1. 온라인 셀러가 개인정보 보호법을 반드시 알아야 하는 이유
쇼핑몰을 운영하면서 개인정보 보호법에 얼마나 주의를 기울이고 계신가요?
상품 등록부터 주문 처리, 고객 응대에 이르기까지 하루에도 수차례 고객의 개인정보를 다루게 되지만, 많은 셀러들이 이 과정에서 발생할 수 있는 법적 위험에 대해 제대로 인식하지 못한 채 넘어가곤 합니다.
그러나 개인정보 보호법은 단순한 '지식'이나 ‘참고사항’이 아닌, 셀러가 반드시 준수해야 할 중요한 '법적 의무'입니다. 실제로 법을 제대로 이해하지 못해 경찰 조사나 과태료 처분을 받는 사례가 결코 드물지 않죠.
이번 글에서는 온라인 셀러라면 반드시 알아야 할 개인정보 보호법의 기본 개념과 실무에서 위반을 예방하는 방법, 그리고 예상치 못한 조사에 효과적으로 대응하는 절차를 상세히 정리해 드리겠습니다.
2. 개인정보 보호, 셀러가 알아야 할 기본 사항
2.1. 개념 정리: ‘개인정보’란 무엇인가?
개인정보 보호법 제2조 제1항에서는 개인정보를 다음과 같이 정의하고 있어요.
“개인정보”란 살아 있는 개인에 관한 정보로서,
•
가. 성명, 주민등록번호, 영상 등으로 개인을 식별할 수 있는 정보
•
나. 단독으로는 식별이 어렵지만, 다른 정보와 결합해 식별할 수 있는 정보
•
다. 위 정보를 가명처리한 경우, 추가 정보 없이는 식별할 수 없는 정보(가명 정보)
여기서 말하는 '가명 처리'란, 개인정보 일부를 삭제하거나 바꾸어 추가 정보 없이는 개인을 알아볼 수 없도록 만든 것을 의미합니다.
쉽게 말해, 셀러가 마주하는 대부분의 고객 정보가 이 정의에 해당합니다. 주문자 또는 수령자의 이름, 주소, 연락처, 구매 내역 등은 단독 또는 조합을 통해 특정인을 식별할 수 있으므로, 법적으로 모두 ‘개인정보’에 해당하며, 이를 처리하는 모든 행위는 개인정보 보호법의 적용을 받게 됩니다.
2.2. 셀러가 개인정보 처리자가 되는 이유
개인정보 보호법 제2조 제5항에서는 ‘개인정보 처리자’를 다음과 같이 정의하고 있어요. 여기서 말하는 ‘처리’는 단순히 정보를 수집하거나 저장하는 것뿐 아니라, 열람, 기록, 전달, 삭제 등 개인정보와 관련된 거의 모든 행위를 포함합니다.
‘개인정보 처리자’란
업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
도매 플랫폼을 이용하는 셀러도, 상품 주문 처리, 문의 응대, 구매 이력 확인 등 고객 정보를 직접 열람하고 사용하는 과정에서 개인정보 보호법상 ‘개인정보 처리자’에 해당합니다. 이러한 일상적인 업무 모두가 개인정보를 처리하는 행위이며, 그에 따라 법적 책임과 정보 보호 의무가 발생합니다.
자사몰을 운영하거나, 주문 정보를 엑셀 파일로 내려받아 보관하는 경우에는 유출 위험이 크기 때문에 더욱 철저한 관리가 요구됩니다. 셀러가 개인정보 처리자라는 사실을 인식하지 못하고 관련 법을 위반하는 경우, 행정처분은 물론 수사 대상이 될 수 있다는 점을 반드시 유의해야 합니다.
2.3. 개인정보를 다룰 때, 셀러가 먼저 지켜야 할 기본 수칙
개인정보 보호법 전체를 외우지 않더라도, 셀러라면 반드시 기억해야 할 핵심 수칙이 있습니다. 작은 실수라도 법 위반으로 이어질 수 있는 만큼, “필요한 정보만, 명확히 고지하고, 안전하게 처리하는 습관”을 갖는 것이 가장 중요합니다.
아래는 실무에서 가장 자주 적용되는 다섯 가지 원칙을 정리한 표입니다.
셀러로서 내가 어떤 정보에 책임을 지고 있는지, 지금 잘 지키고 있는지 확인해 보세요.
원칙 | 설명 | 예시 |
수집 목적 명확화 | 개인정보를 수집할 때는 이유를 명확히 밝히고 동의를 받아야 합니다. | “배송 및 고객 응대를 위한 정보 수집” |
최소 수집 | 목적에 꼭 필요한 최소한의 정보만 수집해야 합니다. | 배송과 무관한 고객의 생년월일, 성별 등 추가 정보 수집 X |
이용목적 외 사용
및 제3자 제공 제한 | 수집한 개인정보는 사전에 고지한 목적 외로 사용할 수 없으며, 공급사 등 제3자에게 정보를 제공할 경우, 사전 고지 및 명시적 동의가 필요합니다. | “㈜OOO에 배송을 위해 고객 정보를 제공합니다.” |
보유 기간 설정 및 파기 | 정해진 기간 내 보관하고, 이후에는 지체 없이 파기해야 합니다.
*법정 보관 기간(최대 5년) | 엑셀 파일에 저장된 주문 정보 → 처리 후 삭제 |
안전성 확보 | 개인정보는 암호화, 접근 제한 등 보안 조치를 통해 보호해야 합니다. | 수기로 기록된 고객정보, PC에 저장된 엑셀 파일 등 → 유출 위험 있음 |
2.4. 자주 놓치는 실무 포인트
이론적으로는 알고 있지만, 실제 판매 과정에서는 무심코 지나치기 쉬운 개인정보 처리 실수들이 있습니다.
아래 항목 중 하나라도 해당한다면, 지금 바로 점검이 필요합니다.
항목 | 발생 위험 | 개선 방법 |
주문 정보가 담긴 엑셀 파일을 장기간 PC에 보관 | 유출 시 법적 책임이 셀러에게 있음 | 주문 정보는 법정 보관 기간(최대 5년)까지는 암호화하거나 접근 제한된 환경에 안전하게 보관, 이후 즉시 파기 |
별도의 고지 없이 공급사(제3자)에 고객 정보 전달 | 위수탁 고지 누락은 법 위반 소지 | 수탁자, 제공 목적·항목, 보유 기간 등 명확히 안내 |
상세페이지 또는 공지사항에 제3자에 개인정보 제공 사실 생략 | 구매자의 사전 동의 요건 미충족 | 상품 상세나 공지에 고객이 인지할 수 있도록 고지 |
마케팅 동의 없이 문자·이메일 발송 | 사전 동의 없는 광고는 불법 | 리뷰 요청, 홍보 등 발송 전 마케팅 활용 동의 확보 |
변경된 내용을 개인정보 처리방침에 반영하지 않음 | 실제 운영과 정책이 불일치 | 처리 항목이나 수탁자 변경 시, 즉시 처리방침에 반영 |
정기적인 점검과 변경 사항 반영은 셀러가 꼭 갖춰야 할 기본 관리 습관입니다.
3. 판매 사이트별로 살펴보는 실천 체크리스트
온라인 셀러는 판매 사이트에 따라 개인정보 처리 방식과 설정 위치는 달라질 수 있지만, 고객 정보를 다루는 법적 책임은 동일하게 적용됩니다. 여기서는 대표 판매 사이트인 스마트스토어와 쿠팡을 기준으로, 개인정보 보호를 위해 반드시 점검해야 할 사항들을 정리했습니다.
3.1. 스마트스토어에서 점검해야 할 사항
아래 요건을 갖추지 않고 위탁 판매를 진행하면 개인정보 보호법 위반으로 법적 처벌을 받을 수 있습니다.
수탁업체(공급사) 정보를 정확히 기재했는가?
→ [판매자 정보 → 개인정보 취급 방침 관리 → 기타 업무 위탁 업체 입력] 항목에 공급사명과 위탁 업무 내용을 명확히 작성해야 합니다.
예시: 수탁업체: ㈜ABC, 위탁업무 내용: 상품 공급, 배송, 반품, 교환
수탁업체가 5개 이상인 경우 별도 공지로 안내했는가?
→ 최대 4개까지 직접 입력 후, "그 외 추가 업체 00개: 공지 사항에 별도 표기" 문구 사용
→ 공지 사항에서 실제 업체명 목록을 반드시 확인할 수 있도록 작성
위탁 업무 내용이 동일할 경우 하나의 행에 병합 기재했는가? (업체명 20자 제한)
→ 예시: 수탁업체: ㈜ABC, ㈜DEF, ㈜GHI / 위탁업무 내용: 상품 공급 및 발송
수탁업체와 정식 위수탁 계약서를 체결했는가?
→ 단순 협력만으로는 부족하며, 공식 계약서 또는 위수탁 확인서 구비 필수
→ 온채널의 경우, 서비스 이용 약관에 입각하여 입점 절차에 따라 공급 거래 계약이 성립되는 구조로 별도 계약서 없이 위수탁 요건 충족 가능
개인정보 처리 방침이 최신 정보로 반영되어 있는가?
→ 처리 항목이나 수탁자(공급사) 변경 시, 즉시 처리방침에 반영
3.2. 쿠팡에서 점검해야 할 사항
쿠팡은 시스템 상 별도로 위수탁 업체 입력 란이 없기 때문에, 고지 의무는 상세페이지 내 직접 명시 방식으로 대체됩니다. 이 원칙은 스마트스토어와 같이 별도의 입력 란이 없는 판매 사이트를 이용하거나 자사몰일 경우에 동일하게 적용될 수 있습니다.
상세페이지에 공급사 정보와 제3자 제공 사실, 위탁 업무 내용을 명시했는가?
→ 반드시 고객이 확인할 수 있는 위치에 수탁업체명 + 위탁 업무 내용 + 개인정보가 제3자에게 제공된다는 문구를 함께 고지해야 합니다.
예시: “이 상품은 위탁 배송 상품으로, 배송을 위해 고객 정보가 제3자(㈜ABC)에게 제공됩니다.”
개인정보 처리방침에 공급사 정보를 포함했는가?
→ 자사몰 또는 별도 개인정보 고지 화면이 있는 경우, 해당 문서 내 공급사 정보 반영
4. 개인정보 보호법 위반 시, 대응 절차는 어떻게 될까?
최근 위탁판매를 운영하는 셀러 중 일부가 개인정보 보호법 위반 혐의로 신고를 당하거나 경찰 조사를 받는 사례가 늘고 있습니다.
특히 고객의 개인정보가 공급사 등 제3자에게 전달되는 구조에서 이를 고객에게 명확히 고지하지 않은 경우, 신고 접수나 수사기관의 출석 요청이 들어왔을 때 법적 문제가 될 수 있습니다.
이때는 아래와 같은 절차에 따라 차분히 대응하는 것이 중요합니다.
4.1. 사전에 셀러가 준비해 두어야 할 고지 항목
아래의 고지는 이미 실무 과정에서 지켜져야 할 필수 항목입니다. 하지만 신고나 조사 상황에서는 이를 사전에 충실히 준비했는지가 핵심 쟁점이 될 수 있어, 다시 한번 점검이 필요합니다.
•
상세페이지 또는 공지 사항에 고객정보가 공급사에 전달됨을 명시
•
마켓 설정 내 공급사(수탁자) 등록
•
개인정보 처리 방침 내 공급사 정보 포함 고지 및 캡처 보관
4.2. 경찰 조사 출석 시 준비물
1.
사업자등록증 및 신분증
2.
위수탁 계약 사실 확인서
온채널 이용 시: 별도 계약서 없이 이용약관에 입각하여 거래 계약이 성립됨
3.
온채널 회원 정보
회원 아이디, 상호, 연락처, 가입일 등
4.
해당 상품의 공급사 정보
상품 상세페이지 또는 시스템상 연결된 공급사 정보
5.
문제 된 주문의 상세 내역
주문 번호, 주문 상품, 송장번호 등
이러한 자료들을 정리해 제출하면, 셀러가 고객 정보를 고의로 유출한 것이 아니라 위수탁 구조에 따라 정당하게 처리한 것임을 설명할 수 있습니다.
4.3. 온채널을 통해 확인할 수 있는 자료
경찰서 또는 수사기관의 요청에 따라, 온채널에서는 아래 자료를 제공할 수 있습니다.
단, 다음의 정보를 온채널에 먼저 제출해야 제공이 가능하니 참고해 주세요.
제출 요건:
•
온채널 내 주문 코드
•
온채널 가입 아이디
•
수사기관 발신 문서(※ 아래 중 택 1)
◦
협조 공문
◦
고소장 + 사건번호 명시된 정보공개청구서
◦
영장
◦
이외 수사기관 발신 문서로 파악할 수 있는 자료
온채널 제공 자료:
1.
판매자의 온채널 가입 정보
•
아이디, 상호, 연락처, 가입일 등
2.
주문의 거래 사실 확인서 (PDF로 제공)
5. 판매 사이트를 문제없이 운영하기 위한 조건
고객의 신뢰는 단지 상품 품질이나 배송 속도에서만 생기지 않습니다.
온라인 셀러에게 ‘고객의 안전한 개인정보 관리’에 대한 신뢰 매우 중요합니다.
개인정보 보호법은 단순한 형식적인 요건이 아니라, 셀러가 온라인 사업을 지속적으로 운영하기 위한 기본적인 ‘운영의 조건’입니다. 이 글에서 살펴본 법적 개념과 실무 체크리스트, 대응 절차 등을 꼼꼼히 점검하고 조금 번거롭더라도 원칙을 지키는 운영 습관을 들이시는 것이 필요합니다.
다음 세 가지 질문을 스스로에게 던져보세요:
내 사이트(또는 입점 채널)에 개인정보 처리 방침이 명확히 안내되어 있는가?
고객 정보가 외부에 공유되거나 보관될 때, 안전하게 처리되고 있는가?
만약 사고가 발생했을 때, 신고하고 대응할 준비가 되어 있는가?
이 질문에 ‘예’라고 자신 있게 답할 수 있다면, 이미 셀러로서 한발 앞선 개인정보 관리자가 된 것입니다. 개인정보 보호는 선택이 아닌, 온라인 셀러라면 반드시 갖춰야 할 ‘기본 운영 원칙’입니다.
오늘부터 하나씩 점검해 보세요. 작은 변화가 셀러의 신뢰도와 쇼핑몰의 지속가능한 성장을 만듭니다.
에디터 _ 헬가
글 쓴 날 _ 2025. 6. 27.
.png&blockId=1ed4b16e-2bf1-8024-8638-cd8770bddd7b)
매월 무료 기프티콘 이벤트도?!
_2.png&blockId=1ed4b16e-2bf1-80ab-b9a8-c48956b0b15b)
지금 내게 필요한 교육을 찾아보세요!
본 콘텐츠는 온라인 유통 관련 사업자에게 유익할 수 있는 일반 정보를 '참고용'으로 제공하고 있습니다. 특정 사안에 대한 조언이나 홍보의 목적이 아니므로, 콘텐츠의 법적 적합성이나 정확성에 대해 보장하지 않습니다. 또한, 이로 인해 발생하는 직·간접적인 손해에 대해서도 어떤 법적 책임도 지지 않습니다.