정부가 서울대를 포함 소위 '빅5 병원'을 대상으로 올해부터 '개인정보 처리방침'에 대한 평가를 실시한다.
개인정보 처리방침이 우수한 곳에는 과징금·과태료 부과 시 감경 등 인센티브를 제공하고, 보완이 필요한 곳에는 개선 권고 등의 조처를 내린다.
개인정보보호위원회는 지난 12일 제10회 전체회의를 열고 이 같은 내용이 담긴 '2024년 개인정보 처리방침 평가계획'을 수립했다.
개인정보 처리방침은 개인정보 수집, 이용, 제공, 위탁 등 개인정보를 처리하는 기준과 안전조치에 관한 사항에 대해 개인정보처리자가 스스로 작성한 문서를 가리킨다.
개인정보처리자가 개인정보를 어떠한 목적으로 얼마만큼 수집해 어떻게 처리하는지 정보주체가 확인할 수 있도록 하는 기본적인 권리 보장 수단이다.
그러나 내용을 이해하기 어려운 경우가 많아 실효성이 떨어진다는 지적이 제기돼 왔다. 실제로 개인정보위 조사에 따르면 지난해 국내 인터넷 이용자 34.9%만 개인정보 처리방침을 확인하는 것으로 나타났다.
이에 개인정보위는 지난해 관련법을 개정해 처리방침 평가제를 도입한 데 이어 올해 본격적으로 첫 평가를 실시하기로 했다.
평가 분야는 ▲병·의원 ▲빅테크 ▲온라인 쇼핑 ▲온라인플랫폼(주문·배달, 숙박·여행) ▲온라인 동영상 서비스(OTT) ▲엔터테인먼트(게임, 웹툰) ▲인공지능(AI) 채용 등 국민 생활과 밀접한 7개 분야다.
특히 매출액과 처리하는 개인정보 유형, 관련법 위반 여부 등을 고려해 49곳을 평가 대상으로 선정했다.
평가 대상에는 '빅5(서울아산, 서울성모, 삼성서울, 서울대, 세브란스)' 병원을 포함해 네이버, 카카오, 구글, 메타, 쿠팡, 알리, 테무, 우아한형제들, 넥슨코리아, 넷마블, 마이다스인 등이 이름을 올렸다.
평가 기준은 개인정보 처리방침에 포함해야 할 사항을 적정하게 정했는지(적정성), 알기 쉽게 작성했는지(가독성), 정보주체가 쉽게 확인할 수 있는 방법으로 공개했는지(접근성) 등 크게 3가지다.
26개 항목, 42개 지표를 통해 의무사항 이행 여부와 개인정보처리자 노력 등을 평가할 계획이다.
외부 전문가로 구성된 평가위원회가 공개된 자료를 기반으로 하는 '기초 평가'와 기업·기관이 제출한 소명 자료를 토대로 이뤄지는 '심층 평가' 방식으로 실시된다.
서비스 이용자가 가독성과 접근성 등을 확인하는 평가도 진행된다.
평가 결과 개인정보 처리방침이 우수한 곳에는 과징금·과태료 부과 시 감경 등 인센티브를 제공하고, 보완이 필요한 곳에는 개선 권고 등의 조치가 내려진다.
개인정보위 양청삼 개인정보정책국장은 "부담을 주는 방향보다는 우수한 사례를 발굴하는 데 중점을 두되, 법 위반 우려가 있는 경우에는 개선을 유도하는 방향으로 추진할 계획"이라며 "정보주체 알권리 강화 등 권리 보장에 기여하는 계기가 되길 기대한다"고 밝혔다.