▲ 쿠팡
"쿠팡 (회원) 탈퇴한 지 3년 됐는데 (개인정보 유출) 문자가 왜 저한테도 오는 걸까요? 쿠팡은 회원 데이터베이스(DB)에서 탈퇴자 개인정보 삭제를 안 하나요?"
쿠팡에서 3천만 명이 넘는 고객 정보가 유출된 가운데 탈퇴 고객에게도 유출 사실이 공지되면서 개인정보 보관 기간 등에 대한 관심도 커지고 있습니다.
개인정보보호법상 개인정보는 탈퇴 등으로 목적이 달성됐을 때 지체 없이 파기하는 게 원칙이지만, 다른 법령에서 보존기간이 정해져 있으면 이를 따라야 합니다.
보존기간이 정해져 있는 법령에 따라 탈퇴회원 등 정보를 보존해야 하는 경우 다른 개인정보와 반드시 분리해서 저장·관리해야 합니다.
이번에 문제가 된 쿠팡의 경우 개인정보 처리방침에 따르면 아이디(이메일)·이름·휴대전화번호·비밀번호는 탈퇴 시 90일간 보관 후 파기하게 돼 있습니다.
또 부정행위가 탐지된 경우에는 탈퇴 후 해당 정보를 180일간 보관 후 파기합니다.
아울러, 전자상거래법상 ▲ 대금결제 및 재화 등의 공급에 관한 기록(5년) ▲ 계약 또는 청약철회 등에 관한 기록(5년) ▲ 소비자의 불만 또는 분쟁 처리에 관한 기록(3년) ▲ 표시·광고에 관한 기록(6개월)은 탈퇴 시에도 정해진 기간만큼 보관합니다.
위치정보법에 따른 '위치정보 수집·이용·제공사실 확인자료'(6개월)와 통신비밀보호법에 따른 '웹사이트·앱 방문 기록'(3개월)도 법령이 정한 기간대로 보관한다고 쿠팡은 공지했습니다.
문제는 쿠팡이 탈퇴 회원에게도 일반 이용 고객과 마찬가지로 '이름·이메일주소·배송지 주소록·주문정보가 노출됐다'고 공지한 점입니다.
또 쿠팡이 올해 3분기 실적 발표 당시 내놓은 활성 고객(구매 이력이 있는 고객) 수는 2천470만 명인데 유출된 고객 계정 수는 이보다 많은 3천370만 개입니다.
이를 두고 쿠팡이 탈퇴 회원 정보 다수를 90일 이후에도 파기하지 않고 보관했거나 탈퇴 회원 정보를 분리하지 않고 일반 회원 정보와 함께 보관한 것은 아닌가 하는 의혹도 제기됐습니다.
쿠팡은 일단 탈퇴 계정을 별도로 관리한다는 입장을 내놨습니다.
쿠팡 프라이버시센터는 "이용자로부터 동의받은 개인정보 보유기간이 지나거나 처리목적이 달성됐음에도 다른 법령에 따라 개인정보를 계속 보존해야 하는 경우에는 해당 정보를 별도로 분리해 저장·관리한다"고 밝혔습니다.
쿠팡이 신고한 유출 계정 수와 활성 고객 수의 차이 900만 개에는 휴면계정과 탈퇴 계정 등이 모두 포함된 것으로 추정됩니다.
다만 박대준 쿠팡 대표는 지난 2일 국회 현안 질의에서 정보 유출 범위에 대해 "휴면·탈퇴회원 정보도 일부 포함됐을 것"이라고 답했습니다.
유출된 고객 정보의 범위도 불분명합니다.
소비자들 사이에서는 해외 직접구매(직구) 시 사용하는 개인통관번호가 새어나갔다는 소문이 퍼졌습니다.
또 결제정보 유출을 우려해 쿠팡 앱에 등록된 신용카드 정보를 삭제하는 소비자들도 줄을 이었습니다.
쿠팡은 공지를 통해 '카드정보 등 결제정보 및 패스워드 등 로그인 정보는 노출이 없음을 확인했다. 고객이 추가로 조치할 사항은 없다'고 밝혔습니다.
박대준 쿠팡 대표도 국회 현안질의에서 "결제 정보는 유출되지 않았다. 망 분리가 돼 있어서 결제 정보는 같이 보관하고 있지 않다"고 답했지만, 비정상 로그인 시도, 해외 결제 승인 알림 사례가 나오면서 고객 불안은 지속되고 있습니다.
개인정보보호위원회는 지난 3일 쿠팡에 개인정보 '노출' 통지를 '유출' 통지로 수정하고, 유출 항목을 빠짐없이 반영해 재통지한 뒤 7일 이내 조치 결과를 제출하라고 요구한 상태입니다.
개인정보의 보관 기간은 업종별로 차이가 큽니다.
우선, 쿠팡 등 온라인쇼핑 업체들은 전자상거래법에 따라 주문 기록 등을 5년간 보관합니다.
법적 분쟁 등에 대비하기 위해서입니다.
의료기관의 경우 의료법 시행규칙에 따라 진료기록부와 수술 기록은 10년, 환자명부·검사내용 및 검사 소견 기록·방사선 사진 및 소견서·간호기록부·조산기록부는 5년간 보관합니다.
진단서·사망진단서 등의 부본은 3년, 처방전 보관 기간은 2년입니다.
계속적인 진료를 위해 필요한 경우에는 1회에 한 해 보존 기간은 연장할 수 있습니다.
공공기관의 일반 민원처리기록은 공공기록물법에 따라 10년간 보존됩니다.
은행 등 금융기관은 신용정보법에 따라 개인신용정보를 거래 종료 후 5년까지 보존합니다.
다만, 상법에 따라 계약서와 거래신청서 등 중요서류는 10년간 보존합니다.
KT 등 통신사도 전자상거래법에 따라 해지 고객의 계약·청약철회·대금결제 등에 관한 기록을 5년간 보관합니다.
통신사들은 통화내역 등 통신사실확인자료 제공과 관련해 통화일시와 번호·발신기지국 위치정보 등을 12개월간 보관합니다.
이는 통신비밀보호법에 정해져 있습니다.
또 국세기본법에 따라 이름과 주민등록번호·전화번호·청구지 주소·요금납부내역 등은 5년간 보관합니다.
폐쇄회로(CC)TV 영상의 보존기간은 명시적인 기간이나 다른 법령에 특별한 규정이 없는 한 30일 이내라고 '표준 개인정보 보호지침'에 정해져 있습니다.
어린이집과 요양원의 CCTV 영상은 각각 영유아보육법과 노인장기요양보험법 시행규칙에 따라 60일 이상, 버스와 택시는 여객자동차법 시행규칙에 따라 3일 이상 보관해야 합니다.
학교생활기록부와 학교생활세부사항기록부는 준영구 보존 대상으로, 학생 졸업 후 8년 동안 학교에서 보존하고 이후에는 관할 교육청의 기록관리 시스템으로 이관해 보존합니다.
학교폭력 가해 기록은 징계 수준에 따라 보존 기간이 다릅니다.
초·중등교육법 시행규칙에 따라 학교폭력 가해 기록 가운데 서면사과와 접촉금지·학교봉사는 졸업과 동시에 삭제됩니다.
출석정지와 학급교체 기록은 졸업 후 4년간 보존하되 졸업 직전 심의를 통해 삭제할 수 있습니다.
그러나 전학은 예외 없이 4년 보존, 퇴학 기록은 영구보존(삭제불가) 해야 합니다.
동영상 기사
동영상 기사
동영상 기사
동영상 기사
