[법무법인 화우 이근우 파트너변호사 ] 마침내 개인정보 보호위원회가 개인정보 처리방침 평가대상을 선정해 공고했다. 평가분야는 △빅테크 △온라인 쇼핑 △온라인 플랫폼(주문·배달, 숙박·여행) △병·의료원 △온라인 동영상 서비스(OTT) △엔터테인먼트(게임, 웹툰) △AI 채용 등 7개 분야며, 그 대상은 네이버, 카카오, 구글, 메타와 같은 빅테크 기업 4곳을 포함해 49개 기업기관이다. 

지난해 3월 14일 일부 개정돼 같은 해 9월 15일에 시행된 개인정보 보호법은기존 개인정보 보호법보다 개인정보처리자인 사업자에게 영향을 미칠 규정을 많이 담고 있고, 그 중 개인적인 소견으로 사업자에게 가장 큰 영향을 미칠 수 있는 것은 법 제30조의2 개인정보 처리방침의 평가 및 개선권고로 생각했다. 

법 제30조의2 개인정보 처리방침의 평가 및 개선권고는 처음 도입됐고 개인정보 보호위원회는 법 제30조의2, 동법 시행령 제31조의2를 구체화한 개인정보 처리방침 평가에 관한 고시(이하 ‘고시’)를 제정해 2024. 2. 20.부터 시행했다. 그리고 이번에 이 고시에 근거해서 구체적인 평가대상 등을 포함한 평가계획을 확정한 것이다.

법 제30조의2 개인정보 처리방침의 평가 및 개선권고가 도입됨에 따라 개인정보 보호위원회는 개인정보처리자가 작성한 개인정보 처리방침에 관해 △개인정보 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지 여부 △개인정보 처리방침을 알기 쉽게 작성했는지 여부 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부를 평가할 수 있다.

그 구체적인 평가 방식과 순서를 정리하면 다음과 같다.

우선 개인정보 보호위원회는 개인정보 처리방침의 평가 및 개선권고를 시행하기 위해 △개인정보처리자의 유형 및 매출액 규모 △민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모 △개인정보 처리의 법적 근거 및 방식 △법 위반행위 발생 여부 △아동·청소년 등 정보주체의 특성이라는 5가지 사항을 종합적으로 고려해서 평가 대상을 선정한다(동법 시행령 제31조의2 제1항). 고시 제4조는 그 평가대상 선정의 구체적인 기준으로 6개의 사유를 제시하고 있다. △연간 매출액이 1500억원 이상이면서 100만명 이상의 국내 정보주체에 관한 개인정보를 처리하는 자 △5만명 이상의 민감정보 또는 고유식별정보를 처리하는 자 △처리방침에 법 제22조에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하지 않은 자 △법 제37조의2에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하는 자 △최근 3년 간 개인정보 유출등이 2회 이상 됐거나, 과징금 또는 과태료 처분 등을 받은 자 △19세 미만 아동 또는 청소년을 주요 이용 대상자로 한 정보통신서비스 운영 자다.

다음으로 개인정보 보호위원회는 평가대상을 선정한 경우 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용·일정 및 절차 등이 포함된 평가계획을 통보해야 한다(동 시행령 제31조의2 제2항). 개인정보 보호위원회는 개인정보 처리방침 평가를 수행하는 경우 매년 평가 시작일을 기준으로 14일 전까지, 평가 대상, 기준, 절차 및 일정 등을 정한 평가계획을 심의의결하고, 지체없이 홈페이지에 평가계획을 공개해야 한다(고시 제3조 제1항, 제2항). 이 경우 개인정보 보호위원회는 개인정보 처리방침의 평가에 필요한 경우에는 해당 개인정보처리자에게 의견을 제출하도록 요청할 수 있다(동 시행령 제31조의2 제3항).

그리고 개인정보 보호위원회가 개인정보 처리방침을 평가했다면 그 결과를 지체 없이 해당 개인정보처리자에게 통보해야 한다(동 시행령 제31조의2 제4항).

개인정보 보호위원회가 개인정보 처리방침 평가 후 그 결과에 따라 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 그 개선을 권고할 수 있다(동법 제30조의2 제1항, 제61조 제2항, 고시 제8조 제1항). 그러면 권고를 받은 개인정보처리자는 개선 권고를 이행하기 위해 성실하게 노력해야 하며, 그 조치 결과를 개인정보 보호위원회에 알려야 한다(동법 제61조 제2항, 고시 제8조 제2항). 

개인정보처리자가 개인정보 처리방침의 평가 결과에 따른 개선권고를 따르지 않았다고 해 과징금이나 과태료 등이 부과되지는 않지만, 개선권고에 따른 내용과 그 결과는 공표될 수 있기에 개인정보처리자 입장에서는 개인정보 처리방침의 평가 및 개선권고에 대해 주의를 기울여야 한다(동법 제66조). 개인정보 보호위원회는 처리방침 평가 결과 우수한 개인정보처리자에 대해 포상할 수 있고, 처리방침 평가 우수 사례를 홍보하거나 컨설팅 지원 등에 활용할 수 있도록 해 개인정보 처리방침이 제대로 작성된 경우에는 그에 상응하는 조치를 취하려고 한다(고시 제8조 제3항, 제4항). 따라서 제대로 작성된 개인정보 처리방침이라면 개인정보처리자의 평판에 긍정적인 영향을 끼칠 수 있다는 점도 유념할 필요가 있다.

처음 도입돼 시행되는 제도인 만큼 개인정보 보호위원회가 많은 관심을 기울일 것이며, 따라서 이번 평가대상으로 선정된 기업기관은 당연하거니와 이번에 평가대상에 포함되지 않았다고 하더라도 평가대상은 매년 선정되고, 특히 고시에서 제시한 평가대상 선정의 세부 기준을 보면 상당히 많은 개인정보처리자가 그 대상에 포함될 수 있기에, 미리 미리 개인정보처리방침이 제대로 법령이 요구하는 방식과 수준대로 작성됐는지 점검할 필요가 있다. 

<이근우 변호사 약력>

(현)법무법인(유) 화우 파트너변호사

(현)개인정보보호위원회 자문변호사

(현)대한변호사협회 ESG 특별위원회 위원

(현)산업통상자원부 산업기술분쟁조정위원회 위원

(현)한국정보법학회 회원

(현)산업기술보호협회 영업비밀보호 전문위원(강사)

(현)법무부 해외진출 중소기업 법률자문단 자문위원