배송 주소, 수취인 이름, 전화번호 — 이 정보들이 매일 수천만 건 처리되는 물류·배달 플랫폼은 개인정보보호법 의무 이행에서 특별한 주의가 필요합니다.
배송 정보는 단순한 연락처가 아닙니다. **어디에 사는지(거주지), 무엇을 구매하는지(소비 패턴), 언제 집에 있는지(생활 패턴)**까지 드러냅니다. 개인정보보호위원회도 배달·물류업의 위치 정보 및 배송 정보 처리에 대한 감독을 강화하고 있습니다.
물류·배달 플랫폼이 처리하는 개인정보
| 데이터 | 법적 성격 | 주의 수준 | |--------|---------|---------| | 주문자 이름, 전화번호 | 일반 개인정보 | 기본 보호 | | 배송 주소 (자택·직장) | 일반 개인정보 | 기본 보호 | | 실시간 위치 데이터 | 개인정보 + 위치정보법 | 이중 규제 | | 결제 정보 (카드번호, 계좌) | 금융 정보 | 특별 보호 | | 배달 기사 이동 경로 | 개인정보 + 위치정보법 | 이중 규제 | | 배달 완료 사진 | 개인정보 포함 가능 | 처리 주의 | | 주문 내역·소비 패턴 | 행동 데이터 | 프로파일링 주의 |
위치정보법과 PIPA의 이중 규제
배달·물류 플랫폼에서 실시간 위치 정보를 활용할 때는 개인정보보호법과 **위치정보의 보호 및 이용 등에 관한 법률(위치정보법)**이 함께 적용됩니다.
위치정보법 주요 의무
✅ 개인위치정보 수집 시 별도 동의 필수
✅ 수집 목적, 보유 기간, 제3자 제공 여부 고지
✅ 위치정보 이용·제공 사실 확인 자료 6개월 보관
✅ 파기 시 즉시 파기 원칙
✅ 위치정보 사업자 허가 또는 신고 (서비스 유형에 따라)
라이더 위치 추적
배달 기사의 실시간 위치를 앱으로 추적하는 경우, 라이더의 동의를 받아야 합니다. 업무 목적으로도 위치정보법상 동의 절차가 적용됩니다.
- 위치 수집 목적 고지 (배차, 고객 안내)
- 수집 빈도·방법 안내
- 위치 수집 거부권 보장 (단, 업무 수행에 지장 가능성 안내)
- 근무 외 시간 위치 수집 금지
배송 정보 제3자 제공
주문 처리 과정에서 배송 정보가 여러 주체에게 전달됩니다.
| 수신자 | 목적 | 법적 처리 방식 | |--------|------|------------| | 배달 대행사 | 배달 수행 | 위탁 (위탁 계약 필수) | | 제3자 물류(3PL) | 창고·배송 | 위탁 (위탁 계약 필수) | | 입점 판매자 | 주문 확인·처리 | 제3자 제공 (동의 또는 계약 이행) | | 카드사·PG사 | 결제 처리 | 위탁 | | 고객센터 아웃소싱 | 문의 응대 | 위탁 |
판매자에게 배송 주소를 제공하는 경우: 플랫폼의 계약 이행(구매 계약)을 위한 필수 정보 제공이므로 별도 동의 없이 제공 가능하지만, 처리방침에 명시해야 합니다.
배달 완료 사진의 개인정보 처리
비대면 배달 증거 사진(문 앞, 경비실 보관 등)에는 개인정보가 포함될 수 있습니다.
주의가 필요한 상황:
❌ 문패, 집 전경이 명확히 찍힌 사진 → 주소+이미지 조합
❌ 개인 소지품이 보이는 공간 촬영
❌ 완료 사진을 마케팅·소셜미디어에 활용
배달 완료 사진은 분쟁 해결 목적으로 단기 보관 후 파기해야 합니다. 보통 30일~90일 이내 파기가 권장됩니다.
라이더·배달 기사 개인정보 관리
라이더는 플랫폼 이용자인 동시에 직원 또는 개인사업자이므로 별도의 개인정보 보호 의무가 있습니다.
가입·계약 단계
✅ 수집 최소화: 직무 수행에 필요한 정보만 수집
✅ 신분증 사본: 보관 기간 명시 및 만료 시 파기
✅ 계좌 정보: 정산 목적으로만 사용, 암호화 보관
✅ 운전면허·보험: 유효성 확인 후 최소 정보만 보관
운행 데이터 처리
라이더의 배달 경로, 운행 속도, 전화 통화 이력 등은 업무 목적으로만 사용해야 합니다. 이 데이터를 라이더 평가에 활용할 경우 자동화된 의사결정에 해당할 수 있어 PIPA 개정(2023년) 규정이 적용됩니다.
개인정보 유출 사고 대응
물류·배달 플랫폼은 대량의 배송 주소를 보유하므로 데이터 유출 시 파급력이 큽니다. 2022년 한 배달 플랫폼의 배송 정보 유출 사고는 수백만 건의 주소가 노출되어 보이스피싱에 악용된 사례가 있습니다.
72시간 신고 의무
1,000명 이상의 개인정보가 유출된 경우 72시간 이내 개인정보보호위원회에 신고해야 합니다. 늦어지면 과태료 부과 대상입니다.
정보 주체 통지
유출 사실이 확인된 즉시 영향받은 정보 주체에게 다음을 통지해야 합니다.
✅ 유출된 개인정보 항목
✅ 유출 시점 및 경위
✅ 정보 주체가 취할 수 있는 조치 (비밀번호 변경 등)
✅ 회사의 대응 조치
✅ 담당 부서 및 연락처
물류·배달 플랫폼 PIPA 대응 우선순위
즉시 확인 (1주 이내)
- [ ] 위치정보 수집 동의 화면이 위치정보법 요건을 충족하는가
- [ ] 배달 대행사·3PL과 개인정보 처리 위탁 계약이 체결되어 있는가
- [ ] 라이더 위치 수집에 대한 별도 동의가 있는가
단기 개선 (1개월 이내)
- [ ] 배달 완료 사진 보관 기간 정책 수립 및 자동 파기 구현
- [ ] 입점 판매자에 대한 배송 정보 제공 처리방침 명시
- [ ] 개인정보처리방침 내 위치정보 처리 조항 추가
중기 구축 (3개월 이내)
- [ ] 대량 배송 데이터 접근 권한 관리 체계 구축
- [ ] 유출 사고 대응 매뉴얼 수립 및 훈련
- [ ] 라이더 데이터 자동화 의사결정 고지 체계 검토
물류·배달 플랫폼의 PIPA 준수 현황을 PIPAGuard로 무료로 점검해보세요. 위치정보, 배송 데이터, 라이더 정보 처리의 핵심 위험 항목을 5분 만에 확인할 수 있습니다.