모바일 앱 개발사 개인정보보호법 완전 가이드

모바일 앱은 스마트폰의 위치, 카메라, 연락처, 마이크 등 민감한 정보에 접근할 수 있어 PIPA(개인정보보호법)와 위치정보법, 정보통신망법이 중첩 적용됩니다. 앱스토어 심사에서도 개인정보 처리 방침이 필수 요건이 되면서 법 준수는 출시의 전제 조건이 됐습니다.

1. 앱 권한(Permission) 최소화 원칙

앱이 요청하는 스마트폰 권한은 서비스 목적에 필요한 최소한이어야 합니다.

권한별 PIPA 판단

| 권한 | 민감도 | 주요 처리 기준 | |------|--------|----------------| | 위치 (GPS) | 높음 | 위치정보법 + PIPA 동시 적용, 별도 동의 필수 | | 카메라 | 중간 | 기능 사용 시점에만 접근, 백그라운드 불가 | | 마이크 | 높음 | 음성 녹음 목적 명시, 백그라운드 접근 금지 | | 연락처 | 높음 | 친구 찾기 등 명확한 목적 외 수집 금지 | | 사진·파일 | 중간 | 선택한 파일만 접근 (Android 13+ 세분화) | | 알림(푸시) | 낮음 | iOS/Android 모두 사용자 허용 필요 | | 생체인증 | 높음 | 기기 내 처리, 서버 전송 금지 원칙 |

앱 설치 시 일괄 권한 요청 금지

앱 설치 즉시 모든 권한을 요청하는 방식은 불필요한 정보 수집으로 규제 대상입니다. 권한은 해당 기능을 처음 사용하는 시점에 요청해야 합니다.

✅ 올바른 방식:
카메라 앱 → 사진 촬영 버튼 탭 시 카메라 권한 요청

❌ 잘못된 방식:
앱 설치 시 카메라·마이크·위치·연락처 일괄 요청

2. 위치 정보 처리 — 위치정보법 적용

위치 정보는 PIPA와 함께 **위치정보의 보호 및 이용 등에 관한 법률(위치정보법)**이 별도 적용됩니다.

위치정보사업자 신고 의무

타인의 위치 정보를 수집·이용하는 서비스를 제공하려면 방송통신위원회에 위치정보사업자 신고 또는 허가가 필요합니다.

• 개인이 자신의 위치를 공유하는 경우 (배달 앱 라이더 등): 신고 대상
• 타인의 위치를 조회하는 경우 (가족 위치 공유 앱 등): 허가 대상

위치 정보 동의 요건

[위치 정보 수집·이용 동의]

수집 항목: GPS 기반 현재 위치 (위도·경도)
이용 목적: 주변 매장 검색, 배달 주소 자동 입력
수집 방식: 앱 사용 중만 수집 (백그라운드 수집 별도 동의)
보관 기간: 서비스 이용 목적 달성 시 즉시 파기
제3자 제공: 없음 (배달 업무 위탁 시 위탁사 명시)

백그라운드 위치 수집

앱이 닫혀 있는 상태에서도 위치를 수집하는 것은 별도의 명시적 동의가 필요하며, 이유를 충분히 설명해야 합니다. 부당한 백그라운드 위치 수집은 앱스토어 심사 거절 사유이기도 합니다.

3. 앱 개인정보처리방침

앱스토어 요구사항

• Apple App Store: Privacy Nutrition Label 필수 (데이터 수집 목적·항목 선언)
• Google Play: Data Safety 섹션 필수 (수집 데이터, 공유 여부, 암호화 여부)

앱스토어 선언과 실제 처리방침이 불일치하면 앱 삭제 또는 계정 정지 위험이 있습니다.

인앱 처리방침 접근성

처리방침은 앱 내에서 쉽게 접근 가능해야 합니다.

• 설정 > 개인정보처리방침 메뉴
• 회원가입 화면에서 링크 제공
• 앱 설명 페이지 하단 링크

외부 웹페이지로 연결하는 경우, 해당 페이지가 모바일에서 정상 표시되어야 합니다.

처리방침 업데이트 고지

처리방침 변경 시 앱 내 팝업 또는 푸시 알림으로 고지해야 합니다. 단순 웹페이지 변경만으로는 부족합니다.

4. 푸시 알림 동의

iOS vs Android 차이

| 플랫폼 | 기본 정책 | PIPA 추가 요건 | |--------|-----------|----------------| | iOS | 설치 후 반드시 허용/거부 선택 | 마케팅 푸시는 마케팅 동의 별도 필요 | | Android 13+ | 설치 후 알림 권한 요청 | 동일 | | Android 12 이하 | 기본 허용 | 마케팅 동의 별도 필요 |

푸시 알림 유형별 동의

[푸시 알림 동의 분리]

✅ 동의 없이 발송 가능:
- 주문 완료, 배송 현황 알림
- 결제 완료, 영수증
- 보안 알림 (로그인 감지, 비밀번호 변경)
- 긴급 공지 (서비스 장애 등)

⚠️ 마케팅 동의 필요:
- 할인·쿠폰·이벤트 알림
- 신상품·콘텐츠 추천
- 재방문 유도 알림 ("오랫동안 안 오셨네요")

5. 제3자 SDK·라이브러리

앱에 포함된 광고·분석·소셜 로그인 SDK도 개인정보를 처리합니다.

주요 SDK와 처리 데이터

| SDK | 처리 데이터 | 주의사항 | |-----|-------------|----------| | Google AdMob | 광고 ID, 위치, 앱 사용 패턴 | 개인정보처리방침에 명시 필수 | | Firebase Analytics | 앱 이벤트, 기기 정보 | 미국 서버 국외 이전 고지 | | Facebook SDK | 앱 이벤트, 기기 식별자 | 광고 목적 제3자 제공 동의 필요 | | 카카오 로그인 | 카카오 프로필 정보 | 카카오 이용약관 연동 | | Apple Sign In | 이메일(마스킹 가능) | PIPA 처리방침에 포함 |

SDK가 처리하는 데이터도 앱 개발사의 처리방침에 명시해야 합니다.

SDK 국외 이전

Firebase, AdMob, Amplitude 등 해외 분석·광고 SDK를 사용하면 데이터가 해외 서버로 전송됩니다. 처리방침에 국외 이전 고지가 반드시 포함되어야 합니다.

6. 아동·청소년 앱

만 14세 미만을 대상으로 하거나 이들이 사용할 가능성이 있는 앱:

• 가입 시 생년월일 확인 → 만 14세 미만이면 법정대리인 동의 프로세스
• 행동 타겟 광고 금지 (아동 개인정보보호 강화)
• 위치 추적 기능 제한
• Apple/Google 아동용 앱 카테고리: 더 엄격한 SDK 제한 적용

7. 앱 데이터 삭제 요청 처리

PIPA상 정보 주체는 개인정보 삭제를 요청할 권리가 있습니다. 앱도 이를 지원해야 합니다.

계정 삭제 기능 의무화

Apple App Store는 2022년부터 계정 삭제 기능 탑재를 의무화했습니다. 앱 내에서 계정 삭제가 가능해야 하며, 웹으로만 처리하거나 이메일 문의만으로는 부족합니다.

삭제 처리 기준

삭제 요청 접수 → 5영업일 이내 처리 (PIPA 권고)

삭제 대상:
- 계정 정보 (이름, 이메일, 프로필)
- 이용 기록 (구매 이력 제외)
- 생성 콘텐츠 (요청 시)

보관 유지:
- 거래 기록 (전자상거래법 5년)
- 법적 분쟁 관련 기록 (해결 시까지)

8. PipaGuard 앱 개발사 지원

PipaGuard는 모바일 앱 개발사의 PIPA 준수를 지원합니다.

• 앱 개인정보처리방침 생성기: 앱 유형별 맞춤 방침 초안 (SDK 목록 포함)
• 권한 최소화 체크리스트: 앱 기능별 필요 권한 검토 항목
• 위치정보 동의 템플릿: 위치정보법 + PIPA 통합 동의 문구
• 앱스토어 Privacy Label 가이드: App Store/Google Play 선언 작성 도움

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

모바일 앱에서 PIPA 핵심은 권한 최소화, 위치정보법 준수, SDK 국외 이전 고지 세 가지입니다. 앱스토어 심사와 PIPA 요건이 점점 일치하고 있으므로, 법을 지키면 심사도 통과하고 사용자 신뢰도 얻을 수 있습니다.