이번 글에서는 많은 분들이 혼동을 느끼는 ‘개인정보 처리방침’에 대해 다루고자 합니다. 홈페이지, 앱 서비스, 또는 심지어 일반 블로그에서도 그 경로를 불문하고 개인정보를 수집하고 이용하는 경우라면 반드시 개인정보 처리방침 규정이 필요합니다.
(물론 엄격히 말하자면 개인정보 파일을 운용하는 등의 요건이 필요합니다만, 개인정보를 전자적으로 수집해서 정리해서 보관하는 등 행태만 취한다면 대부분 그 필요성이 인정됩니다)
현행 법령상 온라인에서 개인정보를 수집·이용하는 자라면 개인정보 처리방침의 공개와 운영은 선택이 아니라 필수입니다.
개인정보 처리방침, 왜 꼭 필요할까요?
바로 ‘개인정보처리자’에게 개인정보 처리방침 작성 의무가 있기 때문인데요. 개인정보 보호법 제2조 제5호는 개인정보처리자를 이렇게 정의하고 있습니다.
| 개인정보처리자 정의 | 5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. |
즉, 업무를 목적으로 개인정보파일을 운용한다면 개인이든 법인이든 공공기관이든 모두 개인정보처리자에 해당하고, 개인정보 보호법 제30조에 따라 개인정보 처리방침을 작성해야 할 의무가 생깁니다. 어렵게 생각할 것 없이, 친목회, 동아리 등을 운영하는게 아닌 이상 이용자의 개인정보를 받아 저장하고 이용한다면 ‘개인정보처리자’일 가능성이 높고, 그러면 개인정보처리방침을 만들 때가 된 것입니다.
개인정보 처리방침, 어떻게 만들지?
다행히 개인정보 처리방침을 처음부터 끝까지 혼자 만들며 막막해할 필요는 없습니다. 개인정보보호위원회에서 발간하는 ‘개인정보 처리방침 작성지침’을 참고하거나, 개인정보 포털인 www.privacy.go.kr 웹사이트에서 제공하는 개인정보 처리방침 생성기를 이용하면 기본적인 틀을 쉽게 만들 수 있습니다.
< 개인정보 처리방침 작성지침을 참고하면 됩니다 >
< 작성지침에는 작성 예시도 자세히 나와있습니다 (24면) >
< 개인정보 포털인 www.privacy.go.kr에서 제공하는 방침 생성기.
다만 2025년 5월 현재는 이용이 일시 중단된 상태입니다 >
그러나 공식 지침을 바탕으로 초안을 마련하더라도, 최신 법령 해석이나 실무상 누락 사항 등 추가로 확인해야 할 부분이 상당합니다. 현장에서 법무팀 역시 개인정보 처리방침 관련 업무가 생각만큼 쉽지 않다는 반응을 보이며, GDPR 등 해외 법규와의 차이로 혼란을 겪기도 합니다.
제가 개인정보 처리방침 관련해서 여러 고객분들께 자문해드리면서 자주 헷갈려 하시는 부분들을 정리해봤습니다!
법무팀도 헷갈리는 개인정보 처리방침 Q&A
1. 개인정보 처리방침의 근본적인 목적이 뭐죠?
개인정보 처리방침의 가장 본질적인 목적은 ‘정보주체의 개인정보 자기결정권 보장’입니다. 서비스 가입, 이용 시 어떤 개인정보를 수집·이용하며, 그 이유와 방법을 투명하게 고지함으로써 정보주체가 자신의 개인정보 처리에 관해 실질적으로 통제할 수 있도록 하는 것이 취지입니다.
물론, 서비스를 이용하려면 개인정보 처리 동의가 필수적인 경우가 많아 정보주체 입장에서는 선택권이 없어 보일 때도 있습니다. 하지만 그래도 나의 어떤 정보가 어떻게 쓰이는지 확인 가능한 것과 불가능한 것은 ‘개인정보 자기결정권’ 측면에서 엄청난 차이가 있다고 하겠죠(개인정보 자기결정권은 헌법재판소가 인정하는 권리입니다(참고: 99헌마513 결정)).
또한, 개인정보가 잘못 처리되었을 때 어떻게 해결해야 하는지, 내 개인정보를 열람하거나 삭제하고 싶을 때 누구에게 연락해야 하는지, 외부기관을 통한 분쟁조정은 어떻게 받는지 등 정보주체의 권리 행사 방법을 고지하는 역할도 합니다. 결국 이것도 개인정보 자기결정권과 연결되어 있죠.
2. 수집하는 모든 개인정보가 기재되어야 하나요?
네 맞습니다.
우리나라의 개인정보의 개념은 상당히 넓게 규정되어 있습니다. 이름, 생년월일 등 단독으로 개인을 특정할 수 있는 정보(personally identifiable information, PII)뿐 아니라, 다른 정보와 쉽게 결합하여 누구인지 식별할 수 있는 정보를 모두 포함합니다.
예를 들어, 핸드폰 번호만 봐서는 이게 누군지 알 수 없지만, 이름이나 생년월일과 쉽게 결합될 수 있기 때문에 개인정보로 판단됩니다.
따라서 개인정보처리자는 이용자에게서 수집하는 모든 항목을 예외 없이 방침에 기재해야 합니다. 극히 사소하거나 부수적으로 보이는 정보(예: 서비스 유입 경로, 취향 등) 역시 개인정보로 해석될 소지가 있으므로, 세부적으로 수집하려는 개인정보 항목을 작성하는 것이 권장됩니다.
3. 개인정보 수집 및 이용 동의서와 개인정보 처리방침은 다른가요?
네, 완전히 다릅니다!
‘개인정보 처리방침’은 해당 개인정보처리자가 개인정보를 어떻게 처리하고(수집, 이용, 제공, 파기 등), 정보주체는 어떤 권리를 가지며, 개인정보를 어떻게 보호하는지 등 개인정보 처리에 대한 모든 것을 포괄적으로 담은 문서입니다. 내 개인정보에 어떤 일이 일어나는지 전체 그림을 보여주는 거죠. 법적 근거는 개인정보 보호법 제30조 제1항입니다.
반면에 ‘개인정보 수집 및 이용 동의서’는 개인정보를 처음 수집할 때, 핵심적인 사항(수집 항목, 수집 목적, 보유 및 이용 기간 등)만 간추려서 정보주체로부터 동의를 얻기 위한 문서입니다. 법적 근거는 개인정보 보호법 제15조 제1항입니다.
옛날에는 개인정보 처리방침 전체에 대해 동의를 받는 경우가 많았는데(이때는 ‘처리방침’이 아니라 ‘취급방침’이라고 불렀죠. 만약 아직도 방문하시는 웹사이트에 ‘개인정보취급방침’이라고 되어 있다면… 웹사이트를 운영하는 사업자 등은 개인정보 보호에 관심이 적을 가능성이 높습니다), 지금은 법이 바뀌어서 그러면 위법이랍니다.
중요한 점은, 동의서는 처리방침의 핵심을 요약하는 문서인 만큼, 두 문서 간 내용의 불일치가 있어서는 안 된다는 것입니다. 처리방침에는 포함되었으나 동의서에는 누락된 수집항목, 목적 등의 불일치가 발생하지 않도록 일관성을 유지해야 합니다.
< 동의서 작성과 관련해서는 개인정보 처리방침 작성지침이 아니라
개인정보보호위원회의 위 안내서를 참고하면 됩니다 >
4. 행태정보 수집에 대한 사항은 어떻게 기재해야 하나요?
2024년에 업데이트된 개인정보 처리방침 작성지침에서는 쿠키나 행태정보 수집에 대해 처리방침상 더 자세히 기재하도록 하고 있습니다.
특히 ‘개인 식별이 가능한 행태정보’와 ‘개인 식별이 불가능한 행태정보’로 나누어 쓰도록 안내하고 있는데요. 요즘 많은 웹사이트들이 Google Analytics 등을 이용해 페이지뷰 같은 행태정보를 수집하다 보니 이 부분에서 혼란이 자주 생깁니다.
아직 개인정보보호위원회에서도 이 부분에 대한 명확한 결론이 내려지지 않은 상태이기도 합니다. 워낙 행태정보 기반의 맞춤형 광고가 흔해지면서 어디까지를 개인 식별 가능한 정보로 볼 것인지, 사업자들과 정부기관 등의 의견이 갈릴 수 있기 때문인데요.
다만, 저도 Google Analytics가 수집한 웹사이트 이용 기록(페이지뷰, 방문 시간 등) 정보를 보여주는 dashboard를 살펴본 적이 있는데, 그곳에서 볼 수 있었던 정보만으로는 개인식별이 불가능해보였습니다( Google의 공식 입장도 Google Analytics를 통해 수집되는 행태정보로는 개인식별이 불가능하다는 것입니다).
따라서 Google Analytics 정도 수준의 행태정보 수집을 진행한다면, 현재로서는 개인정보보호위원회의 작성 지침 중 ‘개인 식별이 불가능한 행태정보’ 기준에 맞춰서 개인정보 처리방침을 작성하시면 될 것으로 보입니다. 물론, 개인정보보호위원회의 최종적인 해석은 달라질 수 있다는 점 염두에 두셔야 합니다.
마무리하며…
개인정보 처리방침 작성은 초기에는 난해하게 느껴질 수 있으나, 이는 궁극적으로 개인정보 보호 및 서비스 이용자와의 신뢰 구축을 위한 기본 절차임을 강조하고 싶습니다.
본 게시물이 개인정보 처리방침 작성 실무에 실질적인 도움이 되었기를 바랍니다.
긴 글을 끝까지 읽어 주셔서 감사드립니다.
* 본 게시물은 일반적인 정보제공을 위해 작성된 것이며, 어떤 구체적 사안에 대한 법률적 의견 또는 해석을 제공하기 위한 것이 아닙니다. 게시된 내용에 대해서는 충분히 이견이 있을 수 있으며, 규제기관의 최종적 해석과 다른 점이 있을 수 있습니다. 본 게시물의 작성자는 해당 글의 내용을 바탕으로 진행된 사항에 대하여 어떠한 법적 책임도 부담하지 않습니다.
태그: 개인정보 처리방침, 개인정보 보호법, 개인정보처리자, 정보주체, 개인정보 자기결정권, 수집 이용 동의, 행태정보, Google Analytics
답글 남기기