[자료] 개인정보 처리방침 작성지침(2026.4)
개인정보 처리방침 작성지침이 올해 4월에 개정되어 개인정보보호위원회 홈페이지에 공개되었다.
https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=12018
개인정보 처리방침 작성지침은 개인정보처리자가 개인정보 처리방침을 작성·공개할 때 개인정보 처리 및 보호에 관한 절차와 기준을 적정하고 투명하게 반영할 수 있도록, 정보주체의 권리를 실질적으로 보장하기 위한 본래의 취지에 맞게 작성·공개할 수 있도록 지원하기 위해 마련된 문서다.
개정 버전 파일의 목차 상으로 부록에 '1. 생성형 인공지능(AI) 서비스 처리방침 부록', '5. 업종별 알기 쉬운 개인정보 처리방침 작성 가이드'가 추가되었고 2페이지의 제·개정 이력을 보면 아래 3가지가 주요 변경 내용으로 보인다.
- 조건부 유형화 허용(위탁, 제3자 제공)
- 개인정보 처리방침 변경사항 안내 방식 개선
- ‘생성형 인공지능(AI) 서비스 처리방침 부록’ 신설 및 사례 추가
참고할 만한 내용을 정리해보면 다음과 같다.
(원문 및 이미지 출처 : 개인정보보호위원회 「개인정보 처리방침 작성지침」 2026.4.)
(9페이지)
일회성 행사라 하더라도 개인정보를 처리하는 경우에는 개인정보 처리방침을 작성하여야 함
이전 버전의 지침에는 없던 내용으로 당연한 얘기이긴 하나 단기적인 일회성 행사인 경우 어려움이 있는게 사실임
(17페이지)
모바일 앱의 개인정보 처리방침 공개 기준에 변경이 있었음(권장범위는 첫 화면에서 2단계 까지의 이동임)
<이전 버전>
웹 또는 앱 첫 화면에서 바로 찾을 수 있도록 공개하여야 함 다만, 앱의 경우 서비스 메뉴 또는 설정의 첫 화면에서 공개할 수 있음
<개정 버전>
웹 또는 앱 첫 화면에서 바로 찾을 수 있도록 공개하여야 함 다만, 모바일 앱의 경우, 서비스 메뉴 또는 설정 화면에서 개인정보 처리방침을 공개할 수 있으나, 앱 시작 후 첫 화면에서 3단계 이상 거치지 않는 것을 권장함
(24페이지)
동의를 근거로 개인정보를 처리할 때는 처리의 법적근거 기재가 권장이었으나 권장 표현이 삭제되었음
<이전 버전>
정보주체의 동의를 받아 처리하는 개인정보는 그 처리 목적에 따른 개인정보 항목을 기재하여야 하고 처리의 법적근거는 기재할 것을 권장
<개정 버전>
정보주체의 동의를 받아 개인정보를 처리하는 경우, 법적 근거는 보호법 제15조제1항 각 호의 사항뿐만 아니라 개별 법령에 근거하는 경우 해당 법령을 함께 기재하여야 하며, 법령명과 함께 조문까지 구체적으로 기재하여야 함
(25페이지)
개인정보 보호법 외의 법령을 근거로 동의를 받은 경우 개인정보 보호법에 따른 동의는 아니기 때문에 개인정보처리방침에는 동의 없이 처리하는 개인정보 항목으로 기재할 수 있다고 함
즉, 다른 법령에 따라 정보주체의 동의를 받아 개인정보를 처리하는 경우 해당 법령에 근거한 처리로 보아 동의 없이 처리하는 개인정보 항목으로 구분하여 기재할 수 있음
(26페이지)
온디바이스 처리 방식으로 개인정보를 개인정보처리자의 서버로 전송하지 않는 경우 처리하는 개인정보 항목을 개인정보 처리방침에 기재하는 것은 선택 사항임
온디바이스 처리 방식이라 하더라도, 회원가입 등으로 개인정보가 서버에 수집·저장되는 경우에는 개인정보의 처리 목적, 수집 항목, 보유·이용기간, 법적 근거 등을 함께 기재하여야 함
반면, 개인정보를 서버로 전송하지 않고 이용자의 단말기(스마트폰, PC, 차량, IoT 기기 등) 내부에서 직접 처리하는 경우에는 해당 개인정보가 외부 서버로 전송되지 않고 단말기 내에서 처리된다는 사실을 공개하는 것을 권장함
(37페이지)
1) 정보주체의 동의 없이 개인정보를 제3자에게 제공하는 경우 제3자의 개인정보 보유·이용 기간은 기재하지 않아도 무방(이전 버전에도 포함된 내용이지만 놓치고 있던 부분)
<동의를 받아 제3자에게 제공하는 경우 기재사항>
➀ 제공의 법적 근거(권장)
➁ 개인정보를 제공받는 자(제3자)
➂ 제3자의 개인정보 이용 목적
➃ 제공하는 개인정보의 항목
➄ 제3자의 개인정보 보유·이용 기간
<동의 없이 제3자에게 제공하는 경우 기재사항>
➀ 제공의 법적 근거
➁ 개인정보를 제공받는 자(제3자)
➂ 제3자의 개인정보 이용 목적
➃ 제공하는 개인정보의 항목
➄ 제3자의 개인정보 보유·이용 기간(법령에서 보유 기간이 정해져 있는 경우 권장)
2) (제3자 제공을 받는 자가 많은 경우에 한함) 웹페이지 또는 모바일 앱의 서비스 메뉴, 마이페이지(주문내역, 예약내역 등) 등을
통해 정보주체가 자신의 개인정보를 제공받는 자를 확인할 수 있는 경우, 해당 확인 경로와 제공받는 자의 유형을 정보주체가 이해하기 쉽게 안내할 수 있음
(42페이지)
(수탁자가 많은 경우에 한함) 웹페이지 또는 모바일 앱의 서비스 메뉴, 마이페이지(주문내역, 예약내역 등) 등을 통해 정보주체가 자신의 개인정보 처리를 위탁받은 자를 확인할 수 있는 경우, 그 확인 경로와 위탁하는 업무의 내용, 수탁자의 유형을 정보주체가 이해하기 쉽도록 안내할 수 있음
(43페이지)
개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개)가 수탁자에게도 준용되므로 수탁자는 개인정보 보호책임자에 관한 사항, 위탁받은 개인정보 처리업무를 다시 위탁하는 경우 재수탁자에 관한 사항 등을 포함한 개인정보 처리방침을 수립하고 공개하여야 한다는 내용이 추가되었음(정보주체에게 수탁자로서 개인정보를 처리한다는 것을 밝히는 것을 권장)
> 수탁사 지위에서 처리하는 개인정보의 항목, 목적, 보유 및 이용기간 등 다른 내용은 기재하지 않아도 된다는 것인가?
(72페이지)
개인정보처리방침에 기재해야 하는 연락처에 관한 언급에 변경이 있었음
<이전 버전>
연락처(전화번호, 전자우편 주소 등)를 기재함
<개정 버전>
연락처는 전화번호와 전자우편 주소를 모두 기재하는 것을 권장함
(83페이지)
1) 개인정보 처리방침 개정 시 이전 버전의 내용과 함께 적용기간까지 기재해야 함 (이전 버전에도 포함된 내용이지만 놓치고 있던 부분)
2) 개인정보 처리방침의 변경을 공지할 때는 이전 내용과 변경 내용을 비교할 수 있는 대조표 등의 방식으로 별도 안내해야 한다는 내용이 추가되었음
3) 수시로 변경되는 사항 중 정보주체의 권리에 미치는 영향이 경미한 항목(예: 수탁자 목록)에 대해서는 합리적인 기간(예: 4주) 단위로 모아 안내할 수 있고 이렇게 안내할 경우 위탁의 시작 및 종료 시기 등을 구체적으로 기재해야 한다는 내용이 추가되었음
(118페이지)
개인정보 처리방침 작성지침 본문에서 정한 사항 외에 생성형 AI 서비스의 특성을 고려하여 추가로 기재해야 하거나, 기재를 권장하는 사항을 포함한 생성형 인공지능(AI) 서비스 처리방침 부록이 추가되었음
<기재 고려사항>
- 해당 AI 서비스의 의도된 용례(intended use)
- 정보주체가 입력한 정보(프롬프트) 및 생성된 결과물의 수집 여부
- 수집된 데이터의 해당 AI 모델·시스템 고도화 학습 활용 여부
- 정보주체가 입력한 정보(프롬프트) 및 생성된 결과물의 보유·이용기간
- 정보주체의 학습 거부권(Opt-out) 행사 방법 및 절차
(124페이지)
1) 생성형 AI 서비스 제공을 위한 일반적인 보유기간과 인공지능 연구, 서비스 품질 개선 등 추가 목적에 따른 보유기간이 서로 다른 경우에는 해당 목적과 기간을 구분하여 명확히 안내해야 한다고 함
2) 정보주체가 대화 내용을 직접 삭제할 수 있는 기능을 제공하거나 특정 대화 내용을 별도로 저장·보관할 수 있는 기능을 제공하는 경우에는 해당 기능에 따른 삭제 방법, 보관 방식 및 보관 기간도 함께 기재하는 것을 권장함
(126페이지)
당초 수집 목적과 합리적으로 관련성(제15조(개인정보의 수집ㆍ이용) 제3항)을 근거로 정보주체의 동의 없이 개인정보를 AI학습・개발에 활용하는 방향을 검토할 수 있다고 함
(131페이지)
생성형 AI 서비스 제공에 관한 정보주체의 권리·의무 및 행사방법에 관한 사항 기재시 다음 내용들을 고려해야 함
- 수집된 데이터의 AI 모델 학습 활용 여부 명시
- 개인정보 필터링 정책
- 학습에 활용되는 경우, 정보주체의 학습 거부(Opt-out) 절차 및 접근 경로
- 부적절한 답변(민감정보 노출 등)에 대한 피드백 및 신고 방법
- 이미 학습된 데이터와 학습 전 데이터 간의 통제권(삭제 등) 행사 한계 안내
(154페이지)
업종(공인중개사용, 노인복지관용, 여행업용)별 알기 쉬운 개인정보 처리방침 작성 가이드가 추가되었음