카드업계는 통상적으로 계약이 종료된 후에도 5년간 개인정보를 보유하고 있다고 설명한다. 카드사용이 범죄사실과 연동됐을 경우 등을 대비해 계약 종료 이후에 바로 개인정보를 파기하지 않는다는 것이다.
◇정보보유 근거 제각각…어떤 법 따라야 하나
개인정보보호법 21조는 "개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 한다"고 규정하고 있다.
이 법에는 개인정보의 보유기간에 대해서는 명시적인 규정이 없어 약관으로 이를 규정할 수 있다.
이 시각 인기 뉴스
신용정보보호법 20조는 신용정보회사 등은 의뢰자의 성명, 의뢰받은 업무 처리 내용, 제공한 신용정보의 내용 등을 3년간 보존하도록 한다. 상법은 10년간 상업장부와 영업에 관한 중요서류를 보존하고 전표 또는 이와 유사한 서류는 5년간 이를 보존하도록 하고 있다.
이처럼 관련 규정이 혼재된 상황에서 지난해 안전행정부, 금융위원회가 배포한 '금융분야 개인정보보호 가이드라인'도 개인정보 보유 기간에 대해서는 명확히 규정하지 않았다.
한 법률전문가는 "관련법이 제각각 달라 카드사가 개인정보 보유기간을 위반했는지 등을 쉽게 파악할 수 없다"며 "개인정보가 유출된 카드사 탈퇴 회원은 어떻게 대응을 해야 하는지도 모를 것"고 지적했다.
◇TF 출범…기준 통일 될 수 있나
관련법에 따르면 카드사의 탈퇴회원 개인정보 보유 자체는 불법은 아니다. 다만 약관이나 카드사의 기준 등을 몰랐던 고객 입장에서는 당황스러울 수밖에 없다. '탈퇴한지 오래됐는데도 개인정보가 유출됐다'는 고객의 항의는 계속되고 있다.
신제윤 금융위원장은 이날 고객정보보호 정상화 태스크포스(TF)에서 이 문제도 논의하겠다고 밝혔다. 관련법을 정비해 기준을 통일하겠다는 것이다.
법조계에서도 각각 기준이 다른 법을 통일할 필요가 있다고 보고 있다.
김승열 법무법인 양헌 변호사는 "기본법인 개인정보보호법이 특별법인 신용정보보호법보다 늦게 제정되면서 문제가 발생한 것으로 보인다"며 "개인정보 보유에 대한 기준을 새롭게 새우려면 기본법인 개인정보보호법을 손보는 것이 중요하다"고 말했다.
이어 "법률상 개인정보, 신용정보 등의 개념이 달라 개념에 대한 근본적인 정비도 필요하다"며 "이번 기회에 관련법 정비를 통해 혼란을 없애야 한다"고 덧붙였다.
