지난 4월 21일, 개인정보보호위원회는 「개인정보 처리방침 작성지침」(이하 ‘작성지침’) 개정안을 공개하였습니다.
이번 개정은 2025년 개인정보 처리방침 평가 시행에 대비하여, 개인정보처리자가 실효성 있는 처리방침을 마련할 수 있도록 지원하는 데 그 목적을 두었습니다.
개정의 방향은 정보주체의 권리 보장을 실질화함과 동시에, 개인정보처리자의 이행 부담을 완화하는 데 초점이 맞춰졌습니다.
특히, 2024년 개인정보 처리방침 평가위원회의 권고사항을 반영하여 작성 항목을 체계적으로 정비하였습니다.
이에 따라 법령상 필수 기재사항(개인정보 처리 목적, 처리 및 보유 기간, 파기 절차 등)과 권장사항(자동 수집 장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 수집 및 이용, 거부 사항, 정보주체 권익침해 구제 방법 등)을 명확히 구분함으로써 실무자의 혼란을 최소화하였습니다.
1. 동의 여부에 따른 항목 구분 명확화
2024년 9월부터 시행되는 개편된 개인정보 동의제도에 발맞추어, 동의 없이 처리가 가능한 항목과 동의가 필요한 항목을 구체적으로 구분했습니다.
예를 들어 회원서비스 운영 또는 판매 상품 A/S 관련 정보 등 계약의 체결·이행을 위한 개인정보는 별도 동의 없이도 처리가 가능해집니다.
단, 민감정보, 고유식별정보, 제3자 제공과 같은 항목은 계약 관계가 있더라도 명시적 동의를 필요로 합니다.
처리방침 내에는 이러한 항목을 다양한 예시와 함께 설명하도록 권고하고 있습니다.
2. 개인정보 항목 기재의 유연성 확대
기존에는 처리하는 개인정보 항목을 개별적으로 상세히 기재할 것이 요구되었으나, 이번 개정에서는 일부 예외를 허용했습니다.
특히, 인공지능 서류전형 등에 필요한 ‘자기소개서’, ‘공인영어성적’ 등은 유형별로 기재하는 방식을 인정하였습니다.
아울러 제3자 제공이나 보유·이용 기간의 경우에도 특정이 어려운 경우에는 범주화 또는 기준 제시 방식으로 작성할 수 있도록 예외를 뒀습니다.
3. 고충처리 부서 정보 명시 의무화
정보주체가 개인정보 관련 민원을 제기할 수 있는 창구를 명확히 하기 위해, 기존의 개인정보보호책임자(CPO) 소속 부서 외에도 실질적으로 고충처리를 담당하는 고객센터 등 유관 부서의 담당자명과 직위, 연락처를 병기할 수 있도록 개선했습니다.
이는 정보주체의 접근성과 편의를 증진하려는 취지로 해석됩니다.
4. 모바일 환경을 고려한 처리방침 공개 방식 개선
모바일 앱 사용자의 접근성을 고려하여, 기존의 ‘홈페이지 첫 화면 하단 고지’ 방식 외에도 ‘서비스 메뉴’ 및 ‘설정’, ‘회원가입’, ‘로그인 화면’ 등 정보주체가 쉽게 인지할 수 있는 위치에 처리방침을 게시할 수 있도록 허용했습니다.
정보주체가 반복적으로 화면을 스크롤해야 하는 불편을 줄이기 위한 개선 조치입니다.
5. 정보주체 권리행사 절차의 구체화
개인정보 전송요구, 자동화된 결정에 대한 설명 등 정보주체의 권리 보장 측면에서 실질적인 안내가 이루어지도록 유도했습니다.
전송 요구와 관련해서는 그 행사 방법, 처리 현황 확인 방법 등을 구체적으로 기재하도록 하였으며, 자동화된 결정과 관련해서는 그 기준, 절차 및 개인정보 처리 방식 등을 명시합니다.
특히, 인공지능 학습용 데이터를 수집·이용하는 경우, 투명성을 확보하기 위한 기준을 처리방침 내에 반영할 것을 권장하고 있습니다.
6. 행태정보 및 맞춤형 광고 관련 안내 명확화
쿠키 등 행태정보 수집·이용에 대한 고지 의무가 보다 명확해졌습니다.
정보주체가 맞춤형 광고를 차단하거나 쿠키 설정을 조정할 수 있도록, 크롬 등 주요 브라우저의 최신 설정 방법을 처리방침에 포함하도록 하였습니다.
정보주체가 거부권을 실효성 있게 행사할 수 있도록 돕기 위한 개선사항입니다.
작성지침 개정본 가이드라인은 🔗개인정보위 누리집 법령정보 안내서를 통해 확인하실 수 있으며, 안내서에는 작성 방법과 공개 방법, 주요 개인정보 처리 표시(라벨링) 방법에 대한 설명과 함께 아동 및 공공기관, 소상공인용 개인정보 처리방침 작성방안 및 예시를 담았습니다.
이번 개정은 기존의 처리방침 문서를 실질적이고 사용자 친화적인 정보 제공 도구로 전환하려는 정책적 시도로 볼 수 있습니다.
개인정보처리자 입장에서는 작성 방식의 유연성이 확대된 반면, 정보주체의 알 권리와 권리행사 기회는 보다 구체적으로 보장되도록 요구된다는 점에서, 단순한 ‘양식 채우기’가 아닌 ‘실질적 설명책임’을 중심에 두고 처리방침을 재정비할 필요가 있습니다.
기업 및 기관은 이번 개정지침을 면밀히 검토하고, 자사의 서비스 특성과 개인정보 처리 실태를 반영한 방침을 수립해 향후 평가제도에 대비하시기 바랍니다.
개인정보 보호 관련 기술적 자문 및 법령 검토, 컴플라이언스 진단이 필요하시다면 🔗기업법무그룹 법률상담예약을 통해 연락해주시면, 원스톱 솔루션을 제공하겠습니다.
개인정보 처리방침 평가계획
개인정보위는 지난 2024년 시행한 개인정보 처리방침 평가계획 결과를 발표했습니다.
빅테크, 온라인 쇼핑, 온라인 플랫폼, 병·의원, OTT, 엔터테인먼트, AI 채용 등 7개 분야 49개사를 대상으로 진행했으며, 개인정보 처리의 적정성, 가독성, 접근성 등 3개 분야 26개 항목 42개 지표를 통해 법적 의무사항 이행 여부와 개인정보처리자의 노력을 평가했습니다.
이에 따라 기업들은 평균적으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점을 받았습니다.
평가 결과 서울성모병원, (주)롯데관광개발, (주)하나투어 등은 정보주체의 권리보장 등을 위한 처리방침 개선 등에서 높은 점수를 얻기도 했습니다.
개인정보위는 우수한 개인정보처리자에 대해서는 개인정보보호법에 따른 과징금 및 과태료 부과 시 감경 등 인센티브를 제공할 것으로 밝혔습니다.
