경제인투데이 류현민 기자 | 개인정보보호위원회는 국민생활과 밀접한 7개 분야에 대한 '2024년 개인정보 처리방침 평가' 결과를 공개했다.
‘개인정보 처리방침 평가제’는 개인정보처리자가 수립·공개하고 있는 개인정보 처리방침(이하 ‘처리방침’)을 평가하여 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위한 제도이다. 최근 인공지능 등 신기술 발전과 더불어 개인정보 처리의 중요성이 부각됨에 따라 개인정보위는 지난해 개인정보 처리방침 평가제를 처음 도입했다.
2024년 평가제 적용대상은 총 7개* 분야 49개 기업으로 진행됐다. 이번 평가는 △보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) △처리방침을 알기 쉽게 작성했는지(가독성) △정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등에 대해 이뤄졌다.
* ▲빅테크, ▲온라인 쇼핑, ▲온라인 플랫폼(주문·배달, 숙박·여행), ▲병·의료원, ▲온라인 동영상 서비스(OTT), ▲엔터테인먼트(게임, 웹툰), ▲인공지능(AI) 채용 등 7개 분야
전문가위원(30명) 평가와 이용자평가단(50명) 평가를 병행해 진행된 이번 평가 결과 대상기업 평균점수는, 100점 만점 기준으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점 순으로 나타났다. 또한 12개의 해외사업자의 경우 개인정보 공유·협력 등 국내법‧정책과 다르게 표현하거나, 번역투 문장 사용 등으로 인해 가독성, 접근성, 적정성 모든 분야에서 국내 기업 대비 낮은 평가를 받았다.
평가 결과 개선이 필요하다고 분석된 사례는 다음과 같다.
먼저 적정성 분야에서, 평가대상의 72%가 처리방침상 기재내용과 실제 서비스 이용 시 고지된 개인정보 처리 목적‧항목‧보유기간이 다르게 운영되고 있었다. 이에 따라 신규 서비스 도입 및 기존 서비스 변경‧폐지 시 실제 처리현황이 처리방침에 정확하게 반영될 수 있도록 기업 내 업무 프로세스를 개선할 필요가 있다고 분석됐다.
또한, 절반 이상의 기업이 ‘개인정보 보유‧이용기간’을 ‘필요한 기간’ 등으로 모호하게 작성했고, 일부 기업은 ‘법령에 따라 파기하지 않고 보관하는 개인정보’에 대해 어떠한 개인정보를 보관하는지 구체적으로 기재하지 않아 정보주체 입장에서 어떤 개인정보가 언제 파기되는지 알기 어려웠다.
아울러, 국내대리인 지정 의무 대상인 10개 외국계 기업 중 5곳은 지정된 국내대리인이 실제 개인정보 관련 민원‧열람 서비스를 제공하고 있지 않는 등 국내대리인 제도도 형식적으로 운영되고 있었다.
접근성 분야에서는, 웹사이트 기준으로 처리방침 메뉴를 찾기 위해서 평균 약 12회의 스크롤 다운이 필요했다. 온라인 쇼핑 분야 일부 기업은 50회 이상의 스크롤 다운에도 쇼핑몰에서 판매하는 상품정보가 지속적으로 노출되어 처리방침을 찾기 어려웠다. 또 일부 기업의 모바일 앱에서는 처리방침을 확인하기 위해 별도 로그인이 필요하거나 여러 단계를 거치도록 운영해, 접근성을 개선할 필요가 있다는 평가를 받았다.
한편, 이번 평가에서 다수의 기업은 정보주체의 권리보장 등을 위해 처리방침 개선 등 다양한 노력을 기울이고 있는 것으로 나타났다.
서울성모병원, ㈜롯데관광개발, ㈜홈플러스, ㈜지마켓은 처리방침에 기재된 개인정보 열람부서를 통해 정보주체가 즉시 개인정보 관련 민원을 제기할 수 있도록 했다.
㈜야놀자, ㈜롯데관광개발, ㈜하나투어는 고유식별정보인 여권번호의 보유기간을 최소한으로 설정하고 있어 높은 평가를 받았다.
또한, 넷마블㈜, ㈜엔씨소프트는 ‘알기 쉬운 처리방침’은 물론 아동, 고령자, 외국인 등 정보 취약계층을 위한 처리방침도 추가로 제공하고 있었고, ㈜넥슨코리아, 구글, ㈜우리홈쇼핑 등은 동영상, 음성 등을 이용해 처리방침을 설명하는 콘텐츠를 추가 제공하는 등 정보주체가 처리방침을 쉽게 이해할 수 있도록 노력한 점이 우수 평가 요소로 인정받았다. 이 외에도 서울아산병원, 삼성서울병원, 쿠팡㈜, ㈜당근, ㈜카카오엔터테인먼트, 네이버웹툰(유)도 ‘알기 쉬운 처리방침’을 제공하고 있었다.
7개의 평가대상 분야 중에는 서울아산병원, 삼성서울병원, 서울성모병원 등을 포함한 병의료원 분야가 상대적으로 우수하게 평가됐다. 특히 삼성서울병원은 처리방침 평가 기준시점(’24.7.1.) 이후에도 가명정보 처리와 관련하여 연구데이터 심의위원회 운영사항을 추가 기재하는 등 정보주체가 자신의 개인정보 활용에 대한 충분한 이해와 통제권을 갖도록 지속적으로 개선하고 있었다.
아울러, 네이버㈜, ㈜카카오 등 국내 포털사업자는 개인정보 처리의 목적과 처리하는 개인정보의 항목을 서비스 단계별로 구체적이고 명확하게 기재했고, 필수 기재 사항 외에 정보주체의 권리를 실질적으로 보장하기 위한 추가적인 내용도 작성하여 전체 평가대상 중 적정성 분야에서 가장 높은 점수를 받았다.
개인정보위는 평가 결과를 해당 기업에 통보해, 기업의 적극적 개선을 유도할 방침이다. 또한, 해외사업자, 온라인 쇼핑 기업 등 분야별 기업 간담회 등을 통해 처리방침의 전반적인 개인정보 보호 수준을 높이는 방안을 기업과 함께 모색해 나갈 예정이다.
양청삼 개인정보정책국장은 “이번 평가제 도입은 기업이 처리방침의 중요성을 인식하고, 스스로 처리방침을 개선할 수 있는 계기를 만들었다는 데 의의가 있다”라며 “이번 평가 결과를 바탕으로 관련 제도를 보완하는 등 처리방침의 실효성을 제고해 나갈 계획”이라고 밝혔다.
개인정보위는 5월 중 인공지능(AI), 스마트 홈(Home IoT) 등 국민 생활에 밀접한 분야를 중심으로 하는 ‘2025년 개인정보 처리방침 평가계획’을 수립‧발표할 예정이다.