질문/조언질답게시판

아래는 한 익명사이트의 개인정보처리방침 일부인데요.


수집항목 : 로그인ID , 비밀번호 , 이메일 , 서비스 이용기록 , 접속 로그 , 쿠키 , 접속 IP 정보 , 닉네임
개인정보 수집방법 : 홈페이지(회원가입)
3.회원제 서비스 이용에 따른 본인확인 , 개인 식별 , 불량회원의 부정 이용 방지와 비인가 사용 방지 , 가입 의사 확인 , 연령확인 , 만14세 미만 아동 개인정보 수집 시 법정 대리인 동의여부 확인 , 불만처리 등 민원처리 , 고지사항 전달

 * 개인정보의 보유 및 이용기간

원칙적으로 개인정보의 수집 또는 제공받은 목적 달성시(탈퇴) 지체 없이 파기합니다. 다만, 회원의 부정이용 재발 방지를 위해 이용계약 해지 후 관련 정보를 3개월간 보유할 수 있습니다.

 

정말 물어볼 곳도 없고 네이버 지식인이나 구글 이런 곳에서는 믿을 수 없는 정보들이 많아서 검색을 하다가 여기 사이트를 알게 되었습니다. 잘 아시는 분들 너무 많으신 거 같아서 도움 좀 받을 수 있을까해서 글 남깁니다.

 

정보통신망법 제 29조에 따르면 탈퇴한 회원의 개인정보는 즉시 파기되어야 하는 걸로 알고 있습니다.

제가 여쭙고자 하는 것은 '관련 정보를 3개월간 보유한다' 이 부분인데요.

이 말은 "개인정보"를 3개월간 보유한다는 건가요? 아니면 "다른 관련정보"만 보유한다는 건가요?

개인정보를 3개월씩이나 보관할 수 있나요?

 

꼭 좀 답변 부탁드립니다.

감사합니다.

 

  • profile
    전에 어떤 회원분의 사이트는 탈퇴시 이메일 등을 해시해서 보관해서 재가입을 막는다고 본 것 같습니다.
  • profile ?
    답변 너무 감사드립니다! 그런데 제가 정말 아무것도 몰라서 그런데 해시라는 게 뭔가요?
  • ? profile
    진짜 간단하게 설명하자면...
    복호화가 불가능한 암호화 방식을 말합니다.

    새로운 회원이 가입요청시 기입한 이메일을 해시하여,
    기존에 저장한 탈퇴자들의 이메일 해시값들과 비교해서,
    해당 값이 존재한다면, 그 이메일은 재가입 이메일로 판별되겠죠?
  • profile ?
    아~ 바로 이해되었습니다 정말 감사합니다!

    그렇다면 위의 사이트의 '관련정보'라는 것은 이메일을 의미하는 걸까요?

    탈퇴회원의 IP정보를 보관하는 것은 불법이지않나요?
  • ? profile
    동일한 기술로 다른 정보를 보관해도 법적으로 문제되지는 않지 않을까요 (위에 이메일을 보관하는게 문제가 되지 않는다는 전제 하에)? 다만 아이피 주소는 바꾸기도 쉽고, 개인을 특정하기는 좀 어려운 경우기 있으므로 (특히 공공 와이파이나 데이터 연결 사용시) 굳이 저장할 것 같지는 않네요
  • profile ?

    답변 너무 감사드립니다! 덕분에 많은 도움 받았습니다.
    죄송한데 한 가지만 더 여쭤봐도 될까요?

    탈퇴회원의 경우, 수사기관에서 의뢰를 한다면 저 경우에 피의자를 특정할 수 있나요?

  • ? profile

    먼저 저는 이쪽의 전문가가 아니며 여기서 적는 내용은 모두 제 개인적인 의견입니다. 필요할 경우 반드시 전문가의 조언을 받으시길 권장드립니다.

    개인정보의 정의가 '개인을 특정할 수 있는 모든 정보' 인걸로 알고 있습니다. 그리고 개인정보 처리자는 개인정보 제공 주체의 요청이 있을 경우 즉시 개인정보를 복구 불가능한 방법으로 삭제해야 합니다. 만약 이게 지켜지고 일부 정보만 해싱해서 저장한다면 원칙적으로는 사용자를 특정하기는 불가능합니다. 하지만 해시 함수 특성상 동일한 데이터를 해싱하면 동일한 해시값이 나오고, 이를 증거로 사용하는것은 충분히 가능해 보입니다 (예를 들어 피의자의 이메일 주소가 [email protected] 이라는걸 알고 있고, 해당 웹사이트에서 사용하는 해시 함수에 이 값을 넣으면 ABC 라는 해시 값이 나온다고 가정했을때 해당 웹사이트 데이터베이스에 ABC라는 값이 존재한다면 피의자가 가입했다 탈퇴했음을 유추할 수 있을겁니다. 이메일 외의 다른 정보도 동일한 방법으로 확인이 가능하고요). 물론 이것도 3개월 뒤에 완전히 삭제 된다면 이 방법은 사용이 불가능하겠지요. 이와 별개로 수사 기관이 정당한 절차를 통해 요청하거나 관련 법령으로 인해 추가적으로 데이터를 보관 할 수도 있습니다 (결제를 할 경우 5년간 정보를 보관해야 된다고 했던 것 같습니다). 그리고 수사 기관에서 다른 방법 (디지털 포랜식이나 인터넷 사용 기록 등)을 서버의 로그 등과 비교해서 피의자를 특정할 수도 있겠지요.

    개인적으로는 수사 기관이 마음만 먹는다면 그 피의자가 전문가가 아닌 이상 특정하는게 불가능하지는 않을 것 같습니다.

  • profile ?
    상세하고 긴 답변 너무 감사드립니다. 복 받으실겁니다.
    사실, 사이트에서 제가 모욕을 당해 신고를 하려고 알아보고 있었습니다.
    현재 해당 회원은 탈퇴를 했고 이메일도 탈퇴해 알 수가 없는 상태입니다만, 말씀하신 정보를 토대로 한번 해보도록 하겠습니다.
    정말 너무나도 감사드립니다.
    좋은 하루 되세요~
  • ? profile
    그러셨군요..ㅠㅠ 마음고생 많이 하셨을건데, 아무쪼록 잘 해결되길 바랍니다!
  • profile

    정보통신망법상 '개인정보'의 정의는 '생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)' 입니다.

    경우에 따라 다르지만, 보통 개인정보를 암호화하게되면 (다른 정보와 '쉽게' 결합하여 알아볼 수 있는 경우도 아니므로) '개인정보'의 정의에 의해 더 이상 개인정보가 아니게 됩니다. 더 이상 법적으로 보호받는 개인정보가 아니므로 삭제 요구(탈퇴)를 따르지 않아도 됩니다.

    비교대상이 있다면 그 비교대상도 같은 알고리즘으로 암호화시켜 비교하여 특정할 수도 있으나 보통 재가입 방지가 목적이므로(암호화 값 하나만 보관하므로) 탈퇴 여부만 알 수 있을뿐 어떤 회원인지는 알 수 없을 겁니다.

    참고로 모욕죄가 성립하려면 상대가 내가 누군지 알고(사이트 아이디, 닉네임 말고 내 '개인정보'를 알고 있어야 합니다. 또는 내 얼굴을 알고 있다거나) 공개적인 게시판(비밀글, 메일, 쪽지등 일대일 소통 공간에서는 성립되지 않음)을 통해서 모욕해야 합니다.

  • profile ?
    너무 자세하게 설명해주셔서 감사드립니다!
    다만, 제가 너무 이런 쪽에서 문외한이라서 이해가 어렵네요..

    모욕죄 성립요건은 다 들어맞는 것을 확인을 했습니다.

    한가지 여쭙고자 하는 것은
    '비교대상이 있다면 그 비교대상도 같은 알고리즘으로 암호화시켜 비교하여 특정할 수도 있으나 보통 재가입 방지가 목적이므로(암호화 값 하나만 보관하므로) 탈퇴 여부만 알 수 있을뿐 어떤 회원인지는 알 수 없을 겁니다.'

    쉽게 말해서, 모욕죄가 성립되더라도 이미 탈퇴한 경우 회원이 특정이 되지않아 찾기가 어려울 수 있다는 말씀이신가요?

    제가 이해한 바가 맞다면 위의
    '관련 정보를 3개월간 보유할 수 있습니다'
    이것의 의미는 무엇이죠?
  • ? profile
    코노리님의 말씀은 해당 이메일이 탈퇴한 기록은 남아 있지만 그 이메일주소와 게시글 등을 연관지을 수 없다는 듯인 것 같네요
  • ? profile
    이메일,닉네임,기타정보 등을 연동해 보관하지 않습니다.
    사이트에 따라 부정가입을 막기위해 필요한 항목을 분리해 목록형태로 저장합니다. 암화화해서 저장해서 단독 자료라도 어떤 형태의 메일인지도 알 수 없게 합니다.

    물론 예상되는 이메일넣고 해시처리해서 결과를 가지고 목록에 있는지는 확인이 가능합니다.

    이미 가입후 탈퇴한 이메일 인지 여부만 확인 할 수 있습니다.

    모욕의 내용을 작성한 게시자가 어떤 메일의 소유자인지는 알 수 없습니다.

    재가입을 막는 용도 이상도 이하도 아닙니다.
  • ? profile
    1. 쉽게 말해서, 모욕죄가 성립되더라도 이미 탈퇴한 경우 회원이 특정이 되지않아 찾기가 어려울 수 있다는 말씀이신가요?

    네. 어려울 수 있습니다. 최후의 방법으로는 무식하게 해당 사이트의 웹서버 로그(접속 기록)를 뒤져 그 회원의 ip와 접속시간을 찾아 추적하는 방법이 있습니다만, 단서가 별로 없다면 엄청난 수작업을 요하는 작업이라...

    2. '관련 정보를 3개월간 보유할 수 있습니다'
    이것의 의미는 무엇이죠?

    암호화하여 보관한다는 의미로 해석됩니다. 그게 아니면 불법의 소지가 있습니다. 사이트 운영자에게 문의해보세요.
  • profile ?
    웹지기님, conory님, sanvit님, 웹스택님 모든 분들께 감사드립니다.
    사소한 질문에 정말 자세하게 설명해주셔서 너무너무 감사드립니다.
    결론은 탈퇴했으면 찾기가 힘들군요.

    이메일주소뿐만 아니라 접속IP정보도 마찬가지겠지요?
    어쩔 수 없네요...
    여러분들 덕분에 많이 배워갑니다.
    너무 감사합니다.

    다시 한번, 알려주신 모든 분들께 너무 감사합니다.
    좋은 하루 되세요~
  • ? profile
    IP주소는 이메일 주소와 달리 그 자체만으로는 개인정보라 하기 어렵습니다. 따라서 암호화하여 보관하지 않아도 됩니다. 이미 개인정보가 아니니까요. 해당 게시물이 삭제되지 않고 남아있다면 게시물 정보에 ip가 남아 있을 가능성이 높습니다. 그걸로 추척할 수 있습니다. 다만, VPN의 우회 IP이거나 모바일 데이터 IP(3G, LTE)이면 추척이 쉽지 않을 겁니다.
  • profile
    그런데 XE로 만들어진 사이트의 경우 탈퇴한 회원이 작성했던 글을 남겨 놓은게 있다면.. 몇가지 정보가 확인될 수 있습니다. 이부분을 일반인에게까지 알려지는게 바람직하지 않아 보여 자세히 살명은 하지 않겠습니다.
  • profile ?
    접속 ip정보로도 알 수 없는거겠죠?....
  • ? profile

    사용하는 cms에 따라 탈퇴한 회원이 남긴 흔적(ex:게시글) 에 무엇을 확보할 수 있는지 다를겁니다.

    아이피 정도로 확인하는 과정은 수사기관에서 개인을 특정할 수도 있겠죠. 

  • profile ?
    xe사이트가 아닌, 일반사이트의 경우에서는 위에 말씀하신 것처럼 탈퇴 회원의 ip정보도 암호화해서 보관하므로 수사기관에서 ip로 개인을 특정할 수 있다는 말씀이신가요?
  • ? profile

    아니요. 특정할 수 있는 게시글이 살아있고 그 글 정보 또는 어떠한 방법으로 그 글의 작성 당시 ip를 확인할 수 있다면 수사기관에서 추적할 수 있다는 겁니다.

    xe의 경우 게시글을 확보하면 꽤 많은 정보 확인이 가능합니다.

    이것 또한 수사기관에서 절차에 따라 확보해야겠죠.

     

    ip보관이 어떤 특정인 ip 이런식의 보관이 아닙니다. 

    그냥 아이피의 목록일 뿐입니다. 

  • profile ?
    결론적으로, 일반 사이트의 경우는 추적이 힘들다는 말씀이시죠?
  • ? profile
    글쎄요. 그건 제가 확인할 수 없죠.
  • profile ?
    많이 어렵네요.
    하여튼 웹지기님 도움 주셔서 너무 감사드립니다!
    감사합니다.
  • profile
    일반 회원으로 있는 커뮤니티인가요?
    직접 운영하는 커뮤니티인가요?

    커뮤니티는 어떤 것으로 만들어진 것인가요?

    질문 글 내용상으로 추측해보면 일반회원이고, 사이트는 xe로 만들어진 것인가보네요.
    탈퇴회원의 정보는 같은 xe라도 운영자가 어떻게 해놨느냐에 따라서 보관하고 있는 정보가 다릅니다.

    3개월 보관의 목적이 단순히 재가입을 막기 위한 것인지, 모든 데이터를 보관하고 있는 것인지는 운영자만 알고 있습니다.
    약관 중에 "회원의 부정이용 재발 방지를 위해 이용계약 해지 후 관련 정보를 3개월간 보유"라는 문구로 미루어볼때 모든 데이터를 가지고 있을 것이라고 보입니다. 물론 최소한의 정보만을 가지고 있을수도 있습니다. 암호화 여부는 상관없이요.
    하지만 운영자가 수사기관에 영장없이 개인정보를 그냥 내어줄 이유도, 의무도 없습니다.
    개인정보 유출에 대한 책임을 모두 운영자가 져야 하니까요.

    그리고 사이트와는 별개로 서버 로그만 남아있어도 찾을 수 있습니다.
    아이피 주소만 있어도 찾을 수 있습니다.
    수사기관의 의지만 있으면요.
    아이피는 고유한 값이니까요.
  • profile ?
    말씀 감사합니다.
    제가 일반 회원으로 있는 사이트입니다.
    xe는 뭔지 잘 모르겠네요.

    그런데 요즘 개인정보보호법 관련해서 정보통신망법 제29조에 따르면 '개인정보는 탈퇴 즉시 파기한다' 라고 되어있고, 인터넷 검색해보니 고소해도 탈퇴한 경우 피의자불상으로 못 찾았다는 글이 많이 있네요.

    ip와 로그 등은 개인정보가 아닌가요?
    ip와 로그가 개인정보라면 남아있다고 해도 개인정보는 즉시 파기한다라고 되어있는데 탈퇴한 회원의 경우 영장이 있다고해도 수사기관이 그걸 받을 수 있나요? 즉, 운영자가 개인정보를 수사기관에 넘겨줄까요?

    어찌될지는 모르겠지만 다음 주에 경찰서 방문예정입니다.

    답변 감사드립니다!
  • ? profile

    서버로그와는 별개로 게시판, 회원 같은 것은 어떻게 만드느냐 또는 어떤 솔루션을 이용하느냐에 따라서 저장되는 정보가 다릅니다.

    xe타운은 xe사용자 커뮤니티입니다.

    그러니 말씀하신 커뮤니티가 xe로 만들어져 있구나라고 생각한 것입니다.

    xe로 만들어졌고, 수정하지 않고 그대로 사용중이라면 이런 저런 정보가 저장되고, 탈퇴시 어떤 것이 지워지거나 남아있거나 하는 것을 유추할수 있을 것입니다.

    커뮤니티 주소조차 모르는 상태에서는 탈퇴해도 뭐가 남아있을런지 알아낼수가 없습니다.

    그래서 적어도 서버로그 정도는 남아있겠지 하는 것입니다.

    그렇지만 서버로그도 용량 문제로 보관을 길게 하지 않는 경우가 많습니다.

     

    개인정보는 누구인지 특정할수 있는 두가지 정보가 조합될때 보호를 해야 합니다.
    만약 회원가입을 할때 아이디만 받는다면 개인정보처리방침이 필요없습니다.
    하지만 아이디와 비밀번호가 조합되면 필요하죠.

    회원가입을 하는데 아이디만 받을수는 없으니까요.

    이말은 아이피 단독으로는 아무리 저장하고 있어도 문제가 안된다는 것입니다.

    서버로그는 개인정보에 해당하지 않습니다.
    아이피와 그 아이피가 움직인 경로(에 따른 접속 기록)이니까요. 경로는 개인정보가 아닙니다.

    즉 개인정보는 아이피 1개만 저장하는 것입니다.


    만약 아이피와 아이디를 조합해서 저장하면 개인정보처리방침을 공지하고, 탈퇴시 파기해야 합니다.
    하지만 처리방침에 3개월 보관후 파기라고 되어 있으면 그렇게 해도 됩니다.
    법적으로 특정 기간 동안 저장을 해야하는 경우도 있습니다.

    먼저 달은 댓글 맨 마지막에 적은 것처럼 수사기관의 의지가 가장 중요합니다.
    대부분의 작은 사건에 대해서는 수사기관은 의지가 없고, 그렇기에 영장 발부 또한 쉽지 않습니다.
    어디 사는 누구라고 구체적으로 특정지어주지 않는 이상 현실적으로 경찰이 그정도까지 움직이지 않는 경우가 대부분입니다.

    그래서 피의자불상이라는 결과가 나오죠.
    영장이 발부된다면 대부분의 운영자는 정보를 내줄수밖에 없습니다.
    서버 통째로 압수수색 당하고 싶지는 않을테니까요.

    피의자의 아이피와 접속시간(글 작성시간 등)을 알수 있다면 아이피로 위치를 비교적 정확하게 찾을수 있습니다.
    가정용 아이피라면 통신사에 기록이 남아있으니 주소를 특정지을수 있습니다.
    휴대폰이라면 역시 통신사에 기록이 남아있을것입니다.
    다른 경우도 대부분 범위를 좁혀갈수 있고, 위치가 파악되면 그 시간에 이용한 사람을 찾으면 됩니다.

    역시 경찰이 전화한다고 그냥 알려주지는 않는다는 것이 문제인 것이죠.

    문제는 수사기관이 이러한 노력을 들일만한 일이냐는 것입니다.
    대부분 경찰서내의 사이버수사대는 엄청난 업무량에 시달립니다.
    누구인지 정확히 모르는 상태에서 탈퇴한 회원의 닉네임 정도로만 고소장이 작성된다면 쉽게 위와 같은 노력을 하려할지는 의문입니다.

    그렇다고 고소장을 접수하는 것을 포기하라는 것은 아닙니다.
    좋은 담당경찰을 만나면 피의자를 잡을수도 있을테니까요.

    왠만한 운영자라면 경찰협조공문 정도만으로도 기록을 넘겨줄테니까요.
    공권력에 버텨서 도움될게 없겠죠.