Name: 웹서비스 운영을 위한 약관 가이드
Author: reopt

약관·동의 문서를 템플릿으로 생성하고, 버전/동의이력을 운영하는 실무 가이드

웹서비스를 운영할 때 약관과 동의 문서는 단순한 "문서"가 아니라 운영 리스크를 통제하는 장치입니다. 이 핸드북에서는 서비스 운영자가 약관을 템플릿으로 빠르게 구성하고, 개정·재동의·증빙까지 일관되게 관리하는 방법을 정리했습니다.

면책조항

이 핸드북은 정보 제공 및 운영 가이드 목적이며, 법률 자문을 대체하지 않습니다. 법령·고시·판례·감독기관 해석은 수시로 변경될 수 있으므로, 실제 서비스에 적용하기 전 법무/전문가 검토를 권장합니다.

기준일: 2026년 6월 2일

2026년 주요 법령 변경 (기준일 이후 시행 예정 포함)

개인정보 보호법 4차 개정 (2026.2.12 국회 통과, ~2026.9 시행 예상): 징벌적 과징금 매출액 10% (기존 3%), CPO 독립성 강화, 유출 통지 범위 확대(위조·변조·훼손), ISMS-P 인증 의무화(2027.7.1)
AI 기본법 (2026.1.22 시행): 생성형 AI 콘텐츠 표시 의무, 고영향 AI 사업자 투명성·안전성 확보 의무
전자상거래법 개정 (2025.12.30 통과, ~2026.6 시행 예상): 다크패턴 6유형 금지 (숨은갱신, 해지 방해 등), 해외사업자 국내대리인 지정 의무
정보통신망법 개정 (2025.12.24 통과, ~~2026.6~~7 시행 예상): 허위·조작정보 유통 금지, 가중 손해배상 제도
전자금융거래법 개정 (2026.12.17 시행): 선불업 등록 기준 확대, 선불충전금 100% 별도 관리 의무

이 핸드북이 다루는 것

필수/선택 약관 템플릿 12종(사유/법적 근거/본문 템플릿)
약관 생성 UI(템플릿 선택 → 자동 채움 → 플레이스홀더 치환)
버전 발행과 재동의 필요 상태 전환
고객 동의 수집 흐름과 동의 증빙(감사/분쟁 대비)
국내 PG·카드사 심사를 위한 사이트/앱 화면·약관·환불정책 체크
배송·교환·반품·환불 정책 독립 템플릿
글로벌 SaaS 약관 예제(영문 Terms, Privacy, DPA, MoR 결제, 구독·환불 문구)
Google Sign-In 같은 OAuth provider의 공식 약관 정본, scope, consent screen, 개인정보 고지 관리

빠른 시작(운영자 체크)

서비스 기능을 기준으로 필요한 템플릿(12종)을 선택합니다.
템플릿 본문 내 {{ 회사명 }}, {{ 서비스명 }}, {{ 시행일 }} 등 플레이스홀더를 실제 값으로 치환합니다.
약관을 발행하고, 고객 동의 수집 화면에서 필수 약관 미동의 시 차단이 정상 동작하는지 확인합니다.
개정이 필요한 경우 "수정"이 아니라 새 버전 발행을 기본으로 하고, 변경 요약(changeSummary)을 남깁니다.
동의 증빙(일시/버전/출처/IP 등)이 저장되는지 점검합니다.
Google, GitHub, Microsoft, Apple 같은 OAuth provider를 붙인 경우 provider 약관 정본과 scope inventory를 별도로 고정합니다.

약관 템플릿 12종 요약

템플릿	유형	필수	주로 필요한 경우	법적 근거(요약)
서비스 이용약관	termsOfService	필수	모든 서비스(분쟁 예방), 특히 전자상거래/유료 서비스	전자상거래법, 약관규제법
개인정보 수집 및 이용 동의	privacyPolicy	필수	개인정보를 수집/이용하는 모든 경우	개인정보 보호법 제15조, 제22조
개인정보 제3자 제공 동의	privacyPolicy	해당 시 필수	외부 업체/제휴사로 개인정보를 제공하는 경우	개인정보 보호법 제17조, 제22조
마케팅 정보 수신 동의	marketingConsent	선택	광고성 정보(이메일/SMS/푸시 등)를 발송하는 경우	정보통신망법 제50조
만 14세 이상 확인	custom	필수	만 14세 미만 아동 대상 수집을 제한하거나 법정대리인 동의 플로우가 없는 경우	개인정보 보호법 제22조의2
전자금융거래 이용약관	termsOfService	해당 시 필수	직접 전자금융업, PG, 선불, 정산대행, 전자지급수단 등을 운영하는 경우	전자금융거래법
개인정보 처리방침	privacyPolicy	필수	개인정보 처리 기준을 상시 공개해야 하는 모든 경우	개인정보 보호법 제30조
개인정보 처리위탁 고지	privacyPolicy	해당 시 필수	외부 수탁자에게 처리 업무를 위탁하는 경우	개인정보 보호법 제26조
개인정보 국외이전 동의·고지	privacyPolicy	해당 시 필수	해외 벤더/해외 리전으로 개인정보가 이전되는 경우	개인정보 보호법 제28조의8
야간 광고성 정보 전송 동의	marketingConsent	해당 시 필수	오후 9시~오전 8시 광고성 정보를 전송하는 경우	정보통신망법 제50조 제3항
정기결제 증액·유료전환 동의	termsOfService	해당 시 필수	구독 증액/무료→유료 전환을 운영하는 경우	전자상거래법 제13조 제6항
개인위치정보 처리 동의	custom	해당 시 필수	위치기반 기능에서 개인위치정보를 처리하는 경우	위치정보법 제15조

중요: 분리 동의 원칙

마케팅 수신 동의는 선택으로 분리하지 않으면(필수에 끼워 넣으면) 동의의 효력이 문제될 수 있습니다.

제3자 제공 동의는 수집·이용 동의와 구분해서 받아야 합니다.

야간 광고성 전송 동의는 일반 마케팅 동의와 별도로 관리해야 합니다(해당 시).

국내 PG 심사는 문서와 화면을 함께 봅니다

국내 PG·카드사 심사에서는 이용약관 파일만 보지 않습니다. 사업자정보, 상품/가격, 배송·교환·환불 정책, 개인정보 처리방침, 결제창 호출 여부를 실제 URL이나 앱 화면에서 확인할 수 있어야 합니다. 결제 오픈 전에는 국내 PG·카드사 심사 준비를 먼저 점검하세요.

약관 운영 전체 흐름

참고 자료

국가법령정보센터 (한국어)

면책조항

기준일: 2026년 6월 2일

2026년 주요 법령 변경 (기준일 이후 시행 예정 포함)

개인정보 보호법 4차 개정 (2026.2.12 국회 통과, ~2026.9 시행 예상): 징벌적 과징금 매출액 10% (기존 3%), CPO 독립성 강화, 유출 통지 범위 확대(위조·변조·훼손), ISMS-P 인증 의무화(2027.7.1)
AI 기본법 (2026.1.22 시행): 생성형 AI 콘텐츠 표시 의무, 고영향 AI 사업자 투명성·안전성 확보 의무
전자상거래법 개정 (2025.12.30 통과, ~2026.6 시행 예상): 다크패턴 6유형 금지 (숨은갱신, 해지 방해 등), 해외사업자 국내대리인 지정 의무
정보통신망법 개정 (2025.12.24 통과, ~~2026.6~~7 시행 예상): 허위·조작정보 유통 금지, 가중 손해배상 제도
전자금융거래법 개정 (2026.12.17 시행): 선불업 등록 기준 확대, 선불충전금 100% 별도 관리 의무

이 핸드북이 다루는 것

필수/선택 약관 템플릿 12종(사유/법적 근거/본문 템플릿)
약관 생성 UI(템플릿 선택 → 자동 채움 → 플레이스홀더 치환)
버전 발행과 재동의 필요 상태 전환
고객 동의 수집 흐름과 동의 증빙(감사/분쟁 대비)
국내 PG·카드사 심사를 위한 사이트/앱 화면·약관·환불정책 체크
배송·교환·반품·환불 정책 독립 템플릿
글로벌 SaaS 약관 예제(영문 Terms, Privacy, DPA, MoR 결제, 구독·환불 문구)
Google Sign-In 같은 OAuth provider의 공식 약관 정본, scope, consent screen, 개인정보 고지 관리

빠른 시작(운영자 체크)

서비스 기능을 기준으로 필요한 템플릿(12종)을 선택합니다.
템플릿 본문 내 {{ 회사명 }}, {{ 서비스명 }}, {{ 시행일 }} 등 플레이스홀더를 실제 값으로 치환합니다.
약관을 발행하고, 고객 동의 수집 화면에서 필수 약관 미동의 시 차단이 정상 동작하는지 확인합니다.
개정이 필요한 경우 "수정"이 아니라 새 버전 발행을 기본으로 하고, 변경 요약(changeSummary)을 남깁니다.
동의 증빙(일시/버전/출처/IP 등)이 저장되는지 점검합니다.
Google, GitHub, Microsoft, Apple 같은 OAuth provider를 붙인 경우 provider 약관 정본과 scope inventory를 별도로 고정합니다.

약관 템플릿 12종 요약

템플릿	유형	필수	주로 필요한 경우	법적 근거(요약)
서비스 이용약관	termsOfService	필수	모든 서비스(분쟁 예방), 특히 전자상거래/유료 서비스	전자상거래법, 약관규제법
개인정보 수집 및 이용 동의	privacyPolicy	필수	개인정보를 수집/이용하는 모든 경우	개인정보 보호법 제15조, 제22조
개인정보 제3자 제공 동의	privacyPolicy	해당 시 필수	외부 업체/제휴사로 개인정보를 제공하는 경우	개인정보 보호법 제17조, 제22조
마케팅 정보 수신 동의	marketingConsent	선택	광고성 정보(이메일/SMS/푸시 등)를 발송하는 경우	정보통신망법 제50조
만 14세 이상 확인	custom	필수	만 14세 미만 아동 대상 수집을 제한하거나 법정대리인 동의 플로우가 없는 경우	개인정보 보호법 제22조의2
전자금융거래 이용약관	termsOfService	해당 시 필수	직접 전자금융업, PG, 선불, 정산대행, 전자지급수단 등을 운영하는 경우	전자금융거래법
개인정보 처리방침	privacyPolicy	필수	개인정보 처리 기준을 상시 공개해야 하는 모든 경우	개인정보 보호법 제30조
개인정보 처리위탁 고지	privacyPolicy	해당 시 필수	외부 수탁자에게 처리 업무를 위탁하는 경우	개인정보 보호법 제26조
개인정보 국외이전 동의·고지	privacyPolicy	해당 시 필수	해외 벤더/해외 리전으로 개인정보가 이전되는 경우	개인정보 보호법 제28조의8
야간 광고성 정보 전송 동의	marketingConsent	해당 시 필수	오후 9시~오전 8시 광고성 정보를 전송하는 경우	정보통신망법 제50조 제3항
정기결제 증액·유료전환 동의	termsOfService	해당 시 필수	구독 증액/무료→유료 전환을 운영하는 경우	전자상거래법 제13조 제6항
개인위치정보 처리 동의	custom	해당 시 필수	위치기반 기능에서 개인위치정보를 처리하는 경우	위치정보법 제15조

중요: 분리 동의 원칙

마케팅 수신 동의는 선택으로 분리하지 않으면(필수에 끼워 넣으면) 동의의 효력이 문제될 수 있습니다.

제3자 제공 동의는 수집·이용 동의와 구분해서 받아야 합니다.

야간 광고성 전송 동의는 일반 마케팅 동의와 별도로 관리해야 합니다(해당 시).

국내 PG 심사는 문서와 화면을 함께 봅니다

약관 운영 전체 흐름

참고 자료

국가법령정보센터 (한국어)

웹서비스 운영을 위한 약관 가이드

최근 수정된 챕터

개요: 왜 약관 관리가 필요한가

국외 서비스 사용 시 약관 체크

OAuth provider 약관 정본 관리

글로벌 약관 예제

국내 PG·카드사 심사 준비

PG 심사용 환불·배송 정책

템플릿: 서비스 이용약관

템플릿: 개인정보 수집·이용 동의

템플릿: 개인정보 제3자 제공 동의

템플릿: 마케팅 정보 수신 동의

템플릿: 만 14세 이상 확인

템플릿: 전자금융거래 이용약관

템플릿: 개인정보 처리방침

템플릿: 개인정보 처리위탁 고지

템플릿: 개인정보 국외이전 동의·고지

템플릿: 야간 광고성 정보 전송 동의

템플릿: 정기결제 증액·유료전환 동의

템플릿: 개인위치정보 처리 동의

시스템 사용법

버전 관리

고객 동의 수집

운영 시나리오

체크리스트 & FAQ

FAQ

부록: 검증 리포트

부록: 업데이트 내역

목차