중기부 개인정보 5년 보관 논란, 개인정보보호법 위반 소지 지적

핵심 요약

- 중소벤처기업부가 탈퇴 회원의 개인정보를 5년간 보관하는 정책으로 개인정보보호법 위반 논란 발생 - 처리 목적 달성 후 지체 없이 파기해야 하는 개인정보보호법 제21조 규정과 상충 - AI 프로젝트 위탁 업체의 개인정보 관리 체계 및 과도한 정보 수집에 대한 문제 제기

주요 내용

2026년 6월, 중소벤처기업부(이하 중기부)의 개인정보 보관 정책이 개인정보보호법 위반 소지로 지적받고 있다. 중기부가 운영하는 특정 서비스에서 회원 탈퇴 후에도 개인정보를 5년간 보관하는 것으로 드러나면서, 이것이 관련 법령 및 통상적인 보관 기준보다 과도하게 길다는 비판이 제기됐다.

개인정보보호법 제21조는 "개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다"고 명시하고 있다. 회원 탈퇴는 서비스 이용 목적의 종료를 의미하므로, 특별한 법적 근거나 정당한 사유 없이 5년간 보관하는 것은 이 규정에 정면으로 배치된다.

더욱이 해당 프로젝트의 인공지능(AI) 개발 및 운영을 담당하는 개인정보 위탁 관리 업체의 관리·감독 체계에 대한 우려도 함께 제기되고 있다. AI 시스템 개발 과정에서 개인정보가 학습 데이터로 활용될 경우, 수탁업체의 보안 수준과 개인정보 처리 방침이 더욱 엄격하게 관리되어야 하기 때문이다. 일각에서는 서비스 운영에 필요한 수준을 넘어선 과도한 개인정보 수집이 이루어지고 있다는 지적도 나오고 있다.

전문가들은 공공기관이 솔선수범하여 개인정보 최소 수집 원칙과 목적 달성 후 즉시 파기 원칙을 준수해야 한다고 강조하고 있다. 특히 AI 기술 도입이 확대되는 시점에서 공공부문의 개인정보 처리 관행이 민간 부문의 기준이 될 수 있다는 점에서, 이번 논란은 향후 AI 거버넌스 정책 수립에도 중요한 시사점을 던지고 있다.

전문가 시각

ISMS-P 선임심사원으로서 본 사안을 분석하면, 중기부의 5년 보관 정책은 개인정보 생명주기 관리 측면에서 명백한 문제가 있다. 개인정보보호법 제21조의 '지체 없이 파기' 원칙은 단순한 권고가 아닌 법적 의무사항이며, 탈퇴 회원의 정보는 법령에 특별한 보존 근거가 없는 한 즉시 파기하거나 최소한의 기간(통상 1년 이내) 동안만 분쟁 해결 목적으로 보관해야 한다. 5년이라는 기간은 「상법」상 상행위 관련 장부 보존기간에 해당하지만, 일반적인 공공서비스 회원정보에는 적용되기 어려운 기준이다.

특히 AI 프로젝트에 개인정보 처리를 위탁한 경우, 위탁자인 중기부는 수탁업체에 대한 관리·감독 책임(개인정보보호법 제26조)을 더욱 철저히 이행해야 한다. AI 학습 데이터로 개인정보가 활용될 경우 비식별화 조치, 접근 권한 통제, 학습 후 즉시 삭제 등의 안전조치가 필수적이다. 기업들은 이번 사례를 타산지석으로 삼아, 자사의 개인정보 보관 정책이 법적 근거와 최소 보관 원칙에 부합하는지 재점검해야 하며, 특히 AI 개발 프로젝트에서는 개인정보 처리 단계별 안전조치를 문서화하고 정기적으로 검토하는 체계를 구축해야 한다.

CPPG·ISMS-P 연계 포인트

1. 개인정보 파기 의무 (개인정보보호법 제21조) 개인정보처리자는 보유기간 경과 또는 처리 목적 달성 시 지체 없이 개인정보를 파기해야 한다. 예외적으로 다른 법령에 따라 보존해야 하는 경우 해당 개인정보를 분리 보관하고, 목적 외 이용을 금지해야 한다. ISMS-P 인증심사 시 개인정보 생명주기 관리 및 파기 절차의 문서화·이행 여부를 중점 점검한다.

2. 개인정보 처리 위탁 시 관리·감독 책임 (개인정보보호법 제26조) 위탁자는 수탁자에 대한 관리·감독 책임을 지며, 위탁 계약 시 안전성 확보조치, 재위탁 제한, 위탁업무 종료 후 개인정보 반환·파기 등을 명시해야 한다. AI 프로젝트처럼 개인정보가 학습 데이터로 활용되는 경우, 수탁업체의 데이터 처리 프로세스와 보안 수준을 별도로 검증하고 정기적인 현장 점검을 실시해야 한다.