개인정보처리방침 생성기

2025 개인정보처리방침 완전 가이드

한국 서비스 + 글로벌 이용자를 함께 고려한 이중언어 처리방침 작성법.

1. 법적 근거와 적용 대상

  • 「개인정보 보호법」 (PIPA): 개인정보처리자라면 예외 없이 적용. 2023년 전면 개정, 2025년 4월 개인정보보호위원회가 「개인정보 처리방침 작성지침」을 개정·고시.
  • GDPR: EU/EEA 이용자가 있거나 EU 대상 마케팅·상품 판매 시 적용. 정보 주체 권리·국외 이전·합법적 처리 근거 명시가 필수.
  • CCPA / CPRA: 캘리포니아 거주자가 있는 경우. Right to Know / Delete / Correct / Opt-out of Sale·Share / Limit Sensitive PI / Non-Discrimination 안내 필수.

2. PIPA 필수 기재 사항

  1. 개인정보의 처리 목적 (제30조 제1항 제1호)
  2. 처리하는 개인정보 항목
  3. 개인정보의 처리 및 보유 기간
  4. 개인정보의 제3자 제공에 관한 사항
  5. 개인정보 처리 위탁에 관한 사항 (제26조)
  6. 정보 주체의 권리·의무 및 행사 방법
  7. 처리하는 개인정보의 안전성 확보 조치 (제29조)
  8. 개인정보 보호 책임자의 성명·부서·연락처
  9. 쿠키·기타 자동수집장치 사용 여부
  10. 개인정보 국외 이전에 관한 사항 (제28조의8, 신설)

2025년 4월 지침의 핵심 변경점: ① 개인정보 국외 이전 안내 항목 별도 명시, ② 쿠키·GA·픽셀 등 자동수집 도구 개별 사용 여부를 구체적으로 고지, ③ 민감정보·고유식별정보 처리 시 별도 동의 근거 명확화, ④ 가명정보 처리 시 별도 고지 추가.

3. GDPR 대응 섹션

  • Art. 13/14: 컨트롤러 정보, 처리 목적·법적 근거, 수령인·국외 이전 정보, 보유 기간, 정보 주체 권리, DPA 제소 권리.
  • Art. 6 법적 근거: 동의·계약 이행·법적 의무·정당한 이익 등 중 어떤 근거로 처리하는지 명시.
  • Art. 44~49 국외 이전: 적정성 결정 국가 여부, SCCs(표준계약조항), BCR, 동의 등 이전 근거 필수.

4. CCPA / CPRA 요구사항

  • 수집한 카테고리별 개인정보 명시 (지난 12개월 기준).
  • "Do Not Sell or Share My Personal Information" 링크 (판매·공유 있을 때).
  • 민감 개인정보(SPI) 사용 제한 요청권.
  • 지역별 권리 차별 금지 (Non-Discrimination).
  • 권리 행사 요청 창구·검증 절차·응답 시한(45일, 1회 45일 연장) 명시.

5. 쿠키 및 자동수집 도구

PIPA와 GDPR/ePrivacy는 쿠키 처리 방식이 다릅니다.

  • 한국(PIPA): 필수 쿠키는 고지, 선택 쿠키는 사전 동의 권고 (개인정보 처리방침 작성지침 3.8항).
  • EU(ePrivacy Directive): 필수 외 쿠키는 사전 opt-in 동의 필수. 쿠키 배너 + 거부 옵션 동등성.
  • 도구별 고지: Google Analytics 4, Meta Pixel, Hotjar, Naver Analytics 등 개별 명시.

6. 만 14세 미만 / COPPA

  • PIPA 제22조의2: 만 14세 미만 아동의 개인정보 처리 시 법정대리인 동의 및 확인 절차 필수. 서비스 특성상 아동 접근이 예상되면 반드시 별도 섹션.
  • COPPA (미국): 만 13세 미만, 부모 동의 + 정보 최소수집. 글로벌 서비스는 보수적 대응 권장.

7. 보유 기간 설정 기준

  • 수집 목적 달성 시 지체 없이 파기 (PIPA 제21조).
  • 전자상거래법: 계약·청약철회·결제 5년, 소비자불만 3년, 표시·광고 6개월.
  • 통신비밀보호법: 로그인·방문 기록 3개월.
  • 세법: 국세기본법 제85조의3에 따라 증빙서류 5년.

8. 업데이트 주기와 고지 의무

  • PIPA는 경미한 변경도 시행 최소 7일 전 공지 권장 (작성지침 4.1).
  • 중요한 변경(제공·위탁·국외 이전 추가, 항목·목적 변경)은 별도 동의 또는 최소 30일 전 공지.
  • 연 1~2회 정기 점검 권장. 법령·수탁자·도구 변경 시 즉시 반영.

9. 위반 시 제재

  • PIPA 제30조 위반: 1천만원 이하 과태료 (공개·비치 위반).
  • 동의 없는 제3자 제공: 5년 이하 징역 또는 5천만원 이하 벌금.
  • GDPR: 전 세계 매출 4% 또는 €20m 중 높은 금액 (심각한 위반).
  • CCPA: 고의 위반 1건당 $7,500, 일반 위반 $2,500 (Attorney General).

10. 참고 자료

처리방침 만들기 · FAQ