[법무법인 민후 한지윤 변호사] 1. 들어가는 글

대부분의 생활이 웹이나 앱으로 이루어지는 현재에, 우리는 다양한 앱이나 웹페이지에 개인정보를 기재해 회원가입하기도 하고, 반면 가입된 개인정보를 삭제할 것을 요청하며 회원 탈퇴하기도 한다. 특히, 이러한 웹이나 앱을 관리하는 주체인 회사들은 개인 회원이 탈퇴 신청을 하면 “탈퇴하시겠습니까, 삭제된 데이터는 복원되지 않습니다.” 라는 안내 문구를 고지하며 일견 개인회원의 개인정보가 해당 웹페이지에서 영원히 삭제하는 것처럼 절차를 진행시킨다.

그런데, 과연 웹페이지나 앱을 운영하는 회사들은 회원 가입 시 기재하였던 개인 회원들의 개인정보를 탈퇴와 동시에 데이터 자체를 삭제하는 것일까.
회사들이 준수해야 하는 자발적 탈퇴 회원들의 개인정보 보관이나 파기 절차의 기준은 무엇일까.

탈퇴회원의 개인정보의 파기나 보관에 관한 기준은 개인정보 보호법이 정하고 있다. 이를 위반하여 개인정보의 파기 등 필요한 조치를 하지 않은 자에게는 5천만원 이하의 과태료가 부과되거나(개인정보 보호법 제75조 제2항 제4호) 또는 개인정보 보호법에서 정한 기준을 위반하여 개인정보를 파기하지 않은 자는 2년 이하의 징역에 처해지거나 2천만원 이하의 벌금에 처해질 수 있다(개인정보 보호법 제73조 제1호의2).

그렇기에 탈퇴회원의 개인정보의 파기나 보관에 관한 기준을 명확히 인지하는 것은 ‘사소한 것’이라 방심하였던 탈퇴회원의 개인정보 처리에 관한 부분에서 불이익이 발생하지 않도록 방지하는 부분에서 반드시 준수해야할 최소한의 개인정보 처리 기준에 해당한다.

2. 탈퇴회원이나 휴면회원의 개인정보 파기 또는 보관의 기준

(1) 자발적 탈퇴회원의 경우

웹페이지나 앱의 관리자인 개인정보처리자는 원칙적으로 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 하고, 예외적으로 다른 법령에 따라 보존해야 하는 경우에는 그 다른 법령에서 정한 보존기간 동안에 유효한 회원들의 개인정보와 분리하여 별도로 보관해야 한다(개인정보 보호법 제21조제1항 및 제39조의6).

개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 하고, 다른 법령의 예외에 따라 개인정보를 파기하지 않고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리해서 저장·관리해야 한다(개인정보 보호법 제21조).

여기서, 다른 법령이 정하는 예외적인 경우는 예컨대 아래와 같다.
ㅇ 계약 또는 청약철회 등에 관한 기록 : 전자상거래 등에서의 소비자보호에 관한 법률에 따라, 5년
ㅇ 대금결제 및 재화 등의 공급에 관한 기록
: 전자상거래 등에서의 소비자보호에 관한 법률에 따라, 5년
ㅇ 소비자의 불만∙분쟁 처리에 관한 기록
: 전자상거래 등에서의 소비자보호에 관한 법률에 따라, 3년
ㅇ 신용정보의 수집/처리 및 이용 등에 관한 기록
: 신용정보의 이용 및 보호에 관한 법률에 따라, 3년
ㅇ 본인확인에 관한 기록
: 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라, 6 개월
ㅇ 방문에 관한 기록
: 통신비밀보호법에 따라, 3개월

즉, 위 법률이 정한 의무 보존 항목 및 목적은 법률에 따라 해당 의무 보존 기간 동안 계속 활동하는 유효회원들의 개인정보와 분리하여 별도로 보관해야 하고, 위 의무 보존 기간이 도과한 항목은 기간 도과와 함께 해당 데이터를 별도로 보관하고 있던 물리적 저장소에서도 데이터가 영구히 삭제되도록 데이터 파기 및 삭제 조치를 취해야 하는 것이다.

(2) 휴면회원의 경우

웹페이지나 앱 서비스를 1년의 기간 동안 이용하지 않은 휴면 회원의 경우, 웹이나 앱 관리자는 휴면회원이 최종적으로 서비스를 이용한 날로부터 1년이 되는 날의 30일 전에, 즉, 11개월이 되는 때에, 해당 휴면회원에게 개인정보를 해당 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 다음의 사항을 전자우편, 서면등의 방법으로 이용자에게 알려야 한다(개인정보 보호법 제39조의6 및 시행령 제48조의5).
ㅇ 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목
ㅇ 다른 이용자의 개인정보와 분리하여 개인정보를 저장·관리하는 경우: 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목

휴면회원이 위 통지를 최종 서비스 이용일로부터 11개월이 되는 때에 통지를 받았음에도, 통지를 받은 날로부터 30일 이내에 별도의 이용이 없다면, 웹이나 앱의 관리자는 휴면회원이 최종 서비스 이용일로부터 12개월이 경과하는 날 즉, 위 통지를 받은때로부터 30일이 경과한 날에 휴면회원의 개인정보를 즉시 파기해야 하는 것이 원칙이다(개인정보 보호법 제39조의6). 다만, 위 (1)에서 정리한 다른 법령이 정한 의무 보관 항목과 목적 및 기간은 휴면회원의 경우에도 적용되므로, 위 다른 법령의 예시로 제시한 내용에 해당하는 경우에는 (1)과 마찬가지로 다른 이용자의 개인정보와 분리하여 별도로 저장·관리해야 하고, 그 기간이 경과한 후에 해당 개인정보를 물리적 저장소에서도 데이터가 영구히 삭제되도록 데이터 파기 및 삭제 조치를 취해야 한다.

3. 마치는 글

개인정보가 그 어느 때 보다도 중요해지고 있는 오늘날에, 웹 또는 앱 관리자가 탈퇴한 회원이나 휴면회원의 각 개인정보 삭제나 파기에 필요한 절차를 기본적으로 인지하여 사업에 적용한다면, 웹 또는 앱 관리자는 이용자들 개인의 개인정보를 보호함과 동시에 회사의 안정적이고 적법한 사업운영이라는 두마리 토끼를 모두 잡을 수 있을 것이다.

<한지윤 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>