2025 개인정보 처리방침 주요 개정사항

개인정보 처리방침에 많은 변화가 찾아왔다. 또한, 최근 발간된 개인정보 처리 통합안내서와 그에 대한 설명회의 내용을 따져보건대, 개처방에는 앞으로도 큰 변화가 요구될 것이다.

 

개처방의 2025년 주요 개정사항은 다음과 같다.

 

1. 수집하는 개인정보의 항목 세분화

기존에는 수집하는 개인정보의 항목을 크게 2가지로 구분했다. '필수'와 '선택' 항목으로 말이다. 사실 이것도 지키지 않는 기업이 다수였는데, 이제 더욱 세분화가 된다. 

 

대분류가 2가지로 되는데, ① 동의없이 처리하는 항목 ② 동의를 받아 처리하는 항목으로 나뉘고, 그 안에서 이제 ②-1. 필수 동의 항목 ②-2. 선택 동의 항목으로 나뉘는 것이다. 동의 없이 처리를 하는 경우는 개보위가 추진하는 핵심 방향성이며, 그것에 힘을 실어주기 위한 내용이 여기에 반영된 것으로 보인다.

 

사실 이 변화는 정보주체 입장에서는 좋은 변화라고 보인다. 좋든 싫든, 근거가 되는 법령을 쓰게끔 하는 것이 점차 자리잡을 것으로 보이기 때문이다. 

 

2. 개인정보 항목 및 보유·이용 기간 작성 시 구체성 완화

'완화'라는 단어는 때로 오히려 후퇴한 것이 아닌가 하는 오해를 부르기 쉽다. 사실은 오히려 개인정보처리자와 정보주체 양측을 위한 변화가 될 수 있는데도 말이다.

 

기존에는 '~등'이라는 표현을 직접적으로 기재하면서 모호성을 만들 여지를 주지 않았는데, 처리되는 개인정보의 항목이 다수일 경우에는 정보주체가 쉽게 파악할 수 있도록 관련된 항목을 묶어 유형화한 후 구체적인 항목 기재를 하도록 바뀌었다. 사실 정보화 시대가 심화됨에 따라 개인정보의 영역은 점차 넓어지고 있고, 지나치게 많은 개인정보를 하나하나 열거하는 것이 오히려 정보주체 입장에서 가독성의 문제를 만들 수 있을 것이다. 

 

가끔 DI가 개인정보인가? CI가 개인정보인가? 같은 질문을 마주하게 되곤 하는데, 사실 정보주체 입장에서는 DI고 CI고 단번에 무엇인지 알기는 어려울 것이다. 개인정보의 영역이 확대된다는 것은, 저런 IT스러운 이름을 지닌 것들이 늘어날 수 있다는 것을 의미한다. 그렇기에 더욱 그룹핑을 하는 것은 필요한 일일 것이다.

 

또한, 제 3자 제공에서도 제3자를 특정하기 어려운 사정이 있는 경우, 특별한 사정 및 제3자의 유형을 기재하는 것도 가능하지게 됐다. 예를 들어, 네이버나 스마트스토어, 쿠팡 같은 오픈 마켓에서 판매자가 직접 배송을 하는 경우, 구매 시점에는 배송업체가 정해지지 않았거나, 여러 배송업체 중 하나가 선택될 수 있을 것이다. 대한통운이 될 수도 있고, 롯데가 될 수도 있다는 것이다. 그리고 사회 전반의 분위기나 사정을 고려했을 때, 배송업체 중 특정 한 군데가 걸릴 수 있다는 것은 특정 몇몇 마켓을 제외하고는 정보주체 입장에서 충분히 예측 가능한 영역일 것이다. 그런 경우에 제3자 제공에서 대상을 '배송을 위한 물류업체'라고 그 유형을 명시할 수 있다는 것이다. 물론, 여기에는 그 제3자를 특정하기 어렵다는 정당한 사유를 입증할 수 있어야 할 것이다.

 

3. 고충을 직접 처리하는 부서 연락처 공개방법 개선

개처방을 신경쓰는 기업은 그러지 않는 경우가 많지만, 그저 대표이사 겸 CPO만 떡하니 박아놓는 경우를 찾기는 너무도 쉽다. 기존에는 CPO 소속 부서 연락처만 기재하였으나, 변경안은 CPO 책임 하에 개인정보 관련 고충을 직접 처리하는 고객센터 등 유관부서의 연락처도 기재하도록 한다. 정보주체가 보통 개인정보처리방침을 확인할 때 그 목적 및 사유는 무엇일까? 그점을 고려한다면 실질적인 정보주체의 권리에 대한 응대가 가능한 연락처를 명시하는 것은 바람직한 안이다.

 

4. 모바일 앱 공개방식 개선

기존에는 반드시 홈페이지 첫 화면에 처리방침을 공개하도록 하였다. 그리고 보통은 이 처리방침을 최하단에 놓으니 정보주체가 처리방침을 확인하기 위해 수차례 손가락을 밀어야 하는 경우가 있었다. 특히 첫화면에 각종 상품을 광고하는 쇼핑몰의 경우가 그러하다. 그러나 이제는 앱 첫 화면 외에도, 정보주체가 쉽게 확인할 수 있는 '서비스 메뉴', '설정', '회원가입', '로그인 영역'의 첫 화면 등으로 공개 범위가 확대되었다. 사실 보안 업계에 있는 사람들은 개처방을 워낙 자주 접했을 것이고, 개처방이 최하단에 있는 것을 디폴트처럼 여길 것이기에 이번 변화가 과연 접근성을 개선할 수 있을지에 대한 의문이 생길 수 있을 것이다.

 

그러나 일반적으로는 정보주체가 특별한 일이 생기지 않는 한 굳이 최하단까지 내려 개인정보 처리방침을 확인하지 않는다는 점을 고려하면, 이런 변화는 좋은 변화로 보인다. 단, 이제 개인정보처리자의 고민은 깊어질 것이다. 범위가 확대되었다는 것은 선택지가 늘었다는 것이고, 과연 어디에 위치하는 것이 접근성을 최고로 향상시킬 수 있을지 말이다. 

 

5. 정보주체의 권리행사 절차 구체화

개인정보 전송 요구 방법 및 자동화된 결정에 대한 사항을 설명해달라는 요구 등 정보주체의 권리행사 절차를 구체적으로 안내하도록 바뀌었다. 이것도 기존의 관행을 따져보면 구체화 시킬만 했다. 위에서도 말했듯, 보통의 정보주체는 개처방에 관심이 없다. 무슨 일이 생겼을 때 이를 찾아보는 경우가 많은데, 그떄의 '일'이란 권리행사를 하기 위하는 것을 말할 것이다. 그런 측면에서 절차를 구체화하도록 한 것은 좋은 변화일 것이다. 사실 개인적으로는 이거와 더불어 안전성 확보조치도 좀 제대로 썼으면 하는 바람이 있다. 안전성 확보조치 항목에 'A사는 정보주체의 개인정보보호를 위해 안전성 확보조치를 하고 있음'이라고만 적은 걸 본 게 한두번이 아니다..

 

특히, 인공지능 학습용 데이터를 수집 및 이용하는 경우는 공개된 개인정보의 주요 수집 출처, 수집 방법, 안전성 확보조치 방안 등 투명성 확보 관련 기준을 기재할 것을 권고하고 있다. 강제가 아니라 권고라는 점이 주목할만 하다. 사실 AI는 주요 미래 기술 중 하나이고, 어떻게든 AI 선진국들의 발끝을 따라가도록 노력해야 하는 입장이다 보니, 조금은 규제를 풀어줄 필요도 있기 때문이다. 인공지능을 위한 개인정보 수집의 근거도 현실적으로 문제가 되는 상황에서 AI를 위한 규제는 지금보다도 더욱 해소가 될 수 있기를 바라본다. 물론 그렇다고 개인정보보호를 지나치게 등한시해서도 안되지만 말이다. 아마 이 문제로 개보위는 정말 골치아프지 않을까 싶다.

 

6. 행태정보의 수집·이용·제공 및 거부에 관한 사항

정보주체를 식별한 행태정보 처리와 식별하지 않은 행태정보를 모두 처리하는 경우에 관한 것이다. 정보주체를 식별하는 것은 의무이며, 식별하지 않는 행태정보를 모두 기재하는 것은 권고사항이다.  웹사이트나 앱이 정보주체의 행동을 분석해서 정보를 수집할 때, 누군지 알 수 있는 정보를 다룬다면 반드시 고지하거나 알려줘야 한다. 근데 누군지 알 수 없는 익명정보까지 전부 쓰는 건 법적으로 꼭 해야 하는 건 아니고, 가능하면 그렇게 하라는 권고인 것이다.

 

또한, 주요 브라우저의 환경 변화에 따른 쿠키 및 맞춤형 광고 차단 방법 설정 방식 현행화하라는 내용이 있다. 이는 주기적으로 매번 점검하며 달라진 사항이 있는지 담당자가 확인해야 할 것이다. 지나치게 옛날 버전이 들어가 있는 경우도 종종 있기 때문이다.