안녕하세요? 개인정보보호위원회 정책국장 이정렬입니다.

오늘은 제가 2022년도 개인정보보호위원회 업무보고에서 브리핑에서 말씀드렸던 내용 중에 중요과제인 정보 주체 개인의 권리 보장을 위해 가장 중요한 수단 중의 하나인 개인정보 처리 동의제도와 개인정보 처리방침 작성지침을 개선한 내용, 이거에 대해서 설명드리겠습니다.

오늘 설명드릴 내용은 위원회가 2020년 8월에 출범한 이후에 개인정보 분야의 전문가라든지 산업계, 그리고 시민 사회단체, 학계 등의 다양한 의견을 반영한 것이고, 지난주에 위원회 전체회의에서 논의한 결과를 반영한 내용입니다.

그러면 보도자료를 중심으로 해서 말씀드리겠습니다.

우리 개인정보보호위원회는 알기 쉬운 개인정보 처리 동의 안내서와 개인정보 처리방침 작성지침을 오늘 공개하였습니다.

먼저, 동의 안내서에 대해서 말씀드리겠습니다.

그동안 여러분께서 집 근처 마트에서 식료품을 구입하러 가셨다가 배송 서비스를 받기 위해서 주소나 연락처 등을 수집·이용해줄 것을 동의해 달라는 그런 요청을 받은 적이 아마 있을 겁니다. '동의를 하지 않으면 배송이 안 될 것 같다', 이런 생각으로 내용을 충분히 확인하지 않고 동의란에 서명했던 기억도 아마 있으실 텐데요.

이처럼 정보 주체가 제대로 내용을 읽지 않고 관행적으로 동의를 하거나 개인정보 처리자가 과도하게 동의를 요구하는 등 많은 문제점이 지적돼 왔습니다.

이에 우리 위원회에서는 이에 대한 개선안을 마련하고자 합니다.

실제 2021년도에 개인정보 실태조사 결과를 보면 개인정보 처리자의 94% 이상, 그리고 민간 기업은 약 99%가 개인정보 수집 근거가 '동의'라고 응답을 하였습니다.

다음 장입니다.

그리고 국민들 대부분도 개인정보 처리 동의서를 확인하는 비율이 약 34%에 불과하고, '3분의 2는 읽지 않는다'고 답변을 했고요.

개인정보 처리 동의를 확인하지 않는 이유 중에 위 사례처럼 '동의를 해야 서비스를 이용 가능할 것 같다'는 응답이 38%로 가장 높았습니다.

이에 위원회에서는 개인정보 처리자가 동의를 받을 때 준수해야 할 사항을 크게 네 가지로 나누어서 명확하게 제시하고자 합니다.

먼저, 개인정보 처리 필요성을 예측해서 포괄적으로 미리 받지 않고, 그리고 필요한 시점에, 필요한 최소한의 개인정보만을 처리해야 한다고 안내하고 있습니다.

예를 들면 채용 계약을 쓸 때 최소한의 정보만 수집해야지 필요 없는 가족 사항 등을 수집해서는 안 된다고 잘못된 사례로 제시하고 있습니다.

다음으로, 개인정보 처리 주체를 명확하게 하고 홍보 목적으로 처리하거나 민감정보 등 중요한 내용은 9포인트 이상으로 다른 내용보다 20% 이상 굵게 표시하는 등 정보 주체가 알기 쉽게 명시해야 됨을 안내하였습니다.

세 번째로, 동의 내용은 전문 용어가 아닌 평이한 언어로 누구나 이해할 수 있게 안내하여야 하고, 정보 주체의 의사를 동의 내용을 알고 동의란에 체크하도록 하는 등 능동적인 동작이나 진술을 통해 확인해야 함을 안내하였고, 그리고 개인정보 처리의 동의를 거부한다는 이유로 재화나 서비스 제공 거부 등 불이익을 줘서는 안 된다는 내용도 명시하였습니다.

2페이지 사례에서 보시는 바와 같이 동의를 하지 않으면 다음 화면으로 넘어가지 못하도록 한 잘못된 사례, 이런 사례들이 많이 있는데요. 이것을 개선하도록 했고, 또 홍보 마케팅에 동의하지 않았다는 이유로 서비스 제공을 거부하는 잘못된 사례도 안내하면서 개선하도록 안내하였습니다.

아울러서 개인정보 처리자가 동의서를 알기 쉽게 작성할 수 있도록 동의서 작성 전 단계, 그리고 작성 단계, 그리고 작성 후의 단계로 단계별로 동의서 작성 방법과 주의해야 할 사항을 안내하였습니다.

그리고 인사·노무, 학교, 보건·의료, 여행업 등 여섯 개 주요 분야별로 동의서 작성 사례를 예시해서 안내하였습니다.

이번에 안내서를 통합·발간하면서 기존에 있었던 '개인정보 수집 최소화 가이드라인'과 '온라인 개인정보 처리 가이드라인'은 통합하여 폐지하기로 합니다.

다음으로, 개인정보 처리방침 작성지침에 대해서 설명드리겠습니다.

누구나 한 번 정도는 자주 이용하는 웹사이트 맨 하단에 있는 처리방침을 한번 확인해 보신 분들이 있을 겁니다. 해보셔서 아시겠지만 대부분 획일적인 내용이거나 글씨가 너무 작거나, 그리고 내용이 너무 방대하고 복잡해서 대부분 이해하기 어려웠다는 것을 아마 경험해보셨을 겁니다.

저희 보호법에서는 개인정보 처리자가 개인정보 보호법령에 따라서 개인정보 처리 내용과 절차 등을 개인정보 처리방침에 작성해서 누리집 등에 공개하도록 하고 있고, 정보 주체가 자신의 개인정보 처리방침을 쉽게 알도록 하라고 제시하고 있는데, 실제로는 개인정보 처리방침이 형식적으로 작성되고 내용도 꽤 복잡하고 대다수 정보 주체가 그런 이유 등으로 처리방침을 읽지 않아서 개인정.. 주체의 권리 보장에 한계가 있다는 지적이 있습니다.

지난해 개인정보 실태조사 결과에도 보면 처리방침을 확인하는 정보주체는 36%에 불과합니다. 그리고 지난해 저희가 처리방침을 개선하기 위해 연구용역을 실시했는데, 주요 쇼핑몰이나 포털 등 108개를 대상으로 실태조사를 한 결과, 안전성 확보 조치를 하지 않았거나 법령을 준수하지 않은 부분이 한 22%로 나타났고, 기호나 인포그래픽 등으로 아주 알기 쉽게 표현한다는 다섯 개, 전체 4.6%에 불과한 실정입니다.

이에 위원회에서는 개인정보 처리방침에 중요한 내용을 추가하도록 하고, 쉽게 이해할 수 있도록 기호로 보완 설명하도록 하는 등 작성지침을 개선했습니다.

먼저, 개인정보 처리방침에는 개인정보의 국외이전 사항, 그리고 만 14세 미만 아동의 동의, 그리고 지난해 9월에 발간한 긴급 상황 시 개인정보 처리방법, 안전성 확보조치 등 중요한 사항을 포함하도록 하였습니다.

또한, 처리방침의 내용이 모호하게 작성하는 등 잘못된 사례를 예시하고 주의사항을 안내하였는데, 예시에서 보시는 바와 같이 개인정보의 보유기간을 '목적 달성 시'처럼 추상적으로 잘못 기재한 사례가 많이 발생하고 있고, 그리고 개인정보의 처리목적에 '신규 서비스 개발 등'이라고 포괄적으로 기재한 잘못된 사례를 예시하여 개선하도록 안내하였습니다.

두 번째로, 개인정보 처리방침의 핵심사항을 정보 주체가 시각적으로 쉽게 알아볼 수 있도록 기호 또는 픽토그램으로 구성한 개인정보 처리 표시제, 소위 라벨링을 도입해서 처리방침의 맨 앞부분에 요약된 형태로 공개하도록 하였습니다.

라벨링은 개인정보 유형은 원형으로, 그리고 개인정보 처리에 대한 것은 육각형으로, 그리고 개인정보 보호 의무는 사각형으로 해서 약 30여 개를 예시하였습니다.

'붙임1'에 웹 페이지의 라벨링 안내하는 방법하고 상품 배달이라든지 주문서 작성 등 실생활에서 활용할 수 있는 방안도 예시해 두었습니다.

이번에 공개한 개인정보 처리방침 표시제는 정보 주체로부터 개인정보의 동의를 받고자 할 때 알려야 할 사항을 알기 쉽게 기호로 알려줌으로써 정보 주체가 알고 동의할 수 있게 해서 동의제도의 실질화에도 기여할 것으로 기대가 됩니다.

참고로, 이번 라벨링을 도입할 때 홍익대학교 시각디자인학과의 전재운 교수와 학생들이 많은 도움을 줬고, 함께 참여한 결과로 실제 정보 주체 입장에서 참여를 통해 만들어졌다는 것이 특징입니다.

아울러서, 업종별 특성을 반영해서 모든 처리자가 준수해야 할 기본형으로 일반형이 있고, 여기에 추가해서 보건·의료 분야, 교육, 여행, 그리고 공공기관 등을 구분해서 업종별 특성을 반영한 표준작성지침을 제시하여서 처리자가 참고할 수 있도록 했으며, 기호나 인포그래픽 등을 활용해서 작성한 후 누리집 공개라든지 계약서에 첨부하는 등 다양한 방법으로 공개할 수 있도록 안내하였습니다.

이번에 공개하는 안내서와 작성지침은 개인정보보호위원회 누리집과 포털을 통해 널리 안내하겠으며, 개인정보위원회는 자율규제단체 등 그리고 유관기관 등과 함께 다양한 처리자와 정보 주체를 대상으로 널리 교육하고 홍보해 나가도록 하겠습니다.

이와 함께 우리 보호포털의 개인정보 처리방침 만들기 코너를 통해서 새로운 처리방침 작성지침을 소개하고 라벨링도 자동으로 완성할 수 있도록 지원해 나가겠으며, 그리고 관련법령이 제·개정되거나 기술 환경이 변하는 등 새로운 변화가 있으면 지속적으로 보완해 나갈 것을 말씀드립니다.

앞으로 개인정보 관련해서 일상생활의 궁금증이나 그리고 어려움을 해결하는 데 도움을 주기 위해서 개인정보 소통 플랫폼 그리고 개인정보 AI 비서 등 새로운 서비스도 함께 보호포털을 통해서 제공할 계획이며, 이를 통해서 국민이 안전하게 개인정보를 보호하고 안전하게 활용할 수 있도록 적극 지원해 나가겠습니다.

끝으로 이번 동의 안내서와 처리방침 작성지침을 개선함으로써 개인정보보호의 시발점이라고 할 수 있는 정보 주체와 개인정보 처리자 간의 신뢰를 강화하고, 정보 주체에게는 알고 하는 동의를 통해서 권리를 보장하고 그리고 처리자에게는 동의서와 처리방침 작성방법을 명확하게 안내함으로써 개인정보를 안전하게 활용할 수 있는 데 기여할 것으로 기대됩니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 혹시 그러면 지금 오늘 제시한 이 안내서와 지침들이 이게 의무가 아니고 진짜 그냥 권고하에, 권고하는 이런 수준인 거죠? 안내서니까 반드시 지켜야 될 의무는 아닌 건가요?

<답변> 말씀하신 내용 사전에도 문의하신 기자분들이 있었는데요. 이것은 하나하나 사항별로 볼 필요가 있습니다. 예를 들어서 처리방침 같은 경우는 저희 보호법에 보면 30조에 처리방침에 담아야 할 사항, 그래서 법에 한 11개를 하고 있고, 시행령에 3개 위임을 하고 있고, 그리고 표준지침에 한 4개 정도 해서 18개는 반드시 담도록 하고 있는데, 30조의 3항인가요? 4항에 보면 작성지침에 담아야 할 내용을 담지 않거나 공개하지 않으면 75조에 따른 1,000만 원 이하의 과태료를 부과할 수 있다, 이렇게 되어 있습니다. 그런 부분은 의무가 되겠고요.

오늘 도입하는, 예를 들어서 쉽게 작성하는 방법 그리고 우리 표시제 같은 라벨링 도입하는 것, 이것은 지금은 법상 의무는 아닌데 정보 주체 입장에서 훨씬 더 내용을 이해하기 쉽게 하는 것이기 때문에 적극 권장하는 사항이 되겠고, 가급적이면 저희들은 처리자 대상이라든지 교육을 통해 널리 안내하려고 합니다.

동의서도 마찬가지고요. 동의서도 개별적인 사항들을 봐야 되는데, 사실은 가이드라인은 법적 구속력 있다 얘기하기는 어려워요. 다만, 법령 그리고 고시에 나와 있는 내용을 안내한다 그러면 우리 동의서에도 보면 의무 이런 내용들이 있습니다. 이런 부분들은 개별 구체적으로 의무사항이라고 볼 수 있습니다.

오늘 우리 현장에는 동의서 가이드라인, 동의 안내서하고 처리방침 작성지침의 개정판이 나와 있는데, 하나 설명드릴게요. 작성지침 같은 경우에 5종을 만들었어요, 5종. 질문이 없어서 설명을 드리면, 이렇게 5종을 한 이유가 기존의 처리방침 작성지침이 하나로만 되어 있었습니다. 그래서 우리 가이드라인에 보면, 2020년 12월에 만든 가이드라인을 보면 똑같은 항목으로 18개, 모든, 규모가 크거나 작거나 또는 온라인이거나 오프라인이거나 공공기관이거나 불문하고 이 처리방침 작성지침에 따라라, 이렇게 해놓다 보니 지금 한 800여만 개의 개인정보 처리자가 있다고 볼 때 다종다양하고, 크게 업종별로 보면 너무 다양한 데가 많고 안 맞는 게 있는데 똑같은 걸 강요하는 부분이 있습니다.

그래서 크게 저희는 대부분의 온·오프라인 사업자들이 일반형에 해당한다고 보고요. 예를 들면 공공기관 같은 경우에 우리 중앙행정기관, 자치단체, 공기업 등 우리가 수준진단 하는 데가 약 800개 되거든요. 이런 데는 특징이 있어요. 꼭 의무사항들은 당연히 들어가야 되지만 다른 민간에서 안 하는 개인정보파일등록제, 그리고 공개제 이게 있어요. 이 부분은 다른 데는 없거든요. 그 부분을 명확하게 하고, 개인정보 수준진단 한 결과 이 부분을 공개하도록 하고, 그리고 개인정보 영향평가라고 있습니다. 개인정보에 영향을 미치는 시스템을 구축하거나 변경하고자 할 때는 사전영향평가를 받도록 돼 있는데 이것도 그 결과를 공개하도록 하는 이런 부분들에 특화해서 내용을 보완했다, 이런 말씀을 드리고요.

예를 들어 보건의료 파트, 병원, 의원, 약국 같은 경우는 대단히 민감한 정보를 취급하지 않습니까? 의료정보라든지 이런 정보에 대한 처리를 좀 더 자세하게 설명을 했고, 또 파기해야 될 사항들 이런 부분들을 좀 더 강조를 했습니다. 그래서 차별화를 시켰다, 이런 말씀을 드리고.

일반형은 전체 항목이 23개가 되고요. 예를 들어서 보건의료라든지 공공기관 20개 정도, 조금씩 차이가 있습니다. 이렇게 해서 앞으로 다른 업종도 의견을 들어서 자율규제단체라든지 업종의 의견을 들어서 확대해 나가겠다, 이런 말씀드리겠습니다.

<질문> (사회자) 디지털타임즈 기자께서 온라인 질문을 주셨는데요. 보도자료 활용방향 예시에 보면 택배박스나 포장재에 라벨링이 붙어 있는데 이것을 매번 사업자가 붙여서 발송해야 하는 것인지 아니면 공공에서 어떠한 향후 조치를 취할 것인지 이게 궁금하다고 하셨고요.

그리고 또, 예시 사진에 대해서 좀 더 구체적인 설명 부탁드린다는 이런 질문을 주셨습니다.

<답변> 예, 디타의 이 기자님, 그 부분은 제가 설명드릴 것은 드리고, 그리고 과장이 보완할 수 있도록 하겠는데, 지금 붙임에 있는 자료죠? 7페이지에. ‘생활 속에서 활용방안’ 이렇게 있었는데 이것은 권장 사안입니다, 실제. 이 부분은 라벨링을 해서 택배 박스에 들어가는 상품에 대해서 전달을 할 때 당신의 개인정보 뭐가 활용됐는지 이 부분을 알기 쉽게 한 띠, 스티커처럼 이렇게 해서 활용할 수 있도록 예시를 한 것이고요.

그리고 지금 그 아래쪽 상품주문서 작성할 때 하단에 부착하도록 한 것도 사실은 상품주문서에 쓰고 나서 이 아랫부분이 없었죠. 그래서 이런 부분을 새로 추가해서 우리 처리자 대상, 특히 처리자죠. 개인정보 처리자 대상으로 널리 안내하고 협조를 당부할 계획입니다.

이 부분이, 이것은 하나의 딱 통일된 형은 아니고 권장 모델이고요. 그리고 기존에 하고 있던 방식이 있다면 그것도 유효하다, 다만 여기 있는 라벨링을 가급적 활용해서 널리 쓰이도록 했으면 좋겠다, 이런 말씀을 드리겠습니다.

그리고 실제 저희가 그러면 어떻게 할 것이냐? 이런 라벨링 같은 경우, 표시제 같은 경우는 지금 앞으로도 좀 더 개발하겠습니다. 지금 사실 이 내용은 작년 말에 확정됐던 것인데, 한 두 달에 걸쳐서 라벨링을 홍익대 교수팀에 사실상 자원봉사 비슷한, 재능기부 형식으로 아주 고맙게 지원을 받아서 완성한 것이고 보완해 나가고 있다, 이런 말씀을 드리고요.

그리고 작년에 저희들이 자율규제단체하고 한 5~6차례 간담회를 했어요, 실제. 과장하고 계장님들이 가셔서 의견을 들었는데 이런 게 좀 있었으면 좋겠다, 해서 그 의견을 반영한 것입니다.

그래서 저희들이 앞으로 자율규제단체나 아니면 관련 협·단체 그리고 이런 기회, 사업자들 만날 수 있는 기회에 이런 내용을 소개하고 교육하고 안내하고, 그리고 가급적이면 이런 부분에 대해서 현장에서 직접 쓸 수 있도록 널리 알리겠다, 이런 말씀을 드리겠습니다.

감사합니다.

<끝>