여행·숙박 예약 서비스 개인정보보호법 가이드: 여권 정보부터 국외 이전까지

여행 예약 플랫폼은 다른 서비스보다 더 많은 개인정보를 다룹니다. 여권 번호, 국적, 생년월일, 동반 여행자 정보까지 수집하고, 이 데이터를 해외 항공사·호텔에 전송합니다. 이 과정에서 개인정보보호법상 국외 이전과 제3자 제공 의무가 동시에 발생합니다.

여행 서비스가 처리하는 개인정보

| 데이터 | 수집 목적 | 특이 사항 | |--------|---------|---------| | 이름, 연락처 | 예약 확인, 변경 알림 | 일반 개인정보 | | 생년월일 | 항공·숙박 연령 확인 | 일반 개인정보 | | 여권 번호 | 국제선 발권, 출입국 | 고유 식별 정보 수준 취급 | | 국적 | 비자·입국 요건 확인 | 민감 정보 인접 | | 동반자 정보 | 공동 예약 | 제3자 개인정보 | | 결제 정보 | 예약금, 취소 환불 | 전자상거래법 5년 | | 특별 요청 | 식이 제한, 의료 장비 | 민감 정보 가능 (건강 정보) |

여권 정보 처리

여권 번호는 개인을 고유하게 식별하는 정보로 고유 식별 정보에 준하는 보호가 필요합니다.

수집 범위 최소화

국내 숙박만 예약하는 경우:
❌ 여권 번호 수집 불필요

국제선 항공 발권:
✅ 영문 이름, 생년월일, 여권 번호, 여권 만료일 수집 가능
   (항공사 발권 시스템 요건)

해외 숙박 예약:
⚠️ 호텔 체크인 요건에 따라 다름 — 필요한 경우만 수집

여권 정보 보관 기간

예약 완료·사용 후:
- 항공 발권 기록: 5년 (전자상거래법)
- 여권 번호 자체: 발권 완료 후 최소화 검토
  (법정 보관 의무 없으면 즉시 파기 권장)

동반자 정보: 제3자 개인정보

함께 여행하는 동반자의 정보를 예약자가 대신 입력하는 경우, 이는 제3자의 개인정보입니다.

법적 근거

동반자 본인이 아닌 예약자가 정보를 제공하는 경우:

처리 근거: 계약 이행 (항공·숙박 예약 계약)
조건:
- 예약자가 동반자의 동의를 받았다고 합리적으로 전제 가능
- 수집 항목이 예약에 필요한 최소한으로 한정
- 수집 목적 외 사용 금지

처리방침 기재:
"예약 시 동반자 정보를 입력하는 경우, 예약자는
해당 동반자로부터 정보 제공 동의를 받아야 합니다."

국외 이전: 핵심 의무

여행 서비스의 가장 중요한 PIPA 이슈입니다. 항공사, 호텔, GDS(글로벌 유통 시스템)에 여행자 정보를 전송하는 것은 모두 국외 이전에 해당합니다.

처리방침 국외 이전 기재 예시

■ 개인정보의 국외 이전

예약 이행을 위해 다음 국외 사업자에게 개인정보를 이전합니다.

| 이전 대상 | 국가 | 이전 항목 | 이전 목적 |
|----------|------|---------|---------|
| 대한항공, 아시아나 외 항공사 | 각 항공사 소재국 | 영문명, 생년월일, 여권번호 | 항공권 발권 |
| 호텔·숙박 시설 | 해당 국가 | 이름, 연락처, 체크인 정보 | 예약 이행 |
| Amadeus GDS | 독일, 미국 | 여행자 정보 전체 | 항공권 유통·발권 |
| Booking.com | 네덜란드 | 이름, 연락처, 결제 정보 | 숙박 예약 중계 |

모든 이전 대상을 일일이 나열하기 어려운 경우, 유형별 분류로 기재 후 상세 목록을 별도 페이지에 제공하는 방식도 허용됩니다.

특별 요청 데이터: 민감 정보 주의

예약 시 수집하는 특별 요청 정보에는 건강 관련 내용이 포함될 수 있습니다.

민감 정보 해당 가능:
⚠️ 식이 제한: "글루텐 프리" "할랄 식단" → 종교·건강 정보
⚠️ 의료 장비: "산소 발생기 필요" → 건강 정보
⚠️ 휠체어 서비스: "이동 보조 필요" → 장애 정보

처리 원칙:
- 예약 이행 목적으로만 사용 (항공사·호텔에만 전달)
- 마케팅·프로파일링에 활용 금지
- 예약 완료 후 별도 보관 최소화

취소·환불 후 데이터 처리

예약이 취소되거나 여행이 완료된 후의 데이터 처리도 중요합니다.

취소 후 처리:
- 결제 이력: 5년 보관 (전자상거래법)
- 여권 번호: 취소 완료 후 파기 권장
- 숙박·항공사에 전달된 데이터: 해당 사업자 정책에 따름

여행 완료 후:
- 리뷰·평점 작성 이력: 1~3년 (분쟁 대비)
- 여행 이력: 서비스 지속 이용 기간 + 퇴회 후 5년 보관 후 파기

멤버십·적립 포인트 프로그램

여행 서비스의 포인트·마일리지 프로그램에서 추가 개인정보가 처리됩니다.

추가 수집 항목:
- 여행 이력 (적립 기록)
- 파트너사 이용 내역 (호텔 체인, 렌터카)
- 선호도 프로필 (좌석, 기내식 선호)

제3자 제공 주의:
포인트 제휴 파트너사에 회원 정보를 제공하는 경우 별도 동의 필요.
"파트너사 포인트 적립을 위해 회원 정보를 제공합니다"만으로는 부족.
제공 대상, 항목, 목적을 명시한 별도 동의 필요.

실무 체크리스트

수집 단계

[ ] 여권 번호는 해외 발권·출입국에 필요한 경우만 수집한다
[ ] 동반자 정보 입력 시 예약자에게 동반자 동의 책임을 고지한다
[ ] 특별 요청(건강·식이 정보)은 예약 이행 목적으로만 사용한다

국외 이전

[ ] 항공사·호텔·GDS 국외 이전 사실을 처리방침에 기재했다
[ ] 이전 대상 국가와 이전 항목을 구체적으로 명시했다

보관 및 파기

[ ] 여권 번호는 발권 완료 후 최소 기간만 보관한다
[ ] 결제 이력 5년 보관 의무를 준수한다
[ ] 취소 후 불필요한 개인정보를 파기하는 절차가 있다

PipaGuard로 여행 서비스 점검

국외 이전 기재, 여권 정보 보관, 특별 요청 데이터 처리까지 — 여행·숙박 예약 서비스 특화 PIPA 체크리스트를 자동으로 점검받으세요.

pipaguard.vercel.app에서 무료로 시작할 수 있습니다.

여행 서비스가 처리하는 개인정보

여권 정보 처리

여권 번호는 개인을 고유하게 식별하는 정보로 고유 식별 정보에 준하는 보호가 필요합니다.

수집 범위 최소화

국내 숙박만 예약하는 경우:
❌ 여권 번호 수집 불필요

국제선 항공 발권:
✅ 영문 이름, 생년월일, 여권 번호, 여권 만료일 수집 가능
   (항공사 발권 시스템 요건)

해외 숙박 예약:
⚠️ 호텔 체크인 요건에 따라 다름 — 필요한 경우만 수집

여권 정보 보관 기간

예약 완료·사용 후:
- 항공 발권 기록: 5년 (전자상거래법)
- 여권 번호 자체: 발권 완료 후 최소화 검토
  (법정 보관 의무 없으면 즉시 파기 권장)

동반자 정보: 제3자 개인정보

함께 여행하는 동반자의 정보를 예약자가 대신 입력하는 경우, 이는 제3자의 개인정보입니다.

법적 근거

동반자 본인이 아닌 예약자가 정보를 제공하는 경우:

처리 근거: 계약 이행 (항공·숙박 예약 계약)
조건:
- 예약자가 동반자의 동의를 받았다고 합리적으로 전제 가능
- 수집 항목이 예약에 필요한 최소한으로 한정
- 수집 목적 외 사용 금지

처리방침 기재:
"예약 시 동반자 정보를 입력하는 경우, 예약자는
해당 동반자로부터 정보 제공 동의를 받아야 합니다."

국외 이전: 핵심 의무

여행 서비스의 가장 중요한 PIPA 이슈입니다. 항공사, 호텔, GDS(글로벌 유통 시스템)에 여행자 정보를 전송하는 것은 모두 국외 이전에 해당합니다.

처리방침 국외 이전 기재 예시

■ 개인정보의 국외 이전

예약 이행을 위해 다음 국외 사업자에게 개인정보를 이전합니다.

| 이전 대상 | 국가 | 이전 항목 | 이전 목적 |
|----------|------|---------|---------|
| 대한항공, 아시아나 외 항공사 | 각 항공사 소재국 | 영문명, 생년월일, 여권번호 | 항공권 발권 |
| 호텔·숙박 시설 | 해당 국가 | 이름, 연락처, 체크인 정보 | 예약 이행 |
| Amadeus GDS | 독일, 미국 | 여행자 정보 전체 | 항공권 유통·발권 |
| Booking.com | 네덜란드 | 이름, 연락처, 결제 정보 | 숙박 예약 중계 |

모든 이전 대상을 일일이 나열하기 어려운 경우, 유형별 분류로 기재 후 상세 목록을 별도 페이지에 제공하는 방식도 허용됩니다.

특별 요청 데이터: 민감 정보 주의

예약 시 수집하는 특별 요청 정보에는 건강 관련 내용이 포함될 수 있습니다.

민감 정보 해당 가능:
⚠️ 식이 제한: "글루텐 프리" "할랄 식단" → 종교·건강 정보
⚠️ 의료 장비: "산소 발생기 필요" → 건강 정보
⚠️ 휠체어 서비스: "이동 보조 필요" → 장애 정보

처리 원칙:
- 예약 이행 목적으로만 사용 (항공사·호텔에만 전달)
- 마케팅·프로파일링에 활용 금지
- 예약 완료 후 별도 보관 최소화

취소·환불 후 데이터 처리

예약이 취소되거나 여행이 완료된 후의 데이터 처리도 중요합니다.

취소 후 처리:
- 결제 이력: 5년 보관 (전자상거래법)
- 여권 번호: 취소 완료 후 파기 권장
- 숙박·항공사에 전달된 데이터: 해당 사업자 정책에 따름

여행 완료 후:
- 리뷰·평점 작성 이력: 1~3년 (분쟁 대비)
- 여행 이력: 서비스 지속 이용 기간 + 퇴회 후 5년 보관 후 파기

멤버십·적립 포인트 프로그램

여행 서비스의 포인트·마일리지 프로그램에서 추가 개인정보가 처리됩니다.

추가 수집 항목:
- 여행 이력 (적립 기록)
- 파트너사 이용 내역 (호텔 체인, 렌터카)
- 선호도 프로필 (좌석, 기내식 선호)

제3자 제공 주의:
포인트 제휴 파트너사에 회원 정보를 제공하는 경우 별도 동의 필요.
"파트너사 포인트 적립을 위해 회원 정보를 제공합니다"만으로는 부족.
제공 대상, 항목, 목적을 명시한 별도 동의 필요.

실무 체크리스트

수집 단계

[ ] 여권 번호는 해외 발권·출입국에 필요한 경우만 수집한다
[ ] 동반자 정보 입력 시 예약자에게 동반자 동의 책임을 고지한다
[ ] 특별 요청(건강·식이 정보)은 예약 이행 목적으로만 사용한다

국외 이전

[ ] 항공사·호텔·GDS 국외 이전 사실을 처리방침에 기재했다
[ ] 이전 대상 국가와 이전 항목을 구체적으로 명시했다

보관 및 파기

[ ] 여권 번호는 발권 완료 후 최소 기간만 보관한다
[ ] 결제 이력 5년 보관 의무를 준수한다
[ ] 취소 후 불필요한 개인정보를 파기하는 절차가 있다

PipaGuard로 여행 서비스 점검

국외 이전 기재, 여권 정보 보관, 특별 요청 데이터 처리까지 — 여행·숙박 예약 서비스 특화 PIPA 체크리스트를 자동으로 점검받으세요.

pipaguard.vercel.app에서 무료로 시작할 수 있습니다.

여행·숙박 예약 서비스 개인정보보호법 가이드: 여권 정보부터 국외 이전까지

여행 서비스가 처리하는 개인정보

여권 정보 처리

수집 범위 최소화

여권 정보 보관 기간

동반자 정보: 제3자 개인정보

법적 근거

국외 이전: 핵심 의무

처리방침 국외 이전 기재 예시

특별 요청 데이터: 민감 정보 주의

취소·환불 후 데이터 처리

멤버십·적립 포인트 프로그램

실무 체크리스트

PipaGuard로 여행 서비스 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

여행·숙박 예약 서비스 개인정보보호법 가이드: 여권 정보부터 국외 이전까지

여행 서비스가 처리하는 개인정보

여권 정보 처리

수집 범위 최소화

여권 정보 보관 기간

동반자 정보: 제3자 개인정보

법적 근거

국외 이전: 핵심 의무

처리방침 국외 이전 기재 예시

특별 요청 데이터: 민감 정보 주의

취소·환불 후 데이터 처리

멤버십·적립 포인트 프로그램

실무 체크리스트

PipaGuard로 여행 서비스 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글