법무법인(유) 화우

개인정보보호위원회(“개인정보위”)는 2026. 4. 24. 「개인정보 처리방침 작성지침」 개정본을 공개하였습니다. 이번 개정은 생성형 AI 서비스의 확산과 온디바이스(On-device) 처리 등 새로운 데이터 처리 환경을 반영하여, 처리자의 작성 부담을 합리적으로 경감하는 한편 정보주체의 자기결정권을 강화하는 것을 목표로 합니다.

특히 ① 생성형 AI 서비스 별도 부록 신설, ② 대규모·빈번 변경 수탁자의 유형화 기재 허용, ③ 온디바이스 처리에 관한 처리방침 작성 기준 명확화가 핵심 변화 지점입니다. 본 뉴스레터에서는 개정 내용과 산업별 실무 대응 방향을 정리합니다.

1. 주요 개정 내용

2. 주요 쟁점

3. 산업별 영향

4. 시사점

1. 주요 개정 내용

「개인정보 처리방침 작성지침」은 개인정보처리자가 「개인정보 보호법」 제30조에 따른 처리방침의 수립및 공개 의무를 구체화하는 안내서입니다. 법령상 필수 기재사항은 반드시 반영해야 하고, 생성형 AI 부록 등 권장사항도 감독기관의 점검·민원처리 및 시정권고의 실질적 기준으로 기능하여 사실상의 준수 필요성이 큽니다. 특히 동 법 제30조의2에 따라 2024년 처리방침 평가제도가 도입된 이후 해당 안내서는 매년 평가 대상으로 지정된 사업자에게는 반드시 필요한 지침서입니다.

이번 개정은 생성형 AI 서비스의 보편화와 온디바이스 연산의 확산 등 변화된 데이터 처리 환경에 대응하고, 플랫폼 사업구조의 특수성을 반영하기 위하여 마련되었습니다. 주요 개정 사항은 다음과 같습니다.

2. 주요 쟁점

가. 생성형 AI 서비스 부록의 실질적 요구사항

이번 개정에서 가장 주목할 부분은 생성형 AI 서비스를 위한 별도 부록의 신설입니다. 부록은 다음 6대 항목의 처리방침 기재를 권장·요구합니다.

이는 생성형 AI 사업자에게 생성형 AI 서비스의 개인정보 처리 전 과정을 보다 구체적이고 투명하게 공개하도록 요구·권장하는 취지로 이해됩니다. 특히 (4)~(5)항의 학습 활용 공시 및 Opt-out 구현은 EU AI Act 제5편의 범용 AI 모델 투명성 의무 및 GDPR 제22조(자동화된 결정에 대한 거부권)와 같이 글로벌 규제 동향과의 정합성 측면에서 참고될 수 있으므로, 글로벌 AI 서비스의 국내 처리방침 정비에 영향을 미치게 될 것입니다.

나. 수탁자 유형화 기재의 요건과 한계

종전 실무상 수탁자 기재는 개별 특정이 원칙이었으나, 대규모 플랫폼의 '수탁자 대규모·빈번 변경' 현실을 반영하여 유형화 기재가 허용되었습니다. 다만 다음 요건의 충족이 전제됩니다.

•적용 요건: 수탁자가 '대규모'이거나 '빈번하게 변경'되는 경우에 한함

•병행 요건: 정보주체가 실제 수탁자를 직접 확인할 수 있는 구체적 확인 경로(예: 서비스 내 '내 정보 > 이용기록' 화면) 안내 필수

이는 이동·배달·중개 플랫폼 등에서 유용한 규율 완화로서 구체적 확인 경로 병기가 필수적이고, 정보주체가 실제 수탁자를 확인할 수 있어야 한다는 측면에서 유형화와 투명성 확보를 결합한 것입니다. 다만, '유형화'의 구체성 수준에 관한 정량적 기준은 지침상 제시되어 있지 않습니다. 향후 감독기관의 점검·조정 사례 축적 및 4. 28. 설명회에서의 추가 해설을 통해 실무 기준이 구체화될 것으로 예상됩니다.

다. 온디바이스 처리에 대한 작성의무의 경계

본 개정은 온디바이스 처리를 두 가지 유형으로 구분하여 기준을 제시합니다.

스마트폰·IoT·AI 탑재 가전·웨어러블 등 신기술 제품을 취급하는 제조·IT 기업의 경우, 자사 기능이 어떤 유형에 해당하는지 기능별·모듈별 데이터 흐름 매핑이 선행되어야 합니다. 특히 서버로 전송되는 로그·사용패턴·크래시 리포트 등 부수적 데이터가 있는 경우 Hybrid형으로 분류될 가능성이 높아, 실무적 식별이 필요합니다.

라. 변경사항 안내 방식 차등화 및 공개 방법

정보주체에 대한 처리방침 변경 안내 방식이 영향의 경중에 따라 차등화되었습니다.

'중대한 영향' 해당 여부의 판단 기준이 지침상 완전히 정량화되어 있지는 않습니다. 실무상 처리자의 자체 판단이 1차적으로 이루어지되, 감독기관의 사후 평가에 따라 해석 차이가 발생할 수 있으므로, 경계선상 변경사항에 대해서는 보수적 판단(즉시 공지)을 권장합니다.

그 외 처리방침의 공개방법과 관련하여, 홈페이지 또는 앱 첫 화면에서 쉽게 찾을 수 있어야 하고, 모바일 앱은 시작 후 3단계 이상 거치지 않는 것을 권장한다고 하므로 해당 사항을 참고하여 처리방침의 게시 위치와 접근성을 확보하시기 바랍니다.

3. 산업별 영향

본 개정의 영향은 산업별로 상이합니다. 주요 산업군별 쟁점 영향도는 다음과 같이 분류될 수 있습니다.

주요 발생 시나리오

• AI · 플랫폼: 생성형 AI 챗봇·어시스턴트에서 이용자 입력정보의 학습 활용 공시, Opt-out 기능 구현, 민감정보 입력 경고 UX 전반 재설계가 필요함

• 금융: 내부 신용평가·이상거래탐지(FDS) 모델에 생성형 AI 도입 시 부록 적용 여부 검토, 정보통신망법·개인정보보호법·전자금융거래법의 중첩 규제와의 조화 필요

• 유통 · 배달: 대규모 배달기사·택시기사·크라우드소싱 인력에 대한 유형화 기재 전환, 이용기록 기반 실수탁자 확인 UI 구현 요구됨

• 제조 · IoT: 스마트 TV·냉장고·스피커·웨어러블·커넥티드카의 데이터 처리 유형 매핑, 온디바이스/서버 처리 구분에 따른 고지 문안 분리 필요

※  사례 일반화의 한계: 본 지침은 행정규칙이 아닌 가이드라인이므로 구체적 적용 기준은 기업의 처리 구조 및 감독기관의 사후 판단에 따라 달라질 수 있으며, 현재까지 공개된 자료 기준으로 본 개정본에 근거한 집행례·처분례는 확인되지 않습니다. 개별 사안별 검토가 필요합니다.

4. 시사점

화우 정보보호센터는 개인정보 보호법, 정보통신망법, 신용정보법 등 개인정보 관련 법령 전반에 걸친 자문·대응 업무를 수행하고 있습니다. 처리방침 정비, 개인정보 영향평가, 국외이전, 유출사고 대응, AI 거버넌스 구축 등 전 영역에 걸쳐 규제기관 대응 경험을 바탕으로 실무 중심의 자문을 제공합니다.

특히 생성형 AI·빅데이터·플랫폼 관련 개인정보 쟁점과 국내외 법령(GDPR, EU AI Act 등)의 조화 문제에 관한 자문 경험을 축적하고 있으며, 금융·유통·IT·제조·바이오 등 다양한 산업군에서 규제 환경 변화에 대응한 컴플라이언스 체계 구축을 지원하고 있습니다.