깨알같은 금융사 개인정보 활용 동의서 ‘알아보기 쉽게’ 바꾼다
– 개인정보 프로파일링 대응권 강화하고 이동권도 도입
‘깨알글씨’로 알아보기 어렵게 만든 개인정보 제공·활용 동의서가 금융권에서는 사라질 전망이다. 금융사에서 개인정보 수집·이용할 때 받는 개인정보 활용 동의서 양식이 알아보기 쉽게 단순화된다.
정보제공에 따른 사생활 침해 위험도에 따라 동의서에 등급을 매겨 불필요한 정보 수집을 최소화하고 정보주체(개인)가 개별적으로 동의여부를 선택할 수 있도록 개선된다.
금융위원회는 10일 “우리 정보보호 규제가 다른 주요국가들에 비해 엄격한 수준이지만, 정보 주체의 권리가 실질적으로 보호되지 못하는 실정”이라며 이같은 내용의 ‘금융분야 개인정보보호 내실화 방안’을 발표했다.
동의서 단순화·시각화, 사생활 침해 위험도 등급 표기
우선 지나치게 길고 복잡한 개인정보 활용 동의서 양식을 알아보기 쉽게 단순화하고 그림 등을 이용해 시각화해 전달될 수 있도록 양식개정을 우선 추진한다. 추후 ‘신용정보법’을 개정해 동의서 형식 관련 사항을 법제화할 방침이다.
현재 신용정보법은 동의 내용, 동의 방식 등은 규정하고 있으나 정보주체 인지 등과 관련된 동의서 양식의 기본원칙 등은 규정돼 있지 않다.
또 수집·이용·제공되는 정보의 내용을 정보주체에게 요약 정보를 우선 제공토록 하고, 고객이 요구할 경우엔 상세 정보도 함께 제공할 수 있도록 할 계획이다.
동의과정에서 정보주체의 확인부담을 줄이고, 동의를 받아 정보를 활용하는 금융사 등의 책임을 강화하기 위한 조치다.
정보활용 동의시 등급제도 도입한다. 정보제공에 따른 사생활 침해 위험, 소비자 혜택 등에 대한 종합적 평가등급을 산정해 제공하면 개인들이 정보제공 범위나 민감도 수준, 유출시 피해 정도, 정보 활용 관련 정보와 례택 등을 보다 쉽게 알아볼 수 있게 된다.
사생활 침해 위험 정도는 ‘적정’, ‘비교적 적정’, ‘신중’, ‘매우 신중’ 등 4단계의 평가등급으로 구분해 동의서에 표기하는 방안이 제시됐다.
금융위는 등급제가 개인에 대한 정보제공기능 외에도 금융사들이 불필요한 정보수집을 최소화해 개인정보보호 노력으로 이어질 것으로 보고 있다.
아울러 정보주체가 정보활용 현황을 활용목적별․기관별로 구분해 개별적으로 동의여부를 선택할 수 있도록 개선한다. 현재는 활용목적과 기관을 동의서에 명시하기는 하나 일괄 동의관행(무더기 동의)으로 정보주체의 선택권이 제약돼 있다.
다만 필수 동의사항은 제외한다. 동의 절차만 복잡해질 우려가 있어 선택적 동의사항에만 이를 도입한다. 개인의 실질적 선택권을 보장하되 절차적 번거로움은 최소화하자는 취지다.
프로파일링 대응권 강화, 개인신용정보 이동권 도입
개인정보의 자기결정권을 강화하기 위해 프로파일링 대응권을 강화하고 개인신용정보 이동권을 도입하기로 했다.
프로파일링이란 개인정보의 기계화·자동화 처리를 통해 개인의 성격·취향 등을 분석하고 예측하는 행위를 말한다. 금융분야에서는 통계모형·알고리즘에 의한 개인신용평가 외에도 온라인 대출, 자동화된 보험료 산정 등 빅데이터와 인공지능 등의 기술 발전에 따라 맞춤형 상품 개발, 고객관리를 포함해 다양한 영역에서 프로파일링이 확산되는 추세다.
이에 따라 이달부터 시행되는 유럽연합(EU) 일반개인정보보호법(GDPR)에서도 프로파일링 근거와 기준, 개인에게 미칠 영향에 대해 정보주체가 알기 쉽도록 전달해 투명성을 높이고, 정보주체의 적극적인 대응권을 보장하고 있다.
개인신용정보 이동권은 정보주체가 본인의 정보를 보유한 기관이 본인정보를 제3자에 이동할 수 있게 하는 권리를 뜻한다.
금융위는 개인신용평가 관련 일정한 금융거래에 대해 설명요구·이의제기권 등 정보주체의 대응권을 도입, 확대할 방침이다.
개인신용평가 결과에 따라 금융거래를 거절당한 경우, 본인 평가에 활용된 정보 내역과 정확성 확인 요구가 가능해진다.
가령 보험사가 가입자의 주행습관 등 운전행태 정보를 기반으로 자동적으로 보험료를 산정하는 자동차 보험을 판매하고자 할 때, 고객이 설명을 요구하면 보험사는 보험료 산정의 근거가 되는 운전행태를 그래픽 등을 이용해 알기 쉽게 설명해야 한다. 또 모바일 앱(App) 등을 통해 급제동·급가속 등과 같은 주행 습관에 따른 보험료 변동을 알 수 있는 모의실험 등을 제공해야 한다.
개인신용정보 이동권을 도입하면 개인이 직접 정보를 수집하고 제출하는 절차를 금융회사에서 일정 부분 수행해 개인신용평가·여신심사에서 유리하게 활용하고 본인정보관리서비스를 받는 데에도 활용된다.
사후거부제(Opt-out) 도입 검토
금융위는 4차산업혁명 시대에서 현재의 정보활용 사전동의제를 일부 완화해야 한다는 지적이 꾸준히 제기됨에 따라 향후 사후거부제(Opt-out)를 단계적으로 도입하는 방안을 검토한다.
금융위측은 “기술적 특성을 고려하지 않고 사전동의제를 일률적으로 적용하면 사물인터넷(IoT) 등 관련 산업발전을 저해할 우려가 있다”라며 “금융환경 변화 등을 고려해 도입할지를 검토할 것이다. 추가 권리구제·제재수단이 도입될 경우, 이에 상응하는 사전규제 완화 방안으로 사후거부제 도입도 검토할 것”이라고 밝혔다.
이밖에도 금융권 정보보호·보안 강화를 위한 금정보활용·관리 상시평가제를 도입해 내년부터 시행하고, 정보보호 우수기관 인증마크제도 시행할 방침이다.
대량 정보유출·침해사고 등 위기 발생시에 신속하고 체계적인 대응을 통해 규제 실효성 확보하기 위해 금융위가 금융회사, CB사 등의 정보 수집·이용·제공에 대한 포괄적 조치명령권을 가질 수 있도록 신설할 예정이다.
이번 개인정보보호 내실화 방안은 금년 상반기 중 가능한 것부터 추진된다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network