본문 바로가기

(개인)정보보호 지식

[지식] 개인정보처리방침 평가제

개인정보 처리 기준 및 운영 중인 보호조치 등 개인정보 처리 현황 전반을 정보주체가 언제든지 확인할 수 있도록 공개한 문서인 개인정보처리방침을 평가하는 제도인 개인정보 처리방침 평가제에 대해 정리해본다.
 
1. 개인정보 처리방침 평가제란?
개인정보 처리방침이 법적 기준에 부합하고 구체적인지(적정성), 읽기 쉬운지(가독성), 쉽게 접근할 수 있는지(접근성) 등을 평가함으로써 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위해 2024년부터 시행된 제도다. 평가 대상은 개인정보처리자의 유형 및 매출액, 개인정보 유형, 개인정보 처리 근거 및 방식, 법 위반 이력 , 정보주체 특성 등을 종합 고려해 선정하고 평가 결과가 미흡한 개인정보처리자에게 개선 권고, 우수한 개인정보처리자는 우수 사례로 공개, 개인정보 보호법 위반에 따른 처분(과태료, 과징금 경감) 등의 혜택을 부여한다.
 
o 2024년 평가 대상

분야평가 대상
빅테크 (4개)네이버(주), ㈜카카오, 구글(Google LLC), 메타(Meta Platforms, Inc.)
온라인 종합 쇼핑몰(7개)롯데쇼핑(주)e커머스사업부, 십일번가(주), ㈜지마켓, ㈜컬리, 쿠팡(주), 알리익스프레스(Alibaba.com Singapore E-commerce Private Limited), 테무(Whaleco Technology Limited)
온·오프라인 병행 쇼핑몰(4개)㈜에스에스지닷컴, ㈜지에스리테일, 씨제이올리브영(주), 홈플러스(주)
온·오프라인 병행 쇼핑몰(4개)㈜우리홈쇼핑(롯데홈쇼핑), ㈜현대홈쇼핑, ㈜홈앤쇼핑
중고거래(1개)㈜당근
주문·배달 플랫폼㈜우아한형제들, ㈜위대한상상, 쿠팡이츠서비스 유한회사
숙박·여행 플랫폼롯데관광개발(주), ㈜야놀자, ㈜여기어때컴퍼니, ㈜인터파크트리플, ㈜하나투어, 스카이스캐너(Skyscanner Ltd), 아고다(Agoda Company Pte. Ltd.), 에어비앤비(Airbnb Inc), 트립닷컴(Trip.com Travel Singapore Pte. Ltd.)
병·의료원(5개)삼성서울병원, 서울대학교병원, 서울아산병원, 연세대학교의료원, (학)카톨릭대학교서울성모병원
온라인 동영상 서비스(OTT) (5개)넷플릭스서비시스코리아(유), 월트디즈니컴퍼니코리아(유), 콘텐츠웨이브(주), 쿠팡(주), ㈜티빙
게임(5개)㈜넥슨코리아, 넷마블(주), ㈜엔씨소프트, 슈퍼셀(Supercell Oy), 로블록스 코퍼레이션(Roblox Corporation)
웹툰(2개)네이버웹툰(유), ㈜카카오엔터테인먼트
AI 채용(2개)㈜마이다스인, ㈜자인원

※ 데이터 출처 : 개인정보보호위원회 보도자료(개인정보위, 2024년도 개인정보 처리방침 평가계획 확정)

 
2. 개인정보 처리방침 평가절차
평가절차는 외부 전문가 관점에서의 평가와 서비스 실제 이용자 관점에서의 평가로 구분할 수 있다. 외부 전문가로 구성한 평가위원회는 공개된 자료를 기반으로 기초평가, 평가 대상기관이 제출한 소명자료를 기반으로 심층 평가를 진행하며, 서비스 이용자 등 일반인으로 구성된 이용자 평가단은 가독성, 접근성을 평가한다.
 
평가위원회는 개인정보보호위원회에서 임의로 위촉 하는 반면에 이용자 평가단의 경우 1년을 임기로 모집 하고 있으니 관심있으신 분들은 신청이 필요하다.(참고 : 작년 모집 안내문)

※ 이미지 출처 : 개인정보보호위원회 보도자료(개인정보위, 2024년도 개인정보 처리방침 평가계획 확정)

 
3. 개인정보 처리방침 평가제 사전 준비의 필요성
2024년을 기준으로 보면 평가 대상임을 평가 시작 약 30일 전에 안내하기 때문에 평가 대상임을 인지한 후 개인정보처리방침을 개선하기엔 시간적 어려움이 있다. 또한 평가 결과가 우수할 경우 최대 400만원의 과태료, 최대 14.58% 과징금 감경 혜택이 있기 때문에 높은 평가 결과를 받을 필요성이 있어, 평가 대상에 선정될 가능성이 높은 개인정보처리자라면 미리 준비를 해두는게 바람직하다.
 
o 혜택 근거

개인정보 보호법 위반에 대한 과태료 부과기준(2023.9.15. 시행) 
별표 2 과태료의 감경기준 
(1) 개인정보 보호를 위한 노력 정도
1. 개인정보 처리방침의 평가의 결과가 상위 등급인 경우 : 기준금액의 10% 이내 기준금액은 최대 4,000만원

개인정보 보호법 위반에 대한 과징금 부과기준(2023.9.15. 시행)
제10조(2차 조정)
② 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 1차 조정을 거친 금액에 다음 각 호와 같이 추가적으로 과징금을 감경할 수 있다.
3. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
다. 개인정보 처리방침의 평가 또는 개인정보 보호수준 평가의 결과가 상위 등급인 경우, 개인정보 영향평가(다만, 법 제33조제1항에 따라 개인정보 영향평가를 해야 하는 경우는 제외한다)를 하는 등 개인정보 보호 활동을 성실히 수행한 것으로 확인된 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경
최대 기준 금액 = 관련매출 * 0.27(매우 중대한 위반행위)
최대 1차조정 금액= 기준금액의 최대 80% 가산
최대 감경 금액 = 1차조정 금액의 최대 30% 감경

 
 
4. 2024년  개인정보 처리방침 평가 결과
아쉽게도 평가 대상별 점수나 상세결과를 공개하진 않았다. 공개한 자료를 요약해보면,
- 평가 대상 기업의 평균점수는 가독성 69.1점, 접근성 60.8점, 적정성 53.4점
- 해외 사업자가 국내 사업자 대비 낮은 평가점수를 받음
- 2025년은 인공지능(AI), 스마트홈 등 국민 생활에 밀접한 분야를 중심으로 평가할 예정
- 평가 대상 중 72%가 실제 개인정보 처리 현황과 개인정보 처리방침이  안맞는 부분이 있었음
- 평가 대상 중 50% 이상이 개인정보 보유‧이용기간을 '필요한 기간' 처럼 모호하게 작성하고 법령에 근거해 보존하는 정보 항목을 구체적으로 기재하지 않았음
- 국내대리인 지정 의무 대상 중 절반이 실제 개인정보 관련 민원‧열람 서비스를 제공하고 있지 않았음
 
5. 2024년 개인정보 처리방침 평가 기준 및 지표

번호분야항목지표세부지표
1적정성1. 개인정보의처리 목적개인정보 처리 목적을 구체적이고 명확하게 기재하고 있는가?정보주체가 개인정보 처리 목적을쉽게 인지할 수 있도록 모호한 표현없이 명확하게 기재하고 있는가?(정성평가)
2개인정보처리자가 제공하는 서비스에 대한 개인정보 처리 목적을 개인정보 수집‧이용 시 고지하는 내용과일치하도록 누락없이 기재하고 있는가?(정량평가)
32. 처리하는 개인정보의 항목개인정보 처리의 법적 근거와처리하는 개인정보의 항목을구체적이고 명확하게 기재하고 있는가?개인정보 처리의 법적근거와 항목을모호한 표현 없이 명확하게 기재하고 있는가?(정성평가)
4정보주체의 동의 없이 처리하는 개인정보의 항목과 법적 근거를 동의를 받아 처리하는 개인정보의 항목과 구분하여 기재하고 있는가?(정량평가)
5처리하는 개인정보의 항목을적정하게 정하고 있는가?개인정보 항목은 개인정보 처리 목적에 비추어 필요 최소한으로 적정하게 정하고 있는가?(정량평가)
6개인정보 수집·이용 시 고지하는 내용과 개인정보 처리방침에 기재된내용이 일치하도록 누락 없이 기재하고 있는가?(정량평가)
73. 개인정보의처리 및 보유기간개인정보의 처리 및 보유기간을 적정하게 정하여 구체적이고 명확하게 기재하고 있는가?개인정보 처리 및 보유기간을 처리목적에 비추어 적정하게 정하고 있는가?(정량평가)
8개인정보 처리 및 보유기간을 개인정보 수집‧이용 시 고지하는 내용과일치하도록 누락없이 기재하고 있는가?(정량평가)
9법령에 따라 개인정보를 파기하지않고 보관하는 경우 보존 근거와 보존하는 항목, 보유기간을 모호한 표현 없이 명확하게 기재하고 있는가?(정성평가)
104. 파기절차 및 방법개인정보 파기 절차 및 방법을 적정하게 정하여 그 내용을 구체적이고 명확하게 기재하고 있는가?개인정보 파기에 관한 사항을 누락없이 명확하게 기재하고 있는가?(정량평가)
11개인정보 파기 절차 및 방법에 관한세부적인 내용을 개인정보 보호법을준수하여 기재하고 있는가?(정량평가)
125. 제3자 제공에 관한 사항(해당시)개인정보 제3자 제공에 관한사항을 구체적이고 명확하게기재하고 있는가?제3자 제공 시 기재해야 하는 내용*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수있도록 명확하게 기재하고 있는가?(정성평가)

* (동의 받는 경우) 개인정보를 제공받는 자, 제3자의 이용 목적, 제공하는 개인정보 항목, 보유·이용기간
(동의 외의 경우) 제공의 법적 근거,제공받는 자, 제3자의 이용 목적, 제공하는 개인정보 항목, 보유·이용기간(권장)
13제3자 제공 시 정보주체에게 동의 받는 내용과 일치하도록 개인정보 처리방침에 포함되어야 할 사항을 누락 없이 모두 기재하고 있는가?(정량평가)
14제3자에게 제공되는 개인정보 항목과 보유·이용기간을개인정보 처리의 법적 근거및 목적에 비추어 적정하게정하고 있는가?개인정보 제3자 제공의 법적 근거 및제공 목적에 비추어 개인정보 제공항목을 필요 최소한으로 적정하게정하고 있는가?(정량평가)
15개인정보 제3자 제공의 법적 근거 및제공 목적에 비추어 개인정보 보유및 이용기간을 적정하게 안내하고있는가?(정량평가)
166. 개인정보의추가적 이용또는 제공에대한 판단기준(해당시)개인정보의 추가적 이용‧제공이 지속적으로 발생하는 경우관련 내용을 구체적이고 명확하게 기재하고 있는가?개인정보의 추가적 이용·제공이 지속적으로 발생하는 경우 그 이용·제공에 관한 사항(제공받는 자, 항목,이용·제공목적, 보유 및 이용기간)을누락없이 기재하고 있는가?(정량평가)
17개인정보의 추가적 이용·제공이 지속적으로 발생하는 경우 그 고려사항에 대한 판단기준을 법령에 있는사항을 단순히 나열하지 않고 구체적으로 기재하고 있는가?(정성평가)
187. 개인정보 처리 위탁에 관한 사항(해당시)개인정보 처리의 위탁에 관한사항을 구체적이고 명확하게기재하고 있는가?법령 등에 따라 처리방침에 기재되어야 할 사항을 누락없이 기재하고있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고 있는가?(정성평가)
19개인정보 처리의 재위탁에 관한 사항을 구체적이고 명확하게 기재하고 있는가?재위탁이 발생하는 경우 수탁자가재위탁한 업체명, 재위탁 업무 내용등 재위탁에 관한 사항을 누락없이기재하고 있으며, 정보주체가 관련내용을 쉽게 인지할 수 있도록 명확하게 기재되어 있는가?(정성평가)
208. 국외 수집및 이전(해당시)국외 수집 및 이전에 관한 사항을 적정하게 정하여 명확하게 기재하고 있는가?개인정보를 국외에서 직접 수집하여처리하는 경우 그 처리된다는 사실과 이전되는 국가명을 모두 처리방침에 명시하고 있는가?(정량평가)
21국외 이전 시 처리방침에 포함하여야 할 사항*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게인지할 수 있도록 명확하게 기재하고 있는가?(정성평가)

* 국외이전의 법적 근거, 이전되는개인정보 항목, 개인정보가 이전되는 국가, 시기 및 방법, 이전받는 자의 성명(법인의 경우 명칭과 연락처), 이전받는 자의 이용 목적 및 보유·이용기간, 이전 거부 방법 및 절차와 거부의 효과
22국외 이전되는 개인정보 항목및 보유‧이용기간을 적정하게정하고 있는가?국외 이전되는 개인정보 항목을 그법적 근거와 이용 목적에 비추어보았을 때 필요 최소한으로 정하고 있는가?(정량평가)
23국외 이전 시 보유·이용기간을 그 법적 근거와 이용 목적에 비추어 보았을 때 적정하게 정하고 있는가?(정량평가)
249. 14세 미만아동의 개인정보 처리에 관한 사항(해당시)14세 미만 아동의 개인정보처리에 관한 사항을 구체적이고 명확하게 기재하고 있는가?14세 미만 아동의 개인정보를 처리하는 경우 법정대리인의 동의를 얻어 개인정보를 수집한다는 내용과아동으로부터 수집하는 법정대리인의 개인정보 항목을 명확하고 적정하게 기재하고 있는가?(정량평가)
2514세 미만 아동의 개인정보처리에 관해 법정대리인의 동의를 받는 방법을 명확하게기재하고 있는가?법정대리인의 동의 확인 방법을 실제 처리하는 방법으로 명확히 기재하고 있는가?(정성평가)
2610. 정보주체의 권리‧의무및 행사 방법정보주체와 법정대리인의 권리·의무 및 행사방법을 구체적이고 명확하게 기재하고 있으며, 정보주체가 권리 행사를 쉽게 할 수 있도록 안내되고 있는가?정보주체와 법정대리인이 개인정보보호와 관련하여 지니는 권리·의무를 구체적으로 기재하였는가?(정량평가)
27정보주체와 법정대리인의 권리 행사방법 및 절차는 실제 현황을 반영하여 구체적이고 적정하게 기재하였는가?(정성평가)
28개인정보의 열람등 청구를 접수·처리하는 부서를 구체적이고 명확하게 기재하고 있는가? 개인정보 열람등 청구를 접수·처리하는 부서와 연락처를 명확하게 기재하고 있는가?(정량평가)
29처리방침에 기재된 열람등 청구 접수·처리 부서의 연락처는 실제로 작동하는가?(정성평가)
3011. 개인정보보호책임자 또는 관련 부서에 관한 사항개인정보 보호책임자 또는 관련 부서에 관한 사항을 구체적이고 명확하게 기재하고 있는가?개인정보 보호책임자 또는 관련 부서에 관한 사항을 적정하게 기재하고 있는가?(정성평가)
31처리방침에 기재된 개인정보보호책임자 또는 관련 부서에관한 사항은 정보주체의 고충처리 등 권리 보장에 기여할수 있도록 안내되고 있는가?개인정보 처리방침에 기재된 보호책임자 또는 관련 부서의 연락처는 연결 가능하며, 실제 관련 업무를 담당하고 있는가?(정성평가)
3212. 국내대리인 지정에 관한 사항(해당시)국내대리인 지정에 관한 사항을 구체적이고 명확하게 기재하고 있는가?국내대리인을 지정하여야 하는 경우처리방침에 기재하여야 하는 사항을누락없이 모두 기재하고 있는가?(정량평가)
33처리방침에 기재된 국내대리인에 관한 사항은 은 정보주체의 고충 처리 등 권리 보장에 기여할 수 있도록 안내되고있는가?처리방침에 기재된 국내대리인의 연락처(전화번호 및 전자우편 주소)는연결 가능하며, 실제 관련 업무를 담당하고 있는가?(정성평가)
3413. 권익침해구제기관에 관한 사항정보주체의 권익 침해 시 구제 받을 수 있는 주요 기관에관한 사항을 현행화하여 기재하였는가?처리방침 내 권익침해 시 주요 구제기관을 기재하였으며, 주요 구제기관의 연락처는 최신성을 유지하여적정하게 안내하고 있는가?(정성평가)
3514. 개인정보의 안전성 확보조치에 관한사항개인정보의 안전성 확보 조치에 관한 사항 및 자율적인 보호 노력을 구체적이고 명확하게 기재하고 있는가?개인정보의 안전성 확보조치의 각내용(관리적·기술적·물리적 조치) 및자율적인 보호 노력 등을 구체적으로 기재하고 있는가?(정성평가)
3615. 민감정보의 공개 가능성 및 비공개선택 방법(해당시)민감정보의 공개 가능성 및비공개 선택 방법을 실제 현황을 반영하여 구체적이고 명확하게 기재하고 있는가?재화 또는 서비스 제공 과정에서 민감정보가 공개될 수 있다는 사실 및공개될 수 있는 민감정보의 항목을누락없이 기재하였는가?(정량평가)
37민감정보의 공개 가능성이 있는 경우 비공개를 선택하는 방법을 구체적으로 기재하고 있는가?(정성평가)
38처리방침에 기재된 ‘민감정보의 비공개 선택 방법’은 실제 작동하는가?(정량평가)
3916. 가명정보처리에 관한사항(해당시)가명정보 처리에 관한 사항을누락없이 구체적이고 명확하게 기재하고 있는가?가명정보 처리 시 처리방침에 기재하여야 할 사항*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을쉽게 인지할 수 있도록 명확하게 기재하고 있는가?(정성평가)

* 가명정보의 처리 목적, 가명정보처리 기간, 가명처리하는 개인정보의 항목, 가명정보의 안전성 확보조치에 관한 사항, 가명정보의 제3자제공에 관한 사항(해당시), 가명정보처리 위탁에 관한 사항(해당시)
4017. 개인정보자동수집 장치의 설치‧운영및 거부에 관한 사항(해당시)쿠키 등 자동수집 장치를 설치‧운영하는 경우, 그에 관한설명 및 거부에 관한 사항을 구체적이고 명확하게 기재하고 있는가?쿠키 등 자동수집 장치의 정보에 대한 기본적 설명 및 거부 방법에 대해구체적으로 기재하였는가?(정량평가)
41쿠키 등 자동수집 장치를 통해 정보주체를 식별하여 행태정보를 처리하는 경우 그 수집·이용·제공 및 거부에 관한사항을 누락없이 구체적이고명확하게 기재하고 있는가?자동수집 장치를 통해 정보주체를식별하여 행태정보를 처리하는 경우기재해야하는 항목*을 누락 없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하였는가?(정성평가)
* 행태정보(개인정보) 처리의 법적근거, 수집하는 행태정보의 항목, 수집 방법, 수집 목적, 보유·이용기간,거부방법, 제3자 제공에 관한 사항(해당시)
42쿠키 등 자동수집 장치를 통해 정보주체를 식별하지 않고행태정보를 처리하는 경우 그해당 사실과 그 수집·이용·제공 및 거부에 관한 사항을 구체적이고 명확하게 기재하고있는가?정보주체를 식별하지 않고 행태정보를 처리하는 경우 기재해야 할 항목*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수있도록 명확하게 기재하였는가?(정성평가)
* 수집하는 행태정보 항목, 행태정보수집 방법, 행태정보 수집 목적, 보유·이용기간, 거부방법, 제3자 제공에관한 사항(해당시)
43제3자가 운영하는 웹·엡에서개인정보 자동 수집 장치를설치·운영하고, 그 결과 해당 자동수집장치에서 개인정보처리자가 행태정보를 수집하는 경우 해당 처리 사실을기재하고있는가?제3자가 운영하는 웹·앱에서 개인정보 자동 수집 장치를 설치·운영하고,해당 장치를 통해 행태정보를 수집한다는 사실을 기재하고 있는가?(정량평가)
4418. 자동수집장치를 통해제3자가 행태정보를 수집하도록 허용하는경우 그 수집·이용 및 거부에 관한사항(해당시)제3자가 개인정보 자동수집장치를 통해 행태정보를 수집하도록 허용하는 경우 수집해가는 행태정보에 관한 사항을구체적이고 명확하게 기재하고 있는가?제3자가 수집해가는 행태정보에 관한 사항*을 누락없이 기재하고 있으며, 정보주체가 관련 내용을 쉽게 인지할 수 있도록 명확하게 기재하고있는가?(정성평가)
* 수집도구 명칭, 수집해가는 사업자, 수집도구 종류, 수집해가는 행태정보 항목, 수집해가는 목적, 거부 방법
45제3자가 개인정보 자동수집장치를 통해 행태정보를 수집하도록 허용하는 경우 정보주체가 이에 관한 사항을 쉽게확인할 수 있도록 효과적인방법으로 공개하고 있는가?정보주체가 쉽게 확인할 수 있도록별도의 창으로 관련 내용을 제공하는 등의 방식으로 정보주체가 관련사항을 쉽게 확인할 수 있도록 하고있는가?(정성평가)
4619. 고정형·이동형 영상정보처리기기의 운영·관리에 관한 사항고정형·이동형 영상정보 처리기기를 설치·운영하는 경우법령 및 표준지침에 따라 처리방침에 기재하여야 할 사항을 구체적으로 기재하여 공개하고 있으며, 실제 처리 현황과 일치하는가?고정형·이동형 영상정보 처리기기를설치·운영하는 경우 법령 및 표준지침에 따라 기재하여야 하는 사항을누락하지 않고 모두 기재하고 있는가?(정량평가)
47처리방침에 기재된 관리책임자의 연락처는 연결 가능하며, 실제 해당 업무를 담당하고 있는가?(정성평가)
48가독성20. 구성 및 디자인목차, 하이퍼링크, 팝업 등을적절하게 활용하여 정보주체가 쉽게 관련 내용을 확인할 수 있도록 처리방침을 구성하였는가?개인정보 처리방침 상단에 기재사항에 대한 목차를 제공하고 있는가?(정성평가)
49처리방침 내 하이퍼링크, 팝업 등 기능을 적절히 활용하여 정보주체가원하는 내용을 쉽게 확인할 수 있게구성하였는가?(정성평가)
50기재 항목 간 구분, 문단 구분,줄 간격 등을 적절하게 활용하여 정보주체가 처리방침을 읽기 쉽도록 구성하였는가?기재 항목의 제목 및 본문에 대한 글자 크기, 색상, 굵기 및 문단 간 구분등을 적절히 설정하여 각각의 기재항목이 명확하게 구분될 수 있도록하였는가?(정성평가)
5121. 문장, 어휘의 적정성처리방침에 기재된 문장 및어휘가 정보주체 누구나 쉽게이해할 수 있도록 쉽고 간결하게 구성되어 있는가?정보주체 누구나 처리방침을 쉽게이해할 수 있도록 처리방침에 기재된 문장이 쉽고 간결하게 구성되어있는가?(정성평가)
52지나친 번역투의 표현이나 외국어를사용하여 정보주체가 이해하기 어렵게 기재되어 있지 않은가?(정성평가)
5322. 도표, 그림등 다양한 표시방법 활용처리방침 내 도표, 그림, 라벨링, 인포그래픽 등 다양한 방법을 활용하여 정보주체가 개인정보 처리방침을 이해하기쉽게 기재하였는가?개인정보 처리방침에 기재해야하는항목 중 여러 가지 내용을 요구하는항목(예; 개인정보 처리 목적·항목및 보유기간, 제3자 제공, 국외 이전등)에 대해 도표 등을 활용하여 정보주체가 쉽게 확인할 수 있게 기재하였는가?(정성평가)
5423. 구체적 안내를 위한 노력개인정보 처리방침의 서문 등에 처리방침 공개주체를 명시적으로 선언하여 정보주체가 쉽게 알 수 있도록 하였는가?개인정보 처리방침 서문 등을 통해처리방침을 수립, 공개하고자 하는공개주체를 정보주체가 명확히 알수 있도록 기재하였는가?(정량평가)
55처리방침에 기재된 내용을 정보주체가 쉽게 이해할 수 있도록 부연 설명이 제공되고 있는가?개인정보 처리방침 내 사용되는 법률 용어, 전문용어 등 이해하기 어려운 용어에 대해 정보주체가 쉽게 이해할 수 있도록 부연 설명 등이 제공되고 있는가?(정성평가)
56정보 취약계층이 개인정보 처리방침을 쉽게 이해할 수 있도록 노력을 하였는가?동영상 등과 같이 다양한 매체를 활용하는 등의 방법으로 아동·장애인등 정보 취약계층이 개인정보 처리방침을 쉽게 확인 및 이해할 수 있도록 노력하였는가?(정성평가)
57접근성24. 개인정보처리방침의 공개 방식정보주체가 개인정보 처리방침임을 명확히 확인할 수 있도록 공개하고 있는가?‘개인정보 처리방침’ 제목을 사용하고 있는가?(정량평가)
58‘개인정보 처리방침’이 이용약관 및기타 정책 등과 명확히 구분되도록글씨 크기, 색상, 굵기 등을 활용하여정보주체가 쉽게 알아볼 수 있도록공개하고 있는가?(정량평가)
59웹, 앱 등 서비스 환경을 고려하여 정보주체가 쉽게 확인할수 있는 위치에 개인정보 처리방침을 공개하고 있는가?개인정보처리자의 누리집(홈페이지) 첫 화면에 노출하는 등 정보주체가 쉽게 확인할 수 있는 영역에 공개하고 있는가?(정성평가)
60모바일 앱을 통해 서비스를 제공하는 경우, 서비스의 환경을 고려하여정보주체가 쉽게 확인할 수 있도록각각 개인정보 처리방침을 공개하고있는가?(정성평가)
6125. 개인정보처리방침의 변경개인정보 처리방침 변경 시 정보주체가 변경 내용을 쉽게 확인할 수 있도록 공개하고 있는가?개인정보 처리방침 내 ‘이전 개인정보 처리방침’ 변경이력을 확인할 수있도록 공개하고 있는가?(정량평가)
62개인정보 처리방침 변경 시 공지사항, 이메일 등을 통해 변경 전·후의내용을 비교하는 등 주요 변경 사항을 확인할 수 있도록 공개하고 있는가?(정성평가)
6326. 복수의 서비스 제공시개인정보 처리방침 공개 방법(해당시)각각의 서비스에 대한 개인정보 처리방침을 정보주체가 쉽게 알아보고 이해할 수 있도록 공개하였는가?개인정보처리자가 여러개의 서비스를 제공하고 있는 경우 정보주체가쉽게 알아보고 이해할 수 있는 방향으로 개인정보 처리방침을 공개하고있는가?(정성평가)
64기타27. 감점 요인개인정보 처리방침에 개인정보 유출 관련 책임회피 등 정보주체에게 불이익한 내용을기재하고 있는 경우 
65개인정보 처리방침 평가 중법령 위반 사실이 확인되거나, 최신 법률 내용 등이 미반영되는 등 개인정보 처리방침이 미흡한 경우 

※ 데이터 출처 : 개인정보보호위원회 공지사항('24년 개인정보 처리방침 평가계획)

 
참고 문서 링크
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11066
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10244#LINK
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11066#LINK
- https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=10251#LINK