개인정보위, 2024년 평가 결과 공개
해외사업자, 국내법 반영 안해 점수 낮아
삼성서울병원, 가명정보 처리 개선

[이데일리 김현아 기자] 개인정보보호위원회(위원장 고학수)가 2024년 개인정보 처리방침 평가 결과를 공개했다.

이번 평가는 개인정보 처리방침의 적정성, 가독성, 접근성 등 3개 항목을 중심으로 진행되었으며, 국민생활과 밀접한 7개 분야 49개 기업을 대상으로 한 첫 번째 평가로, 기업들이 개인정보 보호 수준을 향상시키도록 유도하는 데 초점을 맞췄다.

2024년 평가 대상은 △빅테크 △온라인 쇼핑 △온라인 플랫폼(주문·배달, 숙박·여행) △병·의료원 △온라인 동영상 서비스(OTT) △엔터테인먼트(게임, 웹툰) △인공지능(AI) 채용 등 총 7개 분야의 49개 기업이었다. 개인정보위는 기업들이 수립한 개인정보 처리방침을 평가하여, 처리방침의 적정성(기재내용의 정확성), 가독성(이해 용이성), 접근성(정보 접근 용이성) 등을 점검했다.

해외 사업자 점수 낮아

이번 평가에서 대상 기업들의 평균 점수는 100점 만점 기준으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점이었다.

특히 해외사업자의 경우, 국내법과 정책을 반영하지 않거나 번역투 문장 사용으로 인해 전반적인 평가 점수가 낮았다.

적정성 문제로는, 평가 대상 기업의 72%가 처리방침상 기재된 개인정보 처리 목적, 항목, 보유기간 등이 실제 서비스에서 고지된 내용과 일치하지 않는 것으로 나타났다.

또한, 절반 이상 기업은 개인정보 보유·이용 기간을 모호하게 작성하거나, 파기되지 않고 보관하는 개인정보에 대해 구체적인 정보를 제공하지 않아 정보주체들이 언제 개인정보가 파기되는지 알기 어려운 상황이었다.

접근성 문제에서는, 웹사이트에서 개인정보 처리방침을 확인하기 위해 평균 12회의 스크롤이 필요했으며, 일부 온라인 쇼핑 기업은 50회 이상의 스크롤이 요구되는 경우도 있었다.

일부 기업은 모바일 앱에서 처리방침을 확인하려면 별도의 로그인이 필요하거나 여러 단계를 거쳐야 하는 등 접근성 개선이 필요하다는 지적을 받았다.

삼성서울병원, 가명정보 처리 지속 개선

이번 평가에서 많은 기업들은 개인정보 주체의 권리 보장을 위해 처리방침을 개선하고 다양한 노력을 기울인 것으로 나타났다. 예를 들어, 서울성모병원, 롯데관광개발, 홈플러스, 지마켓은 개인정보 관련 민원을 즉시 제기할 수 있는 부서를 처리방침에 명시했다.

야놀자, 롯데관광개발, 하나투어는 여권번호 보유기간을 최소화하는 등 개인정보 보호를 강화했다.

넷마블, 엔씨소프트, 넥슨코리아, 구글, 우리홈쇼핑 등은 아동, 고령자, 외국인 등 취약계층을 위한 처리방침을 추가로 제공하거나, 동영상, 음성 등을 활용해 처리방침을 쉽게 이해할 수 있도록 설명하는 콘텐츠를 제공하여 우수 평가를 받았다.

특히, 삼성서울병원은 가명정보 처리와 관련해 지속적인 개선을 보였으며, 네이버와 카카오는 개인정보 처리 목적과 항목을 명확히 기재하고 권리 보장을 위한 내용을 추가하여 높은 평가를 받았다.

개인정보위는 평가 결과를 해당 기업에 통보하고, 기업들이 적극적으로 개선할 수 있도록 유도할 계획이다. 또한, 해외사업자 및 온라인 쇼핑 기업과의 간담회를 통해 처리방침 개선 방안을 모색하고, 전반적인 개인정보 보호 수준을 높여 나갈 예정이다.

양청삼 개인정보정책국장은 “이번 평가제를 통해 기업들이 처리방침의 중요성을 인식하고 스스로 개선할 수 있는 계기를 마련했다”면서 “평가 결과를 바탕으로 관련 제도를 보완하고, 처리방침의 실효성을 높여갈 계획”이라고 밝혔다.

개인정보위는 오는 5월 중에 인공지능(AI), 스마트 홈(Home IoT) 등 국민 생활과 밀접한 분야를 중심으로 한 2025년 개인정보 처리방침 평가 계획을 발표할 예정이다.

김현아 (chaos@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.