[공동논평] 쇼핑몰 ‘주문내역 정보’ 신용정보로 확대적용 안될 말

소비자·시민단체, 금융위의 쇼핑몰 ‘구매정보’ 「신용정보보호법」 ‘신용정보’로 확대해석 우려

민감한 개인정보일 수 있는 구매정보 「개인정보보호법」적용 배제 가능

금융위는 마이데이터사업 위한 소비자의 ‘주문내역정보 등’ 제공 시행령 즉각 폐기해야

 

금융위원회가 마이데이터 사업에 제공해야 할 신용정보 범위에 소비자가 인터넷쇼핑을 하면서 물품을 구매한 정보인 ‘주문내역 정보 등과 전용카드 이용내역’(이하 주문내역 정보 등) 등이 포함된다고 하면서 논란이 되고 있다. 금융위원회가 지난 8월 공포한 「신용정보의 이용 및 보호에 관한 법률 시행령(이하, ‘신용정보법 시행령’)」에 금융사업자(은행·카드·보험·증권)나 전자금융업자(핀테크 업체)가 정보주체가 원할 경우 마이데이터 사업자에 제공해야 하는 신용정보의 범위에 ‘쇼핑정보(주문내역정보)’가 포함되었다. 그러나 이는 개정시행령안 입법 예고 당시에는 없었던 조항이다. 

 

우리 소비자·시민단체들은 주문내역 정보를 신용정보라고 확대해석해 마이데이터 사업을 위해 제공하겠다고 추진하는 부분에 심각한 우려를 표하며, 금융위원회가 「신용정보보호법」을 근거로 현재 추진하고 있는 소비자의 ‘주문내역 정보’ 제공과 관련해 충분한 협의와 대안이 마련될 때까지 추진을 중단할 것을 촉구한다. 

 

마이데이터사업은 소비자가 동의한다면 흩어져 있는 은행이나 카드, 보험, 결제, 증권 정보 등을 모아 맞춤형 금융서비스를 받을 수 있는 사업으로 정보주체의 데이터 이동권을 기반으로 새로운 금융서비스 제공이 가능할 것이라고 주장하고 있다. 문제는 마이데이터 사업은 「신용정보보호법」에만 그 근거가 있고 주문내역 정보를 개인 신용정보로 확대해석해서는 안 된다는 점이다. 민감한 개인정보인 거래내역을 이렇게 확대 적용한다면, 소비자의 입장에서 「개인정보보호법」과 「신용정보보호법」 중 어떤 것을 적용해야 할 지 혼란스러울 수 있고 이는 향후 개인정보보호 체계를 위협할 것이다. 노골적으로 개인정보 상업화를 추진하고 있는 금융위원회의 관할로 들어갈 때 개인정보가 제대로 보호될 수 있으리라 기대하기 힘들다.  

 

전자상거래 시장이 지속적으로 확대되고 모바일 거래까지 활발해지면서 전자상거래를 통한 거래가 광범위해지고 있어 인터넷쇼핑몰 주문내역 정보 등을 통해 개인의 일거수일투족이 노출될 가능성이 매우 높아지고 있다. 호텔 등 숙박, 여행, 취미생활, 콘텐츠 구매 등 개인이 민감하게 생각하는 정보까지 데이터산업 발전을 위해 사업자에게 제공하는 부분을 소비자가 감수해야 할 정보인지는 우려하지 않을 수 없다. 가명화 된 형태로 정보가 제공된다고 해도 몇 차례 가공을 통해 개인이 식별될 가능성이 매우 높다. 특히 우려되는 점은 시계열로 분석한 정보를 마이데이터 사업자가 수집해 저장한다는 부분이다. 

 

지난해 통과된 개인정보3법(이른바 ‘데이터3법’) 중에서 소비자·시민사회단체 안에서 특히 「신용정보보호법」에 대한 우려가 매우 컸다. 「신용정보보호법」의 경우 시행령의 많은 조항이 법에서 위임받은 주요 부분을 다시 고시로 재위임하고 있어 법령의 정확한 내용을 파악하기 힘들고 개인정보의 목적 외 활용을 지나치게 확대하려는 부분에 대한 우려였다. 특히 이번 주문내역 정보 등의 경우 지난 3월 시행령 입법예고안에는 관련내용이 없었으며 8월 공표된 시행령에 갑자기 등장하며 논란이 되고 있는데 금융위는 주문내역 정보 등이 신용정보라고 주장하며 문제가 없다는 입장이다.

 

「신용정보보호법」은 신용정보를 ‘상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보로서…’라고 규정하고 있으며, 더구나 문제가 되는 시행령 제2조 제23항의 위임 법률인 「신용정보보호법」 제2조 1의3호는 “신용정보주체의 거래내용을 판단할 수 있는 정보에 대하여 신용정보제공ㆍ이용자에게 신용위험이 따르는 거래로서 다음 각각의 거래의 종류, 기간, 금액, 금리, 한도 등에 관한 정보”로 특정하여 위임하고 있다는 점에서 주문내역 정보 등은 신용정보주체의 거래내용에 포함될 수 없음은 명확하다. 금융위원회가 위임입법의 한계를 일탈하는 위법을 저지르면서까지 소비자가 “무엇을, 언제, 얼마에 샀는지”가 개인의 신용평가를 위해 왜 필요한지 또 소비자가 그 정보를 마이데이터 사업자에게 제공하도록 규정한 이유에 대하여 명확하게 해명해야 할 것이다. 

 

만일 확대해석해 신용정보라고 한다면 마이데이터 사업자에게 제공되고 활용된다는 내용에 대해서는 정보주체인 소비자의 별도 동의절차가 필요할 것이다.

 

유럽연합의 일반데이터 보호 규칙 GDPR(General Data Protection Regulation)의 개인정보 이동권의 취지는 정보주체의 권리를 보호함과 동시에 데이터 독점을 막고 경쟁을 촉진하기 위한 것이었다. 그러나 한국의 마이데이터 사업은 개인정보의 상품화를 촉진하는 것으로 변질되었다. 마이데이터 사업 활성화 이전에 소비자 개인정보의 엄격한 보호를 위한 제도적인 보완이 우선되어야 할 것이다. 이런 측면에서 지난 8월5일 통합 개인정보보호위원회가 출범했지만 금융위가 담당하는 금융분야는 개인정보보호위원회 권한이 미치지 못하는 것으로 해석하고 있어 이에 대한 개선이 필요하다.

 

개인정보보호와 활용의 조화와 균형이 어느 때보다도 중요한 시기이다. 흩어져 있는 개인정보의 문제를 일관성 있고 종합적으로 판단할 수 있도록 금융 분야도 개인정보보호위원회로 일원화하고 역할을 강화하는 것이 필요하다. 위임입법의 한계를 벗어나면서까지 ‘주문정보 등’을 신용정보로 확대해석하는 금융위의 이번 조치에서 신용정보 ‘보호’역할을 제대로 할 수 없을 것이란 그간의 우려가 기우가 아니었음을 확인할 수 있다. 금융위는 즉각 시행령 재개정에 착수하고 신용정보보호 업무를 개인정보보호위원회에 이관해야 할 것이다.

 

2020.9.8

(사)한국소비자연맹, 소비자시민모임, 진보네트워크, 참여연대, 서울YMCA 시청자시민운동본부, 민주사회를 위한 변호사 모임 디지털정보위원회,경실련

원문보기/다운로드

 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입