휴면 계정 제도의 시작과 끝.

개인정보유효제 혹은 휴면계정 제도는 어떻게,왜 시작되고 없어졌나?

역사

“개인정보 유효제” 혹은 “휴면 계정" 제도가 2012년 시작되었도, 10여년이 지난 2023-09-15일 끝났습니다. 입안부터 폐지까지 온라인 자료만 참고해 정리했습니다. 인터넷 언론 기사와 네이버 포털의 정보보호 블로그를 참고하고 특히 국가법령정보센터를 많이 인용했습니다. 모두 링크를 걸어 원전이 어디인지 쉽게 볼 수 있도록 만들었습니다.

지금으로부터 10여년 전 2012년 개인정보 관련된 뉴스가 언론에 오르내렸습니다. 당시 만든 정보통신망법 시행령 제16조를 살펴봅니다.

From law.go.kr

**제16조(개인정보의 파기 등)** 

① 법 제29조제2항에서 “대통령령으로 정하는 기간”이란 3년을 말한다. 
다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다.
1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간 
② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 제1항의 기간 동안
이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시
파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야
한다. 
③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로
저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를
제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 
④ 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가
파기되거나 분리되어 저장ㆍ관리되는 사실과 기간 만료일 및 해당
개인정보의 항목을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법
중 어느 하나의 방법으로 이용자에게 알려야 한다. 
[본조신설 2012. 8. 17.]

2항만 보면 "... 제1항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다." 라는 문구가 보입니다. "즉시 파기" 혹은 "분리 저장 관리" 의무가 생겼습니다.

그리고 3항만 보면 "만료 30일 전까지 개인정보가 파기되거나 분리되어 저장ㆍ관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다." 는 문구가 있습니다. 이것으로 만료 30일 전까지 이용자에게 통보 하는 규정이 생겼습니다.

그로부터 3여년이 흘러 2015년이 되며 유효기간이 3년에서 1년으로 줄었습니다. 의안 1914819 이 입법되면서 생긴일입니다. 그 의안에서 제안 이유를 발췌해봅니다.

제안 이유 및 주요내용

현행 법령에 따르면 일정한 경우를 제외하고는 정보통신서비스를 일정기간
이용하지 아니한 자의 개인정보는 정보통신서비스 제공자등이 해당
이용자에게 그 사실을 알리고 이를 파기하도록 하고 있음. 그런데 미이용
중인 이용자의 개인정보를 장기간 파기하지 않고 보관하는 것은 해킹 등
유출사고에 취약한 측면이 있어 개인정보 파기 주기를 더욱 단축시켜야
한다는 지적이 있어 왔음. 또한 개인정보 파기 주기는 국민의 권리 의무에
구체적으로 영향을 미치는 사항임에도 불구하고 시행령에 규정하고 있어
법률로 규정할 필요가 있음

이에 정보통신서비스 미사용 이용자의 개인정보 파기 주기 1년을 법률에
규정함으로써 정보통신서비스를 이용하지 아니하는 이용자의 개인정보를 더
두텁게 보호하려는 것임(안 제29조).

이렇게 해서 시행령 제16조 1항에서 적용되는 기간이 1년으로 바뀌게 되었습니다. 바뀐 시행령을 그대로 옮겨보면 다음과 같습니다.

**제16조(개인정보의 파기 등)** 
① 법 제29조제2항에서 “대통령령으로 정하는 기간”이란 1년을 말한다. 
다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다. 
<개정 2014. 11. 28.>

이렇게 지금처럼 저희가 매우 자주 거슬리게 휴면 계정과 관련한 메일을 받게 되는 시간이 시작되었습니다.

이로부터 1년 지난 2016년도에 뜬 기사 "개인정보 유효기간제 위반한 8개 사업자, 1억 1천만원 과태료 부과"를 볼 수 있습니다. ¹ 정보통신위원회가 이 제도를 적용하지 않은 대형포털에게 총합 1억1천만원 과태료를 부과했습니다. SK텔레콤, 엘지유플러스, SK텔링크, 카카오, 줌인터넷, 엠게임, 포워드벤처스가 각각 1500만원씩 과태료 처분을 받았습니다. ²

2020년 02월, 정보통신망법에서 개인정보 조항이 개인정보호법으로 이전되었습니다. 그러니 정보통신망법 제29조2항이 그대로 개인정보보호법 제39조6(개인정보파기에 대한 특례)로 옮겨간 것입니다.

2020.02.04 일 시행된 개인정보보호법 조항을 그대로 옮겨봅니다.

From law.go.kr

[시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정]

제39조의6(개인정보의 파기에 대한 특례) 
① 정보통신서비스 제공자등은
정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를
보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등
필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는
이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가
파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로
정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게
알려야 한다.

[본조신설 2020. 2. 4.]

2023.09.15일, 이 "개인정보 유효제" 혹은 "휴면 계정"의 근거 조항인 개인정보법 제39조6이 삭제 시행되었습니다. 이제 법으로 규정된 사항이 아닙니다. 사업자는 필요에 따라 할 수도 있고 안 할 수도 있습니다. 개인적으로 파기 사실을 알리는 메일만 덜 받을 수 있다면 행복하겠습니다.

개인정보위원회가 법 개정을 알리는 공지를 이곳 에서 했습니다. velog.io 의 dev_ing 님이 발표문에서 이와 관련한 부분을 뽑아 정리해 주신 블로그는 여기있습니다. "230307_개인정보 보호법 개정 위원장 브리핑 발표문(배포).pdf" 에 보면 제39조6 의 삭제에 관해 이런 주석이 달려 있습니다.

“이용자와 기업의 불편 해소를 위해 삭제됨”

제도 폐지에 대한 세계일보의 기사도 있습니다. 링크 이 기사에서는 이용자의 자기 결정권을 침해하고 있다는 언급이 있습니다.

일곱째 1년 휴면회원의 개인정보 파기 규제(39조의 6)가 폐지된다. 이
규제로 군에 입대하거나 해외유학 등을 다녀오면 계정이 정지되어버려
오히려 이용자의 개인정보 자기 결정권을 침해할 수 있다는 비판이
제기되어 왔는데, 개정안에서 이를 수용한 것이다.

이 조항 자체를 삭제하게 된 의안 2104669의 의안원문과 검토보고서를 한 번 살펴보겠습니다. 개인정보보호법의 많은 부분을 바꾸는 의안이라 이 개인정보 유효제 폐지, 휴면 계정 제도 폐지에 대한 언급은 아주 적습니다. 주로 이원화된 법체계를 정비한다라는데 방점이 있습니다.

아주 적지만 검토보고서에서 개인정보 유효제에 대한 언급이라고 할 수 있는 부분을 굳이 굳이 찾아 인용해보면 이렇습니다.

이에 개정안은 이 법 제6장(정보통신서비스 제공자 등의 개인정보처리 등 특례)에 
따른 특례규정 대부분을 삭제하고, 정보통신 서비스 제공자도
오프라인 개인정보처리자와 동일하게 규율받도 록 함으로써 모든
개인정보처리자에 대해 ‘동일행위-동일규제’ 원칙을 적용하려는 것으로
타당한 입법조치로 생각됨.

이 자료들만으로 상상하면 "군 입대" "유학"으로 생기는 불편함, 정보통신서비스 제공자와 그렇지 않은 개인정보처리자에게 모두 같은 규율을 적용한다는 "동일행위-동일규제" 원칙 적용, 서비스제공자의 불편을 해소한다와 같은 측면이 있었을 수 있겠다 싶습니다.

다만 너무 다양한 논의 끝에 다양한 의안들이 함께 논의되기도 했고 정작 "개인정보유효제"에 대한 내용은 별로 없었기에 무엇이 좀 더 큰 영향을 끼쳤는지는 알기 어렵습니다.

어떻게 볼 것인가?

정말 없어졌으면 하는 제도였습니다. 폐지 뉴스에 기쁘고 반가웠습니다. 그러면서 왜 이런 제도가 생겼다가 그리고 없어졌는가, 어떤 식으로 진행된 일인가 궁금했습니다. 그냥 헤프닝으로 봐야 할까요? 이제는 2013년 1년으로 유효기간을 줄일 때 처럼 "미이용 중인 이용자의 개인정보를 장기간 파기하지 않고 보관하는 것은 해킹 등 유출사고에 취약"하지 않아졌나요?

글을 적으며 여러 자료를 찾아 보았지만 이 제도를 없애기 위해 입법기관에서 중대한 노력했거나 큰 악영향이 있어 긴급하게 없앴거나 많은 논의가 있었던 것 같지 않습니다. 그냥 법을 정비하는 와중에 없어졌다는 인상입니다. 슬프지만 그만큼 만들 때도 없앨 때도 사소한 것이 아니었을까 싶습니다.

(혹시 논의과정에서 있었던 뒷이야기나 다른 정보를 가지고 계시면 알려주세요. 듣고 싶습니다)

개인적으로 "개인정보유효제" 혹은 "휴면계정제도"가 국민의 권익보호에 도움은 커녕 해를 주는 제도라 보았고 많은 회사가 제도 준수를 위해 들이는 비용이 크다고 생각했습니다. 제 경력 중에서 각각 2개의 회사가 한 사람이 길게보면 두 달 정도를 일하는 과정을 옆에서 봤습니다. 개인적으로는 보고 싶지 않고 거슬리기만 하는 메일을 계속 보게될 뿐이었습니다.

2012년 도입 당시 사회적으로, 입법기관에서 보기에도, 무척 시급하고 강력한 조치가 필요하다 판단한 일이었지만 시간이 지나고 시행될 필요조차 없다는 공감대가 생겼다 볼 수도 있겠습니다. 그저 세월이 흐르고 강산이 바뀐 거라고요.

앞으로도 이런 법률의 탄생과 죽음이 거의 10년을 주기로 반복될 거라고 생각합니다. 탄생이 있고, 또 그 이후 10여년을 법률과 규칙을 엄격하게 지키고 싶으신 분³들이 다른 사람들에게 이것을 꼭 지켜야 합니다 라고 주장하며 주변 사람들을 불법을 저지르는 자로 취급할 것입니다.⁴ 앞으로 그런 일이 벌어지면 "개인정보유효제의 교훈"을 생각하며 법률이 어떻게 변해갈지 긴 흐름에서 보며 속으로 삭혀보겠습니다. 어떤 분들에게는 "규칙 준수"가 중요하지 "입법 취지"가 중요하지 않을 것입니다. 쉽지 않은 일이겠지만 더 현명하게 대응하며 살아가야 하겠습니다.

앞으로는 어떻게?

"휴면계정 제도"가 10여년 넘게 시행되었고 인터넷에 많은 기록이 남아 앞으로도 오래 혼란이 있을 것이라 생각합니다. 이 기록이 검색에 인덱싱되고 결과에 나와 혼란이 좀 줄었으면 합니다. Bard, ChatGPT 에 물어봐도 잘 대답해주는 때가 오기를 기대합니다.

"개인정보유효제"는 2023-09-15일 삭제 되었습니다. 시행일이 2023-09-15일 입니다. 이용자가 1년 동안 사용하지 않았을 때 개인정보를 파기 혹은 분리보관(휴면계정으로 만들)해야하는 의무가 사업자에게 사라졌습니다. 구현 안 해도 됩니다. 통지도 안 해도 됩니다.

이미 그렇게 구현을 해두셨다면 그리고 "개인정보유효제"를 없애고 싶지 않다면 네이버처럼 기간만 1년에서 2년으로 바꾸는 것도 손쉬운 방법이겠습니다. 혹은 "아시아경제" 처럼 1년 뒤에 "통지없이" 바로 파기하셔도 됩니다. "카카오페이지"처럼 휴면계정을 모두 활성화 시키기만 하셔도 되겠습니다. 사업자 스스로 정하면 됩니다.

다른 법안은 어떻게 입법되는가?

책 "현직 국회 보좌관 13인이 쓴 세상이 바꾸는 입법, 입법이 바꾸는 세상"⁵ 이 어떤 사회적인 요구에 의해 입법이 이루어 지는지 접하기 좋았습니다. 한 꼭지로 "혁신과 상생 사이, ‘타다금지법’ 이혜인" 이 있었습니다. 한 번씩 읽어볼만 합니다.