개인정보위, 개인정보 보호법 개정에 따라 개인정보 유효기간제 폐지
온라인사업자는 자율적 휴면정책 마련...이용자는 서비스 이용 여부 결정 필요
개인정보위, 개인정보 포털 내 ‘웹사이트 회원탈퇴 서비스’ 활용해 지원
[보안뉴스 김영명 기자] 2023년 9월 개인정보 보호법 개정으로 1년 동안 인터넷서비스를 이용하지 않으면 의무적으로 개인정보를 파기하거나 별도로 분리해 저장하도록 한 제도(이하 유효기간제)를 폐지했다. 그 이후 휴면회원의 처리와 관련해 온라인사업자는 물론 가입자 사이에서도 어떻게 조치해야 하는지 궁금해하는 경우가 많아졌다.
▲개인정보보호위원회 로고[로고=개인정보위]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 개인정보위가 이에 대해 유효기간제 폐지와 관련한 온라인사업자와 서비스 가입자별 조치사항을 다음과 같이 안내한다고 밝혔다. 개인정보위에 따르면 온라인사업자는 법 개정 취지에 따라 자율적으로 개인정보 휴면정책을 마련하되 정보 주체에게 사전 안내한 후 운영해야 한다. 이용자는 오랫동안 이용하지 않는 인터넷서비스는 계속 이용할지 혹은 탈퇴를 통해 개인정보를 파기할지 여부를 확인해 필요한 조치를 취해야 한다.
이용하지 않는 인터넷서비스 내 개인정보에 대한 구체적인 조치내용은 다음과 같다. 먼저 온라인사업자는 자사 서비스 환경에 맞게 휴면정책을 개편해야 한다. 유효기간제 규정 삭제는 정보주체와 개인정보처리자의 의사를 존중해 개별 서비스의 특성에 맞게 휴면고객의 개인정보를 안전하게 관리하도록 한 것이기 때문에 자사 서비스의 특성에 맞게 휴면정책을 개편할 필요가 있다.
예를 들면, ①서비스 미이용 기준 기간을 1년에서 서비스 특성에 맞는 기간으로 변경(6개월, 1년, 2년 등 기간 선택) ②별도 분리 보관 방식에서 서비스 이용고객의 개인정보와 통합 관리하되 휴면고객의 특성에 맞는 안전조치 방안 보완 등이 있다.
인터넷서비스 운영자는 개인정보 휴면정책이 변경된 경우 이에 대해 가입자들에게 사전 안내해야 한다. 종전 유효기간제에 따라 별도로 분리해 보관하고 있던 개인정보를 파기하거나 일반회원 데이터베이스(DB)와 통합 관리하려는 사항은 개인정보 정책에 중요한 변경이 발생한 것이므로 사전에 정보주체에게 알릴 필요가 있다.
정보주체에게 알릴 때는 해당 개인정보를 파기하는 것인지, 별도 분리해 보관하던 개인정보를 통합하려는 것인지를 명확하게 기재하고, 정보주체가 이의를 제기할 수 있는 방법도 함께 알려야 한다.
특히 ‘개인정보 보호법’ 개정(유효기간제 폐지)으로 인해 휴면정책을 변경한다는 사실과 이에 따라 정보주체가 개인정보 파기 또는 서비스 계속 이용 여부를 선택할 수 있다는 사실을 명확히 알릴 필요가 있다. 이때 유의할 점은 정책 변경사항 안내를 마케팅 또는 광고 목적으로 이용하는 것은 개인정보 보호법(제22조, 홍보·판매 권유 별도 동의), 정보통신망법(제50조, 영리목적의 광고성 정보 전송) 등에 반할 소지가 있다는 점이다.
▲개인정보위 휴면정책 변경 사실의 좋은 사례와 잘못된 사례[자료=개인정보위]
일반회원과 휴면회원 데이터베이스(DB) 통합 정책으로 전환 시 주의해야 할 사항도 있다. 첫째, 처음에 인터넷서비스에 회원가입했을 때 정보주체로부터 동의받은 내용과 현재의 서비스 내용 간에 변경된 사항이 있는 경우에는 반드시 변경된 사항에 대해 추가 동의를 받아야 한다는 점에도 유의해야 한다.
둘째, 마케팅을 위한 홍보를 위해 광고성 정보를 전송하려는 경우에는 정보주체로부터 마케팅 활용 동의와 함께 정보통신망이용촉진및정보보호등에관한법률(제50조)에 따른 수신동의 절차를 거쳤는지 여부도 반드시 확인해야 한다. 또한, 약관법에 따라 서비스 이용약관에 유효기간제와 관련된 내용을 포함해 운영하고 있는 경우에는 수정할 사항이 있는지 등을 확인해야 한다.
셋째, 국세기본법, 전자상거래법 등 다른 법률에 따라 개인정보를 일정기간 이상 보관해야 하는 경우의 분리 보관 의무(개인정보 보호법 제21조제3항)는 유효기간제와는 별개의 의무사항이기 때문에 계속해 분리 보관해야 한다는 점을 유의해야 한다.
넷째, 분리 보관하고 있던 휴면회원의 개인정보를 통합한 후 운영하는 과정에서 개인정보 침해가 발생하지 않도록 휴면상태였던 고객에 대해서는 반드시 본인인지 여부를 확인하는 절차(휴대전화 본인확인, 전자우편 본인확인 등)를 마련해 운영할 필요가 있다.
인터넷서비스 이용자도 마찬가지로 오래전에 가입 후 이용하지 않는 서비스에서 유효기간제 폐지 관련 안내를 받은 경우에는 해당 서비스에 접속, 자신의 개인정보를 현행화해 서비스를 이용하거나 회원 탈퇴를 통해 개인정보처리자가 자신의 개인정보를 파기하도록 조치할 필요가 있다. 참고로 웹사이트 회원탈퇴가 어려워 도움이 필요한 경우에는 개인정보위에서 운영하고 있는 웹사이트 회원탈퇴 서비스를 활용해 지원받을 수 있다.
개인정보위 관계자는 “유효기간제가 정보주체와 개인정보처리자의 의사와 무관하게 1년이 지나면 무조건 파기 또는 별도 분리 보관하도록 해 정보주체의 개인정보 자기결정권을 제한하는 문제가 있었다”고 말했다. 실제 코로나19 상황에서 해외여행이 제한됨에 따라 면세점 홈페이지 서비스 이용이 1년 동안 없어서 파기 등의 조치를 하는 경우 이용자와 기업 모두 불편이 발생하기도 했다.
해당 관계자는 “2023년 법 개정을 통해 정보주체의 자기결정권을 보장하고, 개인정보처리자는 서비스 특성에 맞게 스스로 안전한 휴면정책을 마련할 수 있도록 하기 위해 개선한 것”이라고 재차 강조했다.
한편 개인정보위는 새롭게 바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 개정 사항에 대한 안내서를 12월에 최종 발간할 예정이다. 이와 함께 오는 12월 11일에는 안내서 종합 설명회가 예정됐으며, 지속해서 현장 홍보와 계도를 이어갈 예정이다.
[김영명 기자(boan@boannews.com)]
온라인사업자는 자율적 휴면정책 마련...이용자는 서비스 이용 여부 결정 필요
개인정보위, 개인정보 포털 내 ‘웹사이트 회원탈퇴 서비스’ 활용해 지원
[보안뉴스 김영명 기자] 2023년 9월 개인정보 보호법 개정으로 1년 동안 인터넷서비스를 이용하지 않으면 의무적으로 개인정보를 파기하거나 별도로 분리해 저장하도록 한 제도(이하 유효기간제)를 폐지했다. 그 이후 휴면회원의 처리와 관련해 온라인사업자는 물론 가입자 사이에서도 어떻게 조치해야 하는지 궁금해하는 경우가 많아졌다.
▲개인정보보호위원회 로고[로고=개인정보위]
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 개인정보위가 이에 대해 유효기간제 폐지와 관련한 온라인사업자와 서비스 가입자별 조치사항을 다음과 같이 안내한다고 밝혔다. 개인정보위에 따르면 온라인사업자는 법 개정 취지에 따라 자율적으로 개인정보 휴면정책을 마련하되 정보 주체에게 사전 안내한 후 운영해야 한다. 이용자는 오랫동안 이용하지 않는 인터넷서비스는 계속 이용할지 혹은 탈퇴를 통해 개인정보를 파기할지 여부를 확인해 필요한 조치를 취해야 한다.
이용하지 않는 인터넷서비스 내 개인정보에 대한 구체적인 조치내용은 다음과 같다. 먼저 온라인사업자는 자사 서비스 환경에 맞게 휴면정책을 개편해야 한다. 유효기간제 규정 삭제는 정보주체와 개인정보처리자의 의사를 존중해 개별 서비스의 특성에 맞게 휴면고객의 개인정보를 안전하게 관리하도록 한 것이기 때문에 자사 서비스의 특성에 맞게 휴면정책을 개편할 필요가 있다.
예를 들면, ①서비스 미이용 기준 기간을 1년에서 서비스 특성에 맞는 기간으로 변경(6개월, 1년, 2년 등 기간 선택) ②별도 분리 보관 방식에서 서비스 이용고객의 개인정보와 통합 관리하되 휴면고객의 특성에 맞는 안전조치 방안 보완 등이 있다.
인터넷서비스 운영자는 개인정보 휴면정책이 변경된 경우 이에 대해 가입자들에게 사전 안내해야 한다. 종전 유효기간제에 따라 별도로 분리해 보관하고 있던 개인정보를 파기하거나 일반회원 데이터베이스(DB)와 통합 관리하려는 사항은 개인정보 정책에 중요한 변경이 발생한 것이므로 사전에 정보주체에게 알릴 필요가 있다.
정보주체에게 알릴 때는 해당 개인정보를 파기하는 것인지, 별도 분리해 보관하던 개인정보를 통합하려는 것인지를 명확하게 기재하고, 정보주체가 이의를 제기할 수 있는 방법도 함께 알려야 한다.
특히 ‘개인정보 보호법’ 개정(유효기간제 폐지)으로 인해 휴면정책을 변경한다는 사실과 이에 따라 정보주체가 개인정보 파기 또는 서비스 계속 이용 여부를 선택할 수 있다는 사실을 명확히 알릴 필요가 있다. 이때 유의할 점은 정책 변경사항 안내를 마케팅 또는 광고 목적으로 이용하는 것은 개인정보 보호법(제22조, 홍보·판매 권유 별도 동의), 정보통신망법(제50조, 영리목적의 광고성 정보 전송) 등에 반할 소지가 있다는 점이다.
▲개인정보위 휴면정책 변경 사실의 좋은 사례와 잘못된 사례[자료=개인정보위]
일반회원과 휴면회원 데이터베이스(DB) 통합 정책으로 전환 시 주의해야 할 사항도 있다. 첫째, 처음에 인터넷서비스에 회원가입했을 때 정보주체로부터 동의받은 내용과 현재의 서비스 내용 간에 변경된 사항이 있는 경우에는 반드시 변경된 사항에 대해 추가 동의를 받아야 한다는 점에도 유의해야 한다.
둘째, 마케팅을 위한 홍보를 위해 광고성 정보를 전송하려는 경우에는 정보주체로부터 마케팅 활용 동의와 함께 정보통신망이용촉진및정보보호등에관한법률(제50조)에 따른 수신동의 절차를 거쳤는지 여부도 반드시 확인해야 한다. 또한, 약관법에 따라 서비스 이용약관에 유효기간제와 관련된 내용을 포함해 운영하고 있는 경우에는 수정할 사항이 있는지 등을 확인해야 한다.
셋째, 국세기본법, 전자상거래법 등 다른 법률에 따라 개인정보를 일정기간 이상 보관해야 하는 경우의 분리 보관 의무(개인정보 보호법 제21조제3항)는 유효기간제와는 별개의 의무사항이기 때문에 계속해 분리 보관해야 한다는 점을 유의해야 한다.
넷째, 분리 보관하고 있던 휴면회원의 개인정보를 통합한 후 운영하는 과정에서 개인정보 침해가 발생하지 않도록 휴면상태였던 고객에 대해서는 반드시 본인인지 여부를 확인하는 절차(휴대전화 본인확인, 전자우편 본인확인 등)를 마련해 운영할 필요가 있다.
인터넷서비스 이용자도 마찬가지로 오래전에 가입 후 이용하지 않는 서비스에서 유효기간제 폐지 관련 안내를 받은 경우에는 해당 서비스에 접속, 자신의 개인정보를 현행화해 서비스를 이용하거나 회원 탈퇴를 통해 개인정보처리자가 자신의 개인정보를 파기하도록 조치할 필요가 있다. 참고로 웹사이트 회원탈퇴가 어려워 도움이 필요한 경우에는 개인정보위에서 운영하고 있는 웹사이트 회원탈퇴 서비스를 활용해 지원받을 수 있다.
개인정보위 관계자는 “유효기간제가 정보주체와 개인정보처리자의 의사와 무관하게 1년이 지나면 무조건 파기 또는 별도 분리 보관하도록 해 정보주체의 개인정보 자기결정권을 제한하는 문제가 있었다”고 말했다. 실제 코로나19 상황에서 해외여행이 제한됨에 따라 면세점 홈페이지 서비스 이용이 1년 동안 없어서 파기 등의 조치를 하는 경우 이용자와 기업 모두 불편이 발생하기도 했다.
해당 관계자는 “2023년 법 개정을 통해 정보주체의 자기결정권을 보장하고, 개인정보처리자는 서비스 특성에 맞게 스스로 안전한 휴면정책을 마련할 수 있도록 하기 위해 개선한 것”이라고 재차 강조했다.
한편 개인정보위는 새롭게 바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 개정 사항에 대한 안내서를 12월에 최종 발간할 예정이다. 이와 함께 오는 12월 11일에는 안내서 종합 설명회가 예정됐으며, 지속해서 현장 홍보와 계도를 이어갈 예정이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
