크라우드펀딩·P2P투자 플랫폼 개인정보보호법 가이드

크라우드펀딩과 P2P 투자 플랫폼은 투자자, 창작자(또는 차입자), 플랫폼 운영사가 복잡하게 얽히는 구조입니다. 금융정보, 신원확인 데이터, 투자 내역이 다수 당사자 간에 오가는 과정에서 개인정보보호법(PIPA) 의무가 중첩 적용됩니다. 특히 온라인투자연계금융업법(온투법)과 PIPA가 교차하는 지점을 정확히 이해해야 합니다.

1. 크라우드펀딩 유형별 개인정보 처리 특성

유형별 데이터 흐름 비교

| 플랫폼 유형 | 수집 주요 데이터 | 특이 규제 | |-----------|--------------|---------| | 리워드형 (킥스타터류) | 이름, 주소, 결제정보 | 전자상거래법, PIPA | | 후원형 (비영리) | 기부자 정보 | 개인정보보호법, 공익법인법 | | 지분형 (증권형) | 투자자 신원, 금융정보 | 자본시장법, 온투법, PIPA | | 대출형 (P2P) | 차입자 신용정보, 투자자 정보 | 온투법, 신용정보법, PIPA |

각 유형마다 적용되는 법령이 달라지며, 특히 지분형·대출형은 금융 당국 규제와 PIPA가 동시에 적용되어 데이터 처리 요건이 까다롭습니다.

2. 투자자 신원확인(KYC)과 개인정보 처리

KYC 데이터의 법적 성격

금융 규제상 의무인 고객확인(KYC)은 대량의 개인정보를 수집합니다. 이 데이터는 PIPA상으로는 법령상 의무 이행 목적으로 수집되므로 별도 동의 없이도 가능하지만, 목적 외 활용은 엄격히 금지됩니다.

KYC 수집 항목별 처리 기준:

| 수집 항목 | 수집 근거 | 보관 기간 | 목적 외 활용 | |---------|---------|---------|-----------| | 실명·주민번호 | 온투법·특금법 | 계약 종료 후 5년 | 금지 | | 신분증 사본 | 특금법 | 5년 | 금지 | | 계좌번호 | 온투법 | 5년 | 금지 | | 투자 한도 확인용 소득 증빙 | 온투법 | 5년 | 금지 | | 투자 성향 설문 | 자본시장법 | 5년 | 마케팅 활용 시 별도 동의 |

주의사항: KYC 데이터를 마케팅, 상품 추천 알고리즘, 제3자 신용평가에 활용하는 것은 수집 목적 외 사용으로 PIPA 위반입니다.

3. 창작자·차입자 정보 공개 범위

공개 정보와 비공개 정보 구분

크라우드펀딩 특성상 프로젝트 창작자나 차입자 정보가 일부 공개됩니다. 어디까지 공개할 수 있는지 명확히 해야 합니다.

공개 가능한 정보 (정보주체 동의 기반):

사업자 상호명, 대표자 이름 (사업자 등록 공개 정보)
프로젝트 소개, 사업 계획
자금 조달 목적 및 사용 계획
과거 펀딩 성공 이력

원칙적 비공개 (별도 동의 없이 공개 금지):

주민등록번호, 생년월일 전체
개인 연락처, 주소
개인 신용 점수·신용 등급
가족 관계, 건강 정보

투명성 고지 의무: 창작자·차입자에게 가입 시 어떤 정보가 어느 범위까지 투자자에게 공개되는지 명확하게 고지하고 동의를 받아야 합니다.

[창작자 정보 공개 동의]
다음 정보가 플랫폼에 공개됩니다:
✓ 대표자 성명
✓ 사업자등록번호 앞 6자리
✓ 프로젝트 소재지 (시·군·구)
✗ 주민등록번호: 비공개
✗ 개인 연락처: 비공개 (플랫폼 중개 메시지만 허용)

4. 투자자 간 정보 노출 방지

투자자 프라이버시 보호

다수 투자자가 동일 프로젝트에 참여하는 구조에서 투자자 간 개인정보가 노출되지 않도록 해야 합니다.

기술적 보호 조치:

투자자 목록 공개 시 실명 대신 익명 ID 사용 (투자자 #1234)
투자 금액 공개 여부는 투자자가 선택 가능하게 설정
프로젝트 창작자가 개별 투자자 신원을 조회할 수 없는 구조
투자자 간 직접 연락처 공유 중개 금지

대출형 P2P의 차입자-투자자 정보 분리:

투자자 → 플랫폼 → 차입자
(투자자는 차입자 익명 신용정보만 확인)
(차입자는 투자자 신원 불가 접근)

5. 신용정보 처리와 개인정보보호법

신용정보법과 PIPA 교차 적용

대출형 P2P 플랫폼은 차입자 신용 평가를 위해 신용정보를 활용합니다. 이때 신용정보법과 PIPA가 동시에 적용됩니다.

신용정보 수집·활용 시 준수 사항:

신용정보 조회 동의: 나이스(NICE), KCB 등 신용평가사 조회 시 별도 동의 필수
신용정보 활용 목적 제한: 대출 심사 외 마케팅·제3자 제공 금지
신용정보 보관 기간: 신용정보법상 최대 5년, 이후 파기
오류 정정 요청권: 차입자가 신용정보 오류 시 정정 요청 채널 운영 의무

[신용정보 조회 동의 - 필수]
□ 나이스평가정보 신용정보 조회 동의
  - 목적: 대출 한도·금리 산정
  - 조회 기관: 나이스평가정보㈜
  - 보관 기간: 대출 계약 종료 후 5년
  - 거부 시 불이익: 대출 신청 불가

6. 마케팅 활용과 개인정보 분리 관리

투자 데이터 기반 마케팅의 함정

투자 내역, 관심 프로젝트 카테고리, 투자 금액대 등은 개인의 재산 상황을 추론할 수 있는 민감한 데이터입니다. 이를 마케팅에 활용하려면 반드시 별도 동의가 필요합니다.

허용 vs. 금지 마케팅 활용:

| 활용 방식 | 허용 여부 | 조건 | |---------|---------|-----| | 관심 카테고리 기반 신규 프로젝트 추천 | 조건부 허용 | 마케팅 동의 필요 | | 투자 금액대 기반 VIP 등급 산정 | 서비스 운영 목적 — 허용 | 처리방침 고지 필요 | | 투자 내역 제3자 광고사 제공 | 금지 | 동의 있어도 신중 검토 | | 이탈 투자자 재유치 이메일 | 조건부 허용 | 마케팅 동의 + 수신거부 채널 |

7. 자금세탁방지(AML)와 개인정보 처리

AML 의무 이행 과정의 개인정보

특금법에 따른 AML(자금세탁방지) 모니터링은 이용자 거래 패턴을 지속 분석해야 합니다. 이 과정에서 수집·처리되는 개인정보는 법령 의무 이행 목적으로만 사용해야 합니다.

AML 데이터 처리 규칙:

의심 거래 보고(STR) 시 금융정보분석원(KoFIU) 외 공유 금지
AML 모니터링 데이터를 마케팅·신용평가에 전용 금지
이용자에게 AML 모니터링 사실은 고지하되, 구체적 기준 공개 불필요 (역이용 방지)
AML 관련 데이터 보관: 특금법상 5년

8. 플랫폼 폐쇄·사업 종료 시 데이터 처리

P2P 플랫폼 폐업의 개인정보 문제

P2P·크라우드펀딩 플랫폼이 폐업할 경우 투자자·차입자 개인정보와 계약 데이터를 어떻게 처리할지 사전 계획이 필요합니다.

사업 종료 시 의무:

서비스 종료 30일 전 이용자에게 고지 (이메일, 앱 알림)
진행 중인 대출·투자 계약 완료 후 개인정보 파기
금융 법령상 보관 의무 기간 경과 후 즉시 파기
파기 사실 이용자에게 통지
파기 확인서 작성·보관 (감독기관 요청 시 제출)

계약 인수 시: 제3 기관이 플랫폼을 인수하는 경우 이용자 동의 없이 개인정보를 이전할 수 없습니다. 사전 고지 후 이전 거부 기회를 제공해야 합니다.

9. 개인정보처리방침 크라우드펀딩 특화 항목

## 금융 서비스 관련 개인정보 처리

**투자자 신원확인(KYC) 목적 수집:**
- 항목: 실명, 주민번호, 신분증 사본, 계좌번호
- 근거: 온투법·특금법 법령 의무
- 보관: 계약 종료 후 5년
- 제3자 제공: 금융정보분석원 (법령 의무 시)

**신용정보 조회:**
- 항목: 신용등급, 연체 이력
- 근거: 이용자 동의 + 신용정보법
- 보관: 5년 후 파기

**프로젝트 공개 정보:**
창작자 동의 하에 일부 사업 정보가 투자자에게 공개됩니다.
(주민번호, 개인 연락처는 절대 공개 불가)

10. PipaGuard로 크라우드펀딩 컴플라이언스 관리

PipaGuard 지원 기능:

금융 플랫폼 맞춤 개인정보처리방침 자동 생성
KYC 데이터 보관 기간 만료 알림
신용정보 동의 양식 생성
정보주체 권리 행사 처리 워크플로
사업 종료 시 데이터 파기 체크리스트

무료로 시작하기: pipaguard.vercel.app

체크리스트: 크라우드펀딩·P2P 플랫폼 PIPA 필수 점검

[ ] KYC 데이터 목적 외 활용(마케팅·추천) 차단 설정
[ ] 창작자·차입자 공개 정보 범위 사전 고지 및 동의 수집
[ ] 투자자 익명 ID로 목록 공개 (실명 노출 방지)
[ ] 신용정보 조회 별도 동의 UI 구현
[ ] AML 모니터링 데이터와 마케팅 데이터 시스템 분리
[ ] 플랫폼 폐쇄 시 개인정보 처리 절차 수립 (내부 문서화)
[ ] 마케팅 활용 시 투자 데이터 기반 별도 동의 분리
[ ] 투자자·차입자 간 정보 격리 기술 조치 구현
[ ] 개인정보처리방침에 금융 특화 데이터 항목 명시
[ ] 정보주체 권리 행사(열람·삭제·정정) 채널 운영

자주 묻는 질문

Q. 리워드형 크라우드펀딩은 금융 규제를 받지 않으니 PIPA만 적용되나요?

A. 맞습니다. 리워드형은 전자상거래법과 PIPA만 적용됩니다. 다만 후원자 주소, 결제 정보 등을 처리하므로 일반 쇼핑몰 수준의 PIPA 의무는 동일하게 적용됩니다.

Q. 투자자가 내 투자 내역을 삭제해 달라고 하면 어떻게 되나요?

A. 금융 법령(온투법, 전자금융거래법)상 거래 기록은 5년간 의무 보관 대상입니다. 이 경우 법령 의무를 이유로 삭제 요청을 거부할 수 있지만, 거부 사유와 보관 기간을 정보주체에게 고지해야 합니다.

Q. 차입자의 연체 사실을 투자자에게 알릴 때 어디까지 공개할 수 있나요?

A. 계약상 공시 의무 범위에서만 공개 가능합니다. 차입자의 실명·주소 등 직접 식별 정보 공개는 원칙적으로 금지이며, 연체율·상환 현황 등 익명화된 정보 수준에서 투자자에게 고지하는 것이 안전합니다.

크라우드펀딩과 P2P 플랫폼은 금융 데이터와 개인 신원이 결합하는 고위험 환경입니다. 규제 당국의 감독이 강화되는 추세에서, 지금부터 PipaGuard로 체계적인 데이터 컴플라이언스를 구축하세요.

크라우드펀딩·P2P투자 플랫폼 개인정보보호법 가이드

1. 크라우드펀딩 유형별 개인정보 처리 특성

유형별 데이터 흐름 비교

각 유형마다 적용되는 법령이 달라지며, 특히 지분형·대출형은 금융 당국 규제와 PIPA가 동시에 적용되어 데이터 처리 요건이 까다롭습니다.

2. 투자자 신원확인(KYC)과 개인정보 처리

KYC 데이터의 법적 성격

KYC 수집 항목별 처리 기준:

주의사항: KYC 데이터를 마케팅, 상품 추천 알고리즘, 제3자 신용평가에 활용하는 것은 수집 목적 외 사용으로 PIPA 위반입니다.

3. 창작자·차입자 정보 공개 범위

공개 정보와 비공개 정보 구분

크라우드펀딩 특성상 프로젝트 창작자나 차입자 정보가 일부 공개됩니다. 어디까지 공개할 수 있는지 명확히 해야 합니다.

공개 가능한 정보 (정보주체 동의 기반):

사업자 상호명, 대표자 이름 (사업자 등록 공개 정보)
프로젝트 소개, 사업 계획
자금 조달 목적 및 사용 계획
과거 펀딩 성공 이력

원칙적 비공개 (별도 동의 없이 공개 금지):

주민등록번호, 생년월일 전체
개인 연락처, 주소
개인 신용 점수·신용 등급
가족 관계, 건강 정보

투명성 고지 의무: 창작자·차입자에게 가입 시 어떤 정보가 어느 범위까지 투자자에게 공개되는지 명확하게 고지하고 동의를 받아야 합니다.

[창작자 정보 공개 동의]
다음 정보가 플랫폼에 공개됩니다:
✓ 대표자 성명
✓ 사업자등록번호 앞 6자리
✓ 프로젝트 소재지 (시·군·구)
✗ 주민등록번호: 비공개
✗ 개인 연락처: 비공개 (플랫폼 중개 메시지만 허용)

4. 투자자 간 정보 노출 방지

투자자 프라이버시 보호

다수 투자자가 동일 프로젝트에 참여하는 구조에서 투자자 간 개인정보가 노출되지 않도록 해야 합니다.

기술적 보호 조치:

투자자 목록 공개 시 실명 대신 익명 ID 사용 (투자자 #1234)
투자 금액 공개 여부는 투자자가 선택 가능하게 설정
프로젝트 창작자가 개별 투자자 신원을 조회할 수 없는 구조
투자자 간 직접 연락처 공유 중개 금지

대출형 P2P의 차입자-투자자 정보 분리:

투자자 → 플랫폼 → 차입자
(투자자는 차입자 익명 신용정보만 확인)
(차입자는 투자자 신원 불가 접근)

5. 신용정보 처리와 개인정보보호법

신용정보법과 PIPA 교차 적용

대출형 P2P 플랫폼은 차입자 신용 평가를 위해 신용정보를 활용합니다. 이때 신용정보법과 PIPA가 동시에 적용됩니다.

신용정보 수집·활용 시 준수 사항:

신용정보 조회 동의: 나이스(NICE), KCB 등 신용평가사 조회 시 별도 동의 필수
신용정보 활용 목적 제한: 대출 심사 외 마케팅·제3자 제공 금지
신용정보 보관 기간: 신용정보법상 최대 5년, 이후 파기
오류 정정 요청권: 차입자가 신용정보 오류 시 정정 요청 채널 운영 의무

[신용정보 조회 동의 - 필수]
□ 나이스평가정보 신용정보 조회 동의
  - 목적: 대출 한도·금리 산정
  - 조회 기관: 나이스평가정보㈜
  - 보관 기간: 대출 계약 종료 후 5년
  - 거부 시 불이익: 대출 신청 불가

6. 마케팅 활용과 개인정보 분리 관리

투자 데이터 기반 마케팅의 함정

허용 vs. 금지 마케팅 활용:

7. 자금세탁방지(AML)와 개인정보 처리

AML 의무 이행 과정의 개인정보

AML 데이터 처리 규칙:

의심 거래 보고(STR) 시 금융정보분석원(KoFIU) 외 공유 금지
AML 모니터링 데이터를 마케팅·신용평가에 전용 금지
이용자에게 AML 모니터링 사실은 고지하되, 구체적 기준 공개 불필요 (역이용 방지)
AML 관련 데이터 보관: 특금법상 5년

8. 플랫폼 폐쇄·사업 종료 시 데이터 처리

P2P 플랫폼 폐업의 개인정보 문제

P2P·크라우드펀딩 플랫폼이 폐업할 경우 투자자·차입자 개인정보와 계약 데이터를 어떻게 처리할지 사전 계획이 필요합니다.

사업 종료 시 의무:

서비스 종료 30일 전 이용자에게 고지 (이메일, 앱 알림)
진행 중인 대출·투자 계약 완료 후 개인정보 파기
금융 법령상 보관 의무 기간 경과 후 즉시 파기
파기 사실 이용자에게 통지
파기 확인서 작성·보관 (감독기관 요청 시 제출)

9. 개인정보처리방침 크라우드펀딩 특화 항목

## 금융 서비스 관련 개인정보 처리

**투자자 신원확인(KYC) 목적 수집:**
- 항목: 실명, 주민번호, 신분증 사본, 계좌번호
- 근거: 온투법·특금법 법령 의무
- 보관: 계약 종료 후 5년
- 제3자 제공: 금융정보분석원 (법령 의무 시)

**신용정보 조회:**
- 항목: 신용등급, 연체 이력
- 근거: 이용자 동의 + 신용정보법
- 보관: 5년 후 파기

**프로젝트 공개 정보:**
창작자 동의 하에 일부 사업 정보가 투자자에게 공개됩니다.
(주민번호, 개인 연락처는 절대 공개 불가)

10. PipaGuard로 크라우드펀딩 컴플라이언스 관리

PipaGuard 지원 기능:

금융 플랫폼 맞춤 개인정보처리방침 자동 생성
KYC 데이터 보관 기간 만료 알림
신용정보 동의 양식 생성
정보주체 권리 행사 처리 워크플로
사업 종료 시 데이터 파기 체크리스트

무료로 시작하기: pipaguard.vercel.app

체크리스트: 크라우드펀딩·P2P 플랫폼 PIPA 필수 점검

[ ] KYC 데이터 목적 외 활용(마케팅·추천) 차단 설정
[ ] 창작자·차입자 공개 정보 범위 사전 고지 및 동의 수집
[ ] 투자자 익명 ID로 목록 공개 (실명 노출 방지)
[ ] 신용정보 조회 별도 동의 UI 구현
[ ] AML 모니터링 데이터와 마케팅 데이터 시스템 분리
[ ] 플랫폼 폐쇄 시 개인정보 처리 절차 수립 (내부 문서화)
[ ] 마케팅 활용 시 투자 데이터 기반 별도 동의 분리
[ ] 투자자·차입자 간 정보 격리 기술 조치 구현
[ ] 개인정보처리방침에 금융 특화 데이터 항목 명시
[ ] 정보주체 권리 행사(열람·삭제·정정) 채널 운영

자주 묻는 질문

Q. 리워드형 크라우드펀딩은 금융 규제를 받지 않으니 PIPA만 적용되나요?

Q. 투자자가 내 투자 내역을 삭제해 달라고 하면 어떻게 되나요?

Q. 차입자의 연체 사실을 투자자에게 알릴 때 어디까지 공개할 수 있나요?

크라우드펀딩·P2P투자 플랫폼 개인정보보호법 가이드: 투자자부터 창작자까지

크라우드펀딩·P2P투자 플랫폼 개인정보보호법 가이드

1. 크라우드펀딩 유형별 개인정보 처리 특성

유형별 데이터 흐름 비교

2. 투자자 신원확인(KYC)과 개인정보 처리

KYC 데이터의 법적 성격

3. 창작자·차입자 정보 공개 범위

공개 정보와 비공개 정보 구분

4. 투자자 간 정보 노출 방지

투자자 프라이버시 보호

5. 신용정보 처리와 개인정보보호법

신용정보법과 PIPA 교차 적용

6. 마케팅 활용과 개인정보 분리 관리

투자 데이터 기반 마케팅의 함정

7. 자금세탁방지(AML)와 개인정보 처리

AML 의무 이행 과정의 개인정보

8. 플랫폼 폐쇄·사업 종료 시 데이터 처리

P2P 플랫폼 폐업의 개인정보 문제

9. 개인정보처리방침 크라우드펀딩 특화 항목

10. PipaGuard로 크라우드펀딩 컴플라이언스 관리

체크리스트: 크라우드펀딩·P2P 플랫폼 PIPA 필수 점검

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

크라우드펀딩·P2P투자 플랫폼 개인정보보호법 가이드: 투자자부터 창작자까지

크라우드펀딩·P2P투자 플랫폼 개인정보보호법 가이드

1. 크라우드펀딩 유형별 개인정보 처리 특성

유형별 데이터 흐름 비교

2. 투자자 신원확인(KYC)과 개인정보 처리

KYC 데이터의 법적 성격

3. 창작자·차입자 정보 공개 범위

공개 정보와 비공개 정보 구분

4. 투자자 간 정보 노출 방지

투자자 프라이버시 보호

5. 신용정보 처리와 개인정보보호법

신용정보법과 PIPA 교차 적용

6. 마케팅 활용과 개인정보 분리 관리

투자 데이터 기반 마케팅의 함정

7. 자금세탁방지(AML)와 개인정보 처리

AML 의무 이행 과정의 개인정보

8. 플랫폼 폐쇄·사업 종료 시 데이터 처리

P2P 플랫폼 폐업의 개인정보 문제

9. 개인정보처리방침 크라우드펀딩 특화 항목

10. PipaGuard로 크라우드펀딩 컴플라이언스 관리

체크리스트: 크라우드펀딩·P2P 플랫폼 PIPA 필수 점검

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글