[법무법인 민후 김도윤 변호사] 웹사이트 또는 모바일 앱을 통하여 재화 또는 용역을 판매·제공하는 스타트업이 많아지고 있다. 이와 같은 사업자는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')상 "정보통신서비스 제공자"에 해당하는데, 개인정보보호법은 정보통신서비스 제공자에게 서비스 이용자의 개인정보를 이용·수집하는 것과 관련하여 몇 가지 의무를 부여하고 있다.
이용자의 개인정보를 수집·이용하기 전에 이용자에게 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간을 알리고 동의를 받아야 한다거나 개인정보처리방침을 수립·공개하여야 한다는 것 등이 그것이다.
그 외에도 개인정보보호법은 정보통신서비스 제공자에게 ▲정보통신서비스를 1년의 기간동안 이용하지 않는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 하는 의무, ▲서비스 미이용 기간 만료 30일 전까지 개인정보가 파기되는 사실, ▲기간 만료일 및 파기되는 개인정보의 항목, 개인정보가 분리되어 저장·관리되는 사실, ▲기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목을 전자우편 등 방법으로 이용자에게 알려야 하는 의무를 부여하고 있다.
이는 이른바 '개인정보 유효기간제'로 일컬어지는데, 기존에는 정보통신망법에 규정되어 있었으나 2020년 정보통신망법에서 개인정보 보호에 관련한 규정을 삭제하고 이를 개인정보보호법상 특례로 규정하면서, 현재는 개인정보보호법에 규정되어 있다.
2012년 정보통신망법에 '개인정보 유효기간제'를 신설하였을 때에는 서비스 미이용 기간을 3년으로 규정하였으나, 2015년부터 위 기간을 1년으로 단축하였다. 서비스 미이용 기간이 1년으로 단축되면서 정보통신서비스 제공자에게 다소 부담이 되는 측면이 발생하였다.
그러나 개인정보보호법 제39조의6 제1항은 단서에서 1년이라는 기간을 다른 법령 또는 이용자의 요청에 따라 달리 정할 수 있다는 점도 규정하였는바, 이하에서는 단서 조항에 관하여 살펴보겠다.
먼저 다른 법령에서 달리 정하고 있는 경우로는, ▲통신비밀보호법에서 통신사실확인자료의 보존기간을 3개월로 정하고 있는 것, ▲신용정보보호법에서 신용정보 업무처리에 관한 기록의 보존기간을 3년으로 정하고 있는 것, ▲전자상거래법에서 소비자의 불만 또는 분쟁처리에 관한 기록을 3년, 계약 또는 청약철회 등에 관한 기록 및 대금 결제 및 재화 등의 공급에 관한 기록을 5년 동안 보존하여야 한다고 정하고 있는 경우가 이에 해당한다.
또한 이용자의 요청에 따라 서비스 미이용 기간을 달리 정할 수도 있다. 즉 이용자의 요청으로 서비스 미이용 기간을 1년 이상으로 정한다면 정보통신서비스 제공자는 이용자가 1년 동안 서비스를 이용하지 않았다 하더라도 그 이용자의 개인정보를 파기하는 등의 조치를 취하지 않아도 되는 것이다. 이때 주의하여야 할 점은 개인정보보호법 제39조의6 제1항 단서가 "이용자의 요청에 따라 달리 정한 경우"라고 하고 있다는 점에 비추어, 정보통신서비스 제공자가 아닌 이용자가 그 기간을 요청하도록 방법을 마련하여야 한다는 점이다.
방송통신위원회가 발행한 ‘개정 「정보통신망법」 중 개인정보보호 규정 안내서’는 서비스 미이용 기간을 1년 이상으로 달리 정하기 위하여 이용자가 요청할 수 있도록 하는 절차를 아래와 같이 마련하도록 예시하고 있다.
정보통신서비스 제공자는 위 예시를 참고하여 이용자가 서비스 미이용 기간을 1년보다 장기간으로 요청할 수 있도록 하는 절차를 마련함으로써, 이용자가 군입대를 하거나 입원하는 등의 사유로 장기간 해당 정보통신서비스를 이용할 수 없는 경우에도 1년마다 개인정보를 파기하거나 분리저장·관리하는 등의 조치를 취하여야 한다거나 서비스 미이용 기간 만료 전 이용자에게 고지하여야 하는 부담을 줄이는 것을 모색할 수 있는 것이다.