[논평]금융권 개인정보 유출사건에 대한 입장

개인정보의 수집·관리·유통에 대한 규제강화 통해 금융소비자 보호해야

징벌적 과징금은 잘못된 발상…제재 실효성도 미흡

금융지주회사에 대한 기관제재 등 금융그룹 지배회사에 대한 관리책임 강화도 중요

금융감독당국이 어제(1/22) 금융회사 고객정보 유출에 관한 대책을 발표했다. 참여연대 시민경제위원회(부위원장 김성진 변호사)는 과도한 개인정보의 수집과 이용에 대해 포괄적으로 규제를 강화하겠다는 정부 방향은 환영한다. 그러나 집단소송법이나 징벌적 손해배상제와 같은 금융피해자 구제 제도를 도입하는 실질적 대책 대신, 징벌적 과징금제도를 도입하겠다는 발상은 비판받아 마땅하다. 또한 금융그룹내 계열사간 정보공유제도 개선과 관련해 금융지주회사의 관리 책임을 강화하는 방안이 빠진 것도 비판한다. 

현재 개인 신용정보 관리에 있어 핵심적인 문제는 금융회사를 비롯한 기업들이 영업상의 목적으로 법령상 필수적으로 보유하지 않아도 되는 개인정보를 과도하게 보유하고 있다는 것이다. 정부도 금융회사의 정보 보유 실태를 전면 실시하여 과도한 정보 수집을 제한하겠다는 방향을 제시했고, 이는 환영할 일이다. 그러나 참여연대는 이번 사태를 계기로 금융소비자의 권익을 강화하는 방향으로 <신용정보의 이용 및 보호에 관한 법률>을 대폭 개정할 것을 촉구한다. 

첫째, 금융회사의 개인 정보 보유에 따른 관리 의무를 대폭 강화하고, 개인정보에 대한 금융회사의 보유 부담을 높여 불필요한 개인정보 보유의 유인을 원천적으로 줄여 나가야 한다. 이런 방안의 하나로, 개인정보 보유 규모에 비례하여 피해 발생시 지원 목적으로 사용될 금융소비자 보호기금에 대한 출연을 의무화할 것을 제안한다. 

둘째, 금융기관이 자신이 수집·관리하고 있는 신용정보를 유통시키는 단계에서 지금보다 한층 강화된 주의의무를 기울이도록 해야 한다. 이를 위해 현행 신용정보보호법을 개정해서 금융기관이 다른 신용정보 이용자에게 개인 신용정보를 제공할 때, 신용정보를 제공받게 될 이용자가 이 정보를 적절하게 관리할 능력을 갖추고 있는지를 합리적으로 판단해야 할 의무를 명시적 규정으로 도입해야 한다. 이를 통해 무분별한 개인 신용정보의 유통을 상당히 억제할 수 있을 것이다.

어제 대책발표에서 금융감독당국은 정보 유출에 대해 징벌적 과징금제도를 도입하겠다고 밝혔다. 이 제도는 금융기관의 안이한 정보관리에 대해 충분한 억지수단이 될 수 없을 뿐만 아니라, 금융회사의 신용정보 관리 부실로 인한 금융 소비자의 손해를 국가의 재정수입의 확충 기회로 활용하겠다는 것으로, 금융소비자의 입장에서는 수용할 수 없는 발상이다. 

징벌적 과징금제도 대신 금융소비자의 손해를 충분히 배상해 주는 것이 금융사고의 사후 수습과 금융소비자 보호라는 금융감독의 목표에도 부합하고, 금융회사에 개인 신용정보를 잘 관리할 사전적 유인을 제공하는 데에도 훨씬 효과적이다. 그 방안으로 ‘징벌적 손해배상제도’를 도입하는 것이 합리적이라는 주장이 있으나, 이 제도를 통해 금융소비자를 보호하는 것이 어려울 경우 ‘명목적 손해배상제도’ 도입도 적극 검토할 필요가 있다. 통상 징벌적 손해배상은 고의나 중대한 과실이 있었을 경우에 인정되는 것으로, 개인 신용정보 유출 사건에서 피해자가 금융회사의 고의나 중대 과실을 입증하는 것이 결코 쉽지 않다. 직원의 고의나 중대한 과실이 인정되더라도 이것이 바로 금융회사의 고의나 중대한 과실로 인정되는 것도 아니다. 손해액을 산정하는 일도 매우 어려운 과제다. 따라서 이런 경우에는 금융회사에 무과실 책임을 지워 정보 유출 건당 일정액의 손해배상금액을 피해자에게 일률적으로 지급케 하는 명목적 손해배상제도가 징빌적 손배제보다 더 실효적인 제재가 될 수 있다. 

어떤 형태의 손해배상제도를 채택하건, 이런 소송이 원활하게 이루어질 수 있도록 집단소송제도를 시급히 도입해야 하는 것은 기본이다. 

정부가 계열사간 정보공유제도를 개선하겠다고 한 것도 당연한 방향이다. 그러나 금융그룹내 정보공유 개선과 관련해 금융지주회사에 대한 규제를 강화하는 방안이 제시되지 않은 문제가 있다. 현행 <금융지주회사법> 제48조의2는 금융지주회사 체제로의 전환을 촉진하기 위해 금융지주회사 체제에 있는 회사들 사이에 개인정보의 공유에 관한 특혜를 규정하고 있다. 그런데도 이런 특혜에 부합하는 책임을 금융지주회사에 부과하고 있지 않다. 이번에 문제가 된 KB카드와 NH카드 모두 금융지주회사 체제의 계열사로서, 마땅히 이들 회사에 대한 경영관리 권한을 보유하고 있는 지주회사 역시 개인정보 부실 관리 책임에 대해 제재를 받아야 한다. 

그러나 과거의 관례를 보면 위법행위를 저지른 계열 금융기관만 제재를 받고 정작 경영관리 권한을 보유한 지주회사는 제재를 받지 않고 넘어 가는 경우가 비일비재했다. 이번에는 반드시 금융지주회사에 대한 기관제재가 있어야 하며, 근본적으로는 금융지주회사법을 개정하여 금융지주회사에 개인정보의 관리에 대한 책임을 높여야 할 것이다. 

참여연대는 특히 최근 우리금융지주내의 각 금융계열사의 매각과 관련하여 금융감독당국이 잠재적 매수자들인 이들 사고 금융지주회사의 대주주 적격성을 훼손하지 않기 위해 금융지주회사에 대해서는 기관제재를 하지 않을 가능성을 경계하며 이를 주시할 것이다.