개인정보 처리방침, 제대로 쓰고 있는지

KOEN
·9Compliance실무 가이드

개인정보 처리방침, 제대로 쓰고 있는지

컨설팅 현장에서 기업의 개인정보 보호 수준을 처음 파악할 때, 제일 먼저 보는 게 뭘까? 내부 관리계획? 위험평가 문서? 아니다. 홈페이지에 공개된 개인정보 처리방침부터 본다.

이유는 단순하다. 처리방침은 법적으로 공개 의무가 있는 문서이고, 누구나 언제든 확인할 수 있다. 거기에는 그 기업이 어떤 개인정보를 수집하고, 누구에게 제공하며, 어떻게 보호하는지가 전부 담겨 있다. 잘 쓴 처리방침이면 내부 관리도 잘 되고 있을 가능성이 높고, 허술하면 내부도 대부분 허술하다.

처리방침은 변경될 때마다 변경 이력과 신구대조표가 남기 때문에, 법령 개정이나 새 가이드라인이 나올 때마다 적시에 반영하고 있는지까지 역추적할 수 있다. 2025년 4월 개인정보보호위원회가 「개인정보 처리방침 작성지침」을 새로 개정했는데, 이걸 기준으로 우리 회사 처리방침이 괜찮은 상태인지 한번 점검해보자.

왜 처리방침을 계속 다시 봐야 하나

처리방침은 한 번 잘 써놓으면 끝나는 문서가 아니다.

개인정보 보호법은 계속 개정되고, 시행령과 고시도 바뀌고, 개보위에서 새로운 가이드라인이 수시로 나온다. 이런 변화를 제때 반영하지 않으면 법 위반이 되는 건 물론이고, 정보주체 입장에서도 자기 권리가 뭔지 제대로 알 수가 없다.

실제로 처리방침의 변경 이력을 보면 그 기업이 개인정보 보호에 얼마나 신경 쓰고 있는지가 드러난다. 법 개정 후 몇 달째 업데이트가 없다면? 그건 문서 관리 소홀이 아니라 내부 보호 체계 자체가 제대로 안 돌아가고 있다는 신호다.

2025년 작성지침에서도 처리방침을 수립·변경할 때 법령 부합성, 투명성·정확성, 명확성·가독성, 접근성 네 가지 원칙을 지키라고 하고 있다.

2025년 작성지침 기준 — 기재 사항 체크리스트

2025년 4월 개정 작성지침은 처리방침에 포함해야 할 기재 사항을 총 24개 항목으로 정리하고 있다. 필수, 해당 시 기재, 권장 사항이 섞여 있으니 하나씩 확인해보자.

필수 항목부터 보면, 제목(「OOO 개인정보 처리방침」 형식), 처리 목적, 처리하는 개인정보 항목, 처리 및 보유 기간, 파기 절차·방법, 안전성 확보조치, 정보주체의 권리·의무 및 행사방법, 보호책임자 및 고충처리 부서, 처리방침 변경에 관한 사항 — 이건 반드시 들어가야 한다.

해당 시 기재 항목으로는 14세 미만 아동의 개인정보 처리, 제3자 제공, 추가적 이용·제공 판단 기준, 처리업무 위탁, 국외 이전, 민감정보 공개 가능성 및 비공개 방법, 가명정보 처리, 자동 수집 장치(쿠키 등), 자동화된 결정, 국내대리인 지정, 고정형·이동형 영상정보처리기기 운영 등이 있다.

권장 사항으로는 제3자의 행태정보 수집 허용 관련 사항, 정보주체의 권익침해 구제방법, 자율적 보호조치 사항이 있다.

"해당 시"라고 돼 있어도 실제로 해당하는데 빠져 있으면 법 위반이다. 쿠키를 쓰면서 자동 수집 장치 항목이 없거나, 수탁자가 있는데 위탁 항목이 누락돼 있으면 문제가 된다.

현장에서 자주 보이는 문제들

'~등'으로 퉁치기

가장 흔하다. 수집 목적을 "서비스 제공 등"으로 뭉뚱그리거나, 수집 항목을 "이름, 연락처 등"으로 끝내는 경우. 거의 모든 프로젝트에서 한 번씩은 보는 것 같다. 작성지침은 "~등"과 같은 축약이나 모호한 표현을 쓰지 말고 구체적으로 쓰라고 명확하게 못 박고 있다.

비동의 기반 수집의 법적 근거 누락

2023년 9월 개정법 시행 이후 동의 없이 처리하는 개인정보에는 법적 근거와 항목을 구분해서 기재해야 한다. 그런데 아직도 동의 기반 수집과 비동의 기반 수집을 구분하지 않고 한 덩어리로 쓰는 기업이 많다. 개정이 된 지 2년이 넘었는데도 이 부분을 반영 안 한 곳이 있어서 놀랄 때가 있다.

제3자 제공·위탁 목록 축약

"A사 등 00개사"로 축약하는 건 부적절하다. 수탁사가 수십 곳이면 다 적기 번거로운 건 이해하지만, 작성지침은 별도 화면이나 목록 파일 다운로드 기능으로 정보주체가 확인할 수 있게 하라고 안내하고 있다. 심사에서도 자주 지적되는 부분이고, 지적받으면 결국 다 펼쳐 적게 된다.

보유 기간을 '목적 달성 시까지'로 적는 경우

"서비스 이용 목적 달성 시까지"처럼 추상적으로 쓰는 건 작성지침에서 잘못된 사례로 명시하고 있다. 관계 법령에 근거한 보존 기간이 있다면 법령명·조문·기간·보관 항목까지 기재해야 한다. 전자상거래법 시행령 제6조에 따른 5년, 3년, 6개월 같은 구체적인 기간이 들어가야 맞다.

쿠키·행태정보 항목 부실

2025년 작성지침에서 가장 세밀하게 다루는 부분 중 하나다. 정보주체를 식별해서 행태정보를 처리하는 경우와 식별하지 않는 경우를 나눠서 기재해야 하고, 제3자가 수집해가는 행태정보(SDK, 태그 등)까지 공개해야 한다. GA4나 메타 픽셀 같은 제3자 추적 도구를 쓰면서 이 항목이 없는 기업이 아직도 많다.

자동화된 결정 항목 누락

AI를 활용한 자동화된 결정(보호법 제37조의2)이 있으면 그 기준·절차·처리방식을 공개해야 한다. 2025년 작성지침에서 채용 AI, 복지 부정수급 탐지 등 구체적인 예시까지 제시하고 있다. AI 도입이 빠르게 늘고 있으니 해당하는 기업은 꼭 확인해야 할 항목이다.

변경 이력 관리 소홀

이전 버전의 처리방침을 열람할 수 없거나, 신구대조표가 없는 경우. 작성지침은 이전 버전의 적용기간을 게재하고 클릭하면 해당 버전으로 연결되도록 하는 방법을 권장하고 있다. 변경 이력이 잘 관리 안 되면 추후 분쟁이나 감사 시 불리하다.

즉시 점검 체크리스트

아래 질문에 전부 "예"라고 답할 수 있으면 기본은 갖춘 거다. 하나라도 아니라면 해당 항목부터 수정하자.

  • 제목에 개인정보처리자명이 포함되어 있는가?
  • 처리 목적이 '~등' 없이 구체적으로 기재되어 있는가?
  • 동의 기반 수집과 비동의 기반 수집이 구분되어 있고, 법적 근거(조문 포함)가 기재되어 있는가?
  • 수집 항목이 목적별로 구체적으로 나열되어 있는가? (자동 생성·수집 항목 포함)
  • 보유 기간이 '목적 달성 시' 같은 추상적 표현 없이 구체적인 기간으로 기재되어 있는가?
  • 법령 근거 보존 시 해당 법령명·조문·기간·항목이 모두 있는가?
  • 제3자 제공 시 제공받는 자, 목적, 항목, 보유 기간, 법적 근거가 모두 기재되어 있는가?
  • 위탁 시 수탁자와 위탁 업무가 구체적으로 공개되어 있는가?
  • 국외 이전이 있다면 이전 국가·이전받는 자·법적 근거·거부 방법이 모두 있는가?
  • 쿠키를 사용한다면 쿠키 설명, 목적, 거부 방법(브라우저별)이 기재되어 있는가?
  • 행태정보를 처리한다면 식별/비식별 여부를 구분해서 공개하고 있는가?
  • AI 기반 자동화된 결정이 있다면 기준·절차·거부 방법이 기재되어 있는가?
  • 정보주체의 열람·정정·삭제·처리정지·동의철회·전송요구 방법이 구체적으로 안내되어 있는가?
  • 개인정보 보호책임자 성명(또는 부서명)과 실제 연결 가능한 연락처가 있는가?
  • 변경 이력(적용 일자, 이전 버전 링크)이 관리되고 있는가?
  • 로그인 없이도 처리방침에 접근할 수 있는가?
  • 동의 시 고지한 내용과 처리방침의 내용이 일치하는가?

새 가이드라인·법령 개정이 나올 때마다

점검은 한 번으로 끝나지 않는다.

모니터링은 개인정보보호위원회(pipc.go.kr)와 개인정보 포털(privacy.go.kr)의 법령정보·안내서 섹션을 정기적으로 확인하면 된다. 국가법령정보센터(law.go.kr)에서 개인정보 보호법과 시행령의 개정 이력도 수시로 체크해야 한다.

업데이트 순서는 이렇다. 변경 사항이 우리 기업에 해당하는지 확인 → 처리방침 수정 초안 작성 → 보호책임자 검토·승인 → 신구대조표 작성 → 홈페이지 게시 + 변경 사항 공지 → 이전 버전 아카이빙.

특히 주의할 시점은 법 개정 시행일(예: '24.9.15 동의 요건 강화, '25.10 국내대리인 과태료 시행), ISMS-P 인증심사 전, 새 서비스 출시 시, 수탁사·제3자 제공처 변경 시.

마무리

처리방침을 정하지 않거나 공개하지 않으면 1천만 원 이하 과태료가 부과된다(보호법 제30조 위반). 국내대리인 미지정 관련 과태료도 2025년 10월부터 시행 예정이다.

개인적으로 처리방침은 그 기업의 개인정보 보호 성적표라고 생각한다. 잘 쓰인 처리방침은 내부 관리가 잘 돌아가고 있다는 증거이기도 하고, 부실한 처리방침은 감독기관 조사 시 첫 번째 지적 대상이 된다. 컨설팅 초기에 처리방침부터 보는 이유가 이거다.

참고 자료:

  • 개인정보보호위원회, 「개인정보 처리방침 작성지침」, 2025.4.
  • 개인정보보호위원회 누리집: pipc.go.kr
  • 개인정보 포털: privacy.go.kr
  • 국가법령정보센터: law.go.kr
#ISMS-P#개인정보보호법#컨설팅#개인정보처리방침#개인정보보호
← 돌아가기

이전 글

2026년 취약점 분석·평가기준 개정 — 클라우드·가상자산 시대의 보안 점검

다음 글

인공지능기본법 가이드라인 5종 — 뭐가 나왔고 뭘 봐야 하나