[스타트업 법률상식148] 개인정보 유효기간제 폐지, 휴면계정을 복구할 수 있을까?
[법무법인 민후 현수진 변호사] 구 개인정보 보호법 제39조의6에서는, 정보통신서비스 제공자는 1년 동안 서비스 이용이 없는 이용자의 개인정보를 파기하거나 별도 분리하여 보관하도록 의무화하고 있었다. 그러나 2023. 9. 시행된 개정 개인정보 보호법은 개인정보 유효기간제를 폐지하여, 사업자들이 휴면회원의 처리와 관련하여 자율적으로 정책을 수립하여 운영할 수 있게 되었다.
이에 개정 개인정보 보호법 체계하에서 이용자의 개인정보를 수집하여 처리하는 스타트업이 휴면정책을 어떠한 방식으로 운영해야 하는지를 정리하여 살펴보겠다.
서비스 특성에 따른 자율적 휴면정책 운영
개정 개인정보 보호법에서 개인정보 유효기간제를 폐지한 취지는, 개인정보처리자와 정보주체의 의사 및 서비스의 개별적 특성을 존중하여, 일률적으로 1년이라는 유효기간을 강제하는 대신 자율적으로 휴면정책 등을 정하여 개인정보를 안전하면서도 효율적으로 관리하도록 하는데 있다.
따라서, 스타트업은 법 개정 취지에 따라 자율적으로 개인정보 휴면정책을 마련하여, 서비스 특성에 맞는 기간으로 변경(예시: 6개월, 1년, 2년 등 기간을 선택)할 수 있게 되었다.
즉, 개인정보 유효기간제 폐지에 따라 모든 사업자가 모든 휴면회원의 개인정보를 일률적으로 복원하도록 강제되는 것은 아니고, 새롭게 수립한 자율적 휴면정책 기준에 따라 기존 휴면회원으로 관리되던 개인정보 중 일부를 복원하는 것이 가능해졌다고 이해하면 된다.
휴면정책 변경에 대하여 이용자에게 사전 안내 필요
서비스 특성에 맞게 휴면정책을 개편하고 개인정보를 복원하기로 결정한 경우, 새로운 휴면정책을 적용하기에 앞서 이용자에게 사전 안내를 하여 이용자가 오랫동안 이용하지 않았던 인터넷 서비스의 탈퇴 여부를 스스로 결정할 수 있도록 해야 한다.
1년의 유효기간을 적용하여 별도 분리하여 보관하고 있던 개인정보를 파기하거나 휴면 상태를 해제하려는 사항은 개인정보 처리에 관한 중요한 사항이 변경된 것에 해당하기 때문에, 이용자에게 사전 안내를 할 때에는 해당 개인정보를 파기하는 것인지, 별도 분리하여 보관하던 개인정보를 통합하려는 것인지를 명확하게 기재하여 알리고, 정보주체가 이의를 제기할 수 있는 방법도 함께 알려야 한다.
특히 개인정보 보호법 개정(유효기간제 폐지)으로 인해 휴면정책을 변경하게 되었다는 사실과 휴면정책의 내용을 자세히 안내하고, 이에 따라 이용자가 개인정보 파기 또는 서비스 계속 이용 여부를 선택할 수 있다는 사실을 명확히 알릴 필요가 있다.
복원한 개인정보는 종전 동의를 받은 범위 내에서만 활용
휴면회원의 개인정보를 복원할 때에는, 휴면회원 전환 이전에 정보주체로부터 동의받은 내용에 따라 복원된 개인정보를 관리하여야 하고, 당초 회원가입 시 정보주체로부터 동의받은 내용과 현재의 개인정보 처리 내용 간에 변경된 사항이 있는 경우에는 반드시 변경된 사항에 대하여 추가적인 동의를 받아야 합니다.
예를 들어, 마케팅을 위한 홍보를 위해 광고성 정보를 전송하려는 경우에는 정보주체로부터 마케팅 활용 동의(개인정보 보호법 제22조)와 함께 정보통신망법 제50조에 따른 수신동의 절차를 거쳤는지 여부도 반드시 확인해야 합니다. 만일 마케팅 활용 및 광고성 정보 수신에 모두 동의한 이용자에 한하여 휴면 상태를 해제하고 개인정보를 복원할 경우, 복원 회원은 모두 휴면 전환 이전에 마케팅 활용 및 광고성 정보 수신에 동의한 사실이 있으므로 광고성 정보의 발송이 가능합니다.
그러나, 휴면정책 변경사항 안내를 마케팅 또는 광고 목적으로 이용하는 것은 개인정보 보호법 및 정보통신망법에 위반되므로, 휴면정책 변경사항 안내에는 꼭 필요한 정보만을 포함시켜 아래와 같이 작성하여야 합니다.
다른 법령에 따라 분리보관되는 개인정보는 계속하여 분리보관 필요
마지막으로 유의하여야 할 점은, 개인정보 유효기간제가 폐지된다고 하더라도 국세기본법, 전자상거래법 등 다른 법률에 따라 개인정보를 일정기간 이상 보관해야 하는 경우가 존재한다는 점이다.
즉, 다른 법령에 따른 보관의무를 다하기 위하여 개인정보 보호법 제21조 제3항에 따라 개인정보의 이용기간 경과 후에도 계속하여 분리보관되는 개인정보는 개정 법령 체계 하에서도 계속하여 분리보관이 필요하다.
<현수진 변호사> 법무법인 민후
<기고와 칼럼은 본지 편집방향과 무관합니다.>
가전⋅모바일⋅반도체⋅배터리까지…CES 2025 혁신상 휩쓴 '삼성⋅LG'
2024-11-15 10:25:24진옥동 신한금융 회장 “신한투자증권 사고, 큰 충격… 추후 투명하게 밝힐 것”
2024-11-15 10:22:36“글로벌 유동성에 따른 가상시장 위축”… 두나무, 3분기 매출 직전분기 대비 26.3% 감소한 1893억 원
2024-11-15 10:15:02'잡코인'도 비트코인처럼 될 수 있을까… 전문가들 “달러, 전기차, 현물 통화 대체할 것”
2024-11-15 10:12:32에스넷시스템, 3분기 매출 1105억원…AI투자에도 흑자전환 성공
2024-11-15 10:09:03