기업 중 72%가 자체 개인정보처리방침에 명시한 내용과 실제 운영 방식이 불일치하는 것으로 드러났다. 웹사이트에서 처리방침을 확인하기도 어려워 접근성도 낮은 것으로 조사됐다.

개인정보위원회는 16일 이같은 ‘2024년 개인정보 처리방침 평가’를 공개했다. 올해 평가제 적용대상은 7개 분야 49개 기업이다. △빅테크 △온라인 쇼핑 △온라인 플랫폼(주문·배달, 숙박·여행) △병·의료원 △온라인 동영상 서비스(OTT) △엔터테인먼트(게임, 웹툰) △인공지능(AI) 채용 등 생활과 밀접한 7개 분야가 지정됐다. 평가에서는 △보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지(적정성) △처리방침을 알기 쉽게 작성했는지(가독성) △정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지(접근성) 등에 대해 이뤄졌다.

 

전문가위원(30명) 평가와 이용자평가단(50명) 평가를 병행해 진행된 이번 평가 결과 대상기업 평균점수는 100점 만점 기준으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점 순으로 나타났다.

 

12개의 해외사업자의 경우 개인정보 공유·협력 등 국내법‧정책과 다르게 표현하거나, 번역투 문장 사용 등으로 인해 가독성, 접근성, 적정성 모든 분야에서 국내 기업 대비 낮은 평가를 받았다.

 

적정성 분야에서는 평가대상의 72%가 처리방침상 기재내용과 실제 서비스 이용 시 고지된 개인정보 처리 목적‧항목‧보유기간이 다르게 운영되고 있었다. 개인정보위 관계자는 “신규 서비스 도입 및 기존 서비스 변경‧폐지 시 실제 처리현황이 처리방침에 정확하게 반영될 수 있도록 기업 내 업무 프로세스를 개선할 필요가 있다”고 지적했다.

 

절반 이상의 기업은 ‘개인정보 보유‧이용기간’을 ‘필요한 기간’ 등으로 모호하게 작성했다. 국내대리인 지정 의무 대상인 10개 외국계 기업 중 5곳은 지정된 국내대리인이 실제 개인정보 관련 민원‧열람 서비스를 제공하고 있지 않는 등 형식적으로 운영하고 있었다.

 

처리방침 메뉴를 찾기 위해 웹사이트에서 평균 약 12회의 ‘스크롤 다운’이 필요해 접근성도 낮았다. 일부 기업의 모바일 앱에서는 처리방침을 확인하기 위해 별도 로그인이 필요하거나 여러 단계를 거치도록 운영해 접근성을 개선할 필요가 있다는 평가를 받았다.

 

좋은 평가를 받은 곳도 있었다. 서울성모병원, 롯데관광개발, 홈플러스, 지마켓은 처리방침에 기재된 개인정보 열람부서를 통해 정보주체가 즉시 개인정보 관련 민원을 제기할 수 있도록 했다. 야놀자, 롯데관광개발, ㈜하나투어는 고유식별정보인 여권번호의 보유기간을 최소한으로 설정하고 있어 높은 평가를 받았다.

 

넷마블, 엔씨소프트는 이해하기 쉽도록 ‘알기 쉬운 처리방침’을 제공하고 정보 취약계층을 위한 처리방침도 추가로 제공하고 있었다. 넥슨코리아, 구글, 우리홈쇼핑 등은 동영상, 음성 등을 이용해 처리방침을 설명하는 콘텐츠를 추가 제공하는 등 정보주체가 처리방침을 쉽게 이해할 수 있도록 노력한 점이 우수 평가 요소로 인정받았다. 서울아산병원, 삼성서울병원, 쿠팡, 당근, 카카오엔터테인먼트, 네이버웹툰도 ‘알기 쉬운 처리방침’을 제공하고 있었다.

 

평가대상 분야 중에는 서울아산병원, 삼성서울병원, 서울성모병원 등을 포함한 병의료원 분야가 상대적으로 우수하게 평가됐다. 네이버·카카오 등 국내 포털사업자는 개인정보 처리의 목적과 처리하는 개인정보의 항목을 서비스 단계별로 구체적이고 명확하게 기재해 전체 평가대상 중 적정성 분야에서 가장 높은 점수를 받았다.

 

개인정보위는 평가 결과를 해당 기업에 통보해, 기업의 적극적 개선을 유도할 방침이다.

 

양청삼 개인정보정책국장은 “이번 평가제 도입은 기업이 처리방침의 중요성을 인식하고, 스스로 처리방침을 개선할 수 있는 계기를 만들었다는 데 의의가 있다”며 “이번 평가 결과를 바탕으로 관련 제도를 보완하는 등 처리방침의 실효성을 제고해 나갈 계획”이라고 말했다.