2026년 1월 21일 작성
Email 관련 법률 - Spam 규제와 개인정보 보호
상업용 email 발송은 각국의 anti-spam 법률과 개인정보 보호법의 규제를 받으며, 위반 시 상당한 벌금이 부과됩니다.
Email 관련 법률
- 상업용 email 발송은 anti-spam 법률과 개인정보 보호법의 규제를 받습니다.
- 각국마다 규제 수준과 요구 사항이 다르며, 위반 시 상당한 벌금이 부과됩니다.
- email 주소는 개인 식별 정보로 취급되어 수집과 처리에 법적 제한이 있습니다.
- 각국 법률은 opt-in 또는 opt-out 방식 중 하나를 채택합니다.
- opt-in : 수신자가 먼저 동의해야 email을 발송할 수 있습니다.
- opt-out : 동의 없이 email을 발송할 수 있지만, 수신 거부 요청 시 중단해야 합니다.
한국 : 정보통신망법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 상업용 email을 규제합니다.
주요 요구 사항
- 사전 동의 (opt-in) : 광고성 email 발송 전 수신자의 명시적 동의가 필요합니다.
- 동의 없이 광고성 email을 발송하면 과태료가 부과됩니다.
- 동의 시 수집 목적, 항목, 보유 기간을 고지해야 합니다.
- 광고 표시 의무 : 제목에
(광고)문구를 표시해야 합니다.- email 본문에 발신자 정보(상호, 연락처)를 명시해야 합니다.
- 수신 거부 방법 제공 : 수신 거부 의사를 쉽게 표시할 수 있는 방법을 제공해야 합니다.
- 수신 거부 요청 후 영업일 기준 3일 이내 처리해야 합니다.
- 수신 거부한 사용자에게 다시 광고를 보내면 과태료가 부과됩니다.
벌칙
- 동의 없는 광고 email 발송 : 최대 3,000만원 과태료.
- 수신 거부 위반 : 최대 3,000만원 과태료.
- 발신자 정보 미표시 : 최대 1,000만원 과태료.
미국 : CAN-SPAM Act
- CAN-SPAM Act(Controlling the Assault of Non-Solicited Pornography And Marketing Act)는 2003년에 제정된 미국의 상업용 email 규제 법률입니다.
주요 요구 사항
- opt-out 방식 : 사전 동의 없이 email을 보낼 수 있지만, 수신 거부 요청 시 10영업일 이내 처리해야 합니다.
- 한국과 달리 opt-in이 아닌 opt-out 방식입니다.
-
발신자 정보 : 발신자의 물리적 주소를 email에 포함해야 합니다.
-
정확한 header 정보 :
From,To,Reply-To등 header 정보를 허위로 작성하면 안 됩니다. -
제목 정확성 : 제목이 email 내용을 오도하면 안 됩니다.
- 광고 명시 : email이 광고임을 명확히 표시해야 합니다.
벌칙
- 위반 시 email 건당 최대 $50,120 벌금.
- 악의적 위반 시 형사 처벌 가능.
유럽 : GDPR
- GDPR(General Data Protection Regulation)은 EU의 개인정보 보호 규정으로, email marketing에도 적용됩니다.
주요 요구 사항
- 명시적 동의 (opt-in) : marketing email 발송 전 명확하고 구체적인 동의가 필요합니다.
- 사전에 check된 checkbox는 유효한 동의로 인정되지 않습니다.
- 동의는 자유롭게 철회할 수 있어야 합니다.
-
정보 주체 권리 : 수신자는 자신의 data에 대해 접근, 수정, 삭제를 요청할 수 있습니다.
-
data 처리 기록 : email 발송과 관련된 data 처리 활동을 기록해야 합니다.
- data breach 통지 : 개인정보 유출 시 72시간 이내 감독 기관에 통지해야 합니다.
벌칙
- 심각한 위반 : 전 세계 연간 매출의 4% 또는 2,000만 유로 중 높은 금액.
- 일반 위반 : 전 세계 연간 매출의 2% 또는 1,000만 유로 중 높은 금액.
캐나다 : CASL
- CASL(Canada’s Anti-Spam Legislation)은 2014년에 시행된 캐나다의 엄격한 anti-spam 법률입니다.
주요 요구 사항
- 명시적 동의 (express consent) : 상업용 email 발송 전 명시적 동의가 필요합니다.
- 동의 시 발신자 정보, 연락처, 수신 거부 방법을 고지해야 합니다.
- 묵시적 동의 (implied consent) : 기존 business 관계가 있는 경우 제한적으로 인정됩니다.
- 구매 후 2년, 문의 후 6개월 동안만 유효합니다.
- 수신 거부 : 수신 거부 요청 후 10영업일 이내 처리해야 합니다.
벌칙
- 개인 : 위반 건당 최대 $100만 CAD.
- 법인 : 위반 건당 최대 $1,000만 CAD.
법률 비교
| 항목 | 한국 (정보통신망법) | 미국 (CAN-SPAM) | EU (GDPR) | 캐나다 (CASL) |
|---|---|---|---|---|
| 동의 방식 | opt-in | opt-out | opt-in | opt-in |
| 수신 거부 처리 기한 | 3영업일 | 10영업일 | 즉시 | 10영업일 |
| 최대 벌금 | 3,000만원 | $50,120/건 | 매출 4% | $1,000만 CAD |
| 광고 표시 | 제목에 (광고) 문구 표시 |
본문에 발신자 정보(상호, 연락처) 명시 | 명확히 표시 | 명확히 표시 |
기업 Compliance
- 특정 산업에서는 email에 대한 추가적인 규제가 적용됩니다.
금융 산업
- SEC Rule 17a-4 : 미국 증권사는 email을 포함한 모든 communication을 최소 3년간 보존해야 합니다.
- 금융위원회 규정 : 한국 금융 기관은 전자금융거래 기록을 5년간 보존해야 합니다.
의료 산업
- HIPAA : 미국에서 환자 정보가 포함된 email은 암호화해야 합니다.
- 개인정보보호법 : 한국에서 민감 정보(건강 정보)는 별도의 동의가 필요합니다.
일반 기업
- email 보존 정책을 수립하고 문서화해야 합니다.
- 직원 email 사용에 대한 명확한 guideline이 필요합니다.
- 정기적인 compliance 감사를 실시해야 합니다.
Email Marketing 시 Checklist
| 항목 | 확인 사항 |
|---|---|
| 동의 수집 | 명시적 opt-in 동의를 받았는가 |
| 동의 기록 | 동의 일시, 방법, 내용을 기록했는가 |
| 발신자 정보 | 회사명, 주소, 연락처가 포함되었는가 |
| 수신 거부 | 쉬운 수신 거부 방법을 제공했는가 |
| 광고 표시 | 광고임을 명확히 표시했는가 |
| 처리 기한 | 수신 거부를 기한 내 처리하는가 |
Reference
- https://www.law.go.kr/법령/정보통신망이용촉진및정보보호등에관한법률
- https://www.ftc.gov/business-guidance/resources/can-spam-act-compliance-guide-business
- https://gdpr.eu/
- https://fightspam.gc.ca/eic/site/030.nsf/eng/home