개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 글로벌 사업자 및 주요 공공시스템 보유 공공기관 등에 대해 처분한 시정명령(권고), 개선권고를 해당 기업·기관들이 적극적으로 이행하거나 이행계획을 제출한 것을 확인하였다.

[블랙엣지뉴스=유은상 기자] 개인정보위는 4월 23일(수) 제9회 전체회의에서 ’24년 하반기 처분 중 ’24년 말까지 이행 기간이 도래한 160개(20년 메타에 대한 시정명령 1건 및 과거 이행점검 시 미이행으로 인한 재점검 건 3건 포함)의 시정명령(권고), 개선권고 내용에 대한 이행실태를 점검한 결과, 153개가 이행되거나 이행계획이 제출됐다고 보고하였다(기업·기관별 점검 결과 붙임 참고).

<메타, 알리익스프레스 등 글로벌 사업자>

특히 이번 점검에는 2025년 3월 개인정보위의 최종 승소로, 동의 없는 개인정보 제3자 제공에 따른 처분(이용자 동의없는 페이스북 친구 관련 정보의 제3자 앱 제공으로 과징금(67억) 및 시정명령(’20.11월))의 효력이 재개된 ‘메타(Meta)’가 포함됐다. 메타는 제3자에게 제공한 개인정보의 삭제를 요구하는 절차를 마련하였으며, 추후 제3자 앱에 삭제 완료 여부를 확인한다는 계획을 제출했다.

해외직구 관련 개인정보의 국외 이전 위반으로 처분(’24.7월)을 받은 ‘알리익스프레스(AliExpress)’의 경우, ①개인정보 처리방침에 판매·배송 업체를 구체적으로 공개하는 등 투명성을 제고하고, ②이용자 불만 접수 시 3일 이내 본사에 전달하는 등 국내대리인을 통한 피해 구제 기능을 강화했으며, ③판매자 계정 접속기록을 1년간 보관하는 등 보호조치를 강화했다.

<인공지능 응용서비스 사업자>

지난해 6월 인공지능 응용서비스 사업자에 대한 사전 실태점검 결과 이루어진 시정조치도 모두 이행된 것으로 밝혀졌다. 통화녹음·요약 등의 서비스를 제공하는 ‘에이닷’의 경우, 통화녹음 관련 안내 강화(팝업 등), 통화요약 보관 기간 단축(1년 → 6개월), 통화요약을 제외할 수 있는 기능 마련 등을 통해 통화 참여자의 신뢰 확보를 도모했다.

생성형 인공지능(AI) 기반 얼굴 이미지 생성 서비스를 제공하는 ‘스노우’의 경우에도 서버에 사진을 전송하는 기능을 개인정보 처리방침에 공개하고, 외부 개발도구 사용 관련 보안을 강화했다.

<개인정보 처리 주요시스템 보유 공공기관 등>

주요 공공시스템에 대한 안전조치 10대 과제 실태점검과 관련하여 지난해 9월 개선권고를 받은 31개 기관 중 30개 기관에서 이행 및 계획 제출을 완료해, 적극적인 개선노력이 확인됐다.

주요 내용은 다음과 같다.

①한국부동산원 등은 시스템 접근권한 부여를 엄격화하여 일정기간 미접속 시 시스템 접근권한을 자동으로 휴면 또는 말소하도록 시스템 기능을 개선

②광주광역시 등은 시스템 접속기록 관리를 강화하여 업무시간 외 파일 다운로드 등 비정상적 행위에 대한 사후 보고 절차를 마련

③경상북도 등은 개인정보 보호 업무 관련 조직 및 인력을 보강

또한, 환자정보 유출사고가 발생하여 처분을 받은 병원 등 의료기관의 경우 보조저장매체 반출입 통제 시스템 도입, 업무취급자 계정 발급 절차 강화, 개인정보 접속기록 관리 시스템 도입 등 물리적·기술적 안전조치를 강화했다.

앞으로 개인정보위는 시정조치를 미이행한 피심인( CCTV(폐쇄회로 텔레비전) 안내판 미설치 시정명령 미이행(개인 2명), 주요 공공시스템 중 전담인력 확보 개선권고 미이행(전남 담양), 유출사건 관련 개선권고 등 미이행(3개 유사투자자문업자))에 대한 이행 여부 추가 확인 및 이행 독려를 철저히 하는 한편, 점검 결과와 우수 사례를 지속 공유하여 개인정보 보호에 대한 인식을 제고해 나갈 계획이다.

*출처: 개인정보보호위원회 보도자료

감사·내부통제 전문지 BLACK EDGE / 유은상 기자