|
신용정보법 개정안 2015. 3. 11. 공포
- 금융 부문에서의 대표이사 및 이사회 보고 등 통제 절차 강화
|
| 지난 해 카드사 개인정보 유출 사태 등을 계기로 마련된 신용정보의 이용 및 보호에 관한 법률(이하 “신용정보법”) 개정안이 2015. 3. 11. 공포되어 9. 12.부터 시행될 예정입니다. 개인정보보호법과의 관련성 등 여러가지 논의가 있던 기존의 신용정보법을 개정하여 다른 개인정보호법령과의 정합성을 맞추고 개인신용정보 관련 규제 및 통제절차를 전반적으로 강화하였습니다. 상당히 광범위한 개정사항이 있었지만, 그 중 법적인 측면에서 특히 유의해야 할만한 중요한 내용은 다음과 같습니다. |
| 1. |
개인신용정보의 사전적 관리, 감독의 대폭 강화 |
| |
이번 개정법의 가장 큰 특징으로는, 먼저 신용정보관리·보호인의 업무를 구체화하여 명시하고, 특히 신용정보회사, 신용정보집중관리기관, 기타 일정한 규모의 금융회사 등 신용정보제공·이용자에 대하여 신용정보관리·보호인이 그 업무에 관하여 주기적으로 보고서를 작성하여 이를 대표이사 및 이사회에 보고하고 금융위원회에 제출하도록 한 점을 꼽을 수 있습니다(제20조제5항). 단순히 내부적으로 통제 절차를 강화한 것뿐만 아니라 직접 대표이사로 하여금 개인신용정보에 관한 현안을 챙겨 보도록 한 것입니다. 또한, 기존의 정보기술, 전자금융기반시설 등 제한적 부분에서 이루어지던 금융회사의 보고서 제출의무의 범위가 개인신용정보를 포함한 신용정보 전반의 관리에 관한 정기적인 점검 및 보고서 제출의무로 확대됨으로써, 향후 (개인)신용정보의 관리에 대한 관할기관의 지속적이고 강화된 관리감독이 예상됩니다.
한편, 외부와 관련해서는 개인신용정보의 위탁과 관련한 규제를 강화하였습니다. 신용정보의 위탁과 관련하여 발생하는 유출 사고 등을 방지하기 위하여 신용정보 처리 위탁 시 식별정보 암호화 등 보호 조치, 수탁자 교육, 안전한 정보 처리에 관한 사항의 위탁계약 반영을 의무화하고, 원칙적으로 신용정보 처리의 재위탁을 금지하였으며, 모집업무수탁자에 대한 감독을 강화하여 신용정보제공·이용자는 모집업무를 제3자에게 위탁하는 경우 모집업무수탁자에 대하여 개인신용정보 취득 경로 등을 확인하고, 불법취득신용정보가 모집업무에 이용된 사실을 확인한 경우 위탁계약을 해지하도록 하였습니다(제17조제4항 내지 제7항, 제41조의 2). |
| 2. |
정보주체의 개인신용정보 통제권 강화 |
| |
먼저, 정보제공에 있어 개별적 동의의 필요성이 명시되었습니다. 개인신용정보를 타인에게 제공하거나 제공받는 경우 해당 개인으로부터 개별적 동의를 받도록 하되 필수적 동의사항과 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받으며, 신용정보회사 등은 신용정보주체가 선택적 동의사항에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니됩니다(제32조제1항 및 제2항, 제4항 및 제5항 신설). 신용정보주체는 상거래 관계 종료 후 일정 기간이 경과한 경우 신용정보제공·이용자에게 개인신용정보의 삭제를 요구할 수 있도록 하고, 신용정보제공·이용자는 지체 없이 개인신용정보를 삭제한 후 그 결과를 통보하도록 하였습니다(제38조의3 신설). 이와 같은 내용은 정보주체의 통제권을 강화한 것으로, 다른 개인정보보호법령의 경향과 그 궤를 같이 합니다. |
| 3. |
개인신용정보의 관리통제 강화 |
| |
신용정보제공·이용자의 개인신용정보 보유기간을 상거래 종료 후 5년 이내로 제한하고, 상거래가 종료된 신용정보주체의 개인신용정보는 현재 거래중인 자의 정보와 분리하여 관리하며, 이를 활용하는 경우 본인에게 통지하도록 하였습니다(제20조의2 신설). 또한 영업양도·분할·합병 등의 이유로 권리·의무를 이전하면서 금융위원회의 승인을 받아 관련 개인신용정보를 제공하는 경우에는 현재 거래중인 신용정보주체의 개인신용정보와 분리하여 관리하도록 하여(제32조제9항 신설), 개인신용정보를 범주에 따라 구별하여 관리하도록 하였습니다. |
| 4. |
징벌적 과징금 제도, 징벌적 손해배상 제도 및 법정손해배상제도의 도입 |
| |
개인비밀을 업무 목적 외에 누설하거나 이용한 경우, 불법 누설된 개인비밀임을 알고도 타인에게 제공하거나 이용한 경우 관련 매출액의 3% 이하의 과징금을, 신용정보전산시스템 보안대책 미수립으로 개인비밀을 분실·도난·누출·변조 또는 훼손당한 경우 50억원 이하의 과징금을 각각 부과할 수 있도록 하여, 징벌적 과징금 제도를 도입하였습니다(제42조의2 신설). 또한 신용정보회사 등이나 신용정보이용자가 고의 또는 중대한 과실로 이 법을 위반하여 신용정보가 누설되거나 분실·도난·누출·변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배 이내에서 배상할 책임을 지도록 하고(제43조제2항 및 제3항 신설), 신용정보회사등이나 신용정보이용자가 고의 또는 과실로 이 법을 위반하여 개인신용정보가 누설되거나 분실?도난?누출?변조 또는 훼손된 경우에는 해당 신용정보주체에 대하여 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상할 책임을 지도록 하였습니다(제43조의2 신설).
명확한 손해나 이익의 입증이 없이도 상당한 금액의 손해배상책임을 지거나 과징금을 부과하는 것이 가능하도록 근거 규정을 신설하여 개인신용정보를 취급하는 자의 책임을 강화하였습니다. |
| 5. |
맺음말 |
| |
개정 신용정보법이 대폭 강화된 개인신용정보 보호 규정을 담고 있으므로, 각 기업은 개정법의 시행 전까지 개정법에 맞는 개인신용정보의 처리 절차를 도입하도록 준비할 필요가 있습니다. 특히 앞으로 개인신용정보 관련 사고에 관한 행정적 책임이나 민사 손해배상책임이 무거워질 것으로 보이므로 개인신용정보 취급과 관련하여 보다 주의를 기울여야 할 것입니다.
또한 각 기업이 스스로 보유하는 개인신용정보뿐만 아니라 위탁하여 처리하는 개인신용정보에 관하여도 책임이 강화되었습니다. 이는 신용정보법뿐만 아니라 개인정보관련법령 전반의 경향으로 보입니다. 기업들은 이러한 추세를 고려하여 외주업체의 관리에도 만전을 기하여야 할 것입니다.
|
| 광장 DPP 팀 소개 및 Contact Point |
| |
법무법인 광장은 국내 최대 규모의 개인정보보호 및 정보보안 전문가들로 구성된 DPP(Data and Privacy Protection) 팀을 구성하여 지난 수년간 개인정보 유출 사건에 대하여 각종 민형사 사건을 수행하고 다수의 컴플라이언스 프로젝트를 수행하는 등 기업의 개인정보와 관련한 법적 자문, 조사 대응, 해킹 사고 대응, 소송 등의 법률서비스를 제공하고 있습니다. 위 뉴스레터 내용과 관련하여 궁금하거나 문의사항이 있으시면 박광배 변호사(kwangbae.park@leeko.com, 02-772-4343) 또는 고환경 변호사(hwankyoung.ko@leeko.com, 02-2191-3057)에게 언제든지 연락주시기 바랍니다. |
|
|
|
|
|
