앞으로 금융회사나 일반기업은 각자 보유하고 있는 개인 신용정보를 가명처리한 뒤 결합해 산업적인 목적으로 활용할 수 있다. 데이터3법의 하나인 ‘신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)’의 시행령 개정안이 5일부터 시행되면서 가능해졌다.

이번 신용정보법 개정안 시행으로, 빅데이터 활용과 데이터 융합이 활성화되면서 데이터를 기반으로 한 소비자 맞춤형 금융서비스가 시장에 쏟아질 것으로 전망된다.

아울러 당국은 신용정보업(CB) 허가 관련 진입장벽을 낮추는 대신, 무단 데이터 활용과 침해, 유출 등을 막기 위해 데이터 활용 결합 시 갖춰야 할 요건과 금지사항 등의 장치를 마련했다.

신용정보법 시행령 개정안의 주요 내용을 살펴봤다.

정보집합물의 결합(제14조의2)

금융회사와 일반기업(기업신용정보조회회사)은 보유하고 있는 데이터를 지정된 데이터전문기관을 통해 결합할 수 있다. 이때 데이터에 개인신용정보가 포함된 경우 가명·익명처리를 해야 한다. 또 암호화 등 보호조치를 취해 전달해야 한다.


데이터전문기관은 데이터를 결합한 후, 보안을 위해 사용한 키를 삭제하거나 이를 대체키로 전환해야 한다. 결합된 데이터는 가명·익명처리의 적정성 평가를 거친 뒤 적정할 경우 요청 기업에 전달한다. 데이터전문기관은 기업에게 데이터를 전달한 뒤 원본·결합데이터를 삭제해야 한다.

이후 데이터전문기관은 관련 사항을 기록하고 관리해야 한다. 기록은 1년에 한 번씩 금융위원회에 보고해야 한다.

신용정보업 등의 허가 대상 (제6조)

신용정보업의 허가단위가 세분화된 만큼, 당국은 허가단위별 특성에 맞춰 기업신용정보조회회사의 진입규제를 정비했다. 기존에는 인가단위의 구분없이 신용조회업으로 통칭됐으며 최소 자본금 50억원, 전문인력 10명을 보유해야 했다.

그러나 신용정보법 개정안은 인가단위가 크게 개인CB, 개인사업자CB, 기업CB로 나눠졌다. 총 6개의 CB에 따른 최소자본금, 전문인력 인가단위 기준이 마련됐다.

기업신용정보조회회사의 행위규칙(제18조의5)

신용평가가 공정하게 이뤄질 수 있도록 기업신용정보조회회사의 행위규칙도 신설됐다. 정당한 이유 없이 해당 회사나 계열회사 상품, 서비스 구매나 이용을 조건으로 신용평점을 유리하게 하는 차별적 행위를 금지했다. 계열회사와 금융거래 등 상거래 관계를 맺거나 맺으려는 자의 기업신용평가결과를 그 외의 자의 기업신용평가결과에 비해 유리하게 산정하는 등의 차별적 취급행위를 금지했다.

또 신용평가계약에 따른 대가로 사은품을 제공하는 행위를 포함해 의뢰자에 대한 관대한 평가를 암시하거나 약속하는 등급쇼핑 유발행위등 총 13가지의 행위를 금지했다.

데이터전문기관의 업무와 조건(제22조의4)

데이터전문기관의 업무와 갖춰야 할 조건도 마련됐다. 데이터전문기관의 업무는 정보집합물간 결합과 가명처리 또는 익명처리에 대한 조사·연구, 이와 유사한 업무로 규정했다. 정보집합물간의 결합과 가명처리 또는 익명처리의 표준화에 관한 사항 등이 해당된다.

위험관리체계도 갖춰야 한다. 전문기관업무를 수행하는 직원과 그 외의 직원, 전문기관업무 수행 서버와 그 외 서버를 분리해야 한다. 이밖에도 당국은 데이터전문기관의 요건과 데이터전문기관 지정절차, 지정취소 사유 등을 규정했다.

사업자별 겸영업무와 부수업무(제11조)

신용정보회사, 본인신용정보관리회사, 신용조사회사, 채권추심회사 등 각 사업자별 특성에 따라 인·허가·등록 등을 통해 겸영하거나 부수적으로 할 수 있는 업무 범위도 구체화했다.

겸영업무는 기존과 같이 본인신용정보관리업, 관련 법에 따른 공인전자 문서중계자의 업무, 금융 관련 법령 외의 법률에서 인가 허가 또는 등록을 통해 운영할 수 있는 업무, 관련 법에 따른 클라우드컴퓨팅서비스 제공자의 의무, 그밖에 금융위가 정해 고시하는 업무 등이 해당된다.


제11조2가 신설되며 부수업무도 할 수 있다. 신용정보회사, 본인신용정보관리회사, 신용조사회사, 채권추심회사는 금융상품에 대한 광고, 홍보 및 컨설팅이나 신용정보업과 관련된 연수, 교육 및 출판, 행사기획 등을 할 수 있다. 또 관련 연구, 조사 등 용역업무, 상담업무 혹은 본인인증 및 신용정보주체의 식별확인 업무 등을 부수적으로 진행할 수 있다.

개인신용정보 전송요구권(제28조의3)

‘개인신용정보 전송요구권’은 정보주체에 대한 신용정보를 지정하는 제3자에게 전달할 수 있도록 요구할 수 있는 권리다. 정보의 주인인 정보주체가 행사할 수 있다. 해당 정보 범위는 금융거래정보, 국세, 지방세 납부 정보, 4대 보험료 납부정보, 통신비 납부정보 등이 해당된다.

예를 들어 정보주체는 금융회사나 전기통신사업자, 공공기관 등이 보유한 개인신용정보를 본인이나 마이데이터 사업자, 금융회사 등에 전송할 것을 요구할 수 있다. 또 신용정보 전송요구의 방법, 전송의 기한 및 방법, 전송요구 철회의 방법 및 거절이나 정지·중단의 방법을 세부적으로 규정했다.

<관련기사> ‘데이터 3법’ 마침내 시행…동의없는 개인정보 이용·가명정보 결합 방법은

<관련기사> 개인정보보호 컨트롤타워 ‘개인정보보호위원회’ 5일 출범

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

--------------------------------------------------
[웨비나 안내] 클라우드 환경에서의 지속적인 운영 인텔리전스
    일시 : 2021년 1월 21일(목) 14:00~15:00
사전등록 하러가기
--------------------------------------------------
[웨비나 안내] 코로나19 예방·치료를 위해 노력하는 제약·의료기관 사이버방어 전략
    일시 : 2021년 1월 27일(수) 14:00~15:00
사전등록 하러가기