1년간 서비스 미이용시 회원정보 삭제하도록 했던 ‘개인정보 유효기간제’ 폐지
갈라파고스 규제·취지는 좋았지만 실효 없었다 vs 개인정보 유출 여전한데... 반응 엇갈려
‘휴면계정 해제 안내’, 최근 이메일함에 자주 등장하는 메일제목입니다. 장기간 미접속으로 인한 휴면처리나 회원정보 삭제 안내에 익숙했는데, ‘휴면계정을 해제한다’는 낯선 안내입니다. 그런데 이런 휴면해제 안내 메일이 최근 연이어 오고 있습니다. 왜 그런지 알아봤습니다.
2000년대 초중반 인터넷과 모바일이 생활의 중요한 부분으로 자리잡아가면서 개인정보 유출이 자주 문제가 됐습니다. 특히 인터넷 사이트 개인정보 유출사고 발생 시 장기 미이용자는 유출된 사실조차 인지하지 못하는 경우가 많아 추가 피해가 우려됐습니다.
이 같은 문제가 계속되자 2012년 정부는 ‘정보통신망 이용촉진 및 정보보호에 관한 법률(정보통신망법)’개정을 통해 ‘개인정보 유효기간제’(제39조의6 개인정보의 파기에 대한 특례)를 도입하고 2015년 8월 18일부터 시행에 들어갔습니다.
장기간 서비스를 이용하지 않고 방치되는 개인정보로 인한 이용자의 피해를 방지하고 사업자의 불필요한 개인정보 보관을 최소화함으로써 개인정보의 오남용과 유출을 방지하기 위한 것이 목적이었습니다.
제도의 도입에 따라 사업자는 1년간 서비스를 이용하지 않는 사용자의 개인정보를 파기하거나 별도로 안전하게 보관하도록 조치를 해야 했습니다. 파기 대상 정보는 아이디, 비밀번호, 생년월일, 성별, 주소, 전화번호, 이메일 주소 등 회원 가입 시 입력한 모든 정보였습니다. 개인정보 유효기간제 미이행 사업자에 대해서는 3천만 원 이하의 과태료가 부과되도록 했습니다. 이용자들은 가입 사실조차 잊어버린 인터넷 사이트에서 발생할 수 있는 오남용 우려를 줄이는 효과를 거둘 수 있었습니다.
이후 온라인 회원가입을 했지만 이용할 일이 없어서 방치하면 휴면처리를 거쳐 계정과 개인정보가 삭제되는 것이 일반적이었는데, 지난 9월 15일자로 개인정보보호법이 개정되면서 ‘개인정보 유효기간제’가 폐지됐습니다.
당시 국무총리 산하 개인정보보호위원회는 온오프라인 이중규제 개선을 위해 정보 주체의 의사와 무관하게 1년 동안 서비스 이용이 없는 경우 파기 등 조치를 강제했던 규정(개인정보 파기 특례)을 삭제한다고 밝혔습니다.
개인정보보호위원회는 “코로나19 상황에서 해외여행이 제한되어 면세점 홈페이지 서비스 이용이 1년 동안 없어서 파기 등의 조치를 하는 경우 이용자와 기업 모두 불편이 발생했다”는 예를 들며, “개별 기업·기관 등의 서비스 특성, 정보주체의 이용주기 등 개별적 상황을 고려하여 자율적으로 휴면정책 채택 여부를 정할 수 있다.”고 설명했습니다.
개인정보 유효기간제에 대한 지적은 이전에도 있었습니다. 지난 2020년 12월 구글이 ‘개인정보 유효기간제’를 준수하지 않은 것으로 드러나자 네이버와 카카오 등 국내 인터넷 사업자에 대한 역차별 논란이 불거졌습니다. ‘유럽·미국·일본엔 없는 ‘갈라파고스 규제’인데다, 사실상 해외 사업자는 법 사각지대에 있다’는 지적이 나왔고 개인정보보호위원회는 개정 여부를 검토하겠다고 밝혔습니다.
사용하지 않는 계정이 ‘휴면계정’에서 ‘활성계정’으로 바뀐다는 메일을 받은 이용자들의 반응은 엇갈렸습니다. “오프라인에서 포인트 적립 등을 했지만, 온라인사이트에는 접속하지 않았는데 잘 됐다.”, “취지는 좋았지만 비용을 추가해 만든 실제 운영에서는 왜 삭제했냐는 민원만 많았는데 잘 됐다.”는 등 긍정적인 반응도 있었지만, “개인정보 유출 사고는 여전한데 기업만 챙기는 거 아니냐”는 부정적인 의견도 적지 않았습니다.
