“동의서에 꼭 넣어야 할 건 무엇이고, 어떤 경우에 ‘별도 동의’가 필요할까요?”
2025년 개인정보보호법과 개인정보보호위원회(PIPC) 지침을 기준으로 필수 항목 체크리스트와 작성 예시, 공식 서식(PDF/HWP) 링크까지 한 번에 정리했습니다.
개요
동의서는 정보주체에게 무엇을 왜 수집하고 얼마나 보유·이용하는지를 알리고 동의를 받는 문서입니다.
2025 기준 핵심은 (1) 수집·이용 동의의 필수 고지 4요소(목적·항목·보유기간·동의거부권 및 불이익), (2) 제3자 제공·국외이전·민감정보·고유식별정보는 다른 개인정보와 분리하여 별도 동의가 원칙, (3) 만 14세 미만은 법정대리인 동의가 필수라는 점입니다.
자격/대상
- 적용 주체: 공공·민간 모든 개인정보처리자(회사·단체·기관·자영업자 등).
- 만 14세 미만 아동: 법정대리인 동의를 받아야 하며, 동의여부 확인 절차가 필요.
- 민감·고유식별정보(건강정보, 범죄경력, 생체정보, 주민등록번호 등): 다른 정보와 분리된 별도 동의 및 법령 근거 확인.
- 국외이전·클라우드: 국외 제공/보관/위탁 시 이전 대상·목적·보유기간·보호조치 등 고지 및 동의.
필수 항목 체크리스트(수집·이용 동의)
- ① 수집·이용 목적: 예) 회원가입, 본인확인, 고객상담, 서비스 제공·정산, 부정이용 방지 등.
- ② 수집 항목: 예) 성명, 연락처, ID, 주소 등 — 필수/선택 분리 표기.
- ③ 보유 및 이용기간: 예) 회원탈퇴 시까지, 관계 법령에 따른 보존기간 등 구체 기재.
- ④ 동의 거부권 및 불이익: 거부 가능하나 필수항목 미동의 시 서비스 제공이 제한될 수 있음을 명확히 고지.
※ 선택(마케팅) 동의는 필수와 분리하고, 이메일·문자·전화 등 수신 채널별 세분 체크박스를 두는 것이 모범사례입니다.
별도 동의가 필요한 영역(요건 요약)
- 제3자 제공: 제공받는 자·목적·항목·보유기간을 구체 고지하고 별도 동의 받기.
- 국외이전: 이전받는 자(국가/회사)·이전목적·항목·보유기간·보호조치 고지 및 동의.
- 민감정보(건강·생체·범죄경력 등): 수집·이용 목적/항목/기간/거부권을 알리고 다른 정보와 별도로 동의.
- 고유식별정보(주민등록번호·여권번호 등): 법령 근거 또는 별도 동의 필요.
- 만 14세 미만: 아동에게 쉽게 안내 후 법정대리인 동의 및 동의여부 확인 절차 필수.
비교 표
| 항목 | 핵심정보 | 비고 |
|---|---|---|
| 수집·이용 동의(필수 4요소) | 목적 · 항목 · 보유기간 · 동의거부권/불이익 | 필수/선택 분리 표기 |
| 제3자 제공 동의 | 제공받는 자 · 목적 · 제공 항목 · 보유기간 | 별도 체크박스 |
| 국외이전 동의 | 이전받는 자(국가/회사) · 목적 · 항목 · 보유기간 · 보호조치 | 클라우드 사용 시 필수 확인 |
| 민감정보 동의 | 건강/생체/범죄경력 등은 별도 동의 | 법령 근거 병기 |
| 고유식별정보 동의 | 주민등록번호·여권번호 등 | 법정 예외 또는 별도 동의 |
신청기간/채널(실무 적용 가이드)
- 기간: 보유기간은 목적 달성 시 즉시 파기 또는 관련 법령의 법정 보존기간을 명시.
- 온라인: 회원가입·주문·상담·이벤트 등 수집화면에 필수/선택 분리 체크박스와 링크형 고지(처리방침) 배치.
- 오프라인: 서면 동의서(종이·태블릿 서명) 사용, 서식 하단에 동의철회 경로(고객센터·이메일 등) 명시.
준비서류·절차(실전 체크리스트)
- 수집 목적 정의: 서비스 제공·계약 이행·법적 의무 등 법적 근거와 연결.
- 항목 최소화: 필수/선택 분리, 선택은 미동의 시에도 서비스 제공 거부 금지.
- 보유기간 설정: 내부 파기정책과 연동, 만료 시 지체 없는 파기 절차 포함.
- 별도 동의 분리: 제3자 제공/국외이전/민감·고유식별정보는 개별 체크로 분리.
- 아동 보호 절차: 만 14세 미만은 법정대리인 동의 및 확인 증빙 보관.
- 동의철회·정지: 마이페이지·고객센터 등 쉽고 명확한 경로 제공, 철회 시 즉시 파기·중지 처리.
- 감사 로그·버전관리: 동의 이력(버전/시각/채널/IP)을 안전하게 보관.
자주 묻는 질문(FAQ)
- Q. 마케팅 수신 동의는 필수로 받아도 되나요?
A. 아니오. 서비스 제공과 직접 관련 없는 선택항목은 필수로 묶을 수 없습니다. 이메일·문자 등 채널별 개별 동의로 분리하세요. - Q. 클라우드에 저장하면 국외이전에 해당하나요?
A. 국외 서버에 제공·보관·위탁하거나 국외에서 조회되면 국외이전 요건에 해당할 수 있습니다. 이전 대상·목적·기간·보호조치 고지 및 동의를 준비하세요. - Q. 만 14세 미만 가입은 어떻게 처리하나요?
A. 아동에게 쉽게 안내한 뒤 법정대리인 동의를 받고, 동의 사실 확인 절차까지 갖춰야 합니다.
출처·근거(공식)
- 개인정보보호법 제37조(처리정지·동의철회) — 시행 2023-09-15
- 개인정보보호법 제15조(수집·이용) — 시행 2025-03-13
- 개인정보보호법 제17조(제3자 제공) — 시행 2025-03-13
- 개인정보보호법 제23조(민감정보) — 시행 2023-09-15
- 개인정보보호법 제24조(고유식별정보) — 시행 2025-03-13
- 개인정보보호법 제28조의8(국외이전) — 본문 확인
- 표준 개인정보 보호지침(개정 2024-01-04, PIPC 고시)
- 알기쉬운 개인정보 처리 동의 안내서(2022, PIPC) — 서식·예시 수록
- 개인정보 처리방침 작성지침(2025.4, PIPC/개인정보포털)
- 필수동의 관행 개선 안내(2024-09-12, PIPC)
- 국외이전 Q&A(2025-02-04, PIPC 지식센터)
- 찾기 쉬운 생활법령 — 수집·이용/제3자 제공 고지사항
본 글은 정보 제공 목적이며, 실제 적용은 업종·처리항목·국외이전 여부·아동 적용 등 상황에 따라 달라질 수 있습니다. 반드시 위 공식 링크에서 최신 법령·고시·지침을 재확인하세요. 최종 업데이트: 2025-09-12.
