1. 법적 근거와 원칙
| 항목 | 국내 | 국제 |
| 규제 | 개인정보 보호법 | GDPR(유럽연합), CCPA(미국) |
- 수집 최소화의 원칙: 서비스 제공에 반드시 필요한 최소한의 정보만 수집해야 하며 추가 정보 수집 시 별도의 동의를 받아야 함
- 목적 제한 원칙: 수집한 개인정보는 명확한 목적 내에서만 사용해야 하며 다른 용도로 활용할 경우 추가 동의가 필요함
- 보유기간 제한 원칙: 개인정보는 필요 기간 동안만 보관해야 하며, 기간이 지나면 안전한 방식으로 파기해야 함
- 정보주체의 권리 보장: 정보주체는 자신의 개인정보 열람, 정정, 삭제, 처리, 정지를 요청할 수 있어야 함
- 안전성 확보 원칙: 개인정보 보호를 위해 암호화, 접근통제 등의 기술적·관리적 조치를 적용해야 함
2. 법적 리스크
2.1. 개인정보 보호법
- 과징금: 매출액 3% 이하 또는 매출액 산정이 어려울 경우 20억 이하
- 과태료: 3천만원 이하
2.2. GDPR
- 최대 매출의 4% 또는 2천만 유로 중 더 큰 금액