온라인 교육 플랫폼·에듀테크 개인정보보호법 완전 가이드

클래스101, 패스트캠퍼스, 러닝스푼즈처럼 온라인 강의를 제공하는 에듀테크 플랫폼은 수강생의 학습 이력, 결제 정보, 시험 성적, 수료 데이터를 처리합니다. B2C 수강생 서비스뿐 아니라 B2B 기업 교육 위탁 구조도 PIPA(개인정보보호법) 적용을 받습니다.

1. 수강생 정보 수집

회원가입 단계

| 항목 | 필요성 | |------|--------| | 이름, 이메일 | 계정 생성, 수료증 발급 — 필수 | | 연락처 | 결제 알림, 긴급 연락 — 조건부 필수 | | 생년월일 | 미성년자 확인, 성인 콘텐츠 — 목적별 필요 | | 직장·직무 | 맞춤 강의 추천 — 선택 | | 학력 | 추천 알고리즘 — 선택 | | 주소 | 실물 교재 발송 외 불필요 |

소셜 로그인

카카오·네이버·구글 로그인 사용 시:

플랫폼이 가져오는 정보 범위 명시 필요 (이메일만? 프로필 사진도?)
최소 권한 원칙: 서비스에 필요한 정보만 요청

2. 학습 데이터 처리

에듀테크 플랫폼이 생성하는 학습 데이터는 방대합니다.

수집되는 학습 데이터

| 데이터 유형 | 처리 목적 | 주의사항 | |-------------|-----------|----------| | 강의 시청 시간·구간 | 서비스 품질 개선 | 개인 식별 가능 — 처리방침 고지 | | 퀴즈·과제 성적 | 수료 판단 | 제3자 제공 시 동의 필요 | | 북마크·메모 | 서비스 기능 제공 | 계정 삭제 시 파기 | | 수강 완료율 | 추천 알고리즘 | 집계 데이터로 전환 권장 | | 접속 기기·시간 | 서비스 통계 | 6개월 이상 보관 시 목적 재검토 |

학습 분석 AI 활용

AI로 수강생 행동을 분석해 맞춤 추천, 학습 부진 예측 등을 하는 경우:

자동화된 개인 프로파일링 → 처리방침에 명시 필요
프로파일링 결과를 불이익(수강 제한, 추천 배제)에 활용하면 설명 요구권 보장 필요
제3자(광고주, 취업 플랫폼)에 학습 데이터 제공: 동의 필요

3. 결제 및 환불

강의 결제 정보

카드 번호 직접 저장 금지 — PG사 토큰 방식
결제 내역 보관: 5년 (전자상거래법)
쿠폰·할인 이력: 결제 내역과 함께 보관

환불 정책과 개인정보

환불 요청 시:

환불 계좌 정보: 환불 완료 후 즉시 파기
환불 사유 기록: 서비스 품질 개선 목적으로 익명화 후 활용 권장
재결제 방지 목적으로 환불 이력 장기 보관: 목적 명시 필요

4. 수료증·자격 증명

수료증 발급

수료증에 포함된 개인정보(이름, 이메일, 수료일):

수료증은 수강생에게 귀속되는 서류 — 플랫폼이 보관하는 것은 별도 근거 필요
수료 기록 보관: 수강생 재발급 요청 대비 3년 이상 권장
수료증을 제3자(고용주)가 검증할 수 있는 시스템: 수강생 동의 없이 노출되지 않도록 설계

기업 교육 수료 데이터

B2B 기업 교육에서 직원의 수료 여부를 기업 HR팀에 제공하는 경우:

기업(위탁자)이 직원 교육을 플랫폼에 위탁 → 위탁 관계
직원이 플랫폼에 직접 가입한 개인 계정 정보를 기업에 제공: 직원 동의 필요

5. 강사 정보 처리

강사 등록 단계

| 항목 | 처리 근거 | |------|-----------| | 강사명·프로필 | 강의 공개 — 강사 동의 | | 계좌번호 | 수익 정산 — 계약 이행 목적 | | 주민등록번호 | 세금계산서 발행 — 세법 근거 | | 강의 촬영 영상·음성 | 강사 동의 범위 내 배포 |

강사 탈퇴 후 강의 처리

강사가 플랫폼을 탈퇴하거나 계약이 종료된 후 강의를 계속 판매하는 경우:

계약서에 콘텐츠 배포 기간·범위 명시 필수
강의에 포함된 강사 얼굴·음성은 강사의 개인정보 — 계약 범위 초과 사용 불가
기존 수강생 환불 처리 시 강사 정보 처리 방침 포함

6. 미성년자 수강생

만 14세 미만이 수강하는 경우:

법정대리인 동의 필수
성인 대상 콘텐츠(주류, 성인물 등) 접근 차단
학습 데이터를 마케팅에 활용하는 것은 특히 엄격하게 제한

7. 기업 교육 B2B 구조

기업이 임직원 교육을 위해 플랫폼을 구매하는 B2B 구조:

처리자 관계

기업(위탁자) → 에듀테크 플랫폼(수탁자)

위탁 계약서 필수 항목:
- 교육 대상 직원 정보 처리 범위
- 수료율·학습 진도 기업에 제공 범위
- 직원 계정 생성·삭제 권한
- 계약 종료 시 직원 데이터 파기 기한

직원 모니터링 한계

기업이 직원의 학습 진도, 접속 시간을 모니터링하는 것은 업무 목적 범위 내에서 허용되지만:

업무 외 시간(퇴근 후, 주말)의 자율 수강 모니터링은 제한
수강 내용(어떤 강의를 들었는지)을 인사 평가에 활용 시 직원 고지 필요

8. 국외 이전

해외 강사·글로벌 콘텐츠를 제공하거나, AWS·GCP 해외 서버를 사용하는 경우:

수강생 데이터의 국외 이전 고지 필수
해외 강사와의 수익 정산 시 강사 정보 국외 이전 해당
EU 수강생이 있는 경우 GDPR 추가 적용

9. 계정 탈퇴 후 처리

탈퇴 시 파기 대상

즉시 파기:
- 로그인 정보 (이메일, 비밀번호)
- 학습 메모·북마크
- 개인 프로필·사진

의무 보관 후 파기:
- 결제 기록 (5년, 전자상거래법)
- 수료 기록 (3년, 재발급 요청 대응)
- 환불 이력 (3년, 분쟁 대응)

수료증 유효성 문제

탈퇴 후에도 수료증 유효성 검증이 필요한 경우가 있습니다. 최소한의 수료 정보(이름·수료일·강의명)만 별도 보관하고 나머지는 파기하는 구조를 권장합니다.

10. PipaGuard 에듀테크 지원

PipaGuard는 온라인 교육 플랫폼의 개인정보 관리를 지원합니다.

학습 데이터 처리방침 템플릿: AI 추천·분석 포함 고지 문구
B2B 위탁 계약서: 기업 교육 수탁자 역할 표준 조항
강사 계약서 개인정보 조항: 탈퇴 후 콘텐츠 처리 기준
탈퇴 처리 체크리스트: 파기·보관 분류 자동화 가이드

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

온라인 교육 플랫폼의 PIPA 핵심은 학습 데이터 AI 활용 고지, B2B 기업 교육 위탁 계약, 강사 탈퇴 후 콘텐츠 처리 세 가지입니다. 수강생과 강사 모두 정보 주체로서의 권리가 있음을 기억하고 플랫폼 설계에 반영하세요.

온라인 교육 플랫폼·에듀테크 개인정보보호법 완전 가이드

1. 수강생 정보 수집

회원가입 단계

소셜 로그인

카카오·네이버·구글 로그인 사용 시:

플랫폼이 가져오는 정보 범위 명시 필요 (이메일만? 프로필 사진도?)
최소 권한 원칙: 서비스에 필요한 정보만 요청

2. 학습 데이터 처리

에듀테크 플랫폼이 생성하는 학습 데이터는 방대합니다.

수집되는 학습 데이터

학습 분석 AI 활용

AI로 수강생 행동을 분석해 맞춤 추천, 학습 부진 예측 등을 하는 경우:

자동화된 개인 프로파일링 → 처리방침에 명시 필요
프로파일링 결과를 불이익(수강 제한, 추천 배제)에 활용하면 설명 요구권 보장 필요
제3자(광고주, 취업 플랫폼)에 학습 데이터 제공: 동의 필요

3. 결제 및 환불

강의 결제 정보

카드 번호 직접 저장 금지 — PG사 토큰 방식
결제 내역 보관: 5년 (전자상거래법)
쿠폰·할인 이력: 결제 내역과 함께 보관

환불 정책과 개인정보

환불 요청 시:

환불 계좌 정보: 환불 완료 후 즉시 파기
환불 사유 기록: 서비스 품질 개선 목적으로 익명화 후 활용 권장
재결제 방지 목적으로 환불 이력 장기 보관: 목적 명시 필요

4. 수료증·자격 증명

수료증 발급

수료증에 포함된 개인정보(이름, 이메일, 수료일):

수료증은 수강생에게 귀속되는 서류 — 플랫폼이 보관하는 것은 별도 근거 필요
수료 기록 보관: 수강생 재발급 요청 대비 3년 이상 권장
수료증을 제3자(고용주)가 검증할 수 있는 시스템: 수강생 동의 없이 노출되지 않도록 설계

기업 교육 수료 데이터

B2B 기업 교육에서 직원의 수료 여부를 기업 HR팀에 제공하는 경우:

기업(위탁자)이 직원 교육을 플랫폼에 위탁 → 위탁 관계
직원이 플랫폼에 직접 가입한 개인 계정 정보를 기업에 제공: 직원 동의 필요

5. 강사 정보 처리

강사 등록 단계

강사 탈퇴 후 강의 처리

강사가 플랫폼을 탈퇴하거나 계약이 종료된 후 강의를 계속 판매하는 경우:

계약서에 콘텐츠 배포 기간·범위 명시 필수
강의에 포함된 강사 얼굴·음성은 강사의 개인정보 — 계약 범위 초과 사용 불가
기존 수강생 환불 처리 시 강사 정보 처리 방침 포함

6. 미성년자 수강생

만 14세 미만이 수강하는 경우:

법정대리인 동의 필수
성인 대상 콘텐츠(주류, 성인물 등) 접근 차단
학습 데이터를 마케팅에 활용하는 것은 특히 엄격하게 제한

7. 기업 교육 B2B 구조

기업이 임직원 교육을 위해 플랫폼을 구매하는 B2B 구조:

처리자 관계

기업(위탁자) → 에듀테크 플랫폼(수탁자)

위탁 계약서 필수 항목:
- 교육 대상 직원 정보 처리 범위
- 수료율·학습 진도 기업에 제공 범위
- 직원 계정 생성·삭제 권한
- 계약 종료 시 직원 데이터 파기 기한

직원 모니터링 한계

기업이 직원의 학습 진도, 접속 시간을 모니터링하는 것은 업무 목적 범위 내에서 허용되지만:

업무 외 시간(퇴근 후, 주말)의 자율 수강 모니터링은 제한
수강 내용(어떤 강의를 들었는지)을 인사 평가에 활용 시 직원 고지 필요

8. 국외 이전

해외 강사·글로벌 콘텐츠를 제공하거나, AWS·GCP 해외 서버를 사용하는 경우:

수강생 데이터의 국외 이전 고지 필수
해외 강사와의 수익 정산 시 강사 정보 국외 이전 해당
EU 수강생이 있는 경우 GDPR 추가 적용

9. 계정 탈퇴 후 처리

탈퇴 시 파기 대상

즉시 파기:
- 로그인 정보 (이메일, 비밀번호)
- 학습 메모·북마크
- 개인 프로필·사진

의무 보관 후 파기:
- 결제 기록 (5년, 전자상거래법)
- 수료 기록 (3년, 재발급 요청 대응)
- 환불 이력 (3년, 분쟁 대응)

수료증 유효성 문제

10. PipaGuard 에듀테크 지원

PipaGuard는 온라인 교육 플랫폼의 개인정보 관리를 지원합니다.

학습 데이터 처리방침 템플릿: AI 추천·분석 포함 고지 문구
B2B 위탁 계약서: 기업 교육 수탁자 역할 표준 조항
강사 계약서 개인정보 조항: 탈퇴 후 콘텐츠 처리 기준
탈퇴 처리 체크리스트: 파기·보관 분류 자동화 가이드

👉 pipaguard.vercel.app에서 무료로 시작하세요.

온라인 교육 플랫폼·에듀테크 개인정보보호법 완전 가이드

온라인 교육 플랫폼·에듀테크 개인정보보호법 완전 가이드

1. 수강생 정보 수집

회원가입 단계

소셜 로그인

2. 학습 데이터 처리

수집되는 학습 데이터

학습 분석 AI 활용

3. 결제 및 환불

강의 결제 정보

환불 정책과 개인정보

4. 수료증·자격 증명

수료증 발급

기업 교육 수료 데이터

5. 강사 정보 처리

강사 등록 단계

강사 탈퇴 후 강의 처리

6. 미성년자 수강생

7. 기업 교육 B2B 구조

처리자 관계

직원 모니터링 한계

8. 국외 이전

9. 계정 탈퇴 후 처리

탈퇴 시 파기 대상

수료증 유효성 문제

10. PipaGuard 에듀테크 지원

마치며

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

온라인 교육 플랫폼·에듀테크 개인정보보호법 완전 가이드

온라인 교육 플랫폼·에듀테크 개인정보보호법 완전 가이드

1. 수강생 정보 수집

회원가입 단계

소셜 로그인

2. 학습 데이터 처리

수집되는 학습 데이터

학습 분석 AI 활용

3. 결제 및 환불

강의 결제 정보

환불 정책과 개인정보

4. 수료증·자격 증명

수료증 발급

기업 교육 수료 데이터

5. 강사 정보 처리

강사 등록 단계

강사 탈퇴 후 강의 처리

6. 미성년자 수강생

7. 기업 교육 B2B 구조

처리자 관계

직원 모니터링 한계

8. 국외 이전

9. 계정 탈퇴 후 처리

탈퇴 시 파기 대상

수료증 유효성 문제

10. PipaGuard 에듀테크 지원

마치며

지금 바로 PIPA 컴플라이언스 점검하기

관련 글