데이터3법 중 금융 관련 핵심법안인 개정 신용정보의 이용 및 보호에 관한 법률(신용정보법)이 시행을 앞두고 있다. 금융권에서는 가명정보를 활용해 혁신 서비스를 만들 수 있는만큼, 신용정보법과 신설되는 하위규정에 촉각을 곤두세우고 있다.

금융위원회는 20일 은행연합회관에서 개정된 신용정보법 설명회를 개최했다. 개정 신용정보법이 오는 8월 5일 시행을 앞둔 가운데 금융위는 개정된 내용과 하위법령을 안내했다.

이날 코로나 확진 소식에도 불구하고 금융회사, 핀테크 기업 등 업계 관계자 약 500여 명이 참석해 행사장을 가득 메웠다. 금융위는 신용정보법 개정안에 대해  크게 ▲가명정보 활용 ▲마이데이터 활용 ▲처벌 규정 ▲신용조회업무 세분화 ▲개인정보보보호위원회 격상으로 나눠 설명했다.

아울러 새로 생긴 하위규정인 ▲데이터 결합 절차 ▲마이데이터 사업자 스크래핑 금지 ▲신용정보회사 지배구조도 소개했다.

“데이터 결합할 수 있다” 제도적 기반 마련

앞으로 신용정보회사 등은 가명정보를 정보 주체의 동의 없이 활용할 수 있다. 다만 통계작성(상업적 목적 포함), 연구(산업적), 공익적 기록보존이 목적이어야 한다. 여기서 가명정보란 특정 개인을 알아볼 수 없도록 조치한 정보다. 기존에는 개인을 식별할 수 있는 개인정보와, 식별할 수 없는 익명정보만 있었다면 이 사이에 가명정보가 하나 더 생기게 된 셈이다.

단, 금융위는 국가가 지정한 전문기관을 통해서만 결합된 데이터를 받아 활용할 수 있도록 허용한다. 데이터전문기관의 자격 요건은 ▲민법상 비영리 법인이거나 ▲금융위가 정하고 고시한 자본금, 매출액 등 요건을 갖춘 법인이 해당된다. 이 부분은 앞으로 데이터 전문기관을 민간기관까지 확대할 수 있는 근거가 된다.

마이데이터, 누가 할 수 있고 무엇이 안 되는가?

마이데이터는 각종 기관과 기업에 산재한 개인정보를 확인하고 관리, 활용할 수 있는 서비스다. 사업자는 수집된 정보를 바탕으로 맞춤형 상품추천, 금융상품 자문 등 다양하고 혁신적인 서비스를 내놓을 수 있다.

금융위는 마이데이터 사업자의 업무와 금지행위를 명확히 했다. 업무에 대해서는 ▲겸업허용 ▲전자금융업, 대출중개 및 주선, 로보어드바이저를 통한 자문, 일임 ▲본인인증 및 신용정보주체의 식별확인 업무 등으로 규정했다.

금지행위에 대해서는 ▲전송요구권 행사 강요 ▲전송요구권 변경 또는 철회를 어렵게하는 행위 ▲이해상충행위 방지 시스템 미비 ▲보유 데이터 즉각 삭제 등을 명시했다.

또 마이데이터 사업자가 보안 체계를 확보하도록 구체적인 보안 시스템 마련, 보안 지침 등의 하위규정을 신설했다. 구체적인 마이데이터 관련 정책은 오는 4월 말 공개된다.

부작용 방지 ‘안전장치’ 마련하고 ‘책임’ 강화하고

금융위는 데이터 분석시 발생할 수 있는 부작용을 막기 위해 장치를 마련한다. 그 일환으로 개인을 식별할 수 없도록 가공한 가명정보를 재식별하는 방안을 금지한다. 어길 시에는 과태료 5000만원을 부과한다.

또 개인정보 식별을 방지하기 위해, 가명조치에 사용한 추가정보는 일정한 방법으로 분리 보관하도록 한다. 보안대책을 마련하고 시행하는 것을 의무화한다. 일정한 기술적, 물리적, 관리적 보안대책을 수립하고 시행하도록 근거를 마련한다.

처벌 규정도 마련했다. 만약 가명정보를 이용하는 과정에서 특정 개인을 알아볼 수 있도록 한 경우, 가명정보 처리를 중지하고 삭제하도록 한다.

아울러 영리나 부정한 목적으로 특정 개인을 알아볼 수 있도록 가명정보를 처리한 경우, 전체 매출액 3% 이하의 과징금을 부과한다. 5년 이하의 징역 또는 5000만원 이하의 벌금도 부과한다.

개인신용정보가 유출될 경우의 징벌적 손해배상금을 강화했다. 손해액의 3배에서 5배로 늘렸다.

구체화된 신용조회업무 

금융위는 신용조회업무를 세분화했다. 이번 개정안에 따라, 신용조회업(CB)은 크게 ▲개인CB(비금융전문CB, 개인사업자CB) ▲기업CB(기업등급제공, 기술신용평가, 정보조회업) ▲개인사업자CB로 나뉜다.

눈여겨 볼 대목은 개인CB다. 통신료, 전기, 가스, 수도요금 등 비금융 정보를 활용해 신용을 평가하는 ‘비금융정보 전문CB’가 신설된다. 개인사업자에 특화된 ‘개인사업자CB’도 신설되며, 여기에는 카드사도 진입할 수 있다.

아울러 금융위는 신용조회업자의 영리목적 겸업 금지 규제를 폐지했다. 데이터 분석·가공, 컨설팅 등 겸영·부수 업무가 가능하다. 개인CB, 개인사업자CB에는 최대주주 적격성 심사제도가 도입된다.

행정기관으로 격상된 개보위, 법집행 기능 강화

데이터 3법 통과로 인해 개인정보보호위원회(개보위)가 중앙행정기관으로 격상한다. 그동안 정보통신망법에 따라 온라인 부문 개인정보 관련 법집행 기능은 방통위가, 오프라인은 행안부가 소관했으나 이를 개보위로 이관, 통합한다.

개보위는 금융회사를 제외한 상거래 기업과 법인의 개인신용정보 보호에 관한 법집행 기능을 부여받는다. 자료제출요구, 검사권, 출입권, 질문권과 시정명령, 과징금, 과태료 부과 등의 권한을 수행할 수 있다.

신용정보법의 새로운 규정

금융위는 안전성을 이유로 데이터 결합 절차를 구체화했다. 총 8가지 절차로, 결합 신청 방식부터 관리, 보고까지 구체적인 사항을 마련했다.

금융위는 마이데이터 사업자에 한해 스크래핑 방식을 금지할 계획이다. 금융거래내역을 그대로 긁어오는 스크래핑 방식 대신, 정보 오남용 가능성이 없는 방식인 표준 API 방식으로 데이터를 가져올 수 있도록 한다.

신용정보 사업의 건정성 제고를 위해 지배구조와 관련 하위규정도 마련했다. 신용정보회사에 적용되는 지배주주 변경 승인제도, 임원 자격 요건 등에 대해 현행 ‘지배구조법’에 준하는 제도를 도입했다. 또 개인신용평가회사와 개인사업자신용평가회사에 대해 현행 지배구조법에 따른 최대주주의 자격심사를 할 수 있도록 관련 제도를 도입한다.

한편, 금융위는 참석자 의견을 하위법령 개정안에 반영할 계획이다. 금융위는 내달 중 신용정보법 시행령 개정안을 입법 예고하고, 오는 4월 감독규정 개정안 규정 변경을 예고한다.

박주영 금융위원회 금융데이터정책과장은 “설명회를 통해 수렴된 의견 등은 하위법령 개정안에 반영하고, 법률 시행에 차질이 없도록 개정 절차를 진행할 계획”이라고 밝혔다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network