속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
개인정보보호AI 초안

개인정보위, 온라인 플랫폼 불법 수집·처리 현장 간담회 개최…실태점검 강화

개인정보보호위원회가 2026년 7월 2일 온라인 플랫폼 사업자들의 개인정보 불법 수집·처리 실태 점검을 위한 현장 간담회를 개최했다. 개인정보 처리 투명성 강화와 이용자 권익 보호가 핵심 의제로 다뤄졌다.

백남정 기자
입력 2026년 7월 2일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/eb1aa3

핵심 요약

- 개인정보보호위원회가 2026년 7월 2일 온라인 플랫폼 사업자 대상 개인정보보호 현장 간담회를 개최하여 불법 수집·처리 실태를 점검했다 - 개인정보 처리 투명성 확보, 이용자 동의 절차 적정성, 제3자 제공 관행 등이 주요 점검 사항으로 논의되었다 - 개보위는 현장 의견을 수렴하여 향후 감독·조사 방향을 설정하고, 제도 개선 방안을 마련할 계획이다

주요 내용

개인정보보호위원회(위원장 고학수)는 2026년 7월 2일 온라인 플랫폼 사업자들을 대상으로 개인정보보호 현장 간담회를 개최했다. 이번 간담회는 최근 온라인 플랫폼 사업자들의 개인정보 불법 수집 및 처리 사례가 증가함에 따라, 현장의 실태를 직접 점검하고 개선 방안을 모색하기 위해 마련되었다.

간담회에서는 개인정보 처리의 투명성 확보, 이용자 동의 절차의 적정성, 개인정보의 제3자 제공 관행, 개인정보 처리방침의 명확성 등이 주요 의제로 다뤄졌다. 특히 다크패턴(Dark Pattern)을 활용한 동의 유도, 과도한 개인정보 수집, 불명확한 처리 목적 고지 등 실무에서 빈번하게 발생하는 위반 사례들이 집중 논의되었다.

개보위는 현장에서 수렴한 의견을 바탕으로 향후 감독 및 조사 방향을 설정하고, 온라인 플랫폼 사업자들이 준수해야 할 구체적인 가이드라인을 마련할 예정이다. 또한 반복적인 위반 사례에 대해서는 강력한 제재 조치를 취하고, 이용자 권익 보호를 위한 제도 개선 방안도 함께 추진한다.

개보위 관계자는 "온라인 플랫폼 산업의 성장과 함께 개인정보 처리 규모도 급증하고 있어, 사업자들의 자율적인 개인정보보호 체계 구축이 무엇보다 중요하다"며 "현장 간담회를 통해 실질적인 애로사항을 파악하고, 사업자와 이용자가 상생할 수 있는 정책 방향을 모색하겠다"고 밝혔다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 현장 간담회는 개보위가 사후 제재보다 사전 예방적 감독 체계로 전환하고 있음을 시사한다. 특히 온라인 플랫폼 사업자들은 대량의 개인정보를 처리하는 특성상 ISMS-P 인증 의무 대상인 경우가 많으며, 인증 심사 시에도 동의 획득 절차, 개인정보 처리방침의 구체성, 제3자 제공 통제 체계 등이 핵심 점검 항목으로 다뤄진다. 따라서 사업자들은 이번 간담회에서 논의된 쟁점 사항들을 내부 개인정보 관리체계 점검의 기준으로 삼아야 한다.

실무적으로는 개인정보 처리 단계별 통제 절차를 재점검하고, 특히 마케팅 목적의 개인정보 활용, 제휴사와의 정보 공유, 해외 이전 등 고위험 처리 활동에 대한 법적 근거와 기술적 보호조치를 강화해야 한다. 개보위가 현장 의견을 반영한 새로운 가이드라인을 발표할 경우, 기존 내부 규정과의 정합성을 즉시 검토하고 필요 시 개인정보 처리방침 개정, 동의서 양식 변경, 직원 교육 등 후속 조치를 신속하게 이행해야 과태료 및 시정명령 리스크를 최소화할 수 있다.

ISMS-P 심사원 체크포인트

1. 2.8.1 개인정보 수집 시 동의(개인정보보호법 제15조, 제22조) - 이용자로부터 개인정보 수집 시 명확하고 구체적인 동의를 받았는지 확인 - 필수·선택 항목 구분, 동의 거부 시 불이익 고지, 다크패턴 사용 여부 등을 점검 - 동의서 양식이 이해하기 쉬운 언어로 작성되었는지, 포괄적 동의가 아닌 개별 동의를 받고 있는지 심사

2. 2.8.4 개인정보 제공 및 위탁(개인정보보호법 제17조, 제26조) - 개인정보를 제3자에게 제공하거나 처리를 위탁하는 경우 법적 요건 준수 여부 확인 - 제공·위탁 사실의 사전 고지 또는 동의, 위탁계약서 작성, 수탁자 관리·감독 체계 점검 - 특히 온라인 플랫폼의 경우 광고·마케팅 목적의 제3자 제공이 빈번하므로, 제공 목록 관리 및 이용자 통지 절차의 적정성 검토

3. 2.8.2 개인정보 처리방침 수립 및 공개(개인정보보호법 제30조) - 개인정보 처리방침이 법정 필수 기재사항을 모두 포함하고 있는지 확인 - 처리 목적, 항목, 보유기간, 제3자 제공 내역 등이 구체적으로 명시되어 있으며, 이용자가 쉽게 확인할 수 있는 위치에 게시되어 있는지 점검 - 처리방침 변경 시 이용자 고지 절차가 마련되어 있는지 검토

위반 조항

개인정보보호법 제15조(개인정보의 수집·이용) - 정보주체의 동의 없이 개인정보를 수집하거나, 수집 목적 범위를 초과하여 이용한 경우 위반 - 위반 시 5천만원 이하의 과태료(법 제75조) 또는 형사처벌(5년 이하 징역 또는 5천만원 이하 벌금, 법 제71조)

개인정보보호법 제17조(개인정보의 제공) - 정보주체의 동의 없이 제3자에게 개인정보를 제공한 경우 위반 - 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금(법 제71조)

개인정보보호법 제22조(동의를 받는 방법) - 동의 내용을 명확히 알리지 않거나, 필수·선택 항목을 구분하지 않고 일괄 동의를 받은 경우 위반 - 위반 시 3천만원 이하의 과태료(법 제75조)

개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개) - 개인정보 처리방침을 수립하지 않거나, 필수 기재사항을 누락하여 공개한 경우 위반 - 위반 시 3천만원 이하의 과태료(법 제75조)

CPPG·ISMS-P 연계 포인트

1. 개인정보의 수집 제한 원칙(Collection Limitation Principle) 개인정보는 적법하고 공정한 방법으로, 정보주체에게 고지하고 동의를 받아 최소한으로 수집해야 한다. CPPG 시험에서는 개인정보 수집 시 준수해야 할 법적 요건(동의, 계약 이행, 법령상 의무 등)과 최소 수집 원칙의 실무 적용 사례가 출제되며, ISMS-P 인증기준 2.8.1항과 직접 연계된다.

2. 투명성 원칙(Openness Principle) 및 개인정보 처리방침 개인정보 처리자는 개인정보의 처리 목적, 방법, 범위 등을 투명하게 공개해야 하며, 이는 개인정보 처리방침을 통해 구현된다. CPPG에서는 처리방침의 법정 필수 기재사항, 변경 시 고지 의무 등이 출제되고, ISMS-P 인증심사에서는 처리방침의 구체성, 접근 용이성, 최신성 유지 여부가 핵심 점검 항목으로 다뤄진다.

#개인정보보호위원회#현장간담회#온라인플랫폼#개인정보처리#ISMS-P
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사