개인정보 파기문제, ‘일몰제’가 대안될 수 있나?

개인정보 파기에 있어 제도적·기술적 문제 지적돼

이용기간 만료시 자동 파기되는 ‘일몰제’ 적용 필요성 제기

[보안뉴스 민세아] 올해는 유난히도 보안관련 사건사고가 많았다. 그 중에서도 개인정보 유출사고가 특히 잦았다. 사고가 발생한 데는 다양한 원인들이 있지만 가장 큰 문제는 개인정보가 제대로 파기되지 않는 등 효율적인 관리가 이루어지지 않았기 때문이다. 이와 관련해 최근 개인정보 파기에 있어 일몰제를 도입하자는 의견이 제기돼 관심이 모아지고 있다.

▲개인정보가 일정기간 지나면 자동 파기되는 일몰제가 도입된다면?

인터넷 상에서 쇼핑몰 하나를 가입하더라도 동의해야 하는 지침이 수없이 많다. 그 지침을 하나하나 읽어보는 사용자가 얼마나 될까? 그리고 자기가 개인정보를 입력해 가입한 온라인 웹사이트, 쇼핑몰 등을 일일이 다 기억하는 사람이 있을까?

현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)과 개인정보보호법에는 사용자의 개인정보 파기를 위한 규정이 정의돼 있다. 하지만 두 지침이 적용되는 경우가 다르고 규정이 명확하지 않다는 제도적 문제점이 있다.

▲개인정보보호법 제21조, 정보통신망법 제29조 일부

개인정보 파기와 관련해 연세대학교 법학전문대학 오병철 교수는 현행 법제도가 명확하지 않고 모호한 부분이 많아 혼선을 빚고 있다고 밝혔다. 우선 개인정보 수집 시 개인정보의 파기시점이 ‘개인정보 처리 목적 달성’인 경우로 되어 있는데, 개념이 너무 모호해서 이용기간의 실질적인 제한이 없다는 것.

‘개인정보가 불필요하게 되었을 때’라는 표현도 너무 모호하다. 오 교수는 “개인정보처리자는 개인정보가 항상 필요하다고 생각하기 때문에 이 또한 이용기간의 제한이라고 볼 수 없다”고 전했다.

또한, 개인정보 제3자 제공에 대해서도 파기 시점에 대한 구체적인 동의가 필요하다는 지적도 있다. 개인정보의 원 수집자도 이용기간에 제한이 없고, 제공 받는자의 이용기간도 제한이 없으면 수집기간이 장기화 될 수 있기 때문이다.

그렇기 때문에 이용기간이 만료되면 연장 가능 여부를 개인정보 주체에게 동의받아 재수집해야 하고, 개인정보가 파기될 경우 개인정보 주체에게 파기사실을 통보할 필요가 있다는 것이 오 교수의 설명이다.

오 교수는 이러한 법제도 개선을 위해 개인정보 보유 ‘일몰제’를 적용해야 한다고 주장했다. 개인정보 일몰제는 개인정보의 절대적 보유기간을 한정해 기간이 만료되면 자동 파기되도록 하는 방안이다. 프로그램 설계 시점부터 일몰제를 적용해 일정기간이 지나면 자동으로 DB에서 개인정보가 파기되고, 개인정보 주체에게 통보하는 기술적 개선방안도 제시했다. 개인정보를 일정기간동안 이용하지 않으면 파기하는 의무도 신설해야 한다고 덧붙였다.

이와 관련 개인정보보호위원회 박원환 과장은 “일몰제에는 동의하지만 현행 제도 안에서 파기 대상을 찾아내는 기술적 방법이 현실적으로 없을 뿐더러 있다고 하더라도 많은 비용이 소요될 것”이라며, “식별대상 장비들도 서버, 개인 PC, 백업파일 등 데이터 특성이 모두 다르게 산재해 있는 문제점이 있다”고 전했다.

또한 박 과장은 보유기간 산정기준의 무분별함을 꼬집었다. 각 기업마다 정보통신망법, 개인정보보호법, 소득세법, 신용정보법 등의 기준에 따라 다르게 적용하고 보존연한이 다르다는 것이다.

예를 들어 항공사에 가입할 때 현장에서 직접 가입할 때는 개인정보보호법 적용을 받지만, 인터넷에서 가입할 경우 정보통신망법의 적용을 받는 차이가 있다. 하지만 이 정보들은 DB에서 모두 똑같이 다뤄진다.

이처럼 개인정보 파기에 대한 문제점은 많지만, 구체적인 방법은 제시되지 않은 게 현실이다. 이러한 문제점을 일정 부분 개선하고자 오는 11월 29일부터 개인정보 파기기한을 3년에서 1년으로 줄이고 사용자 동의를 강화한 정보통신망법 시행령이 시행될 예정이다. 그러나 개인정보 파기와 관련해서는 아직 갈 길이 멀다.

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)