개인정보는 영구히 보관할 수 없다. 본문에서는 GDPR, 한국 개인정보보호법, CCPA 기준에 따른 개인정보 보관 기간 설정 방법과 삭제 시점, 실무자가 꼭 알아야 할 데이터 최소 보유 원칙을 정리 보았습니다.
개인정보 보관, 무기한은 절대 허용되지 않습니다
많은 사이트 운영자들이 한 번 수집한 개인정보를 장기간 보관해 두는 경우가 있습니다. 하지만 이는 명백한 법적 위반이 될 수 있습니다. 대부분의 개인정보 보호법은 개인정보를 명확한 목적이 존재하는 기간까지만 보관할 수 있도록 규정하고 있으며, 그 목적이 달성되면 지체 없이 삭제해야 한다고 명시하고 있습니다. 예를 들어, 사용자가 회원가입을 할 때 제공한 이름, 이메일, 주소 등은 회원 서비스 제공이라는 목적이 끝나는 시점, 즉 탈퇴 시 즉시 삭제되어야 합니다. 반면, 전자상거래 관련 법령에 따라 일정 기간 보관이 요구되는 항목도 있기 때문에, 목적별로 보관 기간을 달리 설정하는 것이 핵심입니다. ‘필요한 만큼만 보유’는 단순한 권장사항이 아니라, 법적 의무임을 기억해야 합니다.
GDPR, 한국법, CCPA의 데이터 보관 기준 비교
글로벌 주요 프라이버시 법령은 데이터 보관 기간에 대해 각기 다른 기준을 제시하고 있지만, 핵심 원칙은 다음과 같이 공통됩니다:
- GDPR (EU): Article 5에 따라, 개인정보는 수집 목적이 달성된 이후 불필요하게 보관되어서는 안 됩니다. 보관 기간이 명시되어야 하며, 최소화 원칙(data minimization)과 함께 기한이 지난 데이터는 삭제 또는 익명화해야 합니다.
- 한국 개인정보보호법: 제21조에 따라, 개인정보의 보유 기간이 경과했거나, 처리 목적이 달성된 경우에는 해당 정보를 지체 없이 파기해야 합니다. 또한, ‘개인정보 유효기간제’에 따라 1년 이상 미사용 시 휴면계정으로 전환 및 분리보관 조치가 필요합니다.
- 미국 CCPA: 데이터 보유 기간에 대한 명확한 제한은 없지만, “소비자의 알 권리”에 따라 정보 보유 기간 및 삭제 정책을 사용자에게 공개해야 하며, 요청 시 신속한 삭제 조치를 이행해야 합니다.
이처럼 법령별 세부 규정은 다르지만, 공통적으로 목적 종료 후의 무분별한 장기 보관은 금지되며, 보유 기간과 파기 기준은 반드시 문서화되어야 합니다.
데이터 유형별 보관 기간 설정 기준
개인정보 보관 기간은 데이터의 성격과 사용 목적에 따라 다르게 설정해야 합니다. 다음은 주요 데이터 유형별 실무 기준 예시입니다.
| 회원가입 시 수집한 정보 | 탈퇴 시 즉시 삭제 | 단, 분쟁 대응 목적이라면 3~6개월 보관 가능 |
| 구매/결제 정보 | 5년 보관 | 「전자상거래 등에서의 소비자 보호에 관한 법률」 기준 |
| 서비스 이용기록 | 1~2년 | 마케팅 목적이 아니라면, 최대 2년 이내 삭제 권장 |
| 광고 클릭 기록 | 6개월~1년 | 분석 목적 외 장기 보관은 위험 |
| 고객 상담/문의 기록 | 3년 | 소비자 불만 처리 근거용으로 보관 가능 |
| 로그(IP, 접속 기록 등) | 6개월~1년 | 보안 목적 보관 후 주기적 삭제 필요 |
이러한 보관 기준은 내부 정책에 따라 세분화할 수 있으며, 반드시 개인정보처리방침에 명시되어야 합니다.
삭제는 수동이 아니라 자동화되어야 합니다
보유 기간이 경과한 개인정보는 ‘지체 없이 파기’되어야 합니다. 여기서 ‘지체 없이’란 일반적으로 1개월 이내의 삭제 조치를 의미하며, 단순히 휴지통에 두거나 백업서버에 남겨두는 것도 ‘삭제한 것’으로 인정되지 않습니다. 법적으로 인정되는 파기 방식은 다음과 같습니다.
- 전자적 파일: 복원이 불가능한 방식으로 영구 삭제 (ex. 덮어쓰기, 디가우징 등)
- 종이 문서: 파쇄 또는 소각
- DB 삭제: ‘논리 삭제’만으로는 부족하며, 실제 물리적 삭제까지 진행되어야 함
또한, 삭제 대상이 되는 데이터는 수동 관리가 아닌 자동화된 절차를 통해 정기적으로 파기해야 하며, 관련 로그를 남겨 추후 법적 대응이 가능해야 합니다. 이는 개인정보 영향평가(PIA) 대상 기업이나 ISO 27001 인증 대상 기업에서도 핵심 점검 항목으로 관리되고 있습니다.
웹사이트 운영자가 꼭 챙겨야 할 보관 기간 대응 체크리스트
웹사이트나 온라인 서비스 운영자가 개인정보 보관 기간을 체계적으로 관리하기 위해서는 다음과 같은 조치를 준비해야 합니다.
- 수집한 데이터의 종류와 보관 목적을 명확히 구분합니다
- 항목별 보관 기간을 설정하고, 이를 문서화합니다
- 개인정보처리방침에 보유 기간을 명확히 기재합니다
- 보관 기한이 지난 정보는 자동으로 파기되도록 시스템을 설정합니다
- 삭제·파기 내역은 로그로 남기고 정기적으로 점검합니다
- 휴면회원, 미이용자 등은 일정 기간 후 분리 보관하거나 삭제합니다
이 체크리스트를 기반으로 관리 체계를 갖추면, 법적 리스크를 줄이면서 신뢰받는 운영을 할 수 있습니다.
데이터 보관은 전략이 아니라 책임입니다
개인정보는 필요할 때만 수집하고, 더 이상 필요하지 않다면 책임지고 삭제해야 합니다. 이는 단순한 윤리적 원칙이 아니라, 법적으로 강제되는 기준입니다. 특히 GDPR, 한국 개인정보보호법처럼 보관 기한과 파기 의무를 명확히 규정한 나라에서는, 이를 위반할 경우 과징금이나 행정처분의 대상이 될 수 있습니다. 사이트 운영자, 마케터, 개발자 모두가 이제는 ‘얼마나 오래 보관할 수 있는가?’라는 질문에 대해 명확한 기준을 가지고 있어야 합니다. 보관 기간은 전략이 아니라, 운영자의 신뢰와 책임을 보여주는 기준임을 잊지 말아야 합니다.
'개인정보보호법' 카테고리의 다른 글
| 개인정보처리방침, 진짜 사용자들이 읽게 만드는 방법은? (2) | 2025.05.05 |
|---|---|
| 개인정보 보호는 보안이 전부일까? 보안과 프라이버시의 차이와 운영자가 해야 할 역할 (0) | 2025.05.03 |
| 개인정보 동의서는 만능일까? 동의로 해결되지 않는 개인정보 수집 사례들 (2) | 2025.05.02 |
| 개인정보 처리 위탁, 어디까지 허용될까? 위탁 기준과 계약서 작성 시 유의사항 정리 (2) | 2025.05.02 |
| 방문자 로그 수집, 어디까지 합법일까? 웹사이트 운영자가 알아야 할 개인정보 수집 기준 (0) | 2025.05.01 |
| 쿠키 배너, 언제부터 꼭 필요할까? 지역별 요구사항 정리와 예외 조건 안내 (0) | 2025.04.30 |
| 광고 추적 기술과 개인정보보호: 리타겟팅, 전환 추적은 어디까지 합법일까? (4) | 2025.04.30 |
| CCPA 기준으로 미국 주별 개인정보보호법 대응 체계 만들기 (1) | 2025.04.30 |
