안녕하세요. 법무법인 청출 신준선 변호사입니다.
최근 개인정보보호위원회(이하 ‘개인정보위’)가 ‘2024년 개인정보 처리방침 평가’ 결과를 공개했습니다. 이번 결과를 통해 개인정보 처리방침 작성에 있어 강조해야 할 점과 주로 지적된 문제점이 무엇인지 명확히 드러났습니다.
개인정보 처리방침 수립 및 공개는 단순한 법적 의무(개인정보보호법 제30조, 과태료 규정 제75조)를 넘어, 정보주체에게 개인정보 처리 현황을 투명하게 알리고, 개인정보에 대한 통제권을 보장하는 핵심 수단입니다. 하지만 여전히 많은 기업들이 이를 형식적으로 작성하거나, 실제 서비스와 불일치하거나, 접근성을 고려하지 않아 정보주체 권리 보장에 한계가 있다는 평가를 받았습니다.
이번 글에서는 2024년 평가 결과를 바탕으로, 개인정보 처리방침 작성 시 주의해야 할 핵심 포인트를 정리해보겠습니다.
[Question] 개인정보 처리방침, 어떻게 작성해야 할까? (개인정보위 2024년 평가사례 중심)
[Answer]
1. 개인정보처리방침 평가제란?
2023년 개정 개인정보 보호법에 따라 도입된 개인정보 처리방침 평가제는, 개인정보처리자가 수립·공개하고 있는 개인정보처리방침(이하 ‘처리방침’)을 평가하여 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위한 제도(개인정보보호법 제30조의 2)입니다. 개인정보위는 [개인정보 처리방핌 평가에 관한 고시]를 제정하여 제8조에서 쳥가 우수자에 대한 포상이 가능하도록 규정하고 있습니다.
2024년 개인정보위의 첫 평가는 빅테크, 온라인 쇼핑, 플랫폼, 병의료원, OTT, 엔터테인먼트, AI채용 등 7개 분야 49개 기업을 평가 대상으로 하여, 적정성(법정 기재사항 포함 여부), 가독성(알기 쉽게 작성되었는지), 접근성(이용자가 쉽게 찾을 수 있는지) 등 3가지 기준으로 평가하였습니다.
해당 평가제의 결과는 해당 평가제의 결과는 개인정보처리방침의 형식적 준수 여부를 넘어서, 실제 개인정보 처리 운영과의 일치성, 구체성, 정보주체 중심의 가독성과 접근성까지 종합적으로 평가한다는 데 그 의의가 있습니다.
특히 개인정보처리방침을 개인정보보호위원회 가이드라인에 따라 작성하는 것은 기본이며, 2024년 평가에서 지적된 사항들(서비스 불일치, 모호한 보유기간, 접근성 부족 등)까지 충실히 반영하는 것이 요구됩니다. 특히 개인정보보호위원회는 2025년 5월 중, 인공지능(AI)·스마트홈(Home IoT) 등 최신 이슈를 반영한 2025년 개인정보 처리방침 평가계획을 수립ᆞ발표할 예정이므로, 기업들은 이에 대비해 선제적으로 처리방침을 점검해야 합니다.
2. 2024년 평가에서의 주된 지적사항
(1) 적정성 부족 사례
실제 서비스와 처리방침 불일치: 72%의 기업이 처리 목적·항목·보유기간 등을 실제 운영과 다르게 기재하였습니다.
보유·이용기간의 모호한 표현: ‘필요한 기간’ 등으로 구체적 종료시점을 알기 어렵게 기재하였습니다.
법령 근거 미기재: 보관하는 개인정보의 항목 및 관련법령을 명확히 기재하지 않았습니다.
국내대리인 제도 형식적 운영: 외국계 기업 일부가 국내대리인을 지정만 하고 실질적 민원 처리를 하지 않았습니다.
(2) 접근성 미흡 사례
처리방침 찾기 어려움: 평균 12번 스크롤, 일부 쇼핑몰은 50번 이상 스크롤이 필요하였습니다. 이는 개인정보처리방침을 확인할 수 있는 링크 또는 배너가 해당기업의 홈페이지 첫 화면에서 바로 확인하기 어려운 곳에 위치하였음을 의미합니다.
앱 접근성 부족: 로그인해야 확인 가능하거나 다단계로 접근하여야만 확인가능하였습니다.
(2) 가독성 부족 사례
번역투 문장, 복잡한 용어 사용: 특히 해외사업자의 경우 가독성·적정성 모두 낮은 평가를 받았습니다. 이는 개인정보처리방침을 일부 기업들이 번역 또는 AI 도구로 단순하게 만든 개인정보처리방침을 만든 결과일 것으로 예상됩니다.
3. 2024 평가결과로 살펴본 개인정보처리방침 작성시 체크리스트
(1) 적정성
실제 개인정보 처리현황과 세부적인 내용까지 일치하게 작성하여야 하며, 개인정보 항목별 보유기간을 구체적으로 명시(예: “회원 탈퇴 후 30일”, “여행 종료 후 1개월” 등)하여야 하고, 법적 근거근 관련 법령명과 구체적인 조문까지 명확히 기재하여야 합니다.
(2) 가독성
알기 쉬운 문장으로 작성하며, 필요시 ‘풀어쓴 버전’ 등 이해를 돕기위한 별도 양식으로도 제공하는 것도 모범사례로 제시되었으며 시각자료(표, 다이어그램 등)을 활용하는 것도 권장됩니다. AI를 이용하여 만든 처리방침을 그대로 사용해서는 안되고, 가이드라인 준수여부에 대한 법률자문을 받는 것이 좋습니다.
(3) 접근성
웹사이트·앱 첫 화면 또는 주요 메뉴에서 바로 접근 가능하도록 해야 하며, 로그인 없이 열람 가능해야 하고, ‘개인정보 처리방침’ 명칭을 명확히 사용하여 개인정보 주체가 쉽게 접근가능하여야 합니다.
4. 평가 우수사례
개인정보위는 아래와 같이 2024년 우수 평가사례를 소개하였습니다.
(1) 병의료원 분야 우수
서울아산병원, 삼성서울병원, 서울성모병원 등 병의료원 분야가 전체적으로 높은 평가를 받은 가운데, 삼성서울병원은 처리방침 평가 기준시점('24.7.1.) 이후에도 가명정보 처리와 관련하여 연구데이터 심의위원회 운영사항을 추가 기재하는 등 지속적인 개선 노력을 기울인 사례로 별도로 언급되었습니다.
(2) 개인정보 열람 및 민원 접수 체계 구축
서울성모병원, ㈜롯데관광개발, ㈜홈플러스, ㈜지마켓은 개인정보 열람 부서를 처리방침에 명확히 기재하여, 정보주체가 즉시 개인정보 관련 민원을 제기할 수 있도록 한 점이 우수사례로 선정되었습니다.
(3) 고유식별정보 보유기간 최소화
㈜야놀자는 여권번호 미보관, ㈜롯데관광개발은 여권번호 도착일로부터 3일 보관, ㈜하나투어는 여권번호 여행종료일부터 1개월 보관 등으로 법령상 최소 요건에 맞춰 보유기간을 구체적으로 설정한 사례가 좋은 평가를 받았습니다.
(4) 가독성 및 정보취약계층 고려
넷마블㈜, ㈜엔씨소프트는 ‘알기 쉬운 처리방침’을 별도로 제공하고, 아동, 고령자, 외국인을 위한 별도 버전을 마련하여 정보취약계층 접근성을 강화한 점이 우수 사례로 인정되었습니다.
(5) 멀티미디어 활용 설명
㈜넥슨코리아, 구글, ㈜우리홈쇼핑(롯데홈쇼핑) 등은 처리방침 설명을 위한 동영상·음성 자료를 제공하여, 처리방침을 보다 쉽게 이해할 수 있도록 하였습니다.
(6) 서비스 단계별 개인정보 처리사항 구체화
네이버㈜, ㈜카카오 등은 서비스 단계별로 개인정보 처리 목적 및 항목을 구체적으로 명시하고, 필수 기재사항 외에도 정보주체 권리 보장을 위한 추가 내용을 적극적으로 기재하여 적정성 부문에서 가장 높은 평가를 받았습니다.
5. 결론
개인정보 처리방침은 정보주체의 알 권리를 실질적으로 보장하고, 기업의 개인정보 처리에 대한 신뢰를 구축하는 핵심 수단입니다. 2024년 평가 결과를 통해 드러난 것처럼, 기업들은 처리방침 작성 시 개인정보보호위원회의 작성지침 준수는 기본으로 하되, 1) 실제 서비스 운영과의 일치성 확보, 2) 구체적이고 명확한 보유기간 설정, 3) 정보주체의 이해를 돕는 가독성 강화, 4) 웹사이트·모바일 앱에서의 손쉬운 접근성 확보 등 평가 결과에서 지적된 사항들까지 충실히 반영해야 합니다.
또한, 개인정보보호위원회는 2025년 4월 개인정보 처리방침 가이드라인 개정본을 발표하였고, 2025년 5월경 개인정보 처리방침 평가계획이 수립ᆞ발표될 예정인바, 이에 대비하여 기업 내부 개인정보 처리방침을 지속적으로 점검하고 개선하는 노력이 필요합니다. 개인정보위는 개인정보 처리방침 평가제에서 좋은 평가를 받을 경우 개인정보보호법에 따른 과징금·과태료 부과 시 감경* 등 인센티브를 제공할 계획임을 밝힌 바 있으므로 기업으로서도 개인정보 처리방침을 고도화함으로써 사업상의 실질적인 혜택을 기대할 수 있습니다.
(* 개인정보보호법 위반에 대한 과징금 부과기준 제10조 제2항 제3호 제다목은 “ 개인정보 처리방침의 평가 또는 개인정보 보호수준 평가의 결과가 상위 등급인 경우, 개인정보 영향평가를 하는 등 개인정보 보호 활동을 성실히 수행한 것으로 확인된 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경”한다는 근거규정을 두고 있습니다.)
법무법인 청출 신준선 변호사는 위와 같은 최신 평가결과와 개인정보보호법 최신 개정사항 및 개인정보 처리방침 가이드라인에서 요구되는 사안을 반영하여 기업 맞춤형 개인정보 처리방침 수립, 진단 및 개선 자문 서비스를 제공하고 있으며, 2025년도에도 이미 다수 고객에게 개인정보 처리방침(및 이용약관 포함) 작성에 관한 자문을 제공해오고 있습니다.
개인정보 처리방침 및 이용약관, 개인정보 수집ᆞ이용ᆞ제공 등 동의서작성에 어려움을 겪고 계시거나, 현재의 처리방침이 법적 요건을 충족하는지 점검이 필요하신 경우 언제든지 문의해 주시기 바랍니다.