직장인 박모(41)씨는 농협카드 홈페이지에서 정보 유출 조회를 통해 자신의 개인정보가 유출된 사실을 확인할 수 있었다.
박씨는 2000년 농협BC카드를 만들었지만 사용실적이 전혀 없어 2005년 자동 회원탈퇴(탈회)가 된 상태였다.
자신의 개인정보가 유출된 것에 불안해진 박씨는 농협카드에 전화를 걸어 개인정보 삭제를 요청했는데 삭제가 불가하다는 답변을 들었다.
박씨는 “농협카드 직원이 상법 조항을 들어 10년간 중요자료를 보관할 수 있다며 아직 10년이 되지 않아 정보 삭제가 안 된다고 했다”면서 “언제 만들었는지 기억도 나지 않는 신용카드 때문에 피해가 생긴 것도 억울한데 삭제가 안 된다니 황당했다”고 말했다.
개인정보가 유출된 카드사에서 ‘탈회’한 즉시 ‘정보 삭제’를 요구하는 사람들이 줄을 잇고 있지만 일부 카드사들이 정보 삭제를 만류해 비난을 사고 있다. 고객들이 2차 피해가 발생할까 불안해하고 있지만 정보 삭제마저 마음대로 되지 않는 것이다.
카드업계는 통상적으로 해당 카드사 회원이 탈퇴하면 5년간 개인정보를 보유하고 있다고 설명한다. 하지만 이것은 개인정보보호법의 해석상 보유기간이며 상법 제33조 1항에 근거하면 얘기가 다르다. 최저 3~10년간 보관할 수 있다고 명시돼 있기 때문이다.
이렇듯 개인정보보호법, 신용정보보호법, 상법 등 근거 법률이 제각각이어서 금융 정보를 10년간 보관하는 게 업계 관행처럼 여겨져 왔다.
개인정보보호법 21조는 “개인정보 처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 됐을 때 지체 없이 파기해야 한다”고 규정하고 있다. 회원 유지기간이 종료되는 시점에서 회원의 개인정보를 파기해야 한다는 의미지만 개인정보보호법이 특별법이 아닌 일반법이어서 타 법률에 우선해 적용되지 않는다는 문제도 있다.
정부는 지난 21일 정홍원 국무총리 주재로 열린 관계장관회의에서 ‘카드 해지 후 5년 뒤 개인정보 삭제 의무화’ 대책을 내놓았다. 여러 법이 각각 다르게 규정한 고객정보 보유기간을 ‘5년’으로 통일한 것이다.
금감원 관계자는 “고객이 탈회 후 개인정보 삭제 요청을 하면 즉시 삭제하는 것이 맞다”면서 “하지만 금융거래상 각종 다툼이나 국세청 등의 자료 제공을 위해 5년 정도 보관하도록 가이드라인을 만들고 있다”고 설명했다.