[직썰톡] 해외직구 2조시대, 국내기업 발목잡는 방통위의 위엄! 이란 글을 읽고 놀라서 개정된 정보통신망법과 시행령을 찾아봤습니다. 정말로 올해 8월부터는 1년간 이용하지 아니하는 이용자의 개인정보를 파기해야 하네요. 기존에는 3년이었는데 최근 개정으로 1년으로 변경되었습니다.
어떻게 해야하나 고민을 좀 해봤는데, 로그인에 필요한 정보(아이디와 패스워드)와 개인정보를 분리해서 다루면 되긴 하겠네요. 그러면 개인정보가 지워졌더라도 로그인은 가능해지니까요. 근데 서비스에서 사용하는 아이디와 패스워드는 개인정보가 아닌건 맞겠죠? ㅎㅎ 혹시 아이디-패스워드와 개인정보를 분리해서 다루는 것이 적절한 대응이 아니거나 더 좋은 아이디어가 있으신 분들은 댓글로 조언 부탁드립니다.
제2조(정의)
① 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2004.1.29., 2007.1.26., 2007.12.21., 2008.6.13., 2010.3.22., 2014.5.28.>
6. “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
제29조(개인정보의 파기)
① 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구·재생할 수 없도록 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2012.2.17., 2014.5.28.>
1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우
2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우
3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우
4. 사업을 폐업하는 경우
② 정보통신서비스 제공자등은 정보통신서비스를 대통령령으로 정하는 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다.
<신설 2012.2.17.>
[전문개정 2008.6.13.]
<정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령>
제16조(개인정보의 파기 등)
① 법 제29조제2항에서 “대통령령으로 정하는 기간”이란 1년을 말한다. 다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다. <개정 2014.11.28.>
1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간
② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 제1항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다.
③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장·관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.
④ 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되거나 분리되어 저장·관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다.
[본조신설 2012.8.17.]
[시행일 : 2015.8.18.] 제16조제1항