개인정보 열람·삭제·정정 요청 대응 — 정보주체 권리 보장 실무 가이드

"제 개인정보 삭제해 주세요" — 이 한 문장을 이용자에게 받았을 때 어떻게 해야 할지 프로세스가 없다면 이미 위법 상태입니다. 개인정보보호법은 정보주체(이용자)에게 명확한 권리를 부여하고, 기업에게는 이를 보장할 의무를 부과합니다.

정보주체가 가진 권리 4가지

개인정보보호법 제35~38조는 정보주체에게 아래 권리를 보장합니다.

| 권리 | 내용 | 처리 기한 | |------|------|---------| | 열람권 | 본인 정보가 어떻게 처리되는지 확인 | 10일 이내 | | 정정·보완권 | 잘못된 정보 수정 요청 | 10일 이내 | | 삭제권 | 처리 목적이 소멸된 정보 삭제 요청 | 10일 이내 | | 처리 정지권 | 동의 철회 또는 처리 중단 요청 | 10일 이내 |

10일을 초과하면 과태료 (최대 3,000만 원) 대상입니다.

열람 요청 대응

고지해야 할 항목

이용자가 열람을 요청하면 아래를 제공해야 합니다:

✅ 열람 제공 항목

□ 수집한 개인정보 항목 및 내용
□ 수집 출처
□ 처리 목적
□ 처리 보유 기간
□ 제3자 제공 현황 (업체명, 항목, 목적)
□ 위탁 현황 (수탁사명, 업무 범위)

거부할 수 있는 경우

아래에 해당하면 열람을 제한할 수 있습니다 (이유를 통지해야 함):

다른 사람의 생명·신체를 해칠 우려가 있는 경우
공공기관의 수사·조세 업무를 방해할 우려
다른 사람의 재산·이익을 부당하게 침해할 우려

삭제 요청 대응

삭제 가능 조건

이용자가 삭제를 요청해도 무조건 삭제할 의무는 없습니다. 다음 조건을 먼저 확인해야 합니다.

삭제 거부 가능한 경우:
① 다른 법령에 보존 의무가 있는 경우
   (예: 전자상거래법 5년 거래기록, 국세기본법 세금 기록)
② 다른 법령에 근거한 처리인 경우
③ 서비스 계약이 아직 유효한 경우

→ 거부 시 반드시 사유를 서면 또는 이메일로 통보해야 함

삭제 처리 예시 코드

def handle_deletion_request(user_id: str, requester_email: str):
    user = User.get(user_id)
    
    # 1. 법정 보존 의무 데이터 확인
    has_legal_hold = check_legal_retention(user_id)
    
    if has_legal_hold:
        # 거부 사유 통보 (10일 이내)
        send_rejection_notice(
            to=requester_email,
            reason="전자상거래법에 따라 거래 기록은 5년간 보존 의무가 있습니다.",
            retained_data=["주문 내역", "결제 기록"],
            deleted_data=["마케팅 수신 동의", "행동 분석 데이터"]
        )
        # 법정 보존 외 데이터는 삭제
        partial_delete(user_id, exclude=["order_history", "payment_records"])
    else:
        # 전체 삭제
        hard_delete_user(user_id)
        send_completion_notice(to=requester_email)
    
    # 처리 기록 남기기
    log_rights_request(
        type="deletion",
        user_id=user_id,
        requester=requester_email,
        result="partial" if has_legal_hold else "full",
        processed_at=datetime.now()
    )

처리 정지 요청 대응

처리 정지는 삭제보다 좀 더 복잡합니다. "이 데이터로 무언가를 하는 것"을 멈추는 것이기 때문입니다.

실무적으로는 두 가지 레벨로 나뉩니다:

마케팅 수신 거부: 이메일, 푸시 알림, SMS 수신 중단 → 동의 철회 즉시 반영
전체 처리 정지: 프로파일링, 행동 분석 등 모든 처리 중단 요청

처리 정지 시 삭제 거부 조건(법정 보존 의무 등)과 동일한 예외가 적용됩니다.

권리 행사 창구 구축

최소 요건

✅ 반드시 갖춰야 할 것

□ 개인정보처리방침에 권리 행사 방법 안내
□ 이메일 또는 웹 폼으로 요청 접수 가능한 창구
□ 접수 확인 자동 응답 (수신 확인)
□ 10일 이내 처리 + 결과 통보 프로세스
□ 처리 기록 관리 (날짜, 요청 내용, 처리 결과)

마이페이지 구현 권장 항목

법적 의무는 아니지만, 아래를 마이페이지에 구현하면 CS 비용을 크게 줄일 수 있습니다:

권장 기능:
- 내 정보 열람 (수집 항목 전체 표시)
- 정보 수정 (이름, 연락처 등 직접 변경)
- 마케팅 수신 동의 관리
- 계정 탈퇴 (자동 파기 프로세스 트리거)
- 개인정보 다운로드 (CSV/JSON)

자주 묻는 질문

Q: 익명 이메일로 삭제 요청이 오면? 본인 확인 절차를 거쳐야 합니다. 다만 본인 확인 방법이 지나치게 복잡하면 권리 행사를 방해하는 것으로 볼 수 있으니, 이메일 인증 수준이 적절합니다.

Q: 탈퇴한 회원이 삭제 요청을 하면? 탈퇴 시 이미 파기 프로세스가 진행됐다면 그 내용을 안내하면 됩니다. 법정 보존 데이터가 남아있다면 보존 사유를 설명해야 합니다.

Q: 10일이 너무 촉박한데 연장할 수 있나요? 처리가 곤란한 경우 10일 이내에 사유를 통보하고 최대 10일을 추가 연장할 수 있습니다 (총 최대 20일).

pipaguard로 권리 보장 현황 점검

개인정보처리방침에 권리 행사 방법이 올바르게 안내되어 있는지 자동으로 검토해드립니다.

무료 PIPA 진단 →

개인정보 열람·삭제·정정 요청 대응 — 정보주체 권리 보장 실무 가이드

정보주체가 가진 권리 4가지

개인정보보호법 제35~38조는 정보주체에게 아래 권리를 보장합니다.

10일을 초과하면 과태료 (최대 3,000만 원) 대상입니다.

열람 요청 대응

고지해야 할 항목

이용자가 열람을 요청하면 아래를 제공해야 합니다:

✅ 열람 제공 항목

□ 수집한 개인정보 항목 및 내용
□ 수집 출처
□ 처리 목적
□ 처리 보유 기간
□ 제3자 제공 현황 (업체명, 항목, 목적)
□ 위탁 현황 (수탁사명, 업무 범위)

거부할 수 있는 경우

아래에 해당하면 열람을 제한할 수 있습니다 (이유를 통지해야 함):

다른 사람의 생명·신체를 해칠 우려가 있는 경우
공공기관의 수사·조세 업무를 방해할 우려
다른 사람의 재산·이익을 부당하게 침해할 우려

삭제 요청 대응

삭제 가능 조건

이용자가 삭제를 요청해도 무조건 삭제할 의무는 없습니다. 다음 조건을 먼저 확인해야 합니다.

삭제 거부 가능한 경우:
① 다른 법령에 보존 의무가 있는 경우
   (예: 전자상거래법 5년 거래기록, 국세기본법 세금 기록)
② 다른 법령에 근거한 처리인 경우
③ 서비스 계약이 아직 유효한 경우

→ 거부 시 반드시 사유를 서면 또는 이메일로 통보해야 함

삭제 처리 예시 코드

def handle_deletion_request(user_id: str, requester_email: str):
    user = User.get(user_id)
    
    # 1. 법정 보존 의무 데이터 확인
    has_legal_hold = check_legal_retention(user_id)
    
    if has_legal_hold:
        # 거부 사유 통보 (10일 이내)
        send_rejection_notice(
            to=requester_email,
            reason="전자상거래법에 따라 거래 기록은 5년간 보존 의무가 있습니다.",
            retained_data=["주문 내역", "결제 기록"],
            deleted_data=["마케팅 수신 동의", "행동 분석 데이터"]
        )
        # 법정 보존 외 데이터는 삭제
        partial_delete(user_id, exclude=["order_history", "payment_records"])
    else:
        # 전체 삭제
        hard_delete_user(user_id)
        send_completion_notice(to=requester_email)
    
    # 처리 기록 남기기
    log_rights_request(
        type="deletion",
        user_id=user_id,
        requester=requester_email,
        result="partial" if has_legal_hold else "full",
        processed_at=datetime.now()
    )

처리 정지 요청 대응

처리 정지는 삭제보다 좀 더 복잡합니다. "이 데이터로 무언가를 하는 것"을 멈추는 것이기 때문입니다.

실무적으로는 두 가지 레벨로 나뉩니다:

마케팅 수신 거부: 이메일, 푸시 알림, SMS 수신 중단 → 동의 철회 즉시 반영
전체 처리 정지: 프로파일링, 행동 분석 등 모든 처리 중단 요청

처리 정지 시 삭제 거부 조건(법정 보존 의무 등)과 동일한 예외가 적용됩니다.

권리 행사 창구 구축

최소 요건

✅ 반드시 갖춰야 할 것

□ 개인정보처리방침에 권리 행사 방법 안내
□ 이메일 또는 웹 폼으로 요청 접수 가능한 창구
□ 접수 확인 자동 응답 (수신 확인)
□ 10일 이내 처리 + 결과 통보 프로세스
□ 처리 기록 관리 (날짜, 요청 내용, 처리 결과)

마이페이지 구현 권장 항목

법적 의무는 아니지만, 아래를 마이페이지에 구현하면 CS 비용을 크게 줄일 수 있습니다:

권장 기능:
- 내 정보 열람 (수집 항목 전체 표시)
- 정보 수정 (이름, 연락처 등 직접 변경)
- 마케팅 수신 동의 관리
- 계정 탈퇴 (자동 파기 프로세스 트리거)
- 개인정보 다운로드 (CSV/JSON)

자주 묻는 질문

Q: 10일이 너무 촉박한데 연장할 수 있나요? 처리가 곤란한 경우 10일 이내에 사유를 통보하고 최대 10일을 추가 연장할 수 있습니다 (총 최대 20일).

pipaguard로 권리 보장 현황 점검

개인정보처리방침에 권리 행사 방법이 올바르게 안내되어 있는지 자동으로 검토해드립니다.

무료 PIPA 진단 →

개인정보 열람·삭제·정정 요청 대응 — 정보주체 권리 보장 실무 가이드

개인정보 열람·삭제·정정 요청 대응 — 정보주체 권리 보장 실무 가이드

정보주체가 가진 권리 4가지

열람 요청 대응

고지해야 할 항목

거부할 수 있는 경우

삭제 요청 대응

삭제 가능 조건

삭제 처리 예시 코드

처리 정지 요청 대응

권리 행사 창구 구축

최소 요건

마이페이지 구현 권장 항목

자주 묻는 질문

pipaguard로 권리 보장 현황 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 열람·삭제·정정 요청 대응 — 정보주체 권리 보장 실무 가이드

개인정보 열람·삭제·정정 요청 대응 — 정보주체 권리 보장 실무 가이드

정보주체가 가진 권리 4가지

열람 요청 대응

고지해야 할 항목

거부할 수 있는 경우

삭제 요청 대응

삭제 가능 조건

삭제 처리 예시 코드

처리 정지 요청 대응

권리 행사 창구 구축

최소 요건

마이페이지 구현 권장 항목

자주 묻는 질문

pipaguard로 권리 보장 현황 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글