1. 개인정보 처리 동의 안내서 및 처리방침 작성지침 공개

개인정보 보호위원회(이하 “개인정보위”)가 2022년 3월 3일 「알기쉬운 개인정보 처리 동의 안내서(이하 “안내서”)」와 「개인정보 처리방침 작성지침(이하 “작성지침”)」을 공개하였습니다.

개인정보 처리 동의 및 개인정보 처리방침은 「개인정보 보호법」상 규제가 일반 이용자와 직접 맞닿는 영역이자 개인정보 보호 규제 실무상 중요성이 높은 영역임에도 지나치게 형식화되어 실질적인 기능을 하지 못하고 있다는 지적이 많았습니다.

이에 개인정보위는 개인정보 보호 원칙의 실질적 구현 및 이를 통한 정보주체의 권리 보장에 방점을 두고 상기 안내서 및 작성지침 작성 작업을 진행하였으며, 그 성과인 안내서 및 작성지침의 주요 내용 및 시사점은 다음과 같습니다.

 

2. 주요 내용

가. 「알기쉬운 개인정보 처리 동의 안내서」의 주요내용

(동의관행 개선 필요성) 정보주체의 동의는 헌법상 개인정보 자기결정권을 실현하고, 정보주체가 자신의 개인정보 처리를 통제할 수 있는 가장 중요한 수단입니다.

  • ※ 공공·민간의 개인정보처리자의 94% 이상이 “정보주체의 동의가 개인정보 수집 근거”라고 응답하였습니다(2021년 개인정보보호 실태조사).
  • 그러나 그간 개인정보처리자의 과도한 동의요구 관행과 동의의 형식화로 그 실효성에 대한 의문이 지속적으로 제기되어 왔습니다.

(동의 시 준수 사항) 이에 개인정보위는 기존 동의 관행 개선을 통한 개인정보 보호 원칙의 실질적 구현을 목적으로 개인정보 처리 동의 수령 시 준수 사항을 4가지로 나누어 안내서에 제시하였습니다. 

  • (① 필요최소한의 개인정보 처리) 첫째, 개인정보처리자는 개인정보 처리 필요성을 예측하여 동의를 포괄적으로 미리 받지 말고, 필요한 시점에, 필요한 최소한의 개인정보 처리에 대해서만 동의를 받아 처리하여야 합니다.

  • (② 동의내용의 명확한 고지) 둘째, 개인정보처리자는 개인정보 처리 주체처리 내용을 명확히 고지하여야 합니다.
    - 이때 구체적 맥락을 고려하여 동의여부 판단에 필요한 내용을 정보주체가 명확하게 인지할 수 있도록 고지하여야 합니다.
    - 또한 동의서 내 중요한 내용*은 9포인트 이상으로 다른 내용보다 20% 이상 크게 하는 등 알기 쉽게 표시하여야 합니다.
    * 재화나 서비스의 홍보⋅판매권유 등 목적으로 정보주체에게 연락할 수 있다는 사실, 민감정보⋅고유식별정보의 처리, 보유⋅이용기간, 제공받는 자

  • (③ 정보주체의 능동적 의사 확인) 셋째, 개인정보처리자는 정보주체의 능동적 의사를 확인할 수 있도록 누구나 쉽게 이해할 수 있는 언어로 동의 내용을 안내하여야 하며, 정보주체의 동의 의사는 적극적인 동작이나 진술을 통해 분명하게 나타나야 합니다.
    ※ 온라인을 통해 개인정보 처리 동의서를 작성하는 경우 “동의함” 체크 박스가 기본값으로 설정되어 있지 않도록 유의하여야 합니다. 

  • (④ 정보주체의 선택권 보장) 넷째, 필요한 최소한 범위를 넘어서는 개인정보 처리에 동의를 거부한다는 이유로 재화⋅서비스 제공 거부 등 불이익을 주어서는 안 됩니다. 
    ※ 가령, 필요최소한도를 넘는 개인정보 처리에 동의하지 않으면 온라인상 다음 화면으로 넘어가지 못하도록 설정된 경우, 정보주체가 온라인상으로  동의를 하더라도 이를 정보주체의 실질적 동의로 보기 어렵습니다. 

 

나. 「개인정보 처리방침 작성지침」의 주요내용

(작성지침 마련 필요성) 「개인정보 보호법」은 개인정보 처리의 투명성을 높이기 위해 개인정보처리자에게 개인정보 처리 내역을 개인정보 처리방침에 작성하여 공개하도록 하고 있습니다.

  • 하지만 개인정보 처리방침이 형식적으로 작성되고 내용도 복잡해 정보주체의 대다수가 개인정보 처리방침을 확인하지 않고 있어 정보주체의 권리 보장에 한계가 있다는 지적이 이어져 왔습니다. 
    ※ 개인정보 처리방침을 확인하는 정보주체는 36.1%에 불과한 것으로 나타났습니다(2021년 개인정보보호 실태조사).

(작성지침 개선) 이에 개인정보위는 개인정보 처리방침을 보다 실질화하는 방향으로 작성지침을 개선하였습니다. 

  • (① 중요 사항 기재 권장) 첫째, 개인정보 보호 법령에 따른 개인정보 처리방침 의무 기재 사항과 권장 기재 사항을 구분하는 한편, 개인정보 보호 법령상 의무 기재 사항은 아니지만 중요한 사항*을 권장 기재 사항에 포함시켰습니다. 
    * 개인정보의 국외이전, 만 14세 미만 아동의 동의, 긴급상황 시 개인정보 처리 등

  • (② 핵심사항 기호 공개) 둘째, 개인정보 처리방침의 핵심사항을 정보주체가 쉽게 알아볼 수 있도록 기호로 구성한 개인정보 처리 표시(라벨링)를 도입하여 처리방침의 앞부분에 요약된 형태로 공개하도록 하였습니다. 

  • (③ 업종별 작성지침 마련) 셋째, 일반적으로 적용 가능한 작성지침 외에 업종별* 특성을 반영한 작성지침을 제시하여 다양한 업종의 개인정보처리자가 참고할 수 있도록 하였습니다.
    * 의료, 학원, 여행, 공공기관 

 

3. 시사점

개인정보위는 지난 2020년 데이터 3법 개정을 통해 개인정보 보호 총괄기구로 새로 출범한 이래 적극적인 개인정보 보호 규제 개편 움직임을 보이고 있으며 이번 안내서 및 작성지침 공개도 그 연장선상에 있습니다. 특히, 적법한 근거 없이 정보주체로부터 동의를 득하지 않은 개인정보 처리 또는 개인정보 처리방침의 미수립·미공개의 경우에는 행정제재가 뒤따를 수 있다는 점에서 유의할 필요가 있습니다.

이번 안내서 및 작성지침 공개에 앞서, 개인정보위는 개인정보 처리에 있어서의 동의제도 및 개인정보 처리방침과 관련하여, 2021년 9월 국회에 제출한 「개인정보 보호법」 제2차 개정안을 통해 정보주체와의 계약 체결⋅이행 과정에서의 동의 요건을 완화하여 개인정보 수집 요건을 합리적으로 개선하고자 시도하는 반면(안 제15조 제1항 제4호), 개인정보 처리방침에 대해서는 작성지침 준수 여부 등 개인정보 처리방침의 적절성을 평가하고 그 결과에 따라 개선을 권고할 수 있다는 규정(안 제30조의2)을 신설하는 등 규제 실질화를 위한 노력도 이어나가고 있습니다.

이와 같이 현재 개인정보위의 규제 개편 방향은 규제 강화 내지 완화 중 어느 한 방향으로 정의 내릴 수 없는 상황으로 개인정보 보호 관련 규제 동향을 지속적으로 파악하고 이에 대한 대응 역량을 갖출 필요가 있습니다.

아울러, 이번 안내서 및 작성지침 공개는 개인정보 처리에 있어서의 동의 절차 및 개인정보 처리방침을 살피는 기회가 될 수 있을 것으로 판단되며 이번에 공개된 작성지침은 향후 「개인정보 보호법」 제2차 개정안이 국회를 통과하는 경우, 개인정보 처리방침의 적절성을 판단하는 기준이 될 수 있으므로 각별한 관심과 주의가 요구됩니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종은 개인정보 분야의 독보적인 전문성과 인적 네트워크(김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.

 

[English version]  PIPC Publishes Handbook on Consent for Personal Data Processing & Guidelines for Writing Privacy Policies