"게임업계, 개인정보 처리방침 평가 첫 시험대…기준 미달 드러나"

[아이뉴스24 정진성 기자] 정부가 지난해 도입한 개인정보 처리방침 평가제도와 관련해 게임사 다수가 기준을 충족하지 못한 것으로 드러났다. 내년부터는 개선 명령 등 행정 조치로 이어질 가능성이 있어 게임사들의 선제적 조치가 필요하다는 지적이다.

개인정보 수집 동의와 처리방침 ‘엇박자’… 기업 다수 적정성 기준 미달

31일 법무법인 화우 사옥에서 진행된 '제 7회 게임대담회'에서 개인정보보호위원회(이하 위원회)의 '개인정보 처리방침 평가제도'에 대한 게임사들의 부실한 대응이 도마에 올랐다.

위원회는 지난해 6월부터 제도를 도입해 게임 산업을 포함한 7개 분야, 49개 기업을 대상으로 개인정보 처리방침 평가를 시행했다. 평가 항목은 △적정성 △가독성 △접근성 세 가지로 구성된다.

이번 평가는 개인정보 처리방침이 법령에서 요구하는 형식과 내용을 충실히 반영하고 있는지를 점검하고, 정보주체 입장에서 알기 쉽게 구성되어 있는지를 평가하는 제도다. 위원회는 제도를 통해 개인정보 처리방침의 법령 준수 여부를 점검하고, 결과에 따라 인센티브 또는 개선 권고 등의 조치를 취할 계획이다.

이근우 법무법인 화우 변호사는 “올해는 제도 시행 첫해 결과가 나온 것으로 공식 발표나 조치는 없었다”며 “내년에는 개선 권고나 명령이 나올 수 있다”고 지적했다.

이 변호사에 따르면, 이번 평가에서 많은 기업들이 수집 동의서와 처리방침간 항목 불일치, 구체성 부족, 고지 내용과 실제 처리 간 괴리 등에서 미흡한 점을 드러냈다.

이 변호사는 “기업들의 70% 이상이 개인정보 수집 이용 동의서 내용과 처리방침 공개 내용이 서로 다른 경우였다”며 실무적인 일관성 확보가 시급하다고 분석했다.

평가 결과에서 기업들의 가독성은 평균 70점으로 비교적 양호했지만 적정성은 평균 53.4점으로 낮았다. 게임업계는 고지된 항목과 처리방침 간 내용 불일치 비율이 높고, 처리방침 접근성에서도 취약한 평가를 받았다.

이 변호사는 “서비스 이용 시 고지된 개인정보 처리 목적, 항목, 보유기간이 처리방침에 적힌 내용과 다르게 운영되는 경우가 많았다”며 “개인정보 처리방침을 확인하려면 스크롤을 12번 이상 내려야 하는 경우도 있었다”고 말했다.

해외 사업자들도 문제를 드러냈다. 처리방침 내용은 한국 법령을 제대로 반영하지 않았고, 형식적으로 번역된 자료를 게시한 경우도 많았다. 이 변호사는 “해외 업체들은 국내 업체에 비해 적정성, 가독성, 접근성 모든 항목에서 평가 점수가 낮게 나왔다”며 “한국 관련 사항을 제대로 반영하지 않고, 글로벌 스탠다드 문서를 번역해서 올려놓는 경우가 많았다”고 진단했다.

그는 기업들이 사전 점검과 문서 정비를 통해 평가제도에 선제적으로 대응해야 한다고 조언했다. 평가에 앞서 동의서와 처리방침 간의 일치 여부를 확인하고, 이용자 접근성을 높이기 위한 개선 작업이 필요하다는 설명이다.

그는 “평가 대상이 아니더라도 개인정보 처리방침을 미리미리 대비해두는 게 기업 입장에서는 좋다”며 “개인정보 처리방침 평가에 잘 대응하면 과태료나 과징금 감경 같은 인센티브가 될 수도 있다”고 제안했다.