최근 개인정보보호법 시행을 앞두고 여러가지로 개인정보에 많은 관심을 두고 있는데요. 최근 국내 포털에서 최대 개인정보가 유출됨으로 인하여 사회적 파장이 커지고 있습니다.

이러한 가운데 있어서 개인정보보호를 연구하다보니 한가지 불편한 진실이 있어서 정보를 공유해 보고자 합니다. 개인정보를 공부하다보면 '개인정보취급방침'을 정보주체가 알기 쉽게 공개 할 수 있도록 마련해야 하는데요.

대부분 메인 홈페이지나 웹사이트 하단에 식별하기 쉽게 공개를 해야 합니다. 따라서, 개인정보취급방침에 대한 정보주체로서의 가장 많이 보는 문구중에 하나일듯 합니다.

또한, 회원 가입시에도 개인정보 수집동의 부분에서 접하는 여러가지 내용들이 있습니다. 그중에서 필자는 개인정보라이프 사이클 중에서 오늘은 '파기'에 대한 부분을 한번 언급해 보고자 합니다.



                                                   <개인정보보호에서 라이프사이클 중 '파기'의 중요성>

즉시파기한다의 불편한 진실

대부분 법은 일반법으로 법이 존재하고 특별법으로 특별하게 준수해야 하는 법이 존재 합니다. 대부분 특별법 우선이 되겠지요,.

마찬가지로 개인정보를 수집. 이용.저장, 파기의 생명주기를 가지고 하나의 라이프 사이클을 그리면서 반복 순환 되는데요. 법의 원칙상에는 '파기'에는 '즉시파기한다'라는 문구가 아주 많이 있습니다. 얼핏 보기에는 개인정보의 목적 달성후에는 즉시 파기 한다라고 되어 있지만 지금까지 인증심사나 외부 자문시에는 대부분 즉시 파기하는 경우를 한번도 접하지 못하였습니다.

그것은 바로 특별법이나 개별법에 나타난 조항들 때문입니다. 아마도 다음과 같은 조항들이 포함이 되지 않을까 합니다.

표시/광고에 관한 기록
6개월 (전자상거래 등에서의 소비자보호에 관한 법률)

계약 또는 청약철회 등에 관한 기록
5년 (전자상거래 등에서의 소비자보호에 관한 법률)

대금결제 및 재화 등의 공급에 관한 기록
5년 (전자상거래 등에서의 소비자보호에 관한 법률)

소비자의 불만 또는 분쟁처리에 관한 기록
3년 (전자상거래 등에서의 소비자보호에 관한 법률)

신용정보의 수집/처리 및 이용 등에 관한 기록
3년 (신용정보의 이용 및 보호에 관한 법률)

제 개인적인 생각에는 '목적달성을 다 한 후에는 즉시 파기 한다'라는 것이 맞습니다. 하지만 한번도 목적 달성후 그냥 즉시 파기하는 경우가 없었습니다. 그것은 개인정보를 비지니스 목적으로 수집하는 경우가 대부분이었고, 그 비지니스 이면에는 여러가지 전자상거래나 신용정보 또는 금융에 대한 거래가 있었기 때문에 즉시 파기가 되지 않는 것입니다.

이러한 불편한 진실을 있음에도 '즉시파기한다'라는 용어를 쓰면서 마치 즉시 파기 되는 것처럼 느껴지는 것은 저만의 느낌은 아닐듯합니다. 결국 즉시파기는 즉시 파기가 아닌셈이 되는 것이죠.. 이러한 불편한 진실로 인하여 보관주기를 지켜려고 잘못 보관 관리하였다가 개인정보 유.노출로 이어질 가능성이 많다는 것입니다..

이러한 부분이 법과 현실과의 충돌성이나 현실과의 충돌성으로 나타나는게 아닌가 하는 개인적인 생각이 있어서 잠시 적어 보았습니다. 아마도 개선해야할 부분이 아닌가 생각해 봅니다.

그럼 어떻게 개선하는게 좋을까?

사실 비지니스 업무를 하면서 가장 좋은 케이스는 법에서 명시하는 것 처럼 '즉시파기한다'라고 해서 즉시 파기하면 가장 좋은 케이스이지만 그럴경우 여러가지 사후적인 부작용이 나타나게 됩니다. 따라서, 개별법에 따른 보관 주기를 조금 짧게 설정 하는 것은 어떨지 제안해 봅니다.

위의 경우에는 5년은 ->3년으로 3년은 ->1년으로 , 또는 그보다 짧게 3년,2년,1년 등으로 사실, 개인정보를 목적 달성후에 1년씩 일괄 보관후 파기 하는 것으로 하면 어떨까 하는 제안도 해 봅니다. 물론 여러가지 부작용이 있겠지만 개인정보보호관점에서 접근 해 보았다는 사실만 가지고 적어 보았습니다. 이젠 소중한 개인정보 열심히 지켜야 하는 것이 중요합니다.
@엔시스.

신고
Posted by 엔시스