[논평]개인신용정보 유출 재발방지 대책 발표에 관하여

개인신용정보 대책, 금융소비자 보호 위한 핵심 정책 누락

집단소송제·금융지주회사와 금융회사의 연대배상책임 도입해야

정부가 오늘(3/10) 금융분야 개인정보 유출 재발방지 종합대책을 관계부처 합동으로 발표했다. 정부 발표에는 신용정보 보호 강화를 위한 다양한 방법들이 망라되어 있고 일부 대책들은 평가할 만하다. 그러나 금융 소비자 단체들이 강력히 요구했으나 금융기관 및 감독당국이 난색을 표했던 핵심 정책들은 역시 대거 누락되었다. 특히 ▲신용정보 누출에 따른 금융소비자들의 손해를 손쉽게 배상받기 위한 집단소송제 도입 ▲계열회사 정보관리체계에 대한 금융지주회사의 관리 책임 강화 및 사고 발생시 금융지주회사의 연대배상 책임 도입 ▲모집인 등 제3자에 대한 정보 유통시 정보관리체계의 적절성에 대한 금융기관의 판단 의무 및 사고 발생시 연대배상 책임의 도입 등이 그런 정책들이다. 

참여연대 경제금융센터(부위원장 김성진 변호사)는 카드 이용자인 대다수 국민들을 패닉 상태로 몰아넣은 초대형 정보유출 사건에도 불구하고, 정부가 금융 소비자 단체들이 강력하게 요구했던 핵심적인 개선사항을 반영하지 않은 채, 여전히 금융회사들의 이해를 대변하는 현실을 개탄한다. 국회는 정부가 내놓은 정책에 안주할 것이 아니라, 금융 소비자를 실질적으로 보호하는 핵심 정책들을 반영하여 「금융지주회사법」과 「신용정보의 이용 및 보호에 관한 법률」 개정안을 다가오는 임시국회에서 처리할 것을 촉구한다. 

참여연대는 지난 2월 20일 국회 정무위원회 법안심사소위 논의에 맞춰 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보보호법’) 및 「금융지주회사법」 개정안을 제시했다https://www.peoplepower21.org/Economy/1132602 참조). 참여연대가 제시한 신용정보보호법 개정안 중 신용정보 수집의 필요 최소화, 과다한 신용정보 제공 강요 금지 등은 이번 정부 종합대책에 어느 정도 반영되었다. 하지만 ▲모집인의 정보관리체계의 적절성을 금융기관이 판단하도록 의무화하고, 이러한 의무 위반으로 인한 손해 발생시 금융회사가 ‘모집인과 연대하여’ 손해를 배상토록 하는 규정 ▲불법 모집 활동에 기인한 이득의 전액 과징금 환수는 반영되지 않았다. 이런 조항이 도입되지 않을 경우 신용정보의 수집과 유통에서 금융소비자들이 부당하게 피해를 입더라도 금융회사 자체는 면책이 될 가능성이 높아, 정보유통의 이익은 누리면서 손해는 부담하지 않는 유인체계의 왜곡이 계속 존재하게 될 것이다. 

또한 현실적으로 대부분의 모집인들의 손해배상 여력이 충분하지 않다는 점을 감안할 경우, 설사 금융소비자들이 어렵게 소송에서 승소하더라도 실질적인 손해 복구에는 크게 미달할 가능성이 높다. 따라서 금융기관의 왜곡된 유인 구조를 정렬하고, 금융소비자의 피해를 실질적으로 보전하기 위해서는 모집인의 정보관리 능력에 대한 판단 의무와 연대배상 책임의 도입이 필수적이다. 불법 모집에 기인한 이득 역시 모두 부당이득이므로 전액을 국가가 환수하는 것이 마땅하다.

금융지주회사의 개인신용정보에 대한 경영관리 책임 강화도 정부가 누락시킨 대표적인 정책이다. 이번 정부 종합대책을 보면 금융지주회사는 계열회사들의 정보관리 실태를 주기적으로 종합점검하고, 시정조치 사항을 감독당국에 보고하도록 하고 있다. 그러나 이번 정부 종합대책은 금융지주회사가 금융지주회사 체제내의 전반적인 개인신용정보의 수집·활용·관리 및 유통 등에 대해 최종적인 책임을 지도록 명시하지 않고 있다. 금융지주회사 체제 내에서 정보의 부당한 사용이나 유출 등 사고가 발생하더라도 과연 금융지주회사에게 그 책임을 물을 수 있을지 명확하지 않은 것이다. 이제까지 정보공유의 최종 수혜자이자 실질적 경영관리 주체인 금융지주회사는 되풀이되는 정보유출 사고에도 불구하고 한 번도 제대로 제재를 받아본 적이 없다. 권한만 누리고 책임은 지지 않는 유인 구조의 왜곡이 여기에도 존재하고 있는 것이다. 

참여연대는 ▲금융지주회사의 계열회사에 대한 개인신용정보 관리의무를 명확히 하고, 사고 발생시 금융지주회사와 자회사의 연대배상 책임 도입 ▲금융지주회사등의 경영위험관리 등 대통령령으로 정하는 필수적인 경영관리 목적에 한해 신용정보법상의 정보제공 동의 없이 계열 금융기관간 정보공유가 가능하도록 정보공유 사유를 제한 ▲금융위원회가 금융지주회사등에게 감독상의 조치(행정처분)를 내릴 수 있는 사유에 ‘경영 건전성을 해할 우려가 있는 경우’ 이외에 ‘고객의 권익을 중대하게 침해할 우려가 있는 경우’를 추가하는 내용의 금융지주회사법 개정안을 제시한 바 있다. 국회는 이번 정부 종합대책에서 그 핵심이 누락된 금융지주회사에 대한 규제 강화를 금융지주회사법 개정과정에서 충분히 반영해 줄 것을 촉구한다.

이번 정부 종합대책은 금융소비자의 개인신용정보에 대한 자기결정권을 인정하고 이를 보호하기 위한 여러 가지 정책 처방을 담고 있다는 점에서 인정해 줄 부분이 분명히 존재한다. 그러나 규율의 핵심적인 측면, 즉 사후 강제에 대한 정책 처방이 누락되어 있어 자칫 빛좋은 개살구로 전락할 가능성이 크다. 금융회사 및 금융지주회사의 의무를 명확히 하고, 그 의무를 게을리 한 경우 연대 책임을 지도록 하고, 감독기구는 부당이득을 환수하고, 소비자는 집단소송 등의 방식으로 손해를 확실하게 보전 받을 수 있는 실질적인 체제를 구축하는 것이 중요하다.  참여연대는 국회가 이런 필요성을 충분히 숙지하고 관련 법률의 개정에 정확히 반영해 줄 것을 촉구한다.