- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 139. 개인정보 유효기간제의 내용과 폐지
139.개인정보 유효기간제의 내용과 폐지
개인정보 유효기간제의 내용과 폐지
1. 개인정보 유효기간제란?
웹사이트 또는 모바일 앱을 통하여 재화 또는 용역을 판매·제공하는 스타트업이 많아지고 있다. 이와 같은 사업자는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')상 "정보통신서비스 제공자"에 해당하는데, 개인정보보호법은 과거 이러한 정보통신서비스 제공자의 경우 '개인정보 유효기간제'를 적용하고 있었다.
▲정보통신서비스를 1년의 기간동안 이용하지 않는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 하는 의무, ▲서비스 미이용 기간 만료 30일 전까지 개인정보가 파기되는 사실, ▲기간 만료일 및 파기되는 개인정보의 항목, 개인정보가 분리되어 저장·관리되는 사실, ▲기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목을 전자우편 등 방법으로 이용자에게 알려야 하는 의무를 부여한 것이 그것이었다.
2. 2020년도 개인정보 유효기간제 변화 - 정보통신망법에서 개인정보보호법으로의 이동
이러한 이른바 '개인정보 유효기간제'는, 기존에는 정보통신망법에 규정되어 있었으나 2020년 정보통신망법에서 개인정보 보호에 관련한 규정을 삭제하고 이를 개인정보보호법상 특례로 통합하여 규정하면서, 개인정보보호법으로 이동하였다.
2012년 정보통신망법에 '개인정보 유효기간제'를 신설하였을 때에는 서비스 미이용 기간을 3년으로 규정하였으나, 2015년부터 위 기간을 1년으로 단축하였다. 서비스 미이용 기간이 1년으로 단축되면서 정보통신서비스 제공자에게 다소 부담이 되는 측면이 발생하였다.
그러나 개인정보보호법 제39조의6 제1항은 단서에서 1년이라는 기간을 다른 법령 또는 이용자의 요청에 따라 달리 정할 수 있다는 점도 규정하였는바, 이하는 그 단서 조항의 적용에 관한 내용이다.
먼저 다른 법령에서 달리 정하고 있는 경우로는, ▲통신비밀보호법에서 통신사실확인자료의 보존기간을 3개월로 정하고 있는 것, ▲신용정보보호법에서 신용정보 업무처리에 관한 기록의 보존기간을 3년으로 정하고 있는 것, ▲전자상거래법에서 소비자의 불만 또는 분쟁처리에 관한 기록을 3년, 계약 또는 청약철회 등에 관한 기록 및 대금 결제 및 재화 등의 공급에 관한 기록을 5년 동안 보존하여야 한다고 정하고 있는 경우가 이에 해당한다.
또한 이용자의 요청에 따라 서비스 미이용 기간을 달리 정할 수도 있었다. 즉 이용자의 요청으로 서비스 미이용 기간을 1년 이상으로 정한다면 정보통신서비스 제공자는 이용자가 1년 동안 서비스를 이용하지 않았다 하더라도 그 이용자의 개인정보를 파기하는 등의 조치를 취하지 않아도 되는 것이었다. 이때 주의하여야 할 점은 개인정보보호법 제39조의6 제1항 단서가 "이용자의 요청에 따라 달리 정한 경우"라고 하고 있다는 점에 비추어, 정보통신서비스 제공자가 아닌 이용자가 그 기간을 요청하도록 방법을 마련하여야 한다는 점이었다.
과거 방송통신위원회가 발행한 ‘개정 「정보통신망법」 중 개인정보보호 규정 안내서’는 서비스 미이용 기간을 1년 이상으로 달리 정하기 위하여 이용자가 요청할 수 있도록 하는 절차를 아래와 같이 마련하도록 예시하고 있었다.
정보통신서비스 제공자는 위 예시를 참고하여 이용자가 서비스 미이용 기간을 1년보다 장기간으로 요청할 수 있도록 하는 절차를 마련함으로써, 이용자가 군입대를 하거나 입원하는 등의 사유로 장기간 해당 정보통신서비스를 이용할 수 없는 경우에도 1년마다 개인정보를 파기하거나 분리저장·관리하는 등의 조치를 취하여야 한다거나 서비스 미이용 기간 만료 전 이용자에게 고지하여야 하는 부담을 줄이는 것을 모색할 수 있었다.
3. 2023년도 개인정보 유효기간제 폐지
그러던 중 2023년 3월 개인정보보호법 개정으로 2023년 9월 15일부터 위 개인정보 유효기간제가 폐지되었다.
쓰지도 않는 개인정보를 보관만 해 두다가 유출 위험에 노출시키는 걸 방지하자는 개인정보 유효기간제의 취지는 적절하였지만, 다른 나라에 없는 갈라파고스 규제로서 해외 사업자와의 역차별 문제 등이 꾸준히 제기되고 있던 와중이었다.
일반 개인정보처리자와 정보통신서비스 제공자 간의 규제 차이를 실질적으로 통합하면서, 위 개인정보 유효기간제를 살려서 일반 개인정보처리자에게도 동일하게 적용하는 방향이 아니라, 개인정보 유효기간제를 폐지해서 일반 개인정보처리자는 물론이고 정보통신서비스 제공자에게도 더이상 적용하지 않는 것으로 정리한 것이다.
참고로 이에 대해 개인정보보호위원회 관계자는 유효기간제가 정보주체와 개인정보처리자의 의사와 무관하게 1년이 지나면 무조건 파기 또는 별도 분리 보관*하도록 함으로써 정보주체의 개인정보 자기결정권을 제한하는 문제가 있었다면서,
* (사례) 코로나19 상황에서 해외 여행이 제한되어 면세점 홈페이지 서비스 이용이 1년 동안 없어서 파기 등의 조치를 하는 경우 이용자와 기업 모두 불편 발생
이에 2023년 법 개정을 통해 정보주체의 자기결정권을 보장하고, 개인정보처리자는 서비스 특성에 맞게 스스로 안전한 휴면정책을 마련할 수 있도록 하기 위해서 개선한 것이라고 강조한 바 있다.[1]
4. 개인정보 유효기간제 폐지 이후 대응방안에 대한 개인정보보호위원회의 안내
위와 같이 개인정보 유효기간제가 폐지됨으로써 실무에서는 다소 혼란이 발생하였다. 이에 개인정보보호위원회는 2023년 12월 보도자료를 통해 정보통신서비스 제공자(온라인사업자)에게, 그리고 서비스에 가입한 회원들(서비스 가입자)에게 아래와 같은 내용으로 안내를 하였다.
가. 온라인사업자의 대응 방안 안내 (보도자료 발췌)
온라인사업자는 법 개정 취지에 따라 자율적으로 개인정보 휴면정책을 마련하되 정보주체에게 사전 안내한 후 운영하여야 한다. 구체적인 조치내용은 다음과 같다.
먼저 온라인사업자는 자사 서비스 환경에 맞게 휴면정책을 개편하여야 한다. 유효기간제 규정 삭제는 정보주체와 개인정보처리자의 의사를 존중하여 개별 서비스의 특성에 맞게 휴면고객의 개인정보를 안전하게 관리하도록 한 것이므로, 자사 서비스의 특성에 맞게 휴면정책을 개편해야 한다. ※ (예) ①서비스 미이용 기준 기간 1년 → 서비스 특성에 맞는 기간으로 변경(예시: 6개월, 1년, 2년 등 기간을 선택), ②별도 분리 보관 → 서비스 이용고객의 개인정보와 통합 관리하되 휴면고객의 특성에 맞는 안전조치 방안 보완 등)
또한 개인정보 휴면정책이 변경된 경우 이에 대해 가입자들에게 사전 안내해야 한다. 종전 유효기간제에 따라 별도로 분리하여 보관하고 있던 개인정보를 파기하거나 일반회원 데이터베이스(DB)와 통합 관리하려는 사항은 개인정보 정책에 중요한 변경이 발생한 것이므로 사전에 정보주체에게 알릴 필요가 있다. 정보주체에게 알릴 때에는 해당 개인정보를 파기하는 것인지, 별도 분리하여 보관하던 개인정보를 통합하려는 것인지를 명확하게 기재하여 알리고, 정보주체가 이의를 제기할 수 있는 방법도 함께 알려야 한다. 특히 「개인정보 보호법」 개정(유효기간제 폐지)으로 인해 휴면정책을 변경한다는 사실과 이에 따라 정보주체가 개인정보 파기 또는 서비스 계속 이용 여부를 선택할 수 있다는 사실을 명확히 알릴 필요가 있다. 유의할 점은, 정책 변경사항 안내를 마케팅 또는 광고 목적으로 이용하는 것은 개인정보보호법(제22조, 홍보ㆍ판매 권유 별도 동의), 정보통신망법(제50조, 영리목적의 광고성 정보 전송) 등에 반할 소지가 있다는 점이다.
일반회원과 휴면회원 데이터베이스(DB) 통합 정책으로 전환 시 주의해야 할 사항도 있다. 첫째, 당초 회원가입 시 정보주체로부터 동의받은 내용과 현재의 서비스 내용 간에 변경된 사항이 있는 경우에는 반드시 변경된 사항에 대하여 추가적인 동의를 받아야 한다는 점에도 유의해야 한다. 둘째, 마케팅을 위한 홍보를 위해 광고성 정보를 전송하려는 경우에는 정보주체로부터 마케팅 활용 동의와 함께 정보통신망법(제50조)에 따른 수신동의 절차를 거쳤는지 여부도 반드시 확인해야 한다. 또한, 약관법에 따라 서비스 이용약관에 유효기간제와 관련된 내용을 포함하여 운영하고 있는 경우에는 수정할 사항이 있는지 등을 확인해야 한다. 셋째, 국세기본법, 전자상거래법 등 다른 법률에 따라 개인정보를 일정기간 이상 보관해야 하는 경우의 분리 보관 의무(개인정보보호법 제21조제3항)는 유효기간제와는 별개의 의무사항이므로 계속하여 분리 보관해야 한다는 점을 유의해야 한다. 넷째, 분리 보관하고 있던 휴면회원의 개인정보를 통합한 후 운영하는 과정에서 개인정보 침해가 발생하지 않도록 휴면상태였던 고객에 대하여는 반드시 본인인지 여부를 확인하는 절차(휴대전화 본인확인, 전자우편 본인확인 등)를 마련하여 운영할 필요가 있다. |
나. 서비스 가입자의 대응 방안 안내(보도자료 발췌)
이용자는 오랫동안 이용하지 않는 인터넷서비스는 계속 이용할지 혹은 탈퇴(개인정보 파기)할지를 확인하여 필요한 조치를 취하여야 한다. 오래전에 가입 후 이용하지 않는 서비스에서 유효기간제 폐지 관련 안내를 받은 경우에는, 해당 서비스에 접속하여 자신의 개인정보를 현행화하여 서비스를 이용하거나, 회원 탈퇴를 통해 개인정보처리자가 자신의 개인정보를 파기하도록 조치할 필요가 있다. 참고로 웹사이트 회원탈퇴가 어려워 도움이 필요한 경우에는 개인정보위에서 운영하고 있는 웹사이트 회원탈퇴 서비스(www.privacy.go.kr)를 활용하여 지원받을 수 있다. |
1. 출처: https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9573
