산업통상자원부 산하 S 기관 개인정보 처리방침 평가
1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)
위와 같이 개인정보 처리방침에서 목차를 최상단에 표기하고 있으며, 이를 통해 각 사항이 명시되었는지를 알기 쉽게 확인할 수 있음. 또한, 정보주체 입장에서 목차 내의 항목을 클릭하면 바로 해당 항목으로 이동하는 기능을 구현하여 더욱 정보를 획득하기 쉽다.
S 기관은 필수사항은 물론, 14. 정보주체 권익침해에 대한 구제 방법과 그밖에 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항(15, 16)이 포함되는 등 정보주체에게 내용을 제공함에 있어 성실하게 수행하고 있다.
결과: 10점
1-2. 개인정보 처리방침 상 기재된 내용이 실제 서비스 이용 시 고지된 개인정보 처리 사항과 동일한가? (총 10점)
이 기관은 00개의 시스템 및 홈페이지를 관리하고 있으며, 이에 따라 모든 대상 시스템 및 홈페이지를 확인하였는데, 처리방침과 별개로 수집을 위한 동의 단계에서 '거부'가 기본값으로 설정되어 있는 점은 칭찬할 만한 요소다.
또한, 모든 대상을 확인한 결과, 기재된 내용과 실제 수집 화면이 일치하는 것을 확인할 수 있다.
다만, 계속해서 개인정보 보호위원회 및 국정원이 공공기관에 지적하는 포인트 중 하나는 '정말 최소 수집의 원칙을 달성해했는가' 이고, 이에 따라 각 담당자들은 항목마다 그 필요성을 소명할 수 있는 준비가 되어야 할 것이다. 물론, S 기관의 경우 '이걸 왜 수집하지?'라는 생각이 드는 항목은 특별히 없다.
결과: 10점
1-3. 개인정보 처리방침에 개인정보의 필수 및 선택 수집 항목에 대한 수집 사유를 밝히고 있는가? (총 5점)
개인정보 파일 28건에 대해 필수/선택을 명확히 나누고 있으며, 수집 목적과 근거도 명확하게 밝히고 있다.
다만, 한 가지 지적할 사항이 있다면, 법적근거 항목에서 어느 항목은 ' 개인정보보호법 제15조 제1항1' 이라고 적는가 하면, 어느 항목은 '정보주체 동의'라고 기재되어 있다. 개인정보보호법 제15조 제1항의 1은 개인정보의 수집·이용 시 정보주체의 동의를 받은 경우를 말하며, 따라서 둘은 사실상 동의어라고 할 수 있다. 하지만 개인정보보호법을 잘 모르는 정보주체 입장에서는 '15조 제1항의 1'은 '정보주체 동의' 와는 다른 무언가 특별한 법률인가? 라고 오해할 수 있다. 이점에 대해서는 개정이 필요하다.
결과: 5점
1-4. 정보주체의 권리보장의 내용을 충실하게 알리고 있는가? (총 5점)
정보주체의 권리·의무 행사에 관하여 그 내용, 행사를 하는 방법, 그 행사를 담당하는 부서 등을 명확하게 명시하고 있으며, 열람 청구와 정정·삭제, 처리정지 청구에 대해서 더욱 구분하기 쉽도록 아래와 같이 알리고 있음. 이는 개인정보 처리방침 내 우수사례로 인정할 만하다.
결과: 5점
1-5. 개인정보의 보유·이용 기간을 명확하게 알리고 있는가? (총 7점)
보유 및 이용기간에 대해 '회원 탈퇴시 까지', '프로젝트 준공 시까지', '20년', '3년', '1년', '신청 해지시까지', '운영 중단시까지', '영구 및 근로계약 종료 후 3년', '10년'으로 각 개인정보 파일에 대한 보유·이용 기간을 명확하게 명시하고 있다.
다만, 정보주체 입장에서 일반적이지 않은 기간인 10년, 20년에 대해서는 그 사유를 밝히는 것이 좋아 보이며, 영구 보관에 대해서도 사유를 기재하는 것이 합리적임. 그리고 S 기관은 이를 '법적 근거'에 포함하는 것으로 설명하고 있음. 그러나 정보주체 입장에서 하단의 '법적 근거'가 무엇을 의미하는지 명확하게 알 수는 없다.
위의 표에서 수집목적 바로 뒤에 법적근거가 오고 있고, 따라서 정보주체 입장에서는 수집을 하는 것에 대해 법적 근거로서 받아들일 수밖에 없으며, 저 법적 근거에 장기 보존, 영구 보존 등을 위한 내용도 있다는 것을 예측하기는 어려움. 따라서 법적 근거란을 없애고, '수집근거'와 '보존근거'로 명확하게 구분하는 것이 정보주체 입장에서 더욱 유리하다.
결과: 7점
1-6. 개인정보의 파기 내용과 그 기준의 구체성에 대해 명확하게 알리고 있는가? (총 7점)
수집 목적 달성 후 파기 시점, 방식, 예외적 보관 기준과 그 방식을 명확하게 알리고 있음. 그러나 모두 일반적인 내용일 뿐이며, 정보주체 입장에서 조금 더 구체적인 내용이 있는 것이 좋다.
이를 테면, 전자적 파일 형태인 개인정보를 파기할 때 '기록을 재생할 수 없도록 파기'라고 쓰는 것이 보편적이며, S기관도 그렇게 설명하고 있으나 정보주체 입장에서는 이것이 무엇을 의미하는지 알 수 없음. 물론, 법에서 설명하는 '완전한 파기'에 해당하는 방법들이 사실 현재의 기술 발전과는 맞지 않아 진정한 '완전한 파기'는 아니기에 공격자에게 어떤 힌트를 줄 여지도 있음. 그러나 정확한 내용까지는 아니더라도 정보주체에게 조금 더 알기쉬운 설명을 할 필요가 있다.
또한, 물리적 파기에 대해서도 파기관리대장을 작성할 때 일반적으로 사진 등을 증적자료로 작성하기도 하는데, 이런 내용을 설명하는 것도 정보주체에게 더욱 신뢰성을 줄 수 있을 것이다.
결과: 7점
1-7. 개인정보 위탁·제3자 제공의 대상, 항목, 목적, 보유기간 등을 구체적으로 알리고 있는가? (총 6점)
제3자 제공은 수행하고 있지 않음. 그러나 아래와 같은 경우 제3자 제공을 수행한다는 것을 밝히고 있으며, 이는 우수사례라고 할 수 있음. 일반적으로는 개인정보보호법 안의 내용을 그대로 복붙하는 데에 그치기 때문이다.
개인정보 위탁의 경우, 28곳에 위탁을 하고 있으며, 위탁업무/위탁계약 부서/수탁자에 대해서만 알리고 있고, 위탁 항목이나 수탁자의 개인정보 보유기간에 대해서는 알리고 있지 않다.
결과: 0점
2-1. 이전 개인정보 처리방침과 현행 개인정보 처리방침을 비교·대조하기 쉽게 알리고 있는가? (총 7점)
이전 개인정보 처리방침을 확인할 수 있으며, 2016년부터 2024년 자료까지 모든 내용을 확인할 수 있다.
더군다나, 아래와 같이 처리방첨 전후 대비표를 제공한다는 점에서 S기관의 상당한 노력을 엿볼 수 있다.
다만, 아래와 같이 실제로 대비표를 클릭했을 시, 화질의 저하 문제로 인해 개정 전후 파랑색 글자의 내용이 추가되었다는 것만 인지할 수 있을 뿐, 그 내용을 구체적으로 알 수는 없다. 해당 내용은 개선이 필요하다.
결과: 5점
2-2. 정보주체 입장에서 어렵거나 혼동하기 쉬운 법적 용어에 대한 설명이 있는가? (총 7점)
IT 또는 법적 용어에 대해 정보주체가 알기 쉽도록 설명한 경우는 찾아볼 수 없다.
결과: 0점
2-3. 이용자가 전체 방침을 읽지 않더라도 핵심 내용을 이해할 수 있도록 라벨링, 인포그래픽, 요약표 등을 제공하는가? (총 7점)
아래와 같이 라벨링을 제공하고 있다.
그리고 라벨링에 마우스 커서를 올리면, 아래와 같이 세부사항을 확인할 수 있으며, 이는 우수사례로 뽑을 만하다. 공공기관에서 라벨링을 하는 것은 이제는 기본이지만, 이렇게까지 하는 경우는 흔하지 않다.
또한, S 기관은 이미지 형태로 개인정보 처리방침의 요약본도 제공하고 있다. 개인정보 수집 단계 - 개인정보 이용 단계 - 개인정보 파기 단계 - 개인정보 제공 단계 - 개인정보보호 담당부서 - 개인정보 열람청구 - 개인정보 침해 구제 방법의 7가지 사항을 이미지 형태로 쉽게 제공하고 있다.
결과: 7점
2-4. 개인정보 처리방침 내 어절의 잘림이 일어나지 않도록 하고 있는가? (총 7점)
PC 화면에서는 어절의 잘림이 전혀 발생하지 않으며, 모바일 환경에서는 간혹 발견되나 어절의 잘림을 최소화하려는 노력을 확인할 수 있다. 부득이한 경우, 아예 한 화면에 표시하지 않고 터치를 통해 넘어갈 수 있게 만든 것이 좋은 선택이다.
결과: 7점
2-5. 일반적인 처리방침을 받아들이는 것에 어려움이 있는 사람을 위해 대체 가독 수단을 제공하고 있는가? (총 7점)
대체 가독 수단은 별도로 존재하지 않는다.
결과: 0점
3-1. 개인정보 처리방침에 접근하기 위한 정보주체의 노력을 최소화하고 있는가? (총 7점)
모바일 환경의 경우 4번 내리면 손쉽게 개인정보 처리방침을 찾을 수 있다. 그러나 PC 환경에서는 다소 문제가 있다. 일반적으로 개인정보 처리방침은 사이트 첫화면 최하단에 위치하고, 정보주체도 그런 과정을 따를 가능성이 높다.
그러나 PC 환경의 경우, 스크롤을 4번까지 내릴 수 있으나 사이트 첫 화면의 어디에서도 개인정보 처리방침을 찾을 수 없다. 다른 메뉴 버튼을 클릭하고 5번 정도 스크롤을 내리면 아래와 같이 처리방침을 발견할 수 있다.
일반적인 위치인 첫화면 최하단에 개인정보 처리방침을 둘 것이 아니라면, 이례적으로 첫화면에 바로 보일 수 있게 하는 방법을 고려해야 할 것이다.
결과: 0점
3-2. 표준화된 URL이 존재하여 외부에서 접근 및 공유가 용이한가? (총 5점)
표준화된 URL이 존재하여, 외부에 공유하여 접근할 수 있다.
결과: 5점
3-3. '개인정보 처리방침'이라는 명확한 용어를 사용하고 있는가? (총 3점)
개인정보 처리방침이라는 명확한 용어를 일관성있게 사용하고 있다.
결과: 3점
총점: 71점/100점
역시 개인정보 처리방침 평가 대상인 공공기관 답게 기본적으로 갖춰야 할 것들이 다 있다. 다만, 그럼에도 부족하고 조금 더 개선할 사항이 있기도 하고, 사기업에서나 볼 것으로 기대한 우수사례도 있다. 충분히 얻을 게 많은 처리방침이었다.