[뉴스레터_지식재산권_제9호_개정법령]
신용정보의 이용 및 보호에 관한 법률 시행령 개정안 소개
이지선 변호사
신용정보법 개정에 맞추어 신용정보법 시행령 개정안에 대한 입법예고가 있었다. 금융회사의 정보보호책임성 강화, 기술의 중립성 확대, 통합신용정보집중기관의 업무 확대(금융권 빅데이터 활성화 지원기관으로 육성할 계획) 등을 내용으로 하고 있다. 이에 시행령 개정안을 소개한다.
신용정보회사 등이 신용정보 처리를 수탁하는 경우, 정보통신망 또는 보조저장매체를 통하여 개인신용정보를 제공하는 경우 금융위원회가 정하여 고시하는 바에 따라 보안서버를 구축하거나 암호화하는 등의 보호조치를 하여야 하며, 수탁자에 대한 교육을 하여야 한다는 조항이 추가되었다. 다만, 특정 보안기술 등을 강제하지 않고 금융회사가 안전한 방식을 선택하도록 했다.
신용정보회사 등이 3년간 보존해야 하는 기록으로서, 개인신용정보 수집이용, 제공, 폐기와 관련한 내용이 추가되었다. 신용정보제공∙이용자가 법에 따라 거래관계가 종료된 개인신용정보를 관리하는 경우 필수적 정보만 분리보관 하는 등 접근통제를 강화하였고(선택적 개인신용정보는 삭제), 최장 5년 이내에 관리대상에서 삭제하는 경우의 예외는 시행령에서 명시하였다. 상거래관계 종료의 날을 정할 경우 신용정보주체에게 알려야 한다는 조항도 추가되었다.
종래 금융기관 외에 한국자산관리공사, 국민행복기금, 휴면예금관리재단, 일정한 대부업자, 일정한 유동화전문회사로부터의 신용정보도 종합신용정보집중기관을 통하여 활용하게 되었다. 이러한 종합신용정보집중기관은 신용정보법 제25조의 2에 따른 업무를 수행하는데, 시행령은 여기에 신용정보를 활용하여 통계작성 및 학술연구 등의 목적을 위하여 특정 신용정보주체를 알아볼 수 없는 형태로 제공하는 업무, 신용정보의 이용에 관한 컨설팅업무 등을 추가하였다. 신용정보집중관리위원회의 구성과 운영에 대한 내용도 있다.
신용정보제공∙이용자가 개인신용정보를 타인에게 제공하려고 하는 경우 동의 받는 방식에 대한 규정도 수정되었다. 모든 개인신용정보에 대하여 동의를 받아야 하며, 동의를 받는 방식에 대하여도 신용정보제공∙이용자가 선택한 안전한 방법 등이 추가되었고, 일정한 규모 이상의 불가피한 경우 동의거부 의사를 표시하지 않는 방식도 동의로 볼 수 있게 되었다. 금융위원회는 금융·IT 융합과 빅데이터 활성화 기반을 조성하기 위해 동의 및 본인확인 방식을 특정 방식(공인인증서∙OTP 등)으로 의무화하지 않고, 거래의 특성을 고려하여 안전한 방법으로 택하도록 하였다고 한다.
필수적 동의사항과 선택적 동의사항을 구분할 경우 고려하여야 하는 규정이 개정되었다. 신용정보회사 등이 필수적 동의사항과 선택적 동의사항을 구분하여 동의받는 경우 정보주체가 동의사항을 쉽게 구분하여 이해할 수 있도록 해야 한다.
신용정보회사 등은 신용정보주체가 최근 3년간 자신의 신용정보 이용·제공 내역을 조회할 수 있는 시스템도 구축해서 신용정보주체가 조회시스템의 이용방법을 알 수 있도록 조치해야 한다. 또한 소비자들이 요청할 경우 정기적으로 신용정보 이용·제공 내역을 통지해야 한다.
정보유출 사고가 발생하면 매출액의 3%까지 금액 상한선 없이 과징금이 부과된다. 징벌적 과징금은 수천억원에 이를 수 있다. 정보유출 관련 위반행위 과태료 부과기준도 시행령 개정안에 포함되었다.