동의 없이 개인정보를 처리할 수 있는 경우: 합법적 처리 근거 완전 가이드

"개인정보를 처리하려면 무조건 동의를 받아야 한다"고 알고 계신가요?

틀렸습니다. 개인정보보호법 제15조와 제18조는 동의 외에도 여러 합법적 처리 근거를 명시하고 있습니다. 오히려 동의가 필요 없는 상황에서 동의를 남발하면 동의 피로를 유발하고 사용자 경험을 해칩니다.

개인정보보호법 제15조: 수집·이용의 합법적 근거

1. 정보주체의 동의 (제1호)

가장 널리 알려진 근거. 단, 다음 조건을 충족해야 합니다:

자유로운 의사로 동의
구체적 목적 명시
거부해도 불이익 없음
언제든 철회 가능

2. 법령상 의무 이행 (제2호)

법률이 개인정보 처리를 요구하거나 허용하는 경우 동의 없이 처리 가능합니다.

| 예시 상황 | 관련 법령 | |----------|----------| | 전자상거래 구매 내역 보관 | 전자상거래법 제6조 | | 세금계산서 발행을 위한 사업자 정보 처리 | 부가가치세법 | | 급여 지급을 위한 직원 계좌 정보 처리 | 근로기준법 | | 금융거래 기록 보관 | 금융실명거래법 | | 의료 기록 보관 | 의료법 |

실무 적용: 법령 의무가 있는 데이터는 사용자 동의 없이 처리하고, 처리방침에 해당 법령을 명시합니다.

3. 계약 체결·이행 (제3호)

정보주체와의 계약을 체결하거나 이행하기 위해 불가피한 경우 동의 없이 처리 가능합니다.

해당되는 경우:

✅ 배송을 위한 주소 처리
✅ 결제를 위한 카드 정보 처리 (PG사 전달)
✅ 환불을 위한 계좌번호 처리
✅ 서비스 이용 계약 이행을 위한 이메일 발송

해당되지 않는 경우:

❌ 마케팅 목적으로 구매 이력 분석
❌ 제3자에게 취향 데이터 판매
❌ 계약과 무관한 추가 프로파일링

4. 생명·신체·재산의 급박한 이익 (제4호)

정보주체 또는 제3자의 생명·신체·재산을 보호하기 위해 긴급히 필요한 경우. 실무에서 드물지만 의료·안전 서비스에서 활용됩니다.

5. 개인정보처리자의 정당한 이익 (제6호)

가장 유연하지만 가장 엄격한 요건의 근거입니다. 다음 세 조건을 모두 충족해야 합니다:

처리자의 정당한 이익이 존재
그 이익을 위해 필요한 처리
정보주체의 이익·권리보다 명백히 우선하지 않을 것

적용 가능한 사례:

✅ 서비스 보안을 위한 로그인 이력 분석
✅ 부정거래 탐지를 위한 결제 패턴 분석
✅ 서비스 개선을 위한 익명화된 사용 통계

적용 불가한 사례:

❌ 마케팅 효과 분석을 위한 개인 식별 행동 추적
❌ 광고 타겟팅을 위한 프로파일 구축

제3자 제공의 합법적 근거 (제18조)

수집 목적 외로 제3자에게 제공하거나 다른 목적으로 이용하는 경우의 근거입니다.

| 근거 | 설명 | 예시 | |------|------|------| | 정보주체 동의 | 제공 목적, 항목, 기간 명시 | 제휴사 마케팅 | | 법률 특별 규정 | 수사기관 요청, 법원 명령 | 수사 협조 | | 공중보건·안전 | 전염병 방역 등 | 코로나 역학조사 | | 통계·연구 | 익명화 처리 필요 | 학술 연구 |

실무에서 자주 혼동하는 케이스

케이스 1: 주문 확인 이메일

❌ 잘못된 접근: "주문 확인 이메일 발송에 동의합니까?"
✅ 올바른 접근: 계약 이행(제3호)에 해당 — 동의 불필요

주문 확인은 전자상거래 계약 이행의 일부입니다. 별도 동의를 받을 필요가 없으며, 오히려 동의를 요구하면 사용자에게 혼란을 줍니다.

케이스 2: 세금계산서 발행

❌ 잘못된 접근: "세금계산서 발행을 위해 사업자번호 수집에 동의합니까?"
✅ 올바른 접근: 법령상 의무(제2호) — 동의 불필요, 부가가치세법 명시

케이스 3: 서비스 약관 위반 계정 제재

❌ 잘못된 접근: "계정 이용 이력 조회에 동의합니까?"
✅ 올바른 접근: 계약 이행(제3호) 또는 정당한 이익(제6호)

케이스 4: 로그인 IP 기록

✅ 정당한 이익(제6호): 보안 목적 로그인 이력 보관
   → 처리방침에 목적과 보관 기간 명시 필요

케이스 5: Google Analytics 사용

⚠️ 주의 필요: 식별 가능한 데이터(IP, 쿠키)를 수집하므로 동의 필요
✅ 익명화 설정 시: 정당한 이익으로 처리 가능 (IP 익명화, 쿠키 비활성화)

동의 근거를 사용해야 하는 경우

다음 목적은 반드시 동의를 받아야 합니다:

마케팅 이메일·문자·푸시 알림
제3자에게 마케팅 목적 제공
서비스와 무관한 프로파일링
민감 정보(건강, 신념, 생체 등) 처리
국외 이전 (일부 예외 제외)

처리방침 작성 시 근거 명시 방법

각 처리 목적에 법적 근거를 명시하면 더 투명하고 PIPA 친화적인 처리방침이 됩니다.

## 개인정보 수집·이용 목적 및 법적 근거

| 목적 | 항목 | 근거 |
|------|------|------|
| 회원가입·서비스 제공 | 이메일, 비밀번호 | 계약 이행 (법 제15조 제3호) |
| 주문·배송 처리 | 이름, 주소, 전화번호 | 계약 이행 (법 제15조 제3호) |
| 전자상거래 기록 보관 | 결제 이력 | 법령상 의무 (전자상거래법 제6조) |
| 마케팅 수신 | 이메일, 휴대폰 번호 | 정보주체 동의 (법 제15조 제1호) |
| 보안·부정거래 탐지 | 로그인 이력, IP | 정당한 이익 (법 제15조 제6호) |

핵심 원칙 3가지

목적에 맞는 근거 선택: 동의가 유일한 선택지가 아닙니다.
처리방침에 근거 명시: 어떤 근거로 처리하는지 투명하게 공개합니다.
동의 남발 금지: 불필요한 동의 요청은 동의 피로를 유발하고 신뢰를 낮춥니다.

PipaGuard로 처리 근거 점검

처리 목적별로 올바른 법적 근거를 사용하고 있는지, 처리방침에 빠진 항목이 없는지 자동으로 점검받으세요.

pipaguard.vercel.app에서 무료로 시작할 수 있습니다.

"개인정보를 처리하려면 무조건 동의를 받아야 한다"고 알고 계신가요?

개인정보보호법 제15조: 수집·이용의 합법적 근거

1. 정보주체의 동의 (제1호)

가장 널리 알려진 근거. 단, 다음 조건을 충족해야 합니다:

자유로운 의사로 동의
구체적 목적 명시
거부해도 불이익 없음
언제든 철회 가능

2. 법령상 의무 이행 (제2호)

법률이 개인정보 처리를 요구하거나 허용하는 경우 동의 없이 처리 가능합니다.

실무 적용: 법령 의무가 있는 데이터는 사용자 동의 없이 처리하고, 처리방침에 해당 법령을 명시합니다.

3. 계약 체결·이행 (제3호)

정보주체와의 계약을 체결하거나 이행하기 위해 불가피한 경우 동의 없이 처리 가능합니다.

해당되는 경우:

✅ 배송을 위한 주소 처리
✅ 결제를 위한 카드 정보 처리 (PG사 전달)
✅ 환불을 위한 계좌번호 처리
✅ 서비스 이용 계약 이행을 위한 이메일 발송

해당되지 않는 경우:

❌ 마케팅 목적으로 구매 이력 분석
❌ 제3자에게 취향 데이터 판매
❌ 계약과 무관한 추가 프로파일링

4. 생명·신체·재산의 급박한 이익 (제4호)

정보주체 또는 제3자의 생명·신체·재산을 보호하기 위해 긴급히 필요한 경우. 실무에서 드물지만 의료·안전 서비스에서 활용됩니다.

5. 개인정보처리자의 정당한 이익 (제6호)

가장 유연하지만 가장 엄격한 요건의 근거입니다. 다음 세 조건을 모두 충족해야 합니다:

처리자의 정당한 이익이 존재
그 이익을 위해 필요한 처리
정보주체의 이익·권리보다 명백히 우선하지 않을 것

적용 가능한 사례:

✅ 서비스 보안을 위한 로그인 이력 분석
✅ 부정거래 탐지를 위한 결제 패턴 분석
✅ 서비스 개선을 위한 익명화된 사용 통계

적용 불가한 사례:

❌ 마케팅 효과 분석을 위한 개인 식별 행동 추적
❌ 광고 타겟팅을 위한 프로파일 구축

제3자 제공의 합법적 근거 (제18조)

수집 목적 외로 제3자에게 제공하거나 다른 목적으로 이용하는 경우의 근거입니다.

실무에서 자주 혼동하는 케이스

케이스 1: 주문 확인 이메일

❌ 잘못된 접근: "주문 확인 이메일 발송에 동의합니까?"
✅ 올바른 접근: 계약 이행(제3호)에 해당 — 동의 불필요

주문 확인은 전자상거래 계약 이행의 일부입니다. 별도 동의를 받을 필요가 없으며, 오히려 동의를 요구하면 사용자에게 혼란을 줍니다.

케이스 2: 세금계산서 발행

❌ 잘못된 접근: "세금계산서 발행을 위해 사업자번호 수집에 동의합니까?"
✅ 올바른 접근: 법령상 의무(제2호) — 동의 불필요, 부가가치세법 명시

케이스 3: 서비스 약관 위반 계정 제재

❌ 잘못된 접근: "계정 이용 이력 조회에 동의합니까?"
✅ 올바른 접근: 계약 이행(제3호) 또는 정당한 이익(제6호)

케이스 4: 로그인 IP 기록

✅ 정당한 이익(제6호): 보안 목적 로그인 이력 보관
   → 처리방침에 목적과 보관 기간 명시 필요

케이스 5: Google Analytics 사용

⚠️ 주의 필요: 식별 가능한 데이터(IP, 쿠키)를 수집하므로 동의 필요
✅ 익명화 설정 시: 정당한 이익으로 처리 가능 (IP 익명화, 쿠키 비활성화)

동의 근거를 사용해야 하는 경우

다음 목적은 반드시 동의를 받아야 합니다:

마케팅 이메일·문자·푸시 알림
제3자에게 마케팅 목적 제공
서비스와 무관한 프로파일링
민감 정보(건강, 신념, 생체 등) 처리
국외 이전 (일부 예외 제외)

처리방침 작성 시 근거 명시 방법

각 처리 목적에 법적 근거를 명시하면 더 투명하고 PIPA 친화적인 처리방침이 됩니다.

## 개인정보 수집·이용 목적 및 법적 근거

| 목적 | 항목 | 근거 |
|------|------|------|
| 회원가입·서비스 제공 | 이메일, 비밀번호 | 계약 이행 (법 제15조 제3호) |
| 주문·배송 처리 | 이름, 주소, 전화번호 | 계약 이행 (법 제15조 제3호) |
| 전자상거래 기록 보관 | 결제 이력 | 법령상 의무 (전자상거래법 제6조) |
| 마케팅 수신 | 이메일, 휴대폰 번호 | 정보주체 동의 (법 제15조 제1호) |
| 보안·부정거래 탐지 | 로그인 이력, IP | 정당한 이익 (법 제15조 제6호) |

핵심 원칙 3가지

목적에 맞는 근거 선택: 동의가 유일한 선택지가 아닙니다.
처리방침에 근거 명시: 어떤 근거로 처리하는지 투명하게 공개합니다.
동의 남발 금지: 불필요한 동의 요청은 동의 피로를 유발하고 신뢰를 낮춥니다.

PipaGuard로 처리 근거 점검

처리 목적별로 올바른 법적 근거를 사용하고 있는지, 처리방침에 빠진 항목이 없는지 자동으로 점검받으세요.

pipaguard.vercel.app에서 무료로 시작할 수 있습니다.

동의 없이 개인정보를 처리할 수 있는 경우: 합법적 처리 근거 완전 가이드

개인정보보호법 제15조: 수집·이용의 합법적 근거

1. 정보주체의 동의 (제1호)

2. 법령상 의무 이행 (제2호)

3. 계약 체결·이행 (제3호)

4. 생명·신체·재산의 급박한 이익 (제4호)

5. 개인정보처리자의 정당한 이익 (제6호)

제3자 제공의 합법적 근거 (제18조)

실무에서 자주 혼동하는 케이스

케이스 1: 주문 확인 이메일

케이스 2: 세금계산서 발행

케이스 3: 서비스 약관 위반 계정 제재

케이스 4: 로그인 IP 기록

케이스 5: Google Analytics 사용

동의 근거를 사용해야 하는 경우

처리방침 작성 시 근거 명시 방법

핵심 원칙 3가지

PipaGuard로 처리 근거 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

동의 없이 개인정보를 처리할 수 있는 경우: 합법적 처리 근거 완전 가이드

개인정보보호법 제15조: 수집·이용의 합법적 근거

1. 정보주체의 동의 (제1호)

2. 법령상 의무 이행 (제2호)

3. 계약 체결·이행 (제3호)

4. 생명·신체·재산의 급박한 이익 (제4호)

5. 개인정보처리자의 정당한 이익 (제6호)

제3자 제공의 합법적 근거 (제18조)

실무에서 자주 혼동하는 케이스

케이스 1: 주문 확인 이메일

케이스 2: 세금계산서 발행

케이스 3: 서비스 약관 위반 계정 제재

케이스 4: 로그인 IP 기록

케이스 5: Google Analytics 사용

동의 근거를 사용해야 하는 경우

처리방침 작성 시 근거 명시 방법

핵심 원칙 3가지

PipaGuard로 처리 근거 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글