CloudPNG

ºC

logo
IT/바이오

개인정보 처리방침 허술한 4곳 경고…데이터 투명성 경고등

오승현 기자
입력

디지털 전 산업에서 개인정보가 핵심 자산으로 떠오른 가운데, 개인정보 처리방침의 투명성이 다시 시험대에 올랐다. 개인정보보호위원회가 법정 기재 항목을 제대로 공개하지 않은 개인정보처리자 4곳에 대해 경고 조치를 내리면서, 플랫폼과 핀테크를 포함한 모든 서비스 사업자에게 데이터 거버넌스 강화 압박이 커지는 분위기다. 업계에서는 이번 조치가 단순 형식 점검을 넘어, 동의 구조와 처리 근거 전체를 재설계하는 계기가 될 수 있다는 관측도 나온다.

 

개인정보보호위원회는 10일 열린 전체회의에서 개인정보보호 법규를 위반한 4곳의 개인정보처리자에 대해 경고 조치를 의결했다고 12일 밝혔다. 조사 결과 이들 처리자는 개인정보 처리방침에 법에서 정한 필수 기재 항목 일부를 누락했거나, 이용자가 이해하기 어렵게 미흡하게 공개한 것으로 확인됐다. 다만 네 곳 모두 공익신고 직후 관련 내용을 즉시 보완했고, 추가 피해 사례도 발견되지 않아 과태료 대신 경고 수준의 행정 조치로 결론이 났다.

개인정보 처리방침은 서비스가 개인정보를 어떻게 수집하고 어떤 목적에 사용하며 언제·어떻게 파기하는지 전 과정을 규정하는 핵심 문서다. 이용자는 이를 통해 자신의 개인정보가 어느 시스템에 보관돼 어떤 제3자에게 제공되는지, 열람·정정·삭제·처리정지 같은 권리를 어떻게 행사할 수 있는지 확인한다. 개인정보위는 수집에서 파기까지 처리 전 주기를 공개하는 행위가 서비스 신뢰를 뒷받침하는 가장 기본적인 장치라고 강조해 왔다.

 

이번 점검에서 처리자들이 특히 소홀했던 항목은 개인정보 보호책임자와 담당 부서 정보, 안전성 확보 조치, 처리 및 보유 기간 등이다. 개인정보 보호책임자의 성명이나 개인정보 보호 업무 및 고충 처리를 담당하는 부서 명칭과 연락처를 명시하지 않거나, 암호화·접근권한 관리 등 안전성 확보 조치를 개괄적으로만 서술한 사례가 적발됐다. 개인정보 항목별로 처리 목적과 보유 기간을 구체적으로 나누지 않고 포괄적으로 묶어 안내한 경우도 확인됐다.

 

개인정보위는 2023년 개정된 개인정보 보호법에 따라, 계약 이행 등 법적 근거에 의해 정보주체 동의 없이 처리할 수 있는 개인정보도 처리방침에 분명하게 기재해야 한다고 못 박았다. 예를 들어 전자상거래에서 배송을 위한 주소 처리나 결제 이행을 위한 카드 정보 처리처럼 법에서 허용하는 영역일지라도, 동의를 받아 수집하는 정보와 동의 없이 처리 가능한 정보를 명확히 구분해 표기해야 한다는 설명이다. 이때 각각의 처리 목적과 관련 법적 근거를 구체적으로 제시해야 이용자의 자기결정권이 실질적으로 보장된다고 보고 있다.

 

이번 경고 조치는 형식 위반이지만, 실제 서비스 운영 관점에서는 데이터 처리 구조 전반을 재점검하라는 신호로 해석된다. 플랫폼, 헬스케어, 금융 등 데이터 집약 산업에서는 계약 이행, 법적 의무, 정당한 이익 등 다양한 근거로 대량의 개인정보를 처리하고 있다. 정보주체 동의에만 의존하지 않고 여러 근거를 병기하는 흐름이 강해지는 만큼, 처리방침이 사실상 서비스의 데이터 아키텍처를 설명하는 설계도 역할을 하게 되고 있다. 특히 클라우드, 분석 솔루션, 외부 위탁업체가 얽힌 복잡한 처리 구조를 어떻게 이해하기 쉬운 언어로 풀어낼지가 핵심 과제로 부상한다.

 

글로벌 시장에서는 이미 개인정보 처리방침이 규제 대응의 1차 방어선으로 여겨진다. 유럽 일반개인정보보호규정은 처리의 법적 근거, 보유 기간, 데이터 이전 국가, 데이터 보호 책임자의 연락처 등을 상세히 공개하도록 요구한다. 미국 빅테크 기업들도 대규모 제재를 계기로 서비스별 맞춤형 프라이버시 센터를 만들어 이용자가 수집 항목과 활용 범위를 직접 조정하도록 하는 추세다. 국내 사업자 역시 해외 사용자 대상 서비스를 운영할 경우, 국내법뿐 아니라 주요 규제권역의 정보 제공 기준을 동시에 충족해야 하는 환경에 놓여 있다.

 

개인정보위는 처리자들이 개인정보 처리방침을 보다 충실하게 수립·공개하도록 지원 체계를 강화하고 있다. 지난 4월에는 보호법 개정 내용을 반영한 개인정보 처리방침 작성지침을 개정·배포해, 처리 근거 구분 방식과 항목별 보유 기간 설정 예시 등을 제시했다. 대규모 개인정보처리자를 대상으로는 지난해부터 처리방침 평가제를 시행해 투명성과 구체성 수준을 점검하고 있으며, 결과를 바탕으로 보완 권고를 내리고 있다. 영세·중소기업에는 신청을 받아 개별 서비스 특성을 반영한 처리방침 제·개정을 도와주는 맞춤형 컨설팅도 진행 중이다.

 

전문가들은 이번 조치가 단기적으로는 행정 부담을, 중장기적으로는 신뢰 기반 데이터 경제를 위한 투자로 귀결될 수 있다고 본다. 서비스 설계 초기 단계에서부터 개인정보 처리방침과 실제 시스템 구현을 정합적으로 맞추는 프라이버시 중심 설계가 확산되면, 추후 규제 리스크와 보안 사고 비용을 줄일 수 있다는 판단이다. 개인정보위는 앞으로도 안내와 지도를 병행해 처리자들이 법령과 지침을 준수하도록 유도하겠다는 입장이다. 산업계는 개인정보 처리방침 정비가 규제 대응을 넘어 서비스 경쟁력의 일부가 될 수 있는지 지켜보고 있다.

오승현 기자
share-band
밴드
URL복사
#개인정보보호위원회#개인정보처리방침#개인정보보호법