개인정보 보관 유효기간 폐지 후폭풍을 최소화 하려면?
개인정보 보관 유효기간 제도 폐지 후폭풍
브런치 스토리 독자여러분들은 개인정보 보관 유효기간 제도가 폐지되었다는 소식 혹시 알고 계셨나요?
최근 들어 회원가입한 적이 있었던 홈페이지나 각종 브랜드 서비스에서 휴면계정 해제 안내라는 제목의 메일이나 SMS, 알림톡 등의 메시지를 받아보신분들 많이 계실 겁니다. 자주 접속하는 누리집이나 애용하는 서비스, 브랜드, 멤버십이 아닌 기억도 나지 않는데 가입이 되어 있지만 오랜 기간 사용하지 않거나 접속 흔적이 없는 경우도 많이 있습니다.
이렇게 그동안 장기간 미접속이나 서비스를 이용하지 않았을 경우 휴면 처리가 된다거나 회원정보가 완전 삭제 or 탈퇴 처리된다는 안내는 익숙(?) 하게 받아 본 적 있으셨을 겁니다. 그런데 최근의 메일함이나 SNS 메신저 계정을 열어보면 반대되는(?) 안내 메시지가 와서 살짝 당황스럽거나 이거 담당 실무자가 혹시 잘못 보낸 거 아닌가 싶은데요.
인터넷 홈페이지나 특정 멤버십의 휴면계정을 해제한다는 다소 낯선 공지인데 이런 휴면 해제 안내 메일이나 SMS 메시지들이 최근 들어 연이어서 받는 분들이 많은데 혹시나 비슷한 유형의 피싱 범죄 관련 사기 or 해킹이나 스팸메일은 아닌지 걱정하시는 분들도 일부 계실 것 같습니다. 그런데 그것이 아닙니다.
관련 행정 제도의 변화 때문인데 개인정보 보관 유효 기간제가 폐지되었기 때문입니다. 그동안 개인정보 유효기간제라는 게 시행되고 있었습니다. 인터넷 시대가 열리면서 온라인상에서의 개인정보 유출 사건 사고들이 자주 일어나 문제가 됐습니다.
특히 개인정보 유출 사고 발생 시 장기간 접속하지 않거나 실제 해당 서비스를 이용하지 않는 미이용자 or 가입한 걸 기억조차 못 하는 경우라면 본인의 소중한 개인정보가 유출된 사실조차 인지하지 못하고 넘어가는 경우도 있었고, 단순히 유출되는 것에서 끝나지 않고 다른 사기 사건에 연루되는 2, 3차 추가 피해로 이어지는 경우도 있었습니다.
이 같은 문제가 계속되자 2010년대 초반 기업들이나 공공기관에서 개인정보 보관 및 관리를 위한 유효기간제를 전격적으로 도입하고 2015년 시행에 들어갔습니다.
개인정보 유효기간 제도 도입에 따라 사업자는 1년간 서비스를 이용하지 않는 사용자의 개인정보를 파기하거나 별도로 안전하게 보관하는 의무를 부여하는 조치를 해야 했습니다. 그래서 1년에 한차례씩 휴면계정으로 전환된다거나 파기하다는 메일이나 안내 문자를 받아 본 경험이 적어도 한 차례 이상은 있으실 겁니다.
이후 온라인 회원가입을 했지만 이용할 일이 없어서 방치하면 휴면 처리를 거쳐 계정과 개인정보가 삭제되는 것이 일반적이었는데, 지난해 2023년 하반기로 개인정보보호법 관련 법률이 개정되면서 개인정보 유효기간 제도가 폐지된 것입니다.
개인정보 유효기간 제도를 폐지하게 된 배경에는 온 오프라인 이중규제 개선을 위해 정보 주체의 의사와 무관하게 1년 동안 해당 서비스 이용이 없는 경우 파기 등 조치를 강제했던 규정을 삭제한 것입니다. 일반 소비자 입장에서 오랫동안 사용하지 않은 서비스나 접속 흔적이 장기간 없는 홈페이지에서 개인정보 유출을 방지하기 위한 대책으로 시행하던 제도지만 서비스를 다시 이용할 때 불편함이 발생하고, 관련 민원도 증가하는 추세였으며, 기업 입장에서도 분리 보관하는 강제 의무조항으로 관리 비용이 추가로 들어가는 점과 해외 사업자의 경우는 관련 제도를 준수할 의무가 약해서 역차별 논란도 이어져왔기 때문이라고 합니다.
개인정보 유효기간 제도가 폐지된 지 6개월 정도 지났지만 아직 일반인들은 이런 제도가 없어졌는지 잘 모르는 경우가 많은 반면에 기업의 담당 실무자들은 골치가 아프다고 합니다. 개인정보 유효기간 폐지로 인해 현장에서는 아직도 혼란스럽기 때문인데요. 분리 보관하던 휴면 계정에 속한 고객들의 개인 정보를 하루아침에 다시 전환하는데 법적, 행정적 문제점은 없는지 검토해야 하고, 고객들에게 이 내용을 어떻게 알려야 하는지 방식도 고민해야 하기 때문이라고 합니다.
기업이나 고객을 관리하는 방식이나 기타 개별적 상황을 고려하여 자율적으로 휴면 정책 채택 여부를 정할 수 있다는 입장인데 자사나 브랜드(홈페이지) 서비스 환경에 맞춰서 하라는 게 핵심인 것 같습니다. 실제 기업들마다 대응도 다르게 하고 있는 것 같습니다. 여전히 1년을 유지하는 경우도 있고, 1년이었던 분리 보관 기간을 2년 혹은 5년으로 늘리는 곳도 있고, 아예 폐지하고 한 번 가입한 고객 정보는 거의 평생 관리하는 것으로 약관이나 정관을 수정하는 경우도 생기고 있습니다.
개인정보 유효기간제에 대한 논란은 이번에 폐지가 되기 훨씬 이전에도 쭉 이어져 왔습니다. 미국이나 유럽, 일본과 같은 대부분의 선진국 시장에는 없는 갈라파고스 규제(Regulation)에 속하는 데다가 위에서 언급했다시피 사실상 해외 사업자는 법 사각지대에 있었기 때문에 국내 기업들에 대한 역차별이자 개인정보 분리 보관에 따르는 추가 비용이 낭비라는 거였습니다.
하지만, 개인정보를 다양하게 요구하는 각종 플랫폼(Platform) 채널이나 어플 서비스들이 점점 늘어나고 있는 추세이고, 개인정보 유출 사건 사고가 크게 줄지도 않았는데 기업 입장에서만 바라보는 것 아니냐는 부정적인 의견도 여전합니다. 좀 더 다양한 의견을 수렴하고 청취하는 공론 절차가 필요해보입니다.
개인정보 유효기간 제도 폐지가 6개월 정도 지났는데 실무 현장에서의 여러 혼란이 가중되고 이로 인한 후폭풍들이 여전히 이어지고 있는 것을 보면 고객 개인정보 분리 보관 의무를 기업(사업자)들의 자율에 완전히 맡기는 것보다는 개인정보 보호 위원회나 행정 안전부 등 관련 중앙부처에서 후폭풍을 최소화 할 가이드라인을 마련하거나 후속 입법 마련이 필요해 보입니다.