|
개인정보 보호법(제30조)은 개인정보 처리의 책임성과 투명성을 제고하기 위해 개인정보처리자에게 처리방침을 수립·공개할 의무를 부과하고 있다. 그러나 처리방침의 내용이 이해하기 어렵고, 단순히 텍스트를 나열하는 등 표기·공개 방식의 경직성 등으로 정보주체의 실질적 권리 보장에 한계가 있다는 지적이 있었다.
이에 지난해 개인정보위는 법 개정을 통해 개인정보 처리의 투명성, 책임성을 강화하고 정보주체의 알권리 등 실질적인 통제권을 보장할 수 있도록 개인정보 처리방침 평가제도를 도입했다. 올해부터 본격적으로 첫 평가를 실시할 예정이다.
올해 평가 분야는 국민생활과 밀접한 △빅테크 △온라인 쇼핑 △온라인 플랫폼(주문·배달, 숙박·여행) △병·의료원 △온라인 동영상 서비스(OTT) △엔터테인먼트(게임, 웹툰) △인공지능(AI) 채용 등 7개 분야다. 대상기업과 기관은 개인정보 보호법 시행령(제31조의2) 및 ‘개인정보 처리방침 평가에 관한 고시’ 평가 대상 선정 기준을 고려해 선정됐다.
평가 기준은 개인정보 보호법(제30조의2)에 따라 △처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) △처리방침을 알기 쉽게 작성했는지(가독성) △처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등 3개 분야이다. 총 26개 항목 42개 지표를 통해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가할 계획이다.
평가는 외부 전문가로 구성된 평가위원회에서 공개된 자료를 기반으로 한 기초 평가와 평가 대상기관이 제출한 의견(소명 자료) 등을 토대로 이뤄지는 심층 평가 방식으로 실시한다. 서비스 실제 이용자 관점에서 가독성, 접근성 등을 평가하는 이용자 평가도 함께 진행된다.
평가 결과 처리방침이 우수한 개인정보처리자에 대해서는 개인정보 보호법에 따른 과징금·과태료 부과 시 감경 등 인센티브를 제공해 개인정보처리자의 자율적 개선을 유도하고, 개선이 필요한 사항에 대해서는 개선권고 등의 조치를 할 계획이다.
양청삼 개인정보정책국장은 “개인정보 처리방침 평가제가 올해 처음으로 시행되는 제도인 만큼, 개인정보처리자에게 부담을 주는 방향으로 운영하기 보다는 우수한 사례를 발굴, 공유하는 데 중점을 두되 법 위반 우려 등이 있는 경우에는 개선을 유도하는 방향으로 추진할 계획”이라며 “처리방침 평가를 통해 기업·기관의 자율적인 처리방침 개선 노력을 유도하고, 투명하고 신뢰할 수 있는 처리방침으로 인해 정보주체의 알권리 강화 등 권리 보장에 기여할 수 있는 계기가 되기를 기대한다”라고 밝혔다.