발송에 필요한 개인정보를 수집하는 사례
- 개별 메시지(Direct Message) 또는 별도 양식을 통해 참여 인증자료 등을 제출하는 경품행사 유형에서 발생 가능
준수사항 제출 양식에 경품 발송에 필요한 개인정보(성명, 연락처, 주소 등)는 제외
- 최소수집 원칙에 위배*될 소지가 있으며, 개인정보를 제출하지않는 경우 추첨대상에서 제외하는 등 수집을 강제
하여서는 아니 됨
* 경품 발송에 필요한 개인정보는 당첨자에 한하여 수집하여야 함
잘못된 사례 모든 참여자를 대상으로 개인정보 수집
③ 당첨자 명단 발표 시 당첨자가 식별될 수 있도록 발표하는 사례
- 당첨자 전체 명단을 발표하는 경품행사 시 발생 가능
※ 실명을 기반으로 운영되는 SNS의 경우 당첨자의 실명이 발표될 수 있음
준수사항 당첨자에게 개별적으로 안내하되, 당첨자 전체 명단 발표가 불가피한 경우 본인만 알아볼 수 있게 처리*
* 구체적인 처리 방법은 당첨자 추첨·발표 부분 참조좋은사례 개별 메시지를 통한 당첨자 발표
- 경품행사 시 처리되는 개인정보 내용을 구체적으로 공지
- 경품행사 공지 시 : 개인정보 수집 시점 및 대상*을 안내
* (예시) 경품 발송에 필요한 개인정보(성명, 연락처, 주소 등)는 당첨자 발표 이후 당첨자에 한하여 수집합니다. - 개인정보 수집 시 : 개인정보 수집·이용 목적 및 항목, 보유 기간, 파기 시점* 등을 안내
* (예시) 수집된 개인정보는 경품 발송에만 이용되며, 경품 발송 완료 등 행사 종료 후 지체 없이 파기됩니다.
※ 제세공과금 납부를 위해 당첨자의 주민등록번호 수집이 필요한 경우 해당 사실 및 근거 법령(소득세법
등) 안내
- 경품행사 공지 시 : 개인정보 수집 시점 및 대상*을 안내
| [참고] 경품 발송을 위한 개인정보 처리를 위탁하는 경우(보호법 제26조) |
| ① 위탁업무 수행 목적 외 개인정보 처리 금지 등의 내용이 포함된 문서에 의하여야 함 ② 위탁내용·수탁자 등을 정보주체가 언제든지 쉽게 확인할 수 있도록 홈페이지 등에 공개하여야 함 ③ 개인정보가 분실·유출 등이 되지 않도록 수탁자에 대하여 교육하며, 안전하게 처리하는지 관리·감독하여야 함 ※ 단순 경품 발송을 위해 개인정보 취급을 위탁하는 경우 당첨자의 동의 불필요 * (안내 예시) 경품 발송을 000업체에 위탁하며, 확인을 위해 해당 업체에서 연락이 올 수 있습니다. |
| 예시① 경품행사 공지(참여 여부가 공개되는 유형) |
| ◈ 참여 방법 : 팔로우, 댓글 작성, 해시태그 추가 등 ◈ 참여 기간 : 0월 00일 ~ 0월 00일 ◈ 경 품 : 모바일 쿠폰 00명 / 실물 00명 ◈ 당첨자 발표 : - 일 시 : 0월 00일 - 방 법 : 개별메시지 전송 또는 당첨자 전체 명단 발표 * 사칭 계정을 통해 개인정보 수집 및 결제를 유도하는 사례가 있으니, 관련 개별 메시지를 받는 경우 반드시 정식 계 정 여부를 확인하시기 바랍니다.(본 계정은 행사 운영을 위해 카드 등록 및 결제 관련 정보 등을 절대로 요구하지 않습니다.) * 경품 발송에 필요한 개인정보(성명, 연락처, 주소 등)는 당첨자 발표 이후 당첨자에 한하여 수집합니다. |
| 예시② 경품행사 공지(참여 여부가 공개되지 않는 유형) |
| ◈ 참여 방법 : 인증자료 등을 개별 메시지 또는 별도 양식으로 제출 ◈ 참여 기간 : 0월 00일 ~ 0월 00일 ◈ 경 품 : 모바일 쿠폰 00명 / 실물 00명 ◈ 당첨자 발표 : - 일시 : 0월 00일 - 방법 : 개별메시지 전송 또는 당첨자 전체 명단 발표 * 참여자 식별을 위한 SNS ID 외 경품 발송에 필요한 개인정보(성명, 연락처, 주소 등)는 당첨자 발표 이후 당첨자에 한하여 수집합니다. |
2. 당첨자 추첨·발표 단계
행사 기획·공지 → 당첨자 추첨·발표 → 경품 발송 → 행사 종료
| [주요 점검 사항] • 당첨자 추첨 : 취급자 최소화, 미당첨자의 개인정보 지체 없이 파기 • 당첨자 발표 : 개별 안내 원칙, 전체 명단 발표 시 본인만 알 수 있도록 처리 |
- 당첨자 추첨
- 추첨에 필요한 최소한의 인원만 관여할 수 있도록 취급자 제한
- 더 이상 행사에 필요하지 않는 정보*는 지체 없이 파기
* 개별 메시지 또는 별도 양식을 통해 제출한 미당첨자의 참여 인증자료, SNS ID 등을 추첨 완료 후 지체 없
이 삭제
- 당첨자 발표
- 당첨자 전체 명단을 발표하지 않아도 행사 목적 달성에 지장이 없는 등 발표할 필요가 없을 시 개별적으로 안내하는 것이 바람직함
- 다만, 행사의 투명성 확보 등 전체 명단 발표가 불가피한 경우, 본인만 알아볼 수 있도록 처리*
* (예시①) ID의 끝 3문자(chppe***) 또는 중간(c*pp*ac*)을 처리
(예시②) 참여자의 응모 댓글 작성 시간을 기준으로 당첨자 추첨·발표
※ 담당자의 실수 등으로 별다른 처리 없이 당첨자의 개인정보가 발표되지 않도록 유의
| [처분사례] 개인정보위 의결(제2022-016-133호) |
| 경품행사 당첨자를 공지하는 과정에서 담당자의 실수로 당첨자(102명)가 아닌 전체 참여자(2,326명)의 개인정보 파일을 별다른 처리 없이 게시한 행위에 대하여 과태료(300만원) 부과 |
좋은 사례 본인만 알아볼 수 있게 처리 후 당첨자 발표
잘못된 사례 별다른 처리 없이 당첨자 발표
3. 경품 발송 단계
행사 기획·공지 → 당첨자 추첨·발표 → 경품 발송 → 행사 종료
| [주요 점검 사항] • 당첨자에 한하여 경품 발송에 필요한 최소한의 개인정보 수집 • 개인정보는 경품 발송 목적으로만 이용(수집 목적 외 이용 금지) |
경품 발송에 필요한 개인정보 수집
- (시점) 당첨자 발표 이후 당첨자에 한하여 개별 메시지 발송, 비밀댓글 등을 통해 개인정보 수집
잘못된 사례 행사 기획·공지 시부터 미리 수집한 연락처로 경품 발송
- (항목) 경품의 종류 및 금액에 따라 경품 발송에 필요한 최소한의 개인정보 수집(보호법 제16조)
① (종류) 모바일 쿠폰 : 연락처, 성명(발송에 필요한 경우에 한함)
실물 : 성명, 연락처, 주소
② (금액) 5만원을 초과하여 제세공과금 납부가 필요한 경우 주민등록번호 수집
- 주민등록번호는 법률·대통령령 등에 근거가 있는 경우에 한하여 수집 가능하며(보호법 제24조의2), 수집
시 법적 근거* 명시
* 예시 : 「소득세법」 제21조(기타소득), 제127조(원천징수의무), 제164조(지급명세서의 제출)
잘못된 사례 5만원 이하 경품임에도 당첨자의 주민등록번호 수집
- (방법) 당첨자와의 계약을 이행하기 위하여 필요한 경우로서 당첨자의 동의 없이 수집 가능(보호법 제15조제1항제4호)
- 다만, 당첨자가 개인정보 처리 내용을 인지할 수 있도록 수집 목적, 수집 항목, 보유 기간 등을 안내하는 것
이 바람직함
| 예시 개인정보 수집·이용 안내 | ||||||||||||||||||||
000 경품행사 당첨을 축하합니다! ■ (모바일 쿠폰인 경우) 개인정보 수집·이용 내역
■ (실물인 경우) 개인정보 수집·이용 내역
※ 수집된 개인정보는 경품 발송에만 이용되며, 경품 발송 완료 등 행사 종료 후 지체 없이 파기됩니다.
- 경품행사 운영자 - |
- 수집 목적 외 이용 금지
- 경품 발송 목적으로 수집한 개인정보는 경품 발송을 위해서만 이용하여야 함(보호법 제18조)
- 마케팅 등 당초 수집 목적의 범위를 초과하여 이용하거나 제3자에게 제공하여서는 아니 됨
- 경품 발송 목적으로 수집한 개인정보는 경품 발송을 위해서만 이용하여야 함(보호법 제18조)
4. 행사 종료 단계
행사 기획·공지 → 당첨자 추첨·발표 → 경품 발송 → 행사 종료
| [주요 점검 사항] • 경품 발송 완료 등 행사 종료 후 지체 없이 파기 • 발송을 제3자에게 위탁한 경우 수탁자의 파기 여부도 확인 |
사 종료 후 수집한 개인정보를 지체 없이 파기(보호법 제21조)
- 처리 목적 달성* 등 개인정보가 불필요하게 되었을 경우, 수집한 개인정보를 지체 없이 파기
* 당첨자의 경품 수신 여부 확인 및 관련 문의 응대 종료 후, 특별한 사정이없는 한 경품 발송일로부터 1개월
이내에 파기하여야 함 - 발송을 위한 개인정보 처리를 제3자에게 위탁한 경우, 수탁자가 당첨자의 개인정보를 파기하였는지도 확인
좋은 사례 발송 완료 후 개인정보 파기 및 파기 사실 공지
- 처리 목적 달성* 등 개인정보가 불필요하게 되었을 경우, 수집한 개인정보를 지체 없이 파기
주요 QnA
Q1. 경품행사의 공정성 확보 차원에서 중복 참여를 배제할 목적으로 행사 공지 시 참여자의 이름이나 연락처를 수집해도 되나요?
→ 온라인 경품행사 시 ID로 중복 참여 여부 확인이 가능한데도 이름이나 연락처를 추가로 수집하는 것은 개인정보 최소수집 원칙에 부합하지 않습니다.
Q2. 행사를 진행하는 SNS에 비밀댓글 기능이 없거나, 하루에 개별메시지를 발송할 수 있는 한도가 있는 등 개별 메시지를 통해 당첨사실을 알리는 것이 어려운 경우 전체 명단을 발표해도 되나요?
→ 가급적 개별메시지를 통한 발표가 바람직하나, 당첨자 전체 명단을 공개하는 것이 불가피한 경우 본인만 알아볼 수 있도록 처리 후 발표할 수 있습니다.
Q3. 당첨자 명단 발표 시, 닉네임이 실명인 경우 일부를 마스킹 처리하더라도 본인이 당첨되었는지 여부를 알지 못할 가능성이 있습니다. 이를 방지하기 위하여 연락처를 미리 수집하여 발표 시 사용해도 되나요?(예: 홍*동, 1**4)
→ 연락처를 미리 수집하지 않더라도 당첨자 명단 발표와 함께 비밀댓글 또는 개별 메시지 등을 통해 개별적으로도 안내하여 당첨 여부를 알게 할 수 있습니다.
Q4. 경품발송을 위해 개인정보를 수집할 때 당첨자에게 동의를 받아야 하나요? 현재 개인정보 수집 시, ‘네/아니오’ 형식으로 동의여부를 체크하도록 하고 있는데, 동의 없이 수집 가능하다면 어떻게 수집해야 하나요?
→ 당첨자의 개인정보 수집은 당첨자와의 계약을 이행하기 위하여 필요한 경우로서 동의 없이 가능합니다. 또한, 동의를 받지 않더라도 개인정보 수집 목적·항목, 보유기간 등을 안내하는 것이 바람직하므로, 본 가이드라인에서 제시하는 개인정보 수집·이용 안내서의 내용을 당첨자에게 안내 후 수집하여야 합니다.
수집하여야 합니다 수집하여야 합니다 수집하여야 합니다
