[개인정보보호위원회] 개인정보보호 가이드라인(온라인 경품행사편) (2023.05 제정)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보보호 가이드라인(온라인 경품행사편) (2023.05 제정) 입니다.

업무에 참고하시기 바랍니다.

---

[개요]

□ 추진배경

○ Social Network Service(이하 'SNS') 등 온라인 경품 행사 시 참여자 개인정보 침해사례*가 발생하고 있습니다.

• 대표적인 예로 행사 계정을 사칭하여 개인정보 수집 및 결제 유도, 미당첨자의 연락처, 주소 등 불필요한 개인정보 수집, 당첨자 명단 발표 시 개인 식별 등이 있습니다.

○ 참여자의 개인정보보호 방안에 대한 안내가 필요합니다.

• 행사 운영 관련 개인정보 처리 시 준수해야 할 개인정보보호법(이하 '보호법') 상 원칙 및 법규 안내가 필요합니다. 구체적인 사례를 중심으로 안내하여 참여자의 개인정보를 적극 보호해야 할 필요성이 강조됩니다.

□ 주요 내용

• SNS 등 온라인 경품행사 시 개인정보 침해 예방을 위한 개인정보보호 원칙
• 온라인 경품행사 기획·공지 단계부터 종료까지 단계별 개인정보 처리 원칙

---

개인정보보호 가이드라인온라인 경품행사 편(2023.05).pdf

4.06MB

개인정보보호 가이드라인(온라인 경품행사편)(2023.05) : 개인정보보호위원회

---

[적용 대상 및 범위]

○ 적용대상 : SNS 등 온라인 경품행사 운영자* 및 참여자

• 경품행사 등 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 단체 및 개인 등 개인정보처리자(보호법 제2조 제5호)

○ 적용범위 : 행사 기획·공지 단계까지 과정

• 행사 기획·공지 단계 : 개인정보 침해 사례별 준수사항을 반영하여 기획, 처리되는 개인정보 내용을 구체적으로 공지
• 당첨자 추첨·발표 단계 : 당첨자에게 개별 안내, 당첨자 전체 명단 발표 시 본인만 알아볼 수 있도록 처리
• 경품 발송 단계 : 당첨자에 한하여 경품 발송에 필요한  최소한의 개인정보를 수집하고, 목적 외 개인정보 이용 금지
• 행사 종료 단계 : 경품 발송 완료 등 행사가 종료되어 개인정보가 불필요하게 되었을 때 바로 파기

---

[경품행사 시 개인정보보호 원칙]

○ 개인정보의 처리 목적을 명확히 하고, 필요한 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다.(개인정보보호법 제3조 제1항)

• 목적에 필요한 최소한의 개인정보만을 수집하고, '최소한'이라는 입증 책임은 개인정보처리자가 부담함(개인정보보호법 제16조 제1항)

○ 개인정보의 처리 목적에 필요한 범위에서 적합하게 처리해야 한다.(보호법 제3조 제2항)

• 당초 수집한 목적으로 이용해야 하며, 목적 외 이용 또는 제3자 제공을 하여서 아니 된다.(보호법 제18조 제1항)
• 처리 목적 달성 등으로 개인정보가 불필요하게 되었을 때 지체 없이 파기하여야 함.(보호법 제21조 제1항)

○ 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리해야 한다.(보호법 제3조 제4항)

○ 개인정보의 처리에 관한 사항을 공개하고, 정보주체의 권리를 보장해야 한다.(보호법 제3조 제5항)

• 개인정보 처리 위탁 시 위탁 업무 내용과 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 함(보호법 제26조 제1항)
• 정보주체의 사생활 침해를 최소하하는 방법으로 개인정보를 처리하여야 함(보호법 제3조 제6항)

---

[경품행사 관련 개인정보 처리 시 준수사항]

1. 행사 기획·공지 단계

[주요 점검 사항]

○ 행사 기획 : 개인정보 침해 사례별 준수사항을 반영하여 행사 기획

○ 행사 공지 : 경품행사 시 처리되는 개인정보 내용을 구체적으로 공지

• 개인정보 침해 사례별 준수사항을 반영하여 기획
• 행사 운영 계정을 사칭하여 당첨사실을 허위로 알리고 개인정보 수집 및 결제를 유도하는 사례
• 참여자의 ID 등이 일반에 공개되는 경품행사 유형*에서 발생 가능
• 행사를 운영하는 SNS 계정 팔로우, 퀴즈 정답·응원 문구 등을 댓글로 작성, 참여자의 SNS에 사진 등을 게시한 후 운영자가 제시한 해시태그 추가 등
• 참여자 모두를 대상으로 성명, 연락처 등 경품 발송에 필요한 개인정보를 수집하는 사례
• 개별 메시지(Direct Message) 또는 별도 양식을 참여 인증 자료 등을 제출하는 경품 유형에서 발생

---

2. 당첨자 추첨·발표 단계

[주요 점검 사항]

○ 당첨자 추첨 : 취급자 최소화, 미당첨자의 개인정보는 지체 없이 파기

○ 당첨자 발표 : 개별 안내 원칙, 전체 명단 발표 시 본인만 알 수 있도록 처리

[당첨자 추첨]

• 추첨에 필요한 최소한의 인원만 관여할 수 있도록 취급자를 제한
• 더 이상 행사에 필요하지 않는 정보*는 지체 없이 파기
• 개별 메시지 또는 별도 양식을 통해 제출한 미당첨자의 참여 인증 자료, SNS ID 등을 추첨 완료 후 지체 없이 삭제

[당첨자 발표]

• 당첨자 전체 명단을 발표하지 않아도 행사 목적 달성에 지장이 없는 등 발표할 필요가 없을 시 개별적으로 안내하는 것이 바람직함
• 다만, 행사의 투명성 확보 등 전체 명단 발표가 불가피하면, 본인만 알아볼 수 있도록 처리*

[처분사례]

• 경품행사 당첨자를 공지하는 과정에서 담당자의 실수로 당첨자(102명)가 아닌 전체 참여자(2326명)의 개인정보 파일을 별다른 처리 없이 게시한 행위에 대하여 과태료(300만원) 부과

---

3. 경품 발송 단계

[주요 점검 사항]

• 당첨자에 한하여 경품 발송에 필요한 최소한의 개인정보 수집
• 개인정보는 경품 발송 목적으로만 이용(수집 목적 외 이용 금지)

(항목) 경품의 종류 및 금액에 따라 경품 발송에 필요한 최소한의 개인정보 수집(보호법 제16조)

• (종류) 모바일 쿠폰 : 연락처, 성명(발송에 필요한 경우에 한함)
• (종류) 실물 : 성명, 연락처, 주소

(금액) 5만원을 초과하여 제세공과금 납부가 필요한 경우 주민등록번호 수집

• 주민등록번호는 법률·대통령령에 근거가 있는 경우에만 수집(보호법 제25조의2),  수집 시 법적근거* 명시

---

4. 행사 종료 단계

[주요 점검 사항]

• 경품 발송 완료 등 행사 종료 후 지체 없이 파기
• 발송을 제3자에게 위탁한 경우 수탁자의 파기 여부도 확인

---

※ 해당 가이드라인은 개인정보보호위원회 홈페이지 지침·가이드라인에서 확인할 수 있습니다.