미이용/휴면회원의 개인정보 파기는 1년마다 해야 하는가? - 개인정보 일몰제

근래 받는 메일의 상당수는 '서비스 미이용에 따른 회원(계정)의 개인정보 파기 안내 혹은 휴면 전환'에 대한 내용이다.

그런데 유사한 서비스임에도 불구하고 어떤 곳은 개인정보를 파기한다고 하고, 어떤 곳은 휴면 상태로 전환을 한다고 한다.

어떤 곳이 적법한 서비스를 하는것인가?

결론부터 말하면 둘다 옳다.

정보통신망법^[각주:1] 저촉 대상인 온라인 사업자 기준으로 설명을 하면, 법에 둘다 명문화된 규정이 있기 때문이다.

다만 사용자경험 및 비즈니스 관점에서 어떤 방식이 더 유리한지 고민하고 적용해야 한다. 

---

정보통신망법 시행령의 16조는 "개인정보의 파기"에 대하여 정의하고 있다.

16조 2항에 보면 "법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다"고 되어 있는데, 법 제29조 제2항은 1년간 이용하지 않은 이용자를 명시하고 있으며, 이 때 해당 기간 경과후 즉시 파기 혹은 다른 이용자의 개인정보와 분리하여 별도 저장/보관할 것을 요구하고 있다.

앞서 말한대로 서비스 미이용 회원에 대한 계정 삭제 혹은 휴면 상태로의 전환이 모두 맞다는 것은 이것에 따른다.

여기서 중요한 것은 '사용자 경험' 및 '비즈니스 관점'에서의 접근이다.

지금의 현대사회는 정보 과잉, 서비스 과잉의 시대이다.

유사한 서비스와 엄청나게 방대한 정보가 범람을 하는 와중에 사용자의 재방문 주기가 짧은 서비스만 있는 것은 아니다.

또한 자주 들어오는 충성/호감 사용자만 있는 것도 아니다.

이런 상황에서 정통망법 제29조의 2항에서 명시한 '1년'이라는 기간동안 한번도 로그인하지 않은 회원을 고지 후 자동 탈퇴하는 것이 바람직한가, 아니면 휴면 상태로 전환하여 별도로 개인정보를 저장/관리하는 것이 옳은 것인가.

1년이라는 기간동안 한번도 로그인하지 않은 회원을 고지 후 자동 탈퇴시킨다면, 그 회원은 해당 서비스를 이용하기 위하여 회원가입 절차를 다시 진행해야 한다. 그러나 휴면상태로 전환할 경우, 최초 로그인 후 상태 전환을 고지하고 다시 바로 이용할 수 있도록 처리할 수 있다. 사용자는 당연히 후자가 편할 것이다. 

한편 비즈니스적인 관점에서도 오랫만에 다시 찾아와준 고마운 사용자를 붙잡을 수 있다는 측면에서 후자가 월등히 이익이다. 오랫만에 로그인할 때, 휴면상태에서 다시 일반 회원으로 전환됨을 고지할 뿐만 아니라 오랫만에 찾아와준 기념(?)으로 각종 쿠폰을 제공하거나 예전에 사용했던 서비스/콘텐츠 로그를 다시 보여주면서 지속 사용 가능 고객으로 리마케팅할 수 있다면 그 기대편익은 비교가 안되기 때문이다. CRM 관점에서도 기존 고객에 대한 정보를 초기화하지 않고, 예전 정보를 어느정도 활용하면서 해당 고객에 타겟팅된 서비스를 제공할 수 있을 것이다.

이렇듯 사용자경험 및 비즈니스 관점 모두 휴면상태로의 전환이 월등히 나은 대안이라면, 내가 하는 서비스에도 그리 적용하는 것이 바람직하지 않을지? 다만 휴면상태로 전환시 아래 법/시행령 내용에 따라 "일반회원의 개인정보 DB"와는 Table를 나누는 등, 명확히 분리할 필요가 있어 보인다. 기존에 보유했던 개인정보를 휴면상태 전환시 그대로 일반회원 DB Table에서 삭제하고, 휴면회원 DB Table로 따로 보관하게 되면, 법적 요건도 충족하고 사용자경험/비즈니스 요건도 충족한다고 생각된다.

정보통신망법 제29조의 2항

② 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

정보통신망법 제16조(개인정보의 파기 등) 

① 삭제 <2016.5.31.>

② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다. <개정 2016.5.31.>

③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장·관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.

④ 법 제29조제3항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다. <개정 2016.5.31.>

1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목

2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장·관리하는 경우: 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목

⑤ 법 제29조제3항에서 "전자우편 등 대통령령으로 정하는 방법"이란 전자우편·서면·모사전송·전화 또는 이와 유사한 방법을 말한다. <신설 2016.5.31.>

[본조신설 2012.8.17.]

얼마전으로 기억하는데 s병원 사이트 리뉴얼을 담당하고 있는 PM님께서 개인정보 DB에 대한 이슈를 말씀하신 적이 있었다. 그래서 나름대로 검토를 했는데 당시 리뉴얼 TFT 측에서는 휴면계정에 대한 '삭제'로 프로세스 로직을 잡고 있었다. 왜 그런지를 물어보니 s병원 내부 법무팀에서 확인하여 피드백한 결과라고 하셨다. 

이에 사용자/비즈니스 관점에서 바로 삭제하기 보다는 휴면상태로의 전환(개인정보의 분리)에 대한 부분으로 로직을 개선해야 함을 알려드렸었다. 적법한 프로세스 중 여러모로 이 방안이 가장 기대편익이 높으니깐. 그러나 안타깝게도 결과는 클라이언트 전산팀이 법무팀을 설득하지 못한 것으로 들었다. 그런데 요즘 해당 s병원에서 메일 온 것을 보니 휴면계정으로의 '전환'으로 로직을 변경한 듯하다. 마케팅적인 측면에서 개인정보의 분리가 영업활동에도 유리함을 뒤늦게 깨달은 것일까? 

기획자로써 한가지 드는 생각은 내부 법무조직이 있다면 법적인 사항은 당연히 해당 부서가 검토하는 것이 맞지만, 그러나 IT 등 전문분야에 대해서는 전산담당자, 구축사의 PM/기획 등의 이해관계자와 '협의'를 하고 함께 검토한 뒤에 결론을 내는 것이 합당하지 않을까 하는 것이다. 물론 여기에는 마케팅 및 CRM 담당자 등 비즈니스를 대표하는 부서의 담당자까지 포함되어야할 것이다. 그래야 갑론을박 중에서도 가장 나은 방안을 취사선택할 수 있기 때문이다. 더불어 발주사의 비즈니스 이익을 위해서라면 구축사가 추가로 검토를 요청한 사항에 대하여 보다 적극적으로 내부 논의/토의를 거쳤다면 애시당초 로직을 설계하는 단계에서 보다 합리적인 의사결정이 가능할 것이다. 

---

한편 정보통신망법 제16조는 개정되어 2017년 9월 23일부로 시행되는 사항이 있는데, 기존 법률 대비 단서가 부연되었다. 아무래도 많은 사용자 불편을 초래하는 것이 사회적 비용 낭비로 귀결되고 있는바, 조금더 부연을 하여 '무조건 삭제'하고 보는 것을 방지하고자 한 것으로 보인다. 

기획자나 설계자가 조금더 고민해야할 부분은 "이용자의 요청에 따라 달리 정한 경우"일 텐데, 최초 개인정보 수집 동의를 받는 과정에서 개인정보 일몰시한에 대하여 이용자가 요청하는 프로세스를 넣어 법에서 정한 1년을 초월하여 설정이 가능할지에 대하여 생각할 필요가 있어 보인다. 

기본은 1년이나, 필요한 경우 사용자가 요청하는 형식을 빌려 이 기간을 좀더 늘릴 수 있다면? 방문주기가 긴 서비스들은 명문화된 이 조항을 비즈니스 관점에서 보다 세밀히 검토한다면 기회가 있지 않을지?  

개정법률안 - 2017년 9월 23일 시행

정보통신망법 제16조(개인정보의 파기 등) 

① 삭제 <2016.5.31.>

② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다. 다만, 법 제29조제2항 본문에 따른 기간(법 제29조제2항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존하여야 하는 경우에는 다른 법령에서 정한 기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다. <개정 2016.5.31., 2016.9.22.>

③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.

④ 법 제29조제3항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다. <개정 2016.5.31.>

1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목

2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목

⑤ 법 제29조제3항에서 "전자우편 등 대통령령으로 정하는 방법"이란 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법을 말한다. <신설 2016.5.31.>

[본조신설 2012.8.17.]

[시행일 : 2017.9.23.] 제16조제2항

Embed from Getty Images

---

이런 전반적인 사항을 '개인정보 일몰제'라고 지칭하고 있다. 

당초에는 3년 정도의 기간을 정해놨으나 2015년에 개정되면서 1년으로 줄어든 것으로 알고 있다. 사실 개인적으로 이 조항에 필요성은 공감하지만 그래도 1년이 너무 짧다는 생각은 계속 든다. 예를들어 군대에 가거나 장기간 유학을 가거나 해서 국내 서비스에 1년 동안 못들어간다면? 이런 경우가 많이 생길텐데 1년은 너무 짧다는 생각이든다. 이것을 2년으로 하든 3년으로 하든, 논란이야 계속되겠지만 최소한 사회적으로 수반되는 비용 등을 함께 고려한다면 2년 안팎이 적당하지 않을까 하는 생각이 든다.

1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 [본문으로]