o 개최일 : ’25.7.29.(화) 14:00~18:00 / 한국광고문화회관(서울 송파구)
o 주요내용
- 2025년 위원회 주요 정책방향 소개
① AI 시대 개인정보 규율체계 혁신
② 지속가능한 신산업 혁신기반 마련
③ 글로벌 개인정보 규범 주도권 확보
④ 마이데이터 성과 창출 본격화
⑤ 개인정보보호 컨트롤타워 역할 강화
⑥ 촘촘한 개인정보 안전망 구축 등
- 「개인정보 처리 통합 안내서」(7.14. 공개) 주요 내용 설명
① 개인정보 처리 체계 개편사항
② 필수동의 방식의 고지방식 전환
③ 자유로운 의사에 따른 동의 방법
④ 대규모 수탁자와 위탁자 간 관리ㆍ감독 방식
⑤ 영업양도에 따른 이전 제한
⑥ 개인정보를 제공받은 자의 의무 등
o 「개인정보 처리방침 작성지침」(4.21. 개정안 공개) 주요 개정사항 안내
=========================================================================================
[실참석 내용 필기 및 QnA]
<개인정보 처리 통합 안내서>
O 기존의 필수 동의를 받는 방식은 "계약 체결.이행"에 해당하는지 기업의 판단 하에 고지, 확인 절차로 전환 필요
- 계약 관련 개인정보와 그 외 개인정보를 함께 받고 있는 경우 : “항목 별 분리 조치” 필요
- 민감정보, 고유식별정보의 경우 : “서비스 이용에 처리가 불가피한 경우 필수동의 가능”
- 계약 체결.이행에 해당하는 지에 대한 입증책임은 사업자에게 있음
O 계약 이행, 체결을 위한 개인정보 수집 (개인정보법 제15조 제1항 제4호)
- '약관'도 포함될 수 있으나, 객관적 합의 및 예상 범위 안에 있는지 고려 필요
- '계약'의 적법 근거 판단
: 정보주체가 필요한 개인정보 범위에 대해 객관적으로 예상할 수 있어야함 (예측가능성)
: 민감정보(§23), 고유식별정보(§24), 주민등록번호(§24의2) 처리의 적법근거에는 "계약 이행"이 포함되지 않아 별도 동의 또는 법령 근거가 있어야 함
O 정당한 이익 달성을 위해 정보주체 권리보다 우선하는 경우, 동의 없이 개인정보 수집 (개인정보법 제15조 제1항 제6호)
- 설명회에서 쓰임새가 많은 조문처럼 설명하였으나, 광범위하게 적용은 불가능하다고 판단됨(사견)
- 이익형량 등 까다로운 입증 책임은 모두 개인정보 처리자의 몫
- 부정행위 탐지시스템(FDS) 등 인정된 사례 정도만 가능
O 개인정보의 추가적 이용 및 제공 (개인정보법 제15조 제3항, 제17조 제4항 / 시행령 제14조의2)
- 당초 수집 목적과 합리적으로 관련된 범위 내에서 동의 없이 이용 및 제공 가능
- 다만, 지속적으로 발생하는 경우 개인정보 처리방침에 공개 및 CPO는 이를 점검해야 함
O 개인정보의 수집 목적 외 이용 및 제3자 제공(개인정보법 제18조)
- 다른 법률에 특별한 규정이 있는 경우(동법 제18조 제2항 제2호)
: 시행령, 시행규칙에만 관련 규정이 있을 경우 허용되지 않음
: 법률에 위임 근거가 있고 이에 따른 하위 법령에 제공 관련 규정이 있어야 함
: 특별한 규정이란 개인정보의 목적 외 이용제공을 '구체적'으로 허용해야 함
O 개인정보처리 위수탁
- 수탁자를 대규모, 수시로 변경해야 하는 경우 위탁 업무 내용, 특별한 사정, 수탁자 유형을 기재하는 방식으로 가능함
- 수탁자의 재수탁 관련하여, '개인정보 처리 위수탁 계약서'에 따라 재수탁 발생 시마다 동의를 수령하지 얺는 것도 가능함
: 재수탁이 발생할 때마다 사전 동의를 받는 것이 현실적으로 힘들 경우, '발생 시 고지, 통보'로 계약서에 기재
<개인정보 처리방침 작성지침 개정사항>
O 서비스 고지 내용과 처리방침이 일치하는지 검토하는 절차 마련 필요
- 많은 기업이 일치하지 않게 운영되고 있음
O 처리방침 구분 항목의 변경 필요
- 필수/선택 -> 동의 없이 처리하는 개인정보/동의를 받아 수집하는 개인정보
- 기존처럼 필수/선택 항목으로 구분하는 방식은 부적절
O 행태정보
- '정보주체를 식별하는 행태정보 / 식별하지 않는 행태정보' 모두 기재하는 것이 바람직함
: 식별하지 않는 정보에 대해서는 작성 권고
<기타 Q&A(참고)>
1. CI를 제3자제공 및 키값으로 활용 가능한지?
- DI가 아니라 CI를 키값으로 쓰고자 한다면, 정보주체의 동의를 받아 활용하는 것을 법적으로 금지할 수는 없음
- CI 관련해서는 안내서(방통위)의 숙지가 필요함. 개인정보법상에서는 CI도 정보주체의 동의를 받아 처리 가능한 정보임
2. 필수 동의 대신 계약이행을 위한 정보로서 수집 및 고지할 경우, 고지 없이 처리방침에만 기재하는 것은 문제가 되는지?
- 계약이행에 반드시 필요한 것인지에 대한 입증책임은 사업자에게 있음
- 필수동의가 오랫동안 이어져 왔기 때문에, 바로 동의를 생략하고 처리방침에만 명시하게 된다면 ‘민원 및 입증책임’에 문제 발생 가능성이 다분하다는 것은 인정함
- 정보주체의 인지에 대한 입증은 “고지.확인”절차를 마련하는 것으로 가능함
3. 각 기업에서 맞춤형 광고를 위해 적법성을 준수할 수 있는 동의 절차 방안을 제시해 줄 수 있는지? (행태정보/맞춤형광고)
- 맞춤형 광고 가이드라인은 발간을 위해 계속해서 검토중임
- 기기마다 달라지는 경우가 있어 계속해서 논의 진행중
- 우선, 동의 기반으로 하는 것을 추천함
4. 망분리 가이드라인이 필요한 것 같은데 준비중인 것이 있는지?
- 일률적인 망차단의 망분리가 아닌, 규모별, 처리자 수준 별 기준 분리로 바뀜
- 당장 준비중인 것은 없음
5. 기존 보유하고 있던 개인 정보의 보유기간을 연장할 방법이 있는지?
- 당초 수집 시 동의/계약 내 목적 내 처리해야 하며, 해당 목적 달성 시 파기가 원칙
- 기존의 개인정보를 동의 없이는 연장 불가능
6. 필수동의를 수령한 예전의 가입자의 경우는, 고지 방법으로 전환 시 어떤 조치를 취해야 하는지?
- 수집 시의 고지 내용만 바꾸면 될 것 같고, 처리방침에서 변경사항 안내하는 것이 필요
- 계약과 관련된 범위 안에 포함된다면 별도로 다시 동의를 받지는 않아도 됨
7. '10·10' 규정(*)의 적용 준비중인 것이 있는지?
- *'10·10' 규정 : 정보기술(IT) 투자액과 인력의 최소 10%를 개인정보를 포함한 정보보호 예산·인력으로 배정
- 강제로 하기는 쉽지 않아보임. 다만, 이 기준을 권장하고자 노력할 것
8. 정보주체의 예측가능성은 결국 이용자와 처리자 간의 간극이 커질 수 밖에 없을 것으로 보이는데, 가이드 같은 것이 있을지?
- 정보주체마다 다르게 볼 수 밖에 없다 보니, “객관적” 예측가능성을 기준으로 봄
- 일률적인 기준을 제시하기는 어렵지만, 통상적으로 이해할 수 있는 범위 안에서 판단해야 함
9. 필수동의에 대해 (ISMS) 심사기관마다 의견(결함/권고)이 다른데 개보위에서 명확하게 가이드를 제공해 줄 수 있는지?
- 통합안내서를 기반으로 심사 팀장 대상 교육 진행 예정이며, 이후 통일화 된 심사가 가능할 것으로 생각함
- “결함”이 맞으므로, 필수 동의 관행에 대해서는 기업들의 개선 준비가 필요함 (개보위 답변)
: 이 답변은 ‘논란의 여지’가 있다 생각함. 현행 법적으로는 필수 동의 형식으로 수령해도 위법하지 않기 때문 (작성자 사견)
10. 위수탁 계약서 상에 '사전에 관리감독 합의 작성 – 다수의 위탁자와 감독 관계 명시 필요' 라고 안내서 상의 내용은 어떻게 명시해야 하는지?
- 수탁자와 사전에 '우리는 특정한 방법으로 관리감독을 받을 것이다'라는 내용을 명시
: ISMS-P 인증서 취득 시 이를 알리는 방법으로 대체 가능 등
11. 홈페이지에 위수탁 현황 공개 시 재수탁도 공개해야 하는지?
- 재위탁 자체를 가급적이면 권하지는 않지만, 재위탁이 이루어진 경우라면 이 또한 수탁자 범위에 포함됨. 원칙적으로 홈페이지에 기재 필요
- 다만, 현실적으로 모두 기재하기 힘든 상황이라면 해당 수탁자의 개인정보처리방침을 하이퍼링크(Hyperlink)하는 방식으로 가능
12. 임직원 교육만을 위한 위탁 업무도 홈페이지에 공개해야 하는지?
- 원칙적으로 홈페이지의 개인정보처리방침은 이용자를 위한 것이므로, 내부 임직원 관련 위탁 업무는 공개하지 않아도 됨
- 회사 내부 채널을 통해 공개하는 것이 바람직함
=========================================================================================
o 현장 설명회 동영상 : 유튜브 "개인정보보호위원회TV" 채널, www.youtube.com/@pipc_pr
o 현장 설명회 자료 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=11391
업무에 참고하시기 바랍니다.
o 개최일 : ’25.7.29.(화) 14:00~18:00 / 한국광고문화회관(서울 송파구)
o 주요내용
- 2025년 위원회 주요 정책방향 소개
① AI 시대 개인정보 규율체계 혁신
② 지속가능한 신산업 혁신기반 마련
③ 글로벌 개인정보 규범 주도권 확보
④ 마이데이터 성과 창출 본격화
⑤ 개인정보보호 컨트롤타워 역할 강화
⑥ 촘촘한 개인정보 안전망 구축 등
- 「개인정보 처리 통합 안내서」(7.14. 공개) 주요 내용 설명
① 개인정보 처리 체계 개편사항
② 필수동의 방식의 고지방식 전환
③ 자유로운 의사에 따른 동의 방법
④ 대규모 수탁자와 위탁자 간 관리ㆍ감독 방식
⑤ 영업양도에 따른 이전 제한
⑥ 개인정보를 제공받은 자의 의무 등
o 「개인정보 처리방침 작성지침」(4.21. 개정안 공개) 주요 개정사항 안내
=========================================================================================
[실참석 내용 필기 및 QnA]
<개인정보 처리 통합 안내서>
O 기존의 필수 동의를 받는 방식은 "계약 체결.이행"에 해당하는지 기업의 판단 하에 고지, 확인 절차로 전환 필요
- 계약 관련 개인정보와 그 외 개인정보를 함께 받고 있는 경우 : “항목 별 분리 조치” 필요
- 민감정보, 고유식별정보의 경우 : “서비스 이용에 처리가 불가피한 경우 필수동의 가능”
- 계약 체결.이행에 해당하는 지에 대한 입증책임은 사업자에게 있음
O 계약 이행, 체결을 위한 개인정보 수집 (개인정보법 제15조 제1항 제4호)
- '약관'도 포함될 수 있으나, 객관적 합의 및 예상 범위 안에 있는지 고려 필요
- '계약'의 적법 근거 판단
: 정보주체가 필요한 개인정보 범위에 대해 객관적으로 예상할 수 있어야함 (예측가능성)
: 민감정보(§23), 고유식별정보(§24), 주민등록번호(§24의2) 처리의 적법근거에는 "계약 이행"이 포함되지 않아 별도 동의 또는 법령 근거가 있어야 함
O 정당한 이익 달성을 위해 정보주체 권리보다 우선하는 경우, 동의 없이 개인정보 수집 (개인정보법 제15조 제1항 제6호)
- 설명회에서 쓰임새가 많은 조문처럼 설명하였으나, 광범위하게 적용은 불가능하다고 판단됨(사견)
- 이익형량 등 까다로운 입증 책임은 모두 개인정보 처리자의 몫
- 부정행위 탐지시스템(FDS) 등 인정된 사례 정도만 가능
O 개인정보의 추가적 이용 및 제공 (개인정보법 제15조 제3항, 제17조 제4항 / 시행령 제14조의2)
- 당초 수집 목적과 합리적으로 관련된 범위 내에서 동의 없이 이용 및 제공 가능
- 다만, 지속적으로 발생하는 경우 개인정보 처리방침에 공개 및 CPO는 이를 점검해야 함
O 개인정보의 수집 목적 외 이용 및 제3자 제공(개인정보법 제18조)
- 다른 법률에 특별한 규정이 있는 경우(동법 제18조 제2항 제2호)
: 시행령, 시행규칙에만 관련 규정이 있을 경우 허용되지 않음
: 법률에 위임 근거가 있고 이에 따른 하위 법령에 제공 관련 규정이 있어야 함
: 특별한 규정이란 개인정보의 목적 외 이용제공을 '구체적'으로 허용해야 함
O 개인정보처리 위수탁
- 수탁자를 대규모, 수시로 변경해야 하는 경우 위탁 업무 내용, 특별한 사정, 수탁자 유형을 기재하는 방식으로 가능함
- 수탁자의 재수탁 관련하여, '개인정보 처리 위수탁 계약서'에 따라 재수탁 발생 시마다 동의를 수령하지 얺는 것도 가능함
: 재수탁이 발생할 때마다 사전 동의를 받는 것이 현실적으로 힘들 경우, '발생 시 고지, 통보'로 계약서에 기재
<개인정보 처리방침 작성지침 개정사항>
O 서비스 고지 내용과 처리방침이 일치하는지 검토하는 절차 마련 필요
- 많은 기업이 일치하지 않게 운영되고 있음
O 처리방침 구분 항목의 변경 필요
- 필수/선택 -> 동의 없이 처리하는 개인정보/동의를 받아 수집하는 개인정보
- 기존처럼 필수/선택 항목으로 구분하는 방식은 부적절
O 행태정보
- '정보주체를 식별하는 행태정보 / 식별하지 않는 행태정보' 모두 기재하는 것이 바람직함
: 식별하지 않는 정보에 대해서는 작성 권고
<기타 Q&A(참고)>
1. CI를 제3자제공 및 키값으로 활용 가능한지?
- DI가 아니라 CI를 키값으로 쓰고자 한다면, 정보주체의 동의를 받아 활용하는 것을 법적으로 금지할 수는 없음
- CI 관련해서는 안내서(방통위)의 숙지가 필요함. 개인정보법상에서는 CI도 정보주체의 동의를 받아 처리 가능한 정보임
2. 필수 동의 대신 계약이행을 위한 정보로서 수집 및 고지할 경우, 고지 없이 처리방침에만 기재하는 것은 문제가 되는지?
- 계약이행에 반드시 필요한 것인지에 대한 입증책임은 사업자에게 있음
- 필수동의가 오랫동안 이어져 왔기 때문에, 바로 동의를 생략하고 처리방침에만 명시하게 된다면 ‘민원 및 입증책임’에 문제 발생 가능성이 다분하다는 것은 인정함
- 정보주체의 인지에 대한 입증은 “고지.확인”절차를 마련하는 것으로 가능함
3. 각 기업에서 맞춤형 광고를 위해 적법성을 준수할 수 있는 동의 절차 방안을 제시해 줄 수 있는지? (행태정보/맞춤형광고)
- 맞춤형 광고 가이드라인은 발간을 위해 계속해서 검토중임
- 기기마다 달라지는 경우가 있어 계속해서 논의 진행중
- 우선, 동의 기반으로 하는 것을 추천함
4. 망분리 가이드라인이 필요한 것 같은데 준비중인 것이 있는지?
- 일률적인 망차단의 망분리가 아닌, 규모별, 처리자 수준 별 기준 분리로 바뀜
- 당장 준비중인 것은 없음
5. 기존 보유하고 있던 개인 정보의 보유기간을 연장할 방법이 있는지?
- 당초 수집 시 동의/계약 내 목적 내 처리해야 하며, 해당 목적 달성 시 파기가 원칙
- 기존의 개인정보를 동의 없이는 연장 불가능
6. 필수동의를 수령한 예전의 가입자의 경우는, 고지 방법으로 전환 시 어떤 조치를 취해야 하는지?
- 수집 시의 고지 내용만 바꾸면 될 것 같고, 처리방침에서 변경사항 안내하는 것이 필요
- 계약과 관련된 범위 안에 포함된다면 별도로 다시 동의를 받지는 않아도 됨
7. '10·10' 규정(*)의 적용 준비중인 것이 있는지?
- *'10·10' 규정 : 정보기술(IT) 투자액과 인력의 최소 10%를 개인정보를 포함한 정보보호 예산·인력으로 배정
- 강제로 하기는 쉽지 않아보임. 다만, 이 기준을 권장하고자 노력할 것
8. 정보주체의 예측가능성은 결국 이용자와 처리자 간의 간극이 커질 수 밖에 없을 것으로 보이는데, 가이드 같은 것이 있을지?
- 정보주체마다 다르게 볼 수 밖에 없다 보니, “객관적” 예측가능성을 기준으로 봄
- 일률적인 기준을 제시하기는 어렵지만, 통상적으로 이해할 수 있는 범위 안에서 판단해야 함
9. 필수동의에 대해 (ISMS) 심사기관마다 의견(결함/권고)이 다른데 개보위에서 명확하게 가이드를 제공해 줄 수 있는지?
- 통합안내서를 기반으로 심사 팀장 대상 교육 진행 예정이며, 이후 통일화 된 심사가 가능할 것으로 생각함
- “결함”이 맞으므로, 필수 동의 관행에 대해서는 기업들의 개선 준비가 필요함 (개보위 답변)
: 이 답변은 ‘논란의 여지’가 있다 생각함. 현행 법적으로는 필수 동의 형식으로 수령해도 위법하지 않기 때문 (작성자 사견)
10. 위수탁 계약서 상에 '사전에 관리감독 합의 작성 – 다수의 위탁자와 감독 관계 명시 필요' 라고 안내서 상의 내용은 어떻게 명시해야 하는지?
- 수탁자와 사전에 '우리는 특정한 방법으로 관리감독을 받을 것이다'라는 내용을 명시
: ISMS-P 인증서 취득 시 이를 알리는 방법으로 대체 가능 등
11. 홈페이지에 위수탁 현황 공개 시 재수탁도 공개해야 하는지?
- 재위탁 자체를 가급적이면 권하지는 않지만, 재위탁이 이루어진 경우라면 이 또한 수탁자 범위에 포함됨. 원칙적으로 홈페이지에 기재 필요
- 다만, 현실적으로 모두 기재하기 힘든 상황이라면 해당 수탁자의 개인정보처리방침을 하이퍼링크(Hyperlink)하는 방식으로 가능
12. 임직원 교육만을 위한 위탁 업무도 홈페이지에 공개해야 하는지?
- 원칙적으로 홈페이지의 개인정보처리방침은 이용자를 위한 것이므로, 내부 임직원 관련 위탁 업무는 공개하지 않아도 됨
- 회사 내부 채널을 통해 공개하는 것이 바람직함
=========================================================================================
o 현장 설명회 동영상 : 유튜브 "개인정보보호위원회TV" 채널, www.youtube.com/@pipc_pr
o 현장 설명회 자료 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=11391
업무에 참고하시기 바랍니다.