올해 하반기 가장 큰 개인정보 이슈는 정보통신망법 제29조 제2항의 '개인정보 유효기간 제도'이다. 많은 기업들이 2015년 8월 18일부터 시행된 이 제도에 대비해 리소스를 집중하고 있으며, 어떻게 하면 효율적으로 이 제도를 준수하면서 회사의 이익을 지킬 수 있을까 고민하고 있다. 이에 이 제도에 대해 전반적으로 살펴보고 그 대응방안을 검토하기로 한다.
이 제도는 2012년에 도입됐으며 도입 당시에는 3년의 유효기간을 설정했기 때문에 원래대로라면 2015년부터 유효기간이 시작될 예정이었다. 하지만 대규모 개인정보 유출 사건이 많았던 2014년, 유효기간이 1년으로 대폭 줄어들면서, 급격한 단기간 설정 때문에 기업들의 가장 큰 고민거리가 됐다.
◆ 제도의 취지
이 제도의 취지는 장기간 이용하지 않은 개인정보를 파기함으로써 개인정보의 유출 위험을 없애고 더불어 사업자의 불필요한 개인정보 보유를 방지하기 위해서이다. 장기간이라는 것이 어느 정도를 의미하는지는 정책적인 측면이 많이 고려됐고, 특히 남자들의 군대 복무 기간 등을 고려해 3년으로 정했으나 이 기간이 지나치게 길다고 판단해 다시 1년으로 감축됐다.
◆ 개인정보 유효기간
현행 개인정보 유효기간은 1년이다. 하지만 중요한 것은 예외적으로 이용자의 요청이 있으면 이 기간보다 짧게 또는 길게 정할 수 있다는 점이다. 따라서 이용자의 요청이 없는 경우에 한해 개인정보 유효기간이 1년이 되는 것이고, 이용자의 요청이 있는 경우 그보다 장기간도 정할 수 있다.
다만 다른 법령에도 기간을 정하고 있는 경우에는 이를 따라야 한다. 예컨대 전자상거래 계약에 관한 거래기록은 5년 동안 보유해야 하며, 신용정보 처리기록은 3년 동안을 보관해야 한다. 이 경우 특별한 사정이 없는 한 의무적 보유기간이 도과하자마자 지체 없이 개인정보를 파기해야 한다.
◆ 미이용
정보통신서비스 제공자들은 이용자가 정보통신서비스를 1년 동안 '이용'하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리해 별도로 저장·관리해야 하는바, 이 제도의 핵심요건은 '이용'에 있다.
'이용'이란 이용자의 의사에 의한 '이용'을 의미하는 것으로 보아야 할 듯하다. 즉 사업자가 이용자에게 연락을 하면서 개인정보를 참조하는 것을 이용자의 '이용'으로 보기는 어렵고 이용자가 스스로 온라인 사이트에 접속하는 것 등을 의미한다고 보아야 한다. 때문에 '이용' 여부를 판단할 때 '이용자'의 접속기록이 중요한 징표가 된다고 할 수 있다.
사업자가 이용자의 로그인이나 이용을 유도하기 위해 프로모션 행사를 할 수 있고 이는 법적으로 문제가 되지 않는다고 생각한다. 다만 사기나 강박에 의한 프로모션은 위법하다고 볼 수 있다.
한편 초고속인터넷, 핸드폰 등과 같이 오프라인 서비스 가입 후 웹사이트(온라인) 서비스를 함께 이용하는 온·오프라인 연계 서비스의 경우에는 온라인 서비스 이용이 없더라도 오프라인 서비스 이용기간 동안은 미이용에 해당하지 않는다.
미이용의 가산점은 시행일인 2015년 8월 18일 이전이므로, 시행일인 2015년 8월 18일 기준으로 1년 이상이 경과했다면 모두 파기 또는 분리·저장의 대상이 된다. 예컨대 2014년 1월 1일 수집한 개인정보는 2015년 8월 18일 기준으로 보면 1년이 경과했기 때문에 그 때 파기 또는 분리·저장을 해야 하고, 2014년 9월 1일 수집한 개인정보는 2015년 9월 1일 1년이 경과하므로 그 때 파기 또는 분리·저장을 해야 한다.
◆ 파기 또는 분리·저장
파기는 당해 개인정보를 복구 또는 재생되지 않도록 하는 것이고, 분리·저장은 반드시 물리적인 분리를 의미하는 것으 아닌바 논리적인 분리도 허용된다. 다만 적어도 이용자의 접근이나 이용이 허용되지 않아야 하고 직원들이 마음대로 접근할 수 있는 상태는 분리·저장으로 볼 수 없다.
그렇다면 어떤 경우에 파기를 해야 하고 어떤 경우에 분리·저장을 해야 하는가? 개인정보를 파기할 경우 이용자의 권리를 침해하거나 추후 분쟁의 소지가 있을 것으로 판단되는 경우에는 개인정보를 분리 저장관리하는 것이 바람직하다.
분리·저장의 상태라면 이용자나 직원의 접근이나 이용이 허용되지 않아야 하지만, 그럼에도 불구하고 이용자가 계정의 활성화를 요청하는 경우에는 분리·저장된 이용자의 개인정보에 접근 또는 이용할 수 있고, 법률에 특별한 규정이 있는 경우에도 역시 분리·저장된 이용자의 개인정보에 접근 또는 이용할 수 있다. 예컨대 수사기관이 적법하게 분리·저장된 개인정보의 제공을 요청하는 경우, 분리·저장된 이용자의 개인정보에 접근하는 것은 허용된다.
파기 또는 분리·저장의 대상은 반드시 최초 수집시의 개인정보에 한정되지 않는다. 서비스 이용 과정에서 수집되는 로그기록, 쿠키 기록, 결제내역 등도 파기 또는 분리·저장의 대상에 포함된다.
한편 포털에서 이용자가 생성한 블로그 게시글도 같이 이용자의 개인정보와 같이 파기 또는 분리·저장의 대상이 되는지에 대해는 견해가 대립하고 있다. 블로그 게시글은 스스로 또는 다른 정보와 결합해 식별가능하므로 파기 또는 분리·저장의 대상이 된다는 견해가 있는가 하면, 블로그 게시글에 대해는 파기 또는 분리·저장의 대상이 되지 않는다는 견해도 존재한다.
◆ 유효기간 도래의 통지
정보통신서비스 제공자등은 유효기간 만료 30일 전까지 개인정보가 파기되거나 분리돼 저장·관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다. 따라서 2015년 8월 18일 파기 또는 분리·저장할 개인정보에 대해는 2015년 7월 18일까지 유효기간 도래의 사전통지가 이루어져야 한다.
경우에 따라서는 사업자의 귀책사유 없이 통지를 할 수 없는 경우가 있다. 예컨대 휴대전화 번호만 수집해 보관하고 있어 휴대전화를 통해 통지했는데 그 전에 이용자가 휴대전화 번호를 변경한 경우, 이메일로 통지릘 이행했는데 이용자가 이를 수령하지 않는 경우 등, 이 경우 사업자는 통지의 오배송에 대한 고의·과실이 없음을 입증하면 법적 책임을 면할 수 있다.
예컨대 이메일과 휴대전화 번호를 수집한 상태에서 이메일을 먼저 보냈는데 이용자가 이를 수령하지 않았다면 휴대전화를 이용해 다시 통지를 하는 노력이 있어야만 사업자의 적절한 통지 의무 이행이 됐다고 볼 수 있을 것이다. 그러나 휴대전화로 연락이 되지 않았다고 해 집주소를 파악해 방문할 필요는 없을 것이다.
◆ 미이행시 제재
개인정보 유효기간이 경과했음에도 해당 이용자의 개인정보를 파기 또는 저장·관리를 하지 않은 사업자에 대해는 3천만원 이하의 과태료가 부과된다. (법 제76조 제1항 제4호).
* 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2015. 9. 17.), 블로그(2015. 9. 23.) 기고.
