[개인정보] 휴면계정 등과 관련한 개인정보 유효기간 제도 폐지
윤상원 변호사
1. 개인정보 유효기간 제도 폐지
인터넷 홈페이지 등을 통하여 회원 가입을 하였으나 1년 정도 서비스를 이용하지 않거나 로그인 등을 하지 않는 회원의 경우, 휴면계정 또는 휴면회원으로 전환하고 해당 회원의 개인정보 등을 분리보관하도록 하여 왔습니다.
이러한 제도는 구 「개인정보보호법」 제39조의6(「개인정보보호법」으로 이관되기 전에는 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제29조 제2항)에 따라 정보통신서비스 제공자에게는 개인정보의 파기에 대한 특례가 인정되었기 때문입니다. 통상 “개인정보 유효기간 제도”라고 불리기도 했으며, 관련 법령은 다음과 같습니다.
「개인정보보호법」 |
제39조의6(개인정보의 파기에 대한 특례)
① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다. ② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다. |
한편, 2023. 9. 15.부터 시행 중인 현행 「개인정보보호법」은 위와 같은 개인정보 유효기간 제도를 전면 폐지하였습니다.
정보통신서비스 제공자에 대한 특례로 인정되어 오던 개인정보 유효기간 제도가 폐지됨에 따라서, 정보통신서비스 제공자 역시 일반 원칙으로 돌아가 개인정보처리자와 동일한 개인정보 파기 의무(「개인정보보호법」 제21조 등) 등을 부담하게 됩니다.
이에 따라 정보통신서비스자라고 하여도, 「개인정보보호법」에 따라 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보의 파기 사유가 발생하였을 때에는 지체 없이 개인정보 등을 파기하여야 하며, 다른 법령에 따라 보존하는 경우 분리하여 저장ㆍ관리하도록 하는 일반 규정의 적용을 받게 됩니다.
다만, 개인정보 유효기간 제도가 폐지되었을 뿐 기존에 운영되던 제도에 대해서는 별도의 언급이 없다 보니, 실무적으로, 기존에 운영되던 휴면계정(또는 휴면회원) 제도를 폐지해야 하는 것인지, 기존에 분리보관하던 개인정보 등은 어떻게 처리해야 하는지, 분리보관하던 개인정보를 개인정보주체의 동의 없이도 다시 이용할 수 있는지 등의 의문이 제기되기도 하였습니다.
2. 개인정보보호위원회 안내 사항
개인정보보호위원회는 2023. 9. 27.자 「개인정보 보호법 및 시행령 개정사항 안내」(이하 “개정법 안내”) 등을 통하여, 개인정보 유효기간 제도 폐지 후 제도 운영 등에 관하여 다음과 같이 안내하고 있습니다.
기존 개인정보 유효기간 제도가 폐지되었다고 하여도, 서비스 특성 등 개별적 상황을 고려하여, 개인정보 유효기간 제도(휴면회원, 휴면계정 등)를 운영할 수 있을 것으로 보입니다.
위 개정법 안내는, “개인정보처리자는 유효기간제가 폐지되더라도 제공하는 서비스 특성, 정보주체의 이용주기 등 개별적 상황을 고려하여 자율적으로 휴면정책 유지 여부를 정할 수 있다.”고 하고 있습니다.
분리보관하던 개인정보의 파기 또는 복원하고자 하는 경우, 개인정보 주체에 대한 별도의 안내가 필요할 것으로 보입니다.
위 개정법 안내는, “삭제되는 제39조의6의 파기 특례는 정보주체의 의사에 따른 분리보관이 아닌 ‘장기 미이용’이라는 법적 요건에 따라 분리보관 되었던 것이므로, 기존에 분리 보관하던 개인정보를 파기하거나 복원하려는 경우에는 최소한 정보주체에게 바뀐 정책에 대해 알려주고 파기 또는 복원을 진행하는 것이 바람직”하다고 보고 있습니다. 위와 같은 안내 시 “광고성 정보가 포함되지 않도록 유의(영리 목적의 광고성 정보를 전송하려고 할 때는 「정보통신망법」의 적용을 받으므로 해당 법 제50조에 따른 광고성 정보 수신 동의 등 의무를 준수해야 함)”해야 할 것입니다.
기존에도 휴면회원은 희망하는 경우 다시 일반회원으로 전환하여 서비스를 이용할 수 있었으며, 이 점은 개정 「개인정보보호법」상으로도 특별히 문제되지 않을 것으로 생각됩니다. 반면, 휴면회원의 동의 없이 개인정보처리자(서비스를 운영하는 회사)가 임의로 분리보관하던 개인정보를 복원하여 일반회원으로 전환하는 것이 가능한지 문제될 수 있습니다.
위 개정법 안내는, “별도 분리 보관된 개인정보를 일반회원으로 전환하는 경우에는 「개인정보보호법」의 파기 특례규정이 삭제되었더라도, 해당 서비스의 특성, 이용자와의 계약관계, 소비자 권리보장, 불법 스팸 방지 등을 규정하고 있는 「약관법」, 「정보통신망법」 등 다른 법률의 내용을 종합적으로 고려하여 추가적인 조치가 필요하다는 점에 유의”해야 한다는 점을 안내하고 있습니다. 또한, “별도 분리 보관하던 개인정보를 (중략) 기존 DB에 통합하여 운영하려는 경우에는 본인인지 여부를 확인하는 절차를 마련하는 등 안전성 확보를 위한 조치를 병행할 필요가 있다는 점에 유의”할 것을 안내하고 있습니다.
종합하면, 분리보관 중이던 기존의 개인정보를 복원하여 휴면회원이 아닌 일반회원으로 전환하기 위해서는, 먼저, 해당 회원(휴면회원 등)에게 복원 여부를 알리는 조치를 취해야 하고, 본인 여부를 확인하는 등의 조치가 필요할 것입니다. 추가적으로 서비스에 적용되는 개별 법령에 따른 추가 조치도 필요할 것입니다. 즉, 개인정보처리자(서비스 제공자)가 개인정보주체에 대한 아무런 통지나 본인 확인 등도 하지 않은 채 분리보관하던 개인정보 등을 임의로 기존 DB 등에 통합하여 운영하는 것은 제한될 수 있을 것으로 보이며, 운영하는 서비스의 특성에 따라서는 관련 법령에 따른 별도의 안전성 확보 조치 등이 병행되어야 할 것으로 생각됩니다.