고객 데이터를 활용한 맞춤형 마케팅이 개인정보 보호법상 어느 선까지 허용되는지, 동의 범위는 어떻게 해석이 되나요?

Question

안녕하세요.

쇼핑 기록이나 검색 기록을 분석해서 타깃 광고를 하는 경우들이 많이 있습니다. 정당한 이용 목적과 최소 수집 원칙이 실제 마케팅 현장에서는 어떤식으로 적용되고 제한이 되나요?

Answer 1

안녕하세요. 이성재 변호사입니다.

1. 타깃 광고/맞춤형 추천 목적이라면, 일반적으로 다음 수준이 필요 최소 범위로 논의됩니다.

• 필수에 가까운 것

  • 구매 이력(상품, 금액, 일시, 채널 등)

  • 장바구니/관심상품 내역

  • 기본 고객 식별자(내부 고객번호, 아이디 등)

  • 사이트/앱 내 행동 로그(클릭, 조회, 체류 시간 등) – 행태기반 광고 동의를 받은 경우

• 신중해야 할 것

  • 정확한 주소, 전화번호 → 배송·고객응대 등 다른 목적과 혼합될 경우도 많아 사용 목적을 분리·명시하는 것이 좋습니다.

  • 위치 정보(실시간 위치, 세부 위치 히스토리) → 민감도 높아 별도, 명확한 동의 필요

• 일반 마케팅에선 거의 불필요한 것 (위험 구간)

  • 주민등록번호, 여권번호 등 고유 식별정보

  • 건강정보, 금융거래 내역 등의 민감·고위험 정보

2. 데이터 보유 기간

• 수집 목적 달성 후 지체 없이 파기가 원칙입니다.

• 마케팅·분석에 쓰더라도

  • 예: “마지막 이용일로부터 1년 동안 추천·분석에 활용 후 파기”처럼
    구체적인 기간을 정하고, 내부 정책과 화면에 명시하는 것이 바람직합니다.

• 장기간 보유가 필요하다면

  • 가명처리 후 통계·분석 용도로만 쓰고,

  • 재식별 금지, 접근권한 최소화 등 추가 조치가 필요합니다.