개인정보보호위원회는 2026년 1월 15일 '위험 기반(Risk-based) 접근'과 '전주기(Life-cycle) 관리 강화'를 핵심으로 하는 2026년 개인정보 조사업무 추진 방향을 확정·발표했다. Lawtimes 매년 조사 방향이 나오지만, 이번 것은 구조가 다르다. 분야별 점검 대상이 이례적으로 구체적으로 명시됐다.
2025년 한 해 동안 이루어진 처분은 총 227건으로, 과징금 1,677억 원(40건)과 과태료 5.8억 원(125건)이 부과됐다. E-focus 이 수치를 보면 올해 조사의 무게가 어느 정도인지 짐작할 수 있다.
6대 분야가 어디인지 정확히 봐야 한다
개인정보위는 2026년 중점적으로 조사를 진행할 6대 분야로 대규모 개인정보처리자, 고위험 개인정보, 과잉수집 및 다크패턴, AI·블록체인 등 신기술, 공공부문, 기업결합(M&A)·파산·회생 등 처리구조 변화에 따른 대규모 개인정보 이전·파기 적법성을 구체적으로 명시했다. E-focus
이 목록을 보고 "우리 조직은 해당 없겠다"고 넘기면 안 된다. 하나씩 대입해보면 해당되지 않는 조직이 드물다.
대규모 개인정보처리자는 플랫폼만의 이야기가 아니다. 회원 수가 일정 규모 이상이거나 민감정보를 대량으로 다루는 의료·금융·유통도 포함된다. 고위험 개인정보 항목에는 생체인식정보와 영상정보가 명시됐는데, 본인확인 과정에서 얼굴·음성 등 신체적·행동적 특징 정보를 활용한 서비스가 증가함에 따라 수집·이용 실태를 점검하겠다고 밝혔다. Korea 출입통제나 비대면 인증에 안면인식을 쓰고 있다면 이미 대상 범위 안이다.
다크패턴 점검이 확대된다
주요 웹·앱 서비스 모니터링을 통해 이용자 선택을 왜곡하는 다크패턴 사항을 집중 점검하고, 공연장 등에서 아동·청소년 개인정보를 과도하게 수집하는 엔터 업계의 개인정보 실태도 점검한다. Korea
다크패턴은 그동안 규제 논의가 많았지만 실제 집행 사례가 상대적으로 적었다. 올해는 이 부분이 달라질 수 있다. 동의 창 구조, 철회 버튼 접근성, 선택 항목의 기본값 설정 방식이 점검 대상이 될 수 있다.
M&A·파산 시 개인정보 이전 적법성 점검은 새로운 항목이다
이번 6대 분야에서 실무적으로 주목할 부분이 있다. 기업결합, 파산, 회생 절차에서 발생하는 대규모 개인정보 이전·파기의 적법성을 점검하겠다는 항목이다.
M&A가 발생하면 인수 기업이 피인수 기업의 고객 정보를 그대로 이어받는 경우가 많다. 그런데 이때 원래 수집 목적이나 동의 범위와의 정합성이 검토됐는지는 조직 내부에서 제대로 따지지 않는 경우가 많다. 이 구간을 올해 개인정보위가 들여다보겠다는 뜻이다.
담당자라면 지금 자기 조직이 6대 분야 중 몇 개에 걸쳐 있는지부터 확인하는 것이 시작이다.