정보보안/TMT 이슈리포트 - 개인정보보호위원회, <개인정보 처리방침 작성지침> 개정
개인정보보호위원회, <개인정보 처리방침 작성지침> 개정
법무법인 대륙아주 김정은 변호사1
1. 배경
개인정보처리자는 개인정보 처리방침을 정하여 정보주체가 쉽게 확인할 수 있도록 공개하여야 합니다(개인정보보호법 제30조).
개인정보보호위원회는 <개인정보 처리방침 작성지침>을 배포함으로써, 개인정보처리자가 개인정보 처리방침을 마련함에 있어 개인정보의 처리 및 보호에 관하여 법이 정한 절차 및 기준 등에 관한 사항을 적정하게 반영할 수 있도록 지원하고 있습니다.
이하에서 <개인정보 처리방침 작성지침>의 주요 개정 내용을 살펴보겠습니다.
2. 주요 개정 내용
가. 처리하는 개인정보의 항목
개인정보처리자는 정보주체의 동의 없이 처리하는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 동의를 받아 수집하는 개인정보와 구분하여 기재하여야 합니다. 개인정보 처리의 법적 근거는 개인정보 보호법(제15조 제1항 각 호) 또는 개별 법령에 근거하는 경우 해당 법령을 기재하여야 하고, 그 법령명 외에 해당되는 조문까지 구체적으로 작성하여야 합니다.
나. 개인정보의 파기 절차 및 방법에 관한 사항
(구)개인정보보호법에서는 정보통신서비스 제공자로 하여금 1년 동안 서비스를 이용하지 않는 이용자의 개인정보를 파기하거나 별도 분리하여 보관하도록 의무화하고 있었는데(소위 ‘개인정보 유효기간제’), 2023. 9. 시행된 개정 개인정보보호법에서 개인정보 유효기간제가 폐지되었습니다. 이에 따라 개인정보 처리방침에 포함되어야 할 사항에서도 ‘미이용자의 개인정보 파기 등에 관한 조치’ 항목이 삭제되었습니다.
다. 개인정보의 국외 수집 및 이전에 관한 사항
개인정보의 국외 수집・이전(제공, 처리위탁, 보관)은 정보주체의 개인정보가 우리나라와는 개인정보 보호 체계가 다른 제3의 국가로 옮겨지는 것으로, 정보주체가 이를 명확히 인지할 수 있도록 개인정보의 제3자 제공, 처리업무의 위탁 등 항목과 별도로 구분하여 기재하여야 합니다. 개인정보의 국외 이전과 관련하여 기재하여야 할 사항은 아래와 같습니다.
✓ 국외이전의 법적 근거
✓ 이전되는 개인정보 항목
✓ 개인정보가 이전되는 국가, 시기 및 방법
✓ 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처)
✓ 개인정보를 이전받는 자의 개인정보 이용목적 및 보유・이용 기간
✓ 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
만약 개인정보를 국외에서 직접 수집하여 처리하는 경우라면, 국외에서 직접 수집하는 경우임을 밝히고 개인정보를 처리하는 국가명을 모두 기재하여야 합니다.
라. 민감정보의 공개 가능성 및 비공개를 선택하는 방법
개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보 중 민감정보가 포함되어 있는 경우, 민감정보가 공개될 수 있다는 사실과 공개될 수 있는 민감정보의 항목을 모두 기재하고, 비공개를 선택하는 절차와 방법 등에 관한 구체적인 내용을 기재하여야 합니다.
다만, 공개 게시판, 소셜네트워크서비스(SNS) 등 서비스 자체가 공개를 기본으로 하여 상호 의사소통을 목적으로 하고 있어 정보주체가 스스로 입력하는 정보가 공개된다는 사실을 이미 알고 있고, 개인정보처리자가 민감정보가 공개될 것을 예측하기 어려운 경우에는 제외될 수 있습니다.
마. 개인정보 자동수집 장치의 설치 운영 및 거부에 관한 사항
개인정보처리자가 쿠키 등 개인정보 자동 수집 장치를 통해 행태정보를 수집하고, 정보주체를 식별하여 행태정보를 처리하는 경우, 그 수집・이용・제공 및 거부 등에 대해 기재하여야 합니다.
만약 개인정보처리자가 정보주체를 식별하지 않고 행태정보를 처리하는 경우라면, 해당 처리 사실을 기재하고, 그 수집・이용・제공 및 거부 등에 대하여 작성하는 것이 권장됩니다.
한편, 제3자가 운영하는 웹・앱 등에서 개인정보 자동 수집 장치를 설치・운영하고, 개인정보처리자가 위 개인정보 자동 수집 장치로부터 행태정보를 수집하는 경우에는 해당 처리 사실을 기재할 것이 권고됩니다.
바. 개인정보 자동 수집 장치를 통해 제3자가 행태정보를 수집하도록 허용하는 경우 그 수집 이용 및 거부에 관한 사항
개인정보처리자가 운영하는 웹・앱에서 제3자가 개인정보 자동 수집 장치를 통해 행태정보를 수집하도록 허용하는 경우, 제3자가 수집하는 행태정보에 관한 사항을 기재할 것이 권장됩니다. 이 경우, 제3자가 수집하는 행태정보와 관련하여, ① 수집도구 명칭, ② 수집 사업자, ③ 수집도구 종류, ④ 수집하는 행태정보 항목, ⑤ 수집 목적, ⑥ 거부방법 등을 기재하도록 하고 있습니다.
사. 개인정보 처리방침의 공개 방법
개정 <개인정보 처리방침 작성지침>에서는 개인정보 처리방침을 모바일 앱에 게재하는 경우 구체적인 공개 방법에 관한 내용이 추가되었습니다.
개인정보 처리방침을 모바일 앱에서 공개하는 경우, 앱 첫화면 또는 서비스 메뉴, 로그인 영역 등 정보주체가 바로 접근할 수 있어 쉽게 확인할 수 있는 위치에 공개하여야 합니다. 또한 게재 시 “개인정보 처리방침”이라는 명칭을 사용하고, 글자 크기, 색상, 굵기 등을 달리하는 등의 방식을 활용하여 쉽게 구분할 수 있도록 하여야 합니다.
3. 시사점
<개인정보 처리방침 작성지침>은 개인정보보호법 및 동법 시행령, 표준 개인정보 보호지침의 규정에 따라 개인정보처리자가 준수하여야 하는 사항 및 정보주체의 권리향상을 위해 처리방침에 작성・공개하여야 하는 사항에 관하여 안내하고 있습니다.
이번에 개정된 <개인정보 처리방침 작성지침>에서는 개정법령의 규정을 반영하고, 개인정보 처리방침에 포함되어야 할 개별 항목마다 구체적인 설명과 예시를 추가하였습니다.
이에 개인정보 처리방침을 작성하고자 하는 개인정보처리자들은 이를 활용하여 법령 부합성, 투명성・정확성, 명확성・가독성, 접근성을 두루 갖춘 개인정보 처리방침을 마련하는 데 많은 도움을 받을 수 있을 것으로 기대됩니다.