본문
개인정보보호위원회는 2025년 4월, 개인정보 처리방침 작성지침을 1년 만에 개정하여 발표했습니다. 이번 개정은 AI 시대에 부응하는 개인정보 법제 정비와 함께 개인정보 처리의 투명성을 높이고 정보주체의 권리를 강화하는 방향으로 이루어졌습니다. 특히 개인정보 동의제도의 개편을 반영하여 법령상 필수적으로 동의를 받도록 하는 사항이 구체화되었으며, 정보주체의 권리 행사 절차 및 방법에 대한 안내와 자동화된 의사결정 등에 관한 사항이 강화되었습니다.
1.개정 배경 및 의의
2.주요 개정 내용
3.기업의 대응 방안
4.시사점
1. 개정 배경 및 의의
개인정보보호위원회(이하 ‘개인정보위’)는 2025년 4월 「개인정보 처리방침 작성지침」(이하 ‘지침’)을 개정하여 발표했습니다. 이는 2024년 4월 발표된 지침이 배포된 지 1년 만의 개정으로, 급변하는 디지털 환경과 AI 기술 발전에 따른 개인정보 보호 체계의 재정비 필요성을 반영한 것입니다. 이번 지침은 처리방침 평가 시행을 앞두고 보다 실효성 있는 처리방침을 수립할 수 있도록 지원하는 것뿐만 아니라 정보주체의 권리를 실질적으로 보장할 수 있도록 하고 있습니다. 또한 법령상 반드시 처리방침에 포함하여야 하는 사항과 정책상 권장되는 사항을 명확히 구분하여 개인정보처리자의 혼란을 줄이고자 하고 있습니다.
2. 주요 개정 내용
이번 개정된 지침에서 더욱 복잡해진 개인정보 처리 환경을 반영하여 추가된 주요 내용을 소개합니다. 보다 자세한 내용은 개인정보위 홈페이지에서 확인 가능합니다.
가. 개인정보 동의제도 개편(2024. 9.)을 반영한 법령상 필수사항 구체화
지난해 9월 개인정보 필수동의 관행이 개선됨에 따라, 서비스 이용 등 계약과 관련하여 필요한 개인정보를 수집ㆍ이용할 때에는 정보주체에게 동의를 요구할 필요가 없게 되었으며 동의가 꼭 필요한 경우에 한정하여 정보주체로부터 명시적인 동의를 받도록 하고 있습니다. 이에 따라, 개정된 지침에서는 정보주체의 동의 없이 처리가 가능한 개인정보의 항목과 반드시 명시적인 동의가 필요한 항목을 구분하여 처리방침에 기재하는 방법을 다양한 예시와 함께 구체화하여 설명하고 있습니다.
나. 처리하는 개인정보 항목 및 보유ㆍ이용기간 작성시 구체성 완화
기존 지침에서는 개인정보처리자가 처리하고 있는 각각의 개인정보 항목을 모두 구체적으로 나열하여야 한다고 안내하고 있었으나, 개정된 지침에서는 처리되는 개인정보 항목이 다수이거나 기재가 어려운 특별한 사정이 있는 경우에는 유형별로 기재할 수 있도록 예외적으로 허용하고 있습니다. 여기에는 개인정보 처리 항목 뿐만 아니라 개인정보를 제공받는 제3자 또는 개인정보의 보유ㆍ이용 기간을 특정하기 어려운 경우에도 이를 유형화하여 기재하는 방식을 예외적으로 소개하고 있습니다.
다. 정보주체의 권리 행사 절차 및 방법 안내
개정된 지침은 정보주체의 권리ㆍ의무 및 행사방법에 관한 사항을 기존 지침보다 구체적으로 설명하고 있습니다. 먼저 개인정보 전송요구 행사 방법과 관련하여, 「개인정보 보호법」 제35조의2 및 시행령 제42조의2에 따라 정보주체가 자신의 개인정보를 전송하도록 요구하려는 경우 그 행사 방법에 관하여 알 수 있도록 처리방침에 전송요구 방법, 전송 현황 및 내역을 기재할 것을 안내하고 있습니다.
또한 기존 지침에서는 자동화된 결정에 관한 사항이 있는 경우 처리방침에 기재하는 방법을 부록에서 예시로만 소개했던 것과 달리, 개정된 지침에서는 이에 관하여 별도 항목을 두어 구체적으로 소개하고 있습니다. 특히 AI 기술의 발전과 함께 자동화된 의사결정 시스템이 확산될 수 있으므로, 처리방침에 이에 관한 사항을 포함하여 자동화된 결정의 유무 및 그 처리 절차, 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정간의 관계를 구체적으로 명시하도록 하여 정보주체의 권리 행사에 실질적인 도움을 줄 수 있도록 안내하고 있습니다.
라. 행태정보의 수집ㆍ이용ㆍ제공 및 그 거부에 관한 사항 안내
개정된 지침에서는 행태정보의 수집ㆍ이용ㆍ제공 및 그 거부에 관한 사항에 대한 안내를 보다 구체화하고 있습니다. 특히 맞춤형 광고 제공 목적으로 행태정보를 처리하는 경우에 관하여 서비스의 형태나 회원/비회원 구분 여부에 따라 구체적인 작성례를 나누어 설명하고 있습니다. 또한 쿠키 및 맞춤형 광고의 차단 방법에 대하여 구체적으로 안내하여 정보주체의 거부권 행사 방법을 제시하도록 하고 있으며, 주요 브라우저의 현황에 맞추어 설정 방식도 현행화 하였습니다.
마. 14세 미만 아동의 개인정보 처리에 관한 사항 보강
14세 미만 아동의 개인정보 처리에 관한 사항이 권장 사항에서 해당 시 필수 기재사항으로 변경되었습니다. 아동의 개인정보를 처리하는 경우, 법정대리인의 동의 획득 방법과 동의 확인 방법, 아동 친화적인 개인정보 처리방침 제공 방법 등을 구체적으로 명시해야 합니다.
3. 기업의 대응 방안
기업들은 이번 개정 지침에 따라 자사의 개인정보 처리방침을 전면 재검토하고, 필요한 경우 개정해야 합니다. 특히 개인정보 동의제도 개편을 토대로 법령상 반드시 명시적인 동의를 받아야 하는 사항과 그렇지 않은 경우에 대하여 구분하도록 권장된 만큼, 개인정보 수집ㆍ이용 동의서와 개인정보 처리방침의 내용을 함께 개정해야 할 수도 있습니다. 또한 AI를 활용한 자동화된 의사결정이 있는 경우와 쿠키 및 맞춤형 광고를 사용하는 경우에는 이번 개정된 지침의 내용을 적극 반영하여야 할 필요도 있습니다.
아울러 개정 지침은 정보주체가 쉽게 이해할 수 있도록 평어체 사용, 전문용어의 쉬운 설명 제공 등을 권장하고 있습니다. 기업들은 법률 용어나 기술 용어를 최소화하고, 필요한 경우 부연 설명을 제공하여 정보주체의 이해도를 높이는 방향으로 처리방침을 작성해야 합니다.
4. 시사점
이번 개인정보 처리방침 작성지침 개정은 AI 시대의 도래와 함께 더욱 복잡해지는 개인정보 처리 환경에서 정보주체의 권리를 보장하고 개인정보 처리의 투명성을 높이기 위한 개인정보위의 의지를 보여줍니다. 특히 2025년 개인정보위의 조사업무 추진 방향에 따르면, AI 응용서비스에 대한 사전 실태점검이 강화될 예정이므로, 기업들은 개인정보 처리방침을 통한 투명한 정보 공개로 개인정보 보호 컴플라이언스를 강화할 필요가 있습니다.
또한 글로벌 개인정보 규범과의 조화를 위한 노력도 엿볼 수 있는데, EU GDPR의 자동화된 의사결정에 관한 규정과 유사한 내용이 포함된 점이 주목됩니다. 이는 EU와의 적정성 결정 갱신을 위한 준비 작업의 일환으로 볼 수 있으며, 글로벌 비즈니스를 영위하는 기업들은 이러한 국제 표준에 부합하는 개인정보 보호 체계를 구축할 필요가 있습니다.
기업들은 이번 개정 지침을 단순한 규제 강화로 인식하기보다는, 개인정보 보호에 대한 신뢰를 높이고 이를 통해 비즈니스 경쟁력을 강화할 수 있는 기회로 활용해야 할 것입니다. 특히 Privacy by Design 원칙에 따라 서비스 기획 단계부터 개인정보 보호를 고려하고, 이를 개인정보 처리방침에 투명하게 공개함으로써 정보주체와의 신뢰 관계를 구축하는 것이 중요합니다.
화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.
- 관련 분야
- #정보보호센터
