목차
개인정보보호법이 일부 개정되었다. B2C 서비스 사업자일 경우, 미처 업데이트하지 못 한 부분이 있다면 관련 개정 법안을 검토해보시길 바란다.
주요 변경 사항 중에 기존 법안 39조의6에 해당하는 부분을 살펴볼 필요가 있다. 장기 미이용 회원에 대한 개인정보 조치에 대한 사항이다. 이미 빠르게 대응한 기존 서비스들도 있으니, 아래 사례들을 참고하면 도움이 될 것이다.
주요 이슈
*개인정보보호법 제39조의6(개인정보의 파기에 대한 특례), 개인정보 보호법 시행령 제48조의5(개인정보의 파기 등에 관한 특례) 조항 삭제
1. 서비스 관련 주요 관련 법령을 다루는 국가법령정보센터
아래는 서비스를 운영함에 있어, 주요 법안을 확인하는 곳에 대한 안내이다.
검색창에 <개인정보보호법> & <개인정보보호법 시행령> 입력 후, 해당 전문을 살펴볼 수 있다.
전문 좌상단에 보면, 개정 히스토리와 신구비교, 개정 이유 등을 살펴볼 수 있다.
이전 법안과 비교하여 어떤 부분이 개정되었는지 확인 가능하다.
개인정보보호법 39조의6, 시행령 48조의5 부분을 보면 기존 내용이 삭제된 사항을 확인할 수 있다.
기존에는 해당 법령에 의거 일정기간 서비스를 이용하지 않는 사용자의 경우, 개인정보를 별도 분리보관하여야 하며, 나아가 개인정보 파기(탈퇴) 등의 적절한 조치가 필요했다. 강제 사항이었던 부분이기에 장기 미이용/접속자(휴면)에 대해 대부분의 서비스들에서 별도 휴면정책을 가져가는데,(물론 법의 강제성을 떠나, 휴면정책이 갖는 목적과 의의가 있는 것은 분명하다.) 이 부분이 삭제되면서 필수 조건이 아닌 상황으로 바뀌었다.
장기 미이용자에 대해서는 별도로 정보를 관리하고 때가되면 잘 파기해야 해. (개인정보는 중요하니까!) 였던 게,
해당 조항이 삭제되면서, 강제성이 사라졌다.
장기 미이용자라고 해서 너희들 마음대로 개인정보를 관리하고 삭제하면 안돼.가 아니라, 강제성이 사라진 것으로 보인다.
기업이나 기관은 개별 상황을 고려해 휴면 정책 채택 여부를 정할 수 있게 된 것이다.
그러면, 기존 휴면정책을 시행하고 있는 서비스에서는 정책을 유지할지 말지는 사업자의 판단에 달린 것이겠고, 이는 장기 미이용자에 대한 휴면처리 정책, 나아가 회원의 서비스 이용정책의 방향성과 목적성을 두루 검토하고 결정할 일이 된 것으로 이해된다.
그럼, 우리는 어쩌지? 라는 생각에, 다른 사업자들은 어떻게 이 변경된 부분을 반영하는지 살펴보았다.
변경된 조례를 어떻게 해석하고 서비스에 녹여낼지 고민이 된다면 빠르게 레퍼런스를 살펴보는 것이 가장 쉬운 방법일 수 있다. 유사 서비스나, 동종업계, 비슷한 형태로 서비스하는 곳이 있다면 레퍼런스를 빠르게 확인해봄으로써, 의도와 목적, 추가적으로 검토해봐야할 이슈 등을 어쩌면 쉽게 알아차릴 수도 있을 것이다. (물론, 법률 팀이나 전문 인력을 갖춘 조직이라면 크게 걱정할 일이 없겠지만 말이다.)
2. 개인정보보호법 시행령 2023에 따른, 휴면정책 사례 검토
먼저 코인원은
서비스를 사용하지 않더라도 2023년 11월 23일을 기점으로 휴면계정으로 전환되지 않는다. 라는 정책으로 변경하였다.
토스의 경우도
해당법과 시행령에 의거, 기존에 시행하던 장기 미이용자의 데이터 파기와 분리보관에 대한 정책을 중단한 것으로 보인다.
네이버의 경우,
9월 15일자로 개인정보보호법 제39조의6(개인정보의 파기에 대한 특례)이 폐지됨에 따라 해당 내용을 제외하였다.고 언급하였다. 휴면 정책 등에 대해서는 별도 네이버 ‘계정 운영정책’에 맞춰 시행하고 있다. (계정 장기 미사용 기준 2년으로 변경)
네이버 관계자는 “개정 개인정보 보호법 시행에 맞춰 계정을 장기적으로 사용하지 않았다고 보는 기준을 1년에서 2년으로 변경하게 됐다”며 “앞으로도 신뢰받는 서비스를 제공하기 위해 노력하겠다”고 밝혔다.
요컨데, 앞서 언급한 바대로 개인정보 분리보관 및 나아가 삭제와 같은 적절한 조치가 강제사항이었다면, 개정된 개인정보보호법에서는 서비스 제공자 입장에서는 각자의 상황을 고려해 휴면 정책 채택 여부를 정할 수 있게 된 것을 의미한다.
3. 법, 시행령, 시행규칙에 대해 알아보자
그런데, 검색을 하다보니 개인정보보호법이 있고, 개인정보보호법 시행령이 하나 더 있다. 법, 시행령, 시행규칙은 대한민국에서 법률을 시행하기 위해 필요한 세부적인 규정을 담은 문서고, 이들은 각각 다음과 같은 역할을 한다고 한다.
1. 법(법률)
법률은 헌법 다음에 효력을 가지는 규정으로, 국회의 심의를 통과한 후 제정 혹은 개정됩니다. 법률은 국가의 기본적인 원칙과 국민의 권리와 의무를 규정하며, 이를 바탕으로 시행령과 시행규칙이 만들어집니다.
2. 시행령
시행령은 법률의 시행을 위해 발하는 집행명령과 법률이 특히 위임한 위임명령을 포함하며, 이는 대통령의 명령을 말합니다. 시행령은 법률에서 위임한 사항과 법률을 시행하기 위해 필요한 세부적인 사항을 규정합니다.
3. 시행규칙
시행규칙은 법률과 시행령에서 위임한 사항과 그 시행에 필요한 사항을 규정한 행정기관의 내부 규칙입니다. 시행규칙은 행정기관이 법률과 시행령을 시행하기 위해 필요한 세부적인 사항을 규정합니다.
더 알아보니, 이와 같이 법, 시행령, 시행규칙을 구분한 이유는 다음과 같다.
- 법은 국가의 기본적인 원칙과 국민의 권리와 의무를 규정하는 중요한 문서이기 때문에 국회에서 제정 및 개정됩니다.
- 시행령은 법률을 시행하기 위해 필요한 세부적인 사항을 규정하는 문서이기 때문에 대통령이 제정합니다.
- 시행규칙은 행정기관이 법률과 시행령을 시행하기 위해 필요한 세부적인 사항을 규정하는 문서이기 때문에 행정기관이 제정합니다.
이러한 구분을 통해 대한민국은 법률을 체계적으로 시행하고, 국민의 권리와 의무를 보호하고 있습니다.
4. 삼권분립
법, 시행령, 시행규칙의 구분은 삼권분립과 밀접한 관련이 있다. 중학교때부터 익히 배워 알고 있을. 삼권분립.은 국가의 권력을 입법부, 행정부, 사법부로 나누어 서로 견제하고 균형을 유지하는 제도이다.
입법부는 법률을 제정하고 개정하는 역할을 담당하며, 행정부는 법률을 시행하고 시행령과 시행규칙을 제정하는 역할을 담당한다. 사법부는 법률을 해석하고 적용하는 역할을 담당한다.
법, 시행령, 시행규칙의 구분은 삼권분립의 원칙을 구현하기 위한 것. 법률은 국회에서 제정되고, 시행령은 대통령이 제정하며, 시행규칙은 행정기관이 제정한다. 이는 입법부, 행정부, 사법부가 각각의 역할을 수행하고, 서로 견제하고 균형을 유지하기 위한 것.
예를 들어, 법률에서 위임한 사항을 시행령에서 규정하고, 시행령에서 위임한 사항을 시행규칙에서 규정하는 것은 입법부와 행정부가 서로 역할을 분담하고, 서로 견제하고 균형을 유지하기 위한 것.
따라서, 법, 시행령, 시행규칙의 구분은 삼권분립의 원칙을 구현하고, 국가의 권력을 균형 있게 유지하는 데 중요한 역할을 하는 것이라고 볼 수 있다.