행복해지는 법

대한민국 법무부 공식 블로그입니다. 국민께 힘이되는 법무정책과 친근하고 유용한 생활 속 법 상식을 쉽고 재미있게 전달하겠습니다.

법블기 이야기/힘이되는 법

내 개인정보는 내가 지킨다! 올바른 개인정보 파기법은?

법무부 블로그 2022. 10. 11. 09:00

 

 

최근 전 국민 사이에서 열풍을 불었던 드라마가 있습니다. 바로 이상한 변호사 우영우인데요. 본 드라마의 마지막 에피소드는 인터넷 쇼핑몰 라온에서 발생한, 개인정보 유출 사고였습니다. 그런데 이런 개인정보 유출사고, 왠지 익숙하지 않으신가요? 과거 2016년 한 온라인쇼핑몰에서 2540만 명의 개인정보가 유출되는 사고가 있었습니다. 2017년에는 한 숙박 앱에서 97만 명의 숙박예약정보와 회원정보가 유출되는 사건도 있었습니다. 개인정보 유출 사건은 비단 드라마에서만 접할 수 있는 아닌데요. 그래서 오늘은 개인정보 유출 관련하여 특히 주의해야 할 개인정보 파기내용을 소개하고자 합니다.

 

 

 

어디까지가 개인정보일까?

 

대다수가 웹과 앱으로 생활을 하는 요즈음, 우리는 깊은 고민 없이 개인정보를 기재하곤 합니다. 단 몇 분 내로 회원 가입을 하기도 하고, 한편으로는 필요에 따라 가입된 개인정보를 삭제 요청하기도 하죠.

 

이때 개인정보는 성명, 주민등록번호 등 개인을 알아볼 수 있는 정보는 물론이고, 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보를 쉽게 결합하여 알아볼 수 있는 정보라면 모두 포괄한다고 봐야 합니다. 또 앞선 정보를 가명 처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없더라도, 개인정보로 간주합니다.

 

 

 개인정보보호법
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

 

 

 

 

개인정보 파기, 어떻게 해야 하나요?

 

개인정보 보호법은 개인의 자유와 권리를 보호하는 데에서 더 나아가, 개인의 존엄과 가치를 구현하기 위하여 현재 개인정보 처리자가 어떠한 법적 의무를 부담해야 하는지 명시하고 있습니다. 이때 개인정보 처리자는 업무를 목적으로 개인정보를 운용하기 위해, 스스로 혹 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 일컫는데요. (2조 제5)

 

 

실제로 개인정보 처리자는 제3개인정보 보호 원칙에 따라 개인정보의 처리 목적을 명확히 할 것, 그 목적에 필요한 정보만을 적법하고 정당하게 수집할 것, 개인정보의 정확성과 완전성, 최신성을 보장할 것, 개인정보 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 위험 정도를 안전하게 관리할 것 등 구체적인 사항을 마련하고 있습니다. 이때, 21개인정보의 파기역시 개인정보 처리자가 져야 할 법적 의무로 보아야 옳습니다.

 

 

현행법 제21개인정보 파기에 따르면 개인정보 처리자는 개인정보의 보유 기간이 지나거나 개인정보 처리 목적을 달성한 등 개인정보가 더 이상 불필요하게 되면, 지체 없이 개인정보를 반드시파기해야만 합니다. 이때 추후 정보가 복구 또는 재생될 일이 없도록 해야 하는 것은 기본 사항인데요. 물론, 다른 법령에 따라 개인정보를 반드시 보존하여야 할 시에는 예외적으로 정보를 보관토록 하고 있습니다. 그러나 이때에도 해당 개인정보는 다른 개인정보랑 반드시 분리하여 저장, 관리해야 합니다. 구체적인 방법 및 절차 등은 시행령으로 정하고 있습니다.

 

개인정보 보호법 시행령
제16조(개인정보의 파기방법) ①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다.
1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다.

 

 

그러나 웹 페이지, 앱 서비스를 자발적으로 탈퇴한 회원이 아닌 휴면 회원의 경우에는 주의해야 할 사항이 몇 가지 더 존재합니다. 이때 휴면 회원이라고 하면 현행법 제39조의6 ‘개인정보의 파기에 대한 특례에 따라 정보통신 서비스를 1년의 기간 동안 이용하지 않은 이용자를 말하는데요. 정보통신서비스 제공자는 휴면회원의 개인정보를 보호하기 위해 대통령령이 정한 바에 따라 개인정보 파기 등의 조치를 취해야 합니다.

 

다만 단서 조항에 따라 다른 법령, 혹 이용자의 요청에 따라 달리 정한 경우에는 다른 법령에서 정한 보존 기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장 및 관리해야 합니다. (개인정보 보호법 시행령) 참고로 정보통신서비스 제공자는 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등을 이용자에게 알려야만 합니다.

 

 개인정보 보호법
제39조의6(개인정보의 파기에 대한 특례) ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

 

 

개인정보! 준법의식을 갖고 지켜내야 합니다!

 

 

개인정보의 활용이 잦아지는 만큼 정보 보호의 중요성 역시 날이 갈수록 중요해지고 있습니다. 실제로 최근 스타트업 및 중소기업에서 개인정보를 제때 파기하지 않아 정보주체가 당황스러운 일을 겪은 적도 굉장히 많다고 합니다. 이런 때일수록 웹이나 앱 상 개인정보 처리자가 회원들의 개인정보 삭제 및 파기에 필요한 절차가 무엇인지 기본적으로 인지하고 따르려는 노력이 절실하겠죠?

 

 

이용자 스스로도 개인정보를 제공을 최소한으로 하고, 사용하지 않는 사이트는 탈퇴하는 등의 주의를 기울여야할 것입니다. 택배 송장을 제거하는 노력 정도는 당연한 거겠죠? 최근에는 주민등록번호 대신 본인 확인 용도로 마이핀 번호를 발급받아 이용하는 경우가 있는데요. 마이핀 번호는 13자리 무작위 번호로, 개인정보를 포함하지 않으며 연 5회 변경이 가능하여 유출시 피해를 최소화 할 수 있다는 장점이 있습니다. 주민등록번호에 준하는 번호이기 때문에 온라인에서 본인인증을 하는 용도로 자주 사용되고 있습니다. 그밖에 검증된 웹사이트만을 방문하고, 모르는 사람이 보낸 링크는 클릭하지 않기 등 작은 것 하나라도 의심해봐야 합니다.

 

 

개인정보가 안전하게 보호받고, 정보주체의 권리가 신장되는 그날까지! 내 개인정보가 누군가에게는 범죄의 수단이 될 수도 있고, 범죄의 미끼가 될 수도 있다는 사실을 인지하고 늘 조심하고 또 조심해야겠습니다.

 

 

 

 

= 14기 법무부 블로그기자 김은지(대학부)