빅테크 등 49개 기업, 개인정보 처리 접근성 평균 53.4점
개인정보보호위원회(위원장 고학수)는 국민생활과 밀접한 7개 분야에 대한 '2024년 개인정보 처리방침 평가' 결과를 16일 공개했다. 국내외 빅테크 등 49개 기업을 평가했다. 그 결과 가독성 69.1점, 접근성 60.8점, 적정성 53.4점으로 나타났다. '개인정보 처리방침 평가제'는 개인정보처리자가 수립·공개하고 있는 개인정보 처리방침을 평가해 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위한 제도다. 최근 인공지능 등 신기술 발전과 더불어 개인정보 처리 중요성이 부각함에 따라 개인정보위는 지난해 개인정보 처리방침 평가제를 처음 도입했다. '2024년 평가제 적용대상'은 총 7개(빅테크, 온라인 쇼핑, 온라인 플랫폼(주문·배달, 숙박·여행),병·의료원, 온라인 동영상 서비스(OTT), 엔터테인먼트(게임, 웹툰), AI 채용)분야 49개 기업이다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 △보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) △처리방침을 알기 쉽게 작성했는지(가독성) △정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등 세 부문에서 이뤄졌다. 대상기업 및 기관은 개인정보 보호법 시행령(제31조의2) 및 '개인정보 처리방침 평가에 관한 고시' 평가 대상 선정 기준(개인정보처리자의 유형 및 매출액 규모, 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모, 개인정보 처리의 법적 근거 및 방식, 법 위반행위 발생 여부, 아동·청소년 등 정보주체의 특성)을 고려해 선정됐다. 평가 기준은 개인정보 보호법(제30조의2)에 따라 ➊ 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) ➋ 처리방침을 알기 쉽게 작성 했는지(가독성) ➌ 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등 3개 분야다. 총 26개 항목 42개 지표를 통해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가했다. 평가위원은 전문가(30명)과 이용자(50명) 평가를 병행했다. 특히 12개 해외사업자의 경우 개인정보 공유·협력 등 국내법 및 정책과 다르게 표현하거나, 번역투 문장 사용 등으로 인해 가독성, 접근성, 적정성 모든 분야에서 국내 기업 대비 낮은 평가를 받았다. 평가 결과 개선이 필요하다고 분석된 사례는 다음과 같다. ■ 적정성 분야...평가 대상 72%가 고지 내용과 다르게 운영 먼저 적정성 분야에서, 평가대상의 72%가 처리방침상 기재내용과 실제 서비스 이용 시 고지한 개인정보 처리 목적‧항목‧보유기간을 다르게 운영했다. 이에 따라 신규 서비스 도입 및 기존 서비스 변경‧폐지 시 실제 처리현황이 처리방침에 정확하게 반영될 수 있도록 기업 내 업무 프로세스를 개선할 필요가 있는 것으로 분석됐다. 또 절반 이상 기업이 '개인정보 보유‧이용기간'을 '필요한 기간' 등으로 모호하게 작성했고, 일부 기업은 '법령에 따라 파기하지 않고 보관하는 개인정보'에 대해 어떠한 개인정보를 보관하는지 구체적으로 기재하지 않아 정보주체 입장에서 어떤 개인정보가 언제 파기되는지 알기 어려웠다. 아울러, 국내대리인 지정 의무 대상인 10개 외국계 기업 중 5곳은 지정된 국내대리인이 실제 개인정보 관련 민원‧열람 서비스를 제공하고 있지 않는 등 국내대리인 제도도 형식적으로 운영되고 있었다. ■ 접근성 분야...7개 산업 중 병원 분야가 상대적으로 점수 높아 접근성 분야는 웹사이트 기준으로 처리방침 메뉴를 찾기 위해 평균 약 12회의 스크롤 다운이 필요했다. 온라인 쇼핑 분야 일부 기업은 50회 이상의 스크롤 다운에도 쇼핑몰에서 판매하는 상품정보가 지속적으로 노출돼 처리방침을 찾기 어려웠다. 또 일부 기업의 모바일 앱에서는 처리방침을 확인하기 위해 별도 로그인이 필요하거나 여러 단계를 거치도록 운영, 접근성을 개선할 필요가 있다는 평가를 받았다. 이번 평가에서 다수의 기업은 정보주체의 권리보장 등을 위해 처리방침 개선 등 다양한 노력을 기울이고 있는 것으로 나타났다. 서울성모병원, ㈜롯데관광개발, ㈜홈플러스, ㈜지마켓은 처리방침에 기재된 개인정보 열람부서를 통해 정보주체가 즉시 개인정보 관련 민원을 제기할 수 있게 했다. 야놀자, 롯데관광개발, 하나투어는 고유식별정보인 여권번호의 보유기간을 최소한으로 설정해 높은 평가를 받았다. 즉 야놀자는 미보관, 롯데관광개발은 도착일로부터 3일, 하나투어는 여행종료일부터 1개월이였다. 또 넷마블, 엔씨소프트는 '알기 쉬운 처리방침'은 물론 아동, 고령자, 외국인 등 정보 취약계층을 위한 처리방침도 추가로 제공하고 있고, 넥슨코리아, 구글, 우리홈쇼핑 등은 동영상, 음성 등을 이용해 처리방침을 설명하는 콘텐츠를 추가 제공하는 등 정보주체가 처리방침을 쉽게 이해할 수 있게 노력한 점이 우수 평가 요소로 인정받았다. 이 외에도 서울아산병원, 삼성서울병원, 쿠팡, 당근, 카카오엔터테인먼트, 네이버웹툰(유)도 '알기 쉬운 처리방침'을 제공하고 있다. '알기 쉬운 처리방침'은 복잡한 처리방침을 쉽게 이해할 수 있게 풀어쓴 처리방침을 말한다. 또 7개 평가대상 분야 중에는 서울아산병원, 삼성서울병원, 서울성모병원 등을 포함한 병의료원 분야가 상대적으로 우수한 점수를 받았다. 특히 삼성서울병원은 처리방침 평가 기준시점('24.7.1.) 이후에도 가명정보 처리와 관련하여 연구데이터 심의위원회 운영사항을 추가 기재하는 등 정보주체가 자신의 개인정보 활용에 대한 충분한 이해와 통제권을 갖도록 지속적으로 개선했다. 아울러, 네이버, 카카오 등 국내 포털사업자는 개인정보 처리 목적과 처리하는 개인정보의 항목을 서비스 단계별로 구체적이고 명확하게 기재했고, 필수 기재 사항 외에 정보주체 권리를 실질적으로 보장하기 위한 추가적인 내용도 작성해 전체 평가대상 중 적정성 분야에서 가장 높은 점수를 받았다. 개인정보위는 이번 평가 결과를 해당 기업에 통보, 기업의 적극적 개선을 유도할 방침이다. 또, 해외사업자, 온라인 쇼핑 기업 등 분야별 기업 간담회 등을 통해 처리방침의 전반적인 개인정보 보호 수준을 높이는 방안을 기업과 함께 모색해 나갈 예정이다. 양청삼 개인정보정책국장은 “이번 평가제 도입은 기업이 처리방침의 중요성을 인식하고, 스스로 처리방침을 개선할 수 있는 계기를 만들었다는 데 의의가 있다”면서 “이번 평가 결과를 바탕으로 관련 제도를 보완하는 등 처리방침의 실효성을 제고해 나갈 계획”이라고 밝혔다. 한편 개인정보위는 5월 중 인공지능(AI), 스마트 홈(Home IoT) 등 국민 생활에 밀접한 분야를 중심으로 하는 '2025년 개인정보 처리방침 평가계획'을 수립해 발표할 예정이다.
