![플랫폼/온라인사업] "이용약관, 개인정보처리방침" 챙기셨나요?](/_next/image?url=https%3A%2F%2Fd2ai3ajp99ywjy.cloudfront.net%2Fuploads%2Ftitleimage%2Foriginal%2F5bc97c6f11e7dac3eed574a8-original.jpg&w=3840&q=75)
안녕하세요, 법무법인 웨이브 [이변을 만드는 이변] 이창민 변호사입니다.
저는 두 군데의 온라인쇼핑/플랫폼 (전자상거래) 회사의 법무팀에서 근무를 하였던 적이 있습니다.
가장 많이,, 라고 하기는 조금 어렵지만 가장 중요하고 가장 자주 들여다보고 가장 자주 손보는 것이 있다면 바로 이용약관, 개인정보처리방침 관련 업무일 것입니다. 지금은 사기업을 더나 로펌을 운영하는 입장이지만, 역시나 가장 많이 들어오는 의뢰 중 하나가 이용약관 및 개인정보처리방침 검토 및 작성이기도 하구요.
네이버 블로그에서는 나눠서 연재하였던 글이지만, 로톡 포스팅에서는 이용약관, 개인정보처리방침에 대해 한번에 다뤄보도록 하겠습니다. 먼저 이용약관을 먼저 설명드리고 개인정보처리방침은 밑에 이어서 써볼게요.
1. 이용약관의 의미
전자상거래 등에서의 소비자보호에 관한 법률(전자상거래법)상 '이용약관'이라는 용어를 쓰고 있기는 하지만, 전자상거래법상 '이용약관'이라고 하여 '약관'이랑 크게 다른 것은 아닙니다.
그러면, 약관은 무엇일까요? 약관의 규제에 관한 법률(약관법)에 그 정의 조항이 있습니다.
"약관"이란 그 명칭이나 형태 또는 범위에 상관없이 계약의 한쪽 당사자가 여러 명의 상대방과
계약을 체결하기 위하여 일정한 형식으로 미리 마련한 계약의 내용을 말한다. - 약관법 제2조 제1호
온라인 쇼핑몰/플랫폼 업체가 일일이 회원들이랑 계약 내용을 협상해서 계약서쓰고 회원가입을 받지는 않잖아요? 그냥 이용약관 보여주고 "우리 이용약관 이렇다. 동의하면 들어와서 회원가입 하렴" 하는 것이 바로 약관법상 정의에 따라 '여러 명의 상대방과 계약을 체결하기 위하여 미리 마련해놓은 계약의 내용' 그 자체인 것이죠.
약관의 개념을 살펴볼 때 단골로 나오는 소재가 바로 목욕탕 등의 '귀중품은 카운터에 보관하세요. 그렇지 않은 귀중품에 대해서는 분실에 책임지지 않습니다.'라는 안내 표지판입니다. 이 역시도 사업자가 이용객들과 체결하는 계약의 내용을 규정하고 있는 것으로서, 약관에 해당합니다.
아니, 이것도 약관이었다니!
2. 이용약관의 내용상 주의사항(실체적 정당성)
자 그러면, 이용약관이 무엇인지를 알았으니 어떠한 내용을 넣어야 하는지를 살펴보도록 하겠습니다.
기본적으로, 이용약관은 전자상거래 사업자와 고객간의 이용 계약에 관한 내용으로서, 거래처와 계약서를 쓴다는 생각으로 상세하게 계약의 내용을 작성을 하면 됩니다. 다만 1대1 협상을 전제로 하고 있는 계약서와는 달리, 온라인 사업의 특성상 회원과 1대1 협상을 진행하지는 않고, 사업자가 다소 일방적으로 정해놓은 규칙을 회원이 지키는 방식으로 계약이 체결되는 만큼, 해당 플랫폼/온라인쇼핑몰의 정책을 상세하게 기재하면 좋겠죠.
단, 아무리 사업자의 정책을 토대로 이용약관을 작성한다고 하더라도, 법령이 허용하고 있는 범위를 벗어나서는 안됩니다. 나아가 전자상거래법의 규율을 받는다고 해서, 다른 법령의 적용이 배제되는 것은 아니므로, 해당 사업에 적용되는 또다른 법령이 있으면 관련 법령들이 허용하는 범위 내에서 정책을 수립하고 이용약관을 작성해야겠죠.
이용약관, 플랫폼/전자상거래 업채의 정책을 상세하게 기재하되,
제반 법령을 반드시 준수해야 합니다 !
예를 들어, 전자상거래법에는 청약철회(7일 이내에는 단순변심도 원칙적으로 환불 가능) 규정이 있는데, '나는 청약철회 안받아줄거야!'라면서 환불이 어떠한 경우에도 불가능하다는 내용을 약관에 삽입하는 것은 안됩니다. 또한 사업을 온라인으로 영위할 뿐, 해당 사업의 성격 자체가 변화하는 것은 아니므로, 온라인으로 금융관련 서비스를 제공한다면 금융관련 법령, 유통업을 한다면 유통관련 법령 등을 모두 지켜야 합니다.
대표적으로 온라인 공간에서 사업을 진행하게 되면 기본적으로 검토가 반드시 필요한 법령 몇가지를 소개하면, 전기통신사업법, 정보통신망법, 개인정보 보호법 등이 있습니다. 이용약관이 이와 같은 제반 법령을 어겨서는 안됩니다. 물론 가장 기본적으로는 이용약관도 약관이니 만큼 '약관법'에 위반되어서도 안될 것입니다.
정리해보겠습니다.
온라인으로 사업을 한다 : 전기통신사업법, 정보통신망법, 개인정보 보호법은 기본!
이용약관도 약관이다 : 약관법도 준수!
온라인으로 하는 사업 관련 법령도 잊지말자 : 핀테크는 금융관련법, 유통회사는 유통업관련법, 교육사업은 교육관련법령 등 제반 법령도 체크하자!
3. 이용약관의 게시, 변경 등 주의사항(절차적 정당성)
이용약관은 완벽한 내용으로 잘 작성하였다고 해서 능사가 아닙니다. 이용약관과 관련해서 더 많은 제한들이 있습니다.
첫째, 초기화면에서 곧바로 볼 수 있도록 해야합니다. 전자상거래법 제10조 제1항 제5호, 시행규칙 제7조 제1항에 따르면, 이용약관은 소비자가 알아보기 쉽도록 사이버몰의 초기 화면에 표시하여야 합니다. 네이버가 잘 지키고 있나 확인해볼까요?
네... 잘 지키고 있는거 같네요. 전자상거래법에서 초기 화면에 표시하라고만 할 뿐, 꼭 풋터(위 사진과 같은 최하단 영역)에 넣으라고 하지는 않고 있지만, 통상적으로 풋터에 이용약관을 비롯하여 초기화면 표시사항을 모아놓고 있는 것이 일반적입니다.
온라인 웹페이지 뿐 아니라 모바일 앱 화면역시도 마찬가지입니다. 전자상거래법은 기본적으로는 웹/앱을 구별하지 않고 있습니다(예외 있음).
사실 이 풋터는 IT/플랫폼/전자상거래 관련 전문 변호사들에게는 상당히 많은 인사이트를 주는 공간인데 뭐 이에 대해서는 특별히 언급을 하지는 않겠습니다.
둘째, 약관 변경의 경우에도 준수해야 할 절차가 있습니다. 전자상거래 등에서의 소비자보호 지침에 따르면, 이용약관을 변경할 때에는 최소 7일전 고지, 소비자에게 불리하게 변경하는 경우에는 최소 30일의 유예기간을 두고 공지해야 합니다. 그 밖에 변경 약관의 동의방법 등에 대해서 약관법상 준수 사항을 지켜야 합니다.
4. 공정거래위원회의 표준약관
그런데 플랫폼/쇼핑몰 운영자분들께서 훌륭한 경영인이 되실 수는 있지만 법률 전문가는 아닌 경우가 대부분일 것이므로, 내가 무슨 법을 어떻게 지켜야하는지도 잘 모르는 경우가 대부분이겠죠? 그렇기때문에 공정거래위원회에서는 전자상거래 표준약관을 제정하여 이를 공개하고 있습니다.
표준약관 - 공정거래위원회 (https://www.ftc.go.kr/www/cop/bbs/selectBoardArticle.do?key=201)
다만 위 표준약관은 2015년에 마련된 것으로서, '통신판매업', 즉 사업자가 직접 물건을 판매하는 온라인 쇼핑몰 위주로 작성이 되어있는 것이 문제입니다. 때문에 최근의 트렌드인 '통신판매중개업' 즉 플랫폼 사업의 내용을 제대로 담아내거나, '물건'을 판매하는 전통적인 온라인 쇼핑이 아닌 '서비스'를 판매하는 업종에서는 적용이 어려울 수 있습니다. 게다가 최근 온라인 공간을 활용한 새로운 사업은 계속하여 나타나는 추세이므로, 다소 한계가 있는 것은 사실입니다. 따라서 공정위의 표준약관을 사용할 때에는 주의를 요합니다.
공정거래위원회 표준약관을 참고해보되,
10년이 넘은 것이므로 사용상 특히 유의해야합니다!
요즘 세상에 10년 전이면 거의 이급 아니냐...
5. 위반시의 법적 리스크
위와 같은 사항을 위반할 경우, 500만원 이하의 과태료(사업지 신원정보 미표시)를 맞을 수 있는 것은 물론, 공정위로부터 조사를 받아 위반사항을 시정하라는 "시정명령", 자신이 법을 위반하였다는 사실을 스스로 공표하게 하는 "공표명령"등을 받아 대외적인 신뢰도가 수직 하락할 수 있으니 주의를 요합니다.
기업하는 사람 입장에서, 공정위, 금융위, 금감원은 검찰만큼이나 무서운 곳이죠....
"이용약관, 잘못 관리하면 500만원 이하의 과태료,
공정위 조사에 이은 시정명령, 공표명령 등 행정처분을 맞을 수 있으므로 주의!"
이러한 리스크를 줄이기 위해서는 전자상거래에 실무 경험이 많은 변호사에게 자문을 구하거나 약관의 작성, 검토를 맡기는 것도 좋은 방법입니다.
1. 개인정보처리방침 작성 의무의 법적 근거
개인정보 보호법에는 개인정보 처리자는 개인정보 처리방침을 수립하고, 이를 정보주체가 쉽게 확인할 수 있도록 공개해야 한다고 규정하고 있습니다.
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
3의3. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.
인터넷 홈페이지를 개설하고 회원가입을 받는 경우에는 개인정보처리자가 되므로, 위 규정에 따라 개인정보처리방침을 작성해야할 의무가 있는 것입니다.
2. 개인정보처리방침에 포함되어야 할 내용
개인정보처리방침에 포함되어야 할 내용 역시도 위 개인정보 보호법 제30조 제1항 각 호에서 정하고 있습니다. 다만 제8호는 대통령령으로 일부 사항을 위임하고 있는데, 관련 대통령령(시행령)은 아래와 같습니다.
제31조(개인정보 처리방침의 내용 및 공개방법 등)
① 법 제30조제1항제8호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 처리하는 개인정보의 항목
2. 법 제28조의8제1항 각 호에 따라 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 같은 조 제2항 각 호의 사항
3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항
4. 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명
이와 같은 사항들을 정리해보면 개인정보처리방침에 포함되어야 하는 내용들은 아래와 같습니다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
5. 제23조제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법(해당되는 경우에만 정한다)
6. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
7. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(해당되는 경우에만 정한다)
8. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
9. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
10. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
(이상 개인정보 보호법 제30조 제1항)
11. 처리하는 개인정보의 항목
12. 법 제28조의8제1항 각 호에 따라 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 같은 조 제2항 각 호의 사항
13. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항
14. 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명
(이상 개인정보 보호법 시행령 제31조 제1항)
3. 개인정보 처리방침의 공개 방법
위에서 보았듯이, 개인정보 보호법 제30조 제2항에 따라, 개인정보 처리방침은 공개가 되어야합니다. 다만 이 역시도 대통령령에 위임이 되어있습니다. 다시 한번 시행령을 살펴보겠습니다.
제31조(개인정보 처리방침의 내용 및 공개방법 등)
② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.
많은 회사들이 개인정보처리방침을 풋터에 링크를 걸어두고 있습니다. 꼭 풋터에 넣어놓으라는 법이 있는 것은 아니지만, 2부 이용약관 편에서 보았듯이, 어차피 이용약관을 풋터에 넣어놔야 하는거면 그 옆에 개인정보처리방침도 넣는 것이 디자인적으로 깔끔하기 때문에 그러한 실무 관행이 굳어진 것 같습니다.
일단은, 남들 하는대로 하는 것이 좋습니다.
저희 법무법인 웨이브에서는 이용약관, 개인정보처리방침의 작성 및 검토 업무도 수행하고 있습니다. 변호사의 자문이 필요하신 분들은 톡으로 상담을 신청하여주시기 바랍니다.
감사합니다.
저희 법무법인 웨이브는 저를 비롯하여 세무/VC투자 전문 변호사님, 회계사 출신 변호사님, 노동청 및 토스 출신 변호사님, 대형로펌 출신 변호사님 등 다양한 분야의 전문가로 구성되어 있어 제반 문제를 One-Stop으로 해결 가능합니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.