“해킹 당했나?”…접속한 적 없는데 ‘휴면계정 복원’ [법잇슈]

20대 A씨는 올해 휴면계정이 일반계정으로 전환됐다는 메시지를 여러차례 받았다. 일반적으로 휴면계정은 오랜 기간 접속하지 않았던 사이트에 재접속할 때 본인인증 등을 거친 후 다시 일반계정으로 활성화되는데, 접속한 적 없는 사이트에서 문자와 메일이 연이어 온 것이다.

 

최근 A씨의 사례처럼 휴면계정이 일반계정으로 전환됐다는 알림을 받는 사례가 늘어나고 있다. 이는 지난해 9월 ‘개인정보 보호법’이 개정되면서 정보주체가 온라인 서비스를 1년 이상 이용하지 않은 경우 정보를 파기하거나 별도 분리해서 저장하도록 한 ‘유효기간제’ 규정이 삭제됐기 때문이다. 휴면계정은 해당 유효기간제에 따른 것이었다. 구 개인정보보호법은 인터넷서비스 이용자가 1년 또는 다른 법령에서 정한 기간 서비스를 이용하지 않으면 의무적으로 개인정보를 파기하거나 별도로 분리하여 저장하도록 규정하고 있었다.

 

휴면계정이 일반계정으로 전환됐음을 알리는 카카오톡 메시지. 카카오톡 캡처

개인정보 유효기간제는 당초 개인정보 유출을 방지하는 취지로 만들어졌다. 하지만 구글 등 해외 기업도 국내 소비자의 개인정보를 다루게 되면서 국내 기업에 대한 역차별 논란이 생겼다. 해외 주요 국가에서는 찾아보기 어려운 규제라 해외 기업은 법의 사각지대에 있었기 때문이다.

 

규제가 폐지되면서 기업들은 소비자에 대한 개인정보 휴면정책을 자유롭게 마련할 수 있게 됐다. 다만 개인정보보호위원회는 정책 운영 전 정보주체에게 사전 안내하라고 권고했다. 또 소비자가 이용하지 않던 서비스에 대해 계속 이용할지, 혹은 탈퇴(개인정보 파기)할지를 확인해야 한다고도 당부했다. 이에 따라 시민들에게 휴면계정이 일반계정으로 전환됐다는 메시지가 잇따라 전송되는 것이다.

 

일각에서는 법 개정으로 인해 기업들이 개인정보를 마음대로 사용하는 것 아니냐는 우려도 제기된다. 하지만 개인정보보호법 제15조 제1항에 따르면 개인정보 처리자는 정보주체의 동의를 받은 경우 등에만 개인정보를 수집 및 이용할 수 있다. 따라서 회원가입 시 동의한 내용 이외의 목적으로 활용하려면 반드시 당사자에게 추가 동의를 받아야 한다. 또한 휴면계정에서 일반계정으로 전환 시 개인정보 처리자는 정보주체에게 파기 여부 등 의사 여부를 명확하게 물어야 한다. 개인정보위는 정보주체에게 알릴 때는 해당 개인정보를 파기하는 것인지, 별도 분리하여 보관하던 개인정보를 통합하려는 것인지를 명확하게 기재해 알리고, 정보주체가 이의를 제기할 수 있는 방법도 함께 알려야 한다고 권고하고 있다.