이 글이 답하는 질문입니다
- 탈퇴한 회원의 개인정보는 즉시 삭제해야 하는지 확인합니다.
- 주문·결제 내역을 몇 년 보관해야 하는지 법령 기준으로 정리합니다.
- 마케팅 수신 동의자 연락처를 언제까지 사용할 수 있는지 살펴봅니다.
- 개인정보처리방침에 보유기간을 어떻게 나누어 써야 하는지 안내합니다.
스마트스토어나 자사몰을 운영하다 보면 개인정보 보관기간 질문이 반복됩니다. "탈퇴 회원 정보를 그냥 두면 안 되나요?"라는 질문과 "주문 내역은 무조건 5년 아닌가요?"라는 질문이 동시에 들어올 때, 둘 다 맞는 말처럼 들리지만 사실 다른 법령에서 나온 이야기입니다.
결론부터 말하면 보관기간은 정보의 수집 목적에 따라 달라집니다. 같은 고객의 이름과 전화번호라도 회원 관리용으로 수집한 것과 주문 처리용으로 수집한 것은 적용 법령과 보관기간이 다를 수 있습니다. 이 구분을 개인정보처리방침에 명확히 쓰지 않으면, 실제 보관 행태와 방침이 어긋나 분쟁이나 민원의 빌미가 됩니다.
Q1. 탈퇴 회원 정보는 즉시 삭제해야 하나요?
개인정보보호법 제21조 제1항은 "개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다"고 정합니다. 탈퇴는 회원 가입과 서비스 이용이라는 목적이 종료됨을 의미하므로, 그 목적으로 수집한 정보는 원칙적으로 지체 없이 파기 대상입니다.
그런데 "지체 없이"는 절대적 즉시가 아닙니다. 개인정보보호위원회는 통상 5일 이내를 기준으로 해석하는 경우가 많습니다. 실무적으로는 탈퇴 처리 후 영업일 기준 5일 이내 파기 루틴을 갖추는 것이 적합한 것으로 판단됩니다.
다만 탈퇴 회원이라도 주문 이력이 있다면 전자상거래법상 보관 의무가 남아 있을 수 있습니다. 이 경우 회원 관리 목적 정보는 파기하되, 거래 기록에 최소한으로 필요한 정보(예: 주문번호, 결제금액, 구매일자)만 별도 테이블에 분리해 법정 기간 동안 보관하는 방식을 씁니다. 이름·전화번호 전체를 그대로 두는 것과는 다릅니다.
Q2. 주문·결제 내역은 몇 년 보관해야 하나요?
전자상거래 등에서의 소비자보호에 관한 법률(이하 전자상거래법) 제6조와 같은 법 시행령 제6조가 보관 기간을 정합니다.
| 보관 대상 기록 | 보관 기간 | 근거 조항 |
|---|---|---|
| 계약 또는 청약 철회에 관한 기록 | 5년 | 전자상거래법 시행령 §6 제1호 |
| 대금 결제 및 재화 공급에 관한 기록 | 5년 | 전자상거래법 시행령 §6 제2호 |
| 소비자 불만 또는 분쟁 처리에 관한 기록 | 3년 | 전자상거래법 시행령 §6 제3호 |
| 표시·광고에 관한 기록 | 6개월 | 전자상거래법 시행령 §6 제4호 |
이 기간은 해당 목적에 필요한 최소 정보를 보관하는 기간입니다. 탈퇴 회원의 주문 기록을 전부 그대로 두는 근거가 아니라, 결제·거래 사실을 입증하는 데 필요한 항목만 분리 보관하는 기간으로 이해해야 합니다. 개인정보처리방침에도 이 항목들을 명시적으로 열거하면 감독기관이나 소비자 민원 대응 시 근거가 됩니다.
Q3. 마케팅 수신 동의자 연락처는 언제 삭제해야 하나요?
이메일·SMS·카카오 알림톡 등 광고성 정보를 발송하기 위해 수집한 연락처는 수신 동의가 유지되는 동안만 활용할 수 있습니다. 고객이 수신 동의를 철회하면 해당 목적의 이용은 즉시 중단해야 합니다. 이 부분은 개인정보보호법 제18조(목적 외 이용·제공 제한)와 연결됩니다.
추가로, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제50조의8은 광고성 정보 전송 동의를 받은 날부터 2년마다 수신 동의 여부를 재확인하거나, 동의를 받은 날로부터 2년이 지나면 파기하도록 정합니다. 수신 동의를 받아 두고 2년이 넘도록 방치하는 경우 이 조항 위반 소지가 생길 수 있습니다.
마케팅 동의 정보 관리 체크포인트입니다
- 동의 일자를 함께 저장해야 2년 도래 시점을 추적할 수 있습니다.
- 수신 거부 처리는 당일 또는 다음 영업일 이내로 반영해야 합니다.
- 2년 경과 전 재동의 안내를 발송하거나, 미응답자는 파기 처리해야 합니다.
- 개인정보처리방침에 마케팅 목적 보유기간을 별도 항목으로 명시해야 합니다.
Q4. 개인정보처리방침에 보유기간을 어떻게 써야 하나요?
개인정보보호법 제30조는 개인정보처리방침에 "개인정보의 처리 및 보유 기간"을 포함하도록 정합니다. 단순히 "관련 법령에 따라 보관합니다"처럼 일괄 기재하는 방식은 실무적으로 위험합니다. 수집 목적별로 보유기간이 다른데, 목적 구분 없이 뭉뚱그리면 실제 보관 행태와 방침이 맞지 않는 상황이 생깁니다.
권장하는 방식은 수집 목적별로 표를 나누어 보유기간과 그 법령 근거를 함께 기재하는 것입니다. 아래는 온라인몰 운영에서 자주 쓰이는 항목 예시입니다.
| 수집 목적 | 수집 항목 예시 | 보유기간 | 근거 |
|---|---|---|---|
| 회원 가입 및 서비스 이용 | 이름, 이메일, 비밀번호 | 탈퇴 시까지 (목적 달성 시 지체 없이 파기) | 개인정보보호법 §21 |
| 주문·결제 처리 | 주소, 연락처, 결제수단 | 5년 | 전자상거래법 시행령 §6 |
| 소비자 불만·분쟁 처리 | 문의 내역, 반품 기록 | 3년 | 전자상거래법 시행령 §6 |
| 광고성 정보 발송 (선택 동의) | 이메일, 휴대전화 번호 | 동의 철회 시까지 (최장 2년) | 정보통신망법 §50의8 |
이 표가 방침에 있으면, 실제 데이터베이스 보관 설계도 목적별로 분리하거나 만료 처리 루틴을 달리 설정해야 일관성이 유지됩니다. 방침은 있는데 실제 운영이 다르면, 개인정보 실태 점검이나 민원 제기 시 설명이 어려워집니다.
Q5. 자주 헷갈리는 상황 — "모아두면 언젠가 쓸 것 같아서"
실무에서 개인정보 보관기간 문제가 생기는 가장 흔한 이유는 "나중에 마케팅에 쓸 수도 있어서"라는 이유로 정보를 지우지 않는 경우입니다. 탈퇴 회원 연락처를 그대로 유지하거나, 수신 거부한 고객 정보를 다른 목적으로 재활용하려는 시도가 여기에 해당합니다.
개인정보보호법은 수집 목적 외 이용을 원칙적으로 금지합니다(제18조). 탈퇴 회원의 정보를 재마케팅 목적으로 쓰려면 별도의 동의가 필요하며, 그 동의를 탈퇴 이전 동의가 포괄한다고 해석하기 어렵습니다. 보관기간을 늘리는 방법은 법령이 허용하는 목적 안에서 보관 근거를 명확히 하거나, 목적에 맞는 별도 동의를 받는 것뿐입니다.
개인정보보호위원회(PIPC)는 2023년 이후 온라인 쇼핑몰과 플랫폼 사업자에 대한 실태 점검을 강화하고 있습니다. 처벌보다 시정 권고가 먼저이지만, 같은 사업자에게 반복 지적이 나오면 과태료 부과로 이어질 수 있습니다. 과태료 수준은 위반 유형과 규모에 따라 달라지며, 소규모 온라인몰의 경우에도 수십만 원에서 수백만 원 범위로 부과된 사례가 있습니다.
핵심 정리입니다
온라인몰 고객 정보의 보관기간은 하나의 기준이 아니라 수집 목적별 기준의 묶음입니다. 회원 관리 목적은 탈퇴 시 파기가 원칙이고, 주문·결제 기록은 전자상거래법상 5년(분쟁 처리는 3년), 마케팅 수신 동의 정보는 동의 철회 즉시 중단(최장 2년 주기 재확인)입니다.
이 기준을 개인정보처리방침에 목적별로 나누어 쓰고, 실제 데이터 보관 설계가 방침과 일치하는지 주기적으로 점검하는 것이 실무적으로 안전한 운영 방식입니다. 방침 문서와 실제 운영이 달라지는 시점이 위험의 시작입니다.