개인정보보호위원회는 2024년 4월 30일 개정된 「개인정보 처리방침 작성지침」을 공개하였습니다. 이번 개정에서는 개인정보 보호법 개정에 따라 신설 및 변경된 사항이 반영되었으며, 추가적으로 온라인 행태정보 처리에 관한 사항, 처리방침 공개 방법, 아동을 위한 처리방침 작성 방안 등이 구체화되었습니다. 주요 개정 내용은 아래에서 더 자세히 살펴보도록 하겠습니다.

주요 개정 내용

1. 개인정보 보호법 개정에 따라 신설 및 변경된 사항 반영

▣ (처리하는 개인정보 항목)
개인정보처리자는 정보주체의 동의 없이 처리하는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 동의를 받아 수집하는 개인정보와 구분하여 기재하여야 하며, 개인정보 처리의 법적 근거는 개인정보 보호법 제15조 제1항 각 호의 사항 또는 개별 법령에 근거하는 경우 해당 법령을 기재하여야 함

• 특히, 법적 근거를 작성할 때 그 법령명 외에 해당되는 조문까지 구체적으로 기재하여야 함

▣ (개인정보의 국외 수집 및 이전에 관한 사항)
개인정보의 국외 수집 및 이전은 개인정보 보호 체계가 한국과는 다른 제3의 국가로 개인정보가 옮겨지는 것으로 제3자 제공, 처리업무의 위탁 등 항목과 별도로 구분하여 기재하여야 하며, 개인정보를 국외에서 직접 수집하여 처리하는 경우 국외에서 직접 수집함을 밝히고 개인정보를 처리하는 국가명을 모두 기재하여야 함

• 기존 지침은 개인정보의 국외 이전을 개인정보의 제3자 제공, 위탁과 구분하여 개인정보 처리방침에 기재하는 것을 권장하였는데, 개정 지침은 이를 별도로 구분하여 기재하여야 한다고 설명
  ✓ 참고로, 개정 지침은 “개인정보의 국외 제3자 제공 또는 국외 개인정보 처리업무 위탁인 경우 “10. 개인 정보의 국외 수집 및 이전에 관한 사항”에서 통합하여 작성할 수 있다”고 설명
• 개인정보를 국외로 이전하는 경우 이전되는 개인정보 항목, 개인정보가 이전되는 국가, 시기 및 방법, 이전받는 자의 성명, 개인정보를 이전받는 자의 개인정보 이용목적 및 보유・이용 기간, 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과와 함께 국외 이전의 법적 근거도 기재
• ‘국외에서 직접 수집하는 경우’란 개인정보 보호법의 직접 적용을 받는 해외 사업자 등이 국내 정보주체의 개인정보를 해외 서버 등에서 직접 수집하는 경우를 의미
• 클라우드 서비스 이용 등으로 인해 복수의 국가로 개인정보가 이전되는 경우 해당 국가를 모두 기재

▣ (민감정보의 공개 가능성 및 비공개를 선택하는 방법)
서비스를 제공하는 과정에서 공개되는 정보 중 민감정보(예: 건강정보, 성생활 등)가 포함되어 있는 경우 ‘민감정보가 공개될 수 있다는 사실’과 ‘비공개를 선택하는 방법’을 기재하여야 함

• 서비스 자체가 공개를 기본으로 상호 의사소통을 목적으로 하고 있어(예: 공개 게시판, SNS 등) 이용자가 스스로 입력하는 정보가 공개된다는 사실을 이미 알고 있고, 서비스 제공자가 민감정보가 공개될 것을 예측하기 어려운 경우에는 제외

▣ (자동화된 결정에 대한 정보주체의 권리행사 방법)
정보주체가 지니는 자동화된 결정 거부・설명 요구 권리의 행사방법, 행사절차 등을 구체적으로 기재하여야 함

▣ (이동형 영상정보처리기기 운영·관리에 관한 사항)
이동형 영상정보처리기기 운영자는 다음 사항이 포함된 이동형 영상정보처리기기 운영・관리 방침을 마련하여야 하며 이를 개인정보 처리방침에 포함하여 작성할 수 있음

2. 온라인 행태정보 처리에 관한 사항 안내 구체화

▣ (개인정보 자동 수집 장치의 설치 운영 및 거부에 관한 사항)
쿠키 등 개인정보 자동 수집 장치를 통해 행태정보를 수집하고, 정보주체를 식별하여 행태정보를 처리하는 경우, 그 수집・이용・제공 및 거부 등에 대해 기재하여야 함

• 정보주체를 식별하여 행태정보를 처리하는 경우, 개인정보 보호법상 개인정보에 해당함을 명시
• “행태정보의 수집・이용・제공 및 거부 등에 관한 사항”은 행태정보임을 밝히고 “개인정보의 처리목적, 수집・제공 항목, 보유 및 이용기간” 항목에서 기재하는 것도 가능
• 정보주체를 식별하지 않고 행태정보를 처리하는 경우, 해당 처리 사실을 기재하고, 그 수집・이용・제공 및 거부 등에 대하여 작성하는 것을 권장
• 제3자가 운영하는 웹・앱에서 개인정보 자동 수집 장치를 설치・운영하여 행태정보를 수집하는 경우에는 해당 처리 사실을 기재할 것을 권고

▣ (제3자가 행태정보를 수집하도록 허용하는 경우)
제3자가 개인정보 자동 수집 장치를 통해 행태정보를 수집하도록 허용하는 경우, 수집해가는 행태정보에 관한 사항을 기재할 것을 권장

• 제3자가 수집해가는 행태정보와 관련하여 ① 수집도구 명칭, ② 수집해가는 사업자, ③ 수집도구 종류, ④ 수집해가는 행태정보 항목, ⑤ 수집해가는 목적, ⑥ 거부방법 등을 기재

3. 처리방침 공개 방법 명확화

▣ 앱 첫 화면 등 정보주체가 쉽게 확인할 수 있는 곳에 공개

• 개인정보 처리방침을 모바일 앱에서 공개하는 경우, 앱 첫 화면 또는 서비스 메뉴, 로그인 영역 등 바로 접근할 수 있는 위치에 공개

▣ 여러 개의 웹 또는 앱 운영시 개인정보 처리방침 공개 방법

• 서비스별 개인정보 처리방침을 수립하는 경우 대표 홈페이지 등을 통해 서비스별 개인정보 처리방침을 요약한 통합 처리방침을 수립하여 공개하거나 서비스별 개인정보 처리방침에 쉽게 접근할 수 있는 링크를 제공하는 등의 방식으로 공개하는 것 권장
• 통합 개인정보 처리방침을 수립하는 경우 팝업창, 드롭다운 등의 방식 등을 활용하여 서비스별로 개인정보가 다르게 처리되는 부분이 명확히 인식될 수 있도록 하여야 함

4. 아동을 위한 처리방침 작성 방안 정비

▣ 적용 대상

• 14세 미만 아동의 개인정보를 처리하는 개인정보처리자는 ‘아동을 위한 개인정보 처리방침’을 별도로 마련하여 공개하는 것을 권장

▣ 기본 원칙

• 아동을 위한 처리방침을 공개할 때에는 아동이 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하는 등 아동 친화적인 방식 활용

▣ 기재 항목

• 법령에서 필수로 기재하도록 정한 사항 중 아동의 권리 보장을 위해 아동을 위한 처리방침으로 별도 안내하는 것이 적극 권장되는 항목은 다음과 같음
  ✓ 개인정보 처리 과정에 따른 안내 사항(목적, 수집・이용 항목, 보유・이용기간, 파기, 제3자 제공, 위탁, 국외이전, 안전조치)
  ✓ 아동의 권리 행사를 위해 알아야 하는 사항(자동수집장치의 설치・운영 및 거부, 정보주체와 법정대리인의 권리・의무 및 행사방법, 권익침해 구제방법)
• 다만, 아동을 위한 개인정보 처리방침은 아동 스스로 개인정보 처리 과정을 이해할 수 있도록 돕기 위한 것으로, 개인정보 보호법 제30조에 따라 처리방침에 포함되어야 할 항목을 모두 포함해야 하는 것은 아님

시사점

• 개인정보 처리방침 평가제가 도입됨에 따라 개인정보보호위원회는 개인정보처리자의 서비스 유형 및 매출액, 처리하는 개인정보의 규모 등을 종합해 개인정보 처리방침 평가 대상을 정하고, 그들의 처리방침이 (1) 포함하여야 할 사항을 적정하게 정하고 있는지, (2) 알기 쉽게 작성되었는지, (3) 정보주체가 쉽게 확인할 수 있는 방법으로 공개되고 있는지에 대해 평가할 수 있게 되었습니다.
• 개인정보보호위원회의 처리방침 평가 결과가 우수할 경우 추후 발생할 과징금 또는 과태료에 대하여 감경 혜택을 받을 수 있으며, 반대로 처리방침 평가 결과 개선이 필요한 경우 법령에 따른 개선권고 및 결과 공표 등이 이루어질 수 있으므로, 기존 개인정보 처리방침이 법령에 충실하게 작성되었는지 여부를 면밀히 재검토하는 것이 중요한 과제로 대두되었습니다.
• 이러한 상황에서 개정 개인정보 처리방침 작성지침은 적법하고 올바른 처리방침 작성에 대한 가이드를 제공할 것으로 보이며, 개정 작성지침에서 비록 ‘권고사항’으로 표시되어 있는 사항이라도 빠짐없이 반영하여 작성하여야 개인정보 처리방침 평가에서 좋은 점수를 받을 수 있다는 점을 유의할 필요가 있겠습니다.

About Shin & Kim’s ICT Group

법무법인(유) 세종은 개인정보 분야에 차별화된 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.