[보도자료] 금융위원회의 신용정보법 비판 기자회견

금융위원회의 신용정보법 비판 기자회견

허락 없는 SNS 사찰, 정보인권과 표현의 자유 말살 

금융회사만 살찌우고 소비자, 중소상공인 착취하는 게 혁신성장이냐!

일시: 2018년 12월 12일(수) 오전 11시 / 장소: 국회 정론관

 

정의당 추혜선 국회의원과 건강과대안, 건강권실현을 위한 보건의료단체연합, 건강세상네트워크, 경실련, 금융정의연대, 무상의료본부, 민변 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동 등 13개 시민단체는 2018년 12월 12일(수) 오전 11시 국회 정론관에서 금융위원회의 신용정보법을 규탄하는 공동기자회견을 진행했습니다.

 

문재인 정부는 지난 11월 개인정보보호법, 정보통신망법, 신용정보법 등 개인정보 규제 완화 3법을 발의했습니다. 행안부가 빅데이터 시대의 기업 돈벌이를 위해 동의없이 개인정보를 활용하는 개인정보보호법 개정안을 발의한 데 이어, 금융위는 ‘데이터 경제 활성화’와 ‘신용정보산업 선진화’를 명분으로 신용정보법 개정안을 발의했습니다. 금융위는 거대 금융회사의 데이터 독점과 불공정을 강화하는 정책을 ‘혁신성장’으로 포장하고 있습니다. 

 

개인신용정보는 경제생활과 관련이 되어 있어 국민이 가장 민감하게 생각하는 정보입니다. 신용정보법 개정안은 허락 없이 개인정보의 무분별한 수집과 판매를 허용하고 있습니다. 심지어 트워터, 페이스북, 유튜브 등 SNS 정보까지 동의 없이 마구잡이로 수집·활용하려고 합니다. 데이터 독점 기업이 개인정보의 집적과 활용을 통해 이익을 추구한다면 소비자 권리는 침해될 수밖에 없습니다.

 

이에 추혜선 의원과 시민단체들은 금융위원회의 신용정보산업 선진화 방안과 신용정보법 개정안에 반대하며, 정보주체의 권리를 실효성 있게 보호될 수 있도록 신용정보법 개정안 철회를 촉구했습니다. 

 

[기자회견문] 

정보인권 외면하는 금융위원회의 신용정보산업 선진화 방안 규탄한다! 

 

금융위원회는 지난 11월 21일, 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」을 발표하였다. 이에 앞서 11월 15일에는 이 방안의 입법화를 위한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」(김병욱 의원 대표발의)이 발의되었다. 이는 문재인 정부의 개인정보 규제 완화를 위한 패키지 법안의 하나로, 개인정보보호법 개정안(인재근 의원 대표발의)과 정보통신망법 개정안(노웅래 의원 대표발의)과 함께 발의된 것이다. 우리는 이미 정부의 개인정보보호법 개정안이 영리 목적의 개인정보 판매와 공유를 허용하는 것에 대한 비판 입장을 표명한 바 있다.(11월 21일 기자회견) 

 

우리는 금융위원회가 추진하는 신용정보산업 선진화 방안이 혁신성장을 위한 개혁으로 포장되고 있는 사태에 대해서 분노와 경악을 금할 수 없다. 문재인 정부는 말로는 ‘혁신성장’과 ‘소득주도성장’, ‘공정경제’를 정부가 추진하는 경제정책의 세 가지 축이라고 주장한다. 그러나 작금에 금융위원회가 ‘혁신성장’으로 포장하여 추진하는 대부분의 정책은 데이터 독점기업이기도 한 거대 금융권의 불공정과 독점을 강화하고, 이들이 자영업자와 소비자, 중소기업의 주머니를 최대한 갈취할 수 있도록 무한한 기회를 제공하는 최악의 정책들이다.  도대체 문재인 정부는 ‘빅데이터’와 ‘혁신’이라는 그럴싸한 말 속에 숨겨진 불공정과 독점 시도, 거대 데이터 기업과 금융권의 정보인권 침해를 알지 못해서 속는 것인가, 아니면 눈을 감아주는 것인가?

 

그 동안 항상 신용정보 부분은 개인정보 분야에서 최악의 평가를 받아 왔다. 은행, 카드, 보험, 유통 등 개인신용정보는 거의 무한대의 집적과 공유가 제도적으로 보장되어 왔다. 무분별한 개인정보의 수집과 공유로 최악의 개인정보 유출 사고는 금융권에서 터졌고, 유출된 정보를 이용한 보이스 피싱에 소비자와 서민들만 정확한 규모를 산정하기도 힘들 정도의 피해를 입어 왔다. 그러나 금융위나 업계는 개인신용평가의 불투명성을 비롯하여 신용정보주체의 권리 보장에 대해서는 관심도 두지 않아 왔다. 공정경제와 소득주도성장을 위한 개혁에 가장 먼저 개혁되어야 할 영역이 바로 신용정보 분야이고 금융위원회이다. 그런 상황에서  또 다시 금융업계와 금융위원회는 ‘빅데이터’, ‘인공지능’, ‘혁신성장’ 등 온갖 미사여구를 동원하여 개혁의 선도자 흉내를 내고 있다. 그러나, 그 내용을 보면 과거보다 더 노골적으로 개인정보의 집적과 활용을 통해 자신들의 이익을 추구하겠다는 것이다. 뿐만 아니라, 금융위원회는 부처 이기주의에 얽매어 개인정보 감독기관의 역할을 고집하고 있다. 

 

우리는 금융위원회의 신용정보산업 선진화 방안과 신용정보법 개정안에 반대하며, 정보주체의 권리를 실효성있게 보호할 수 있는 방향으로 신용정보법 개정안을 다시 만들 것을 촉구한다. 이번 신용정보법 개정안은 다음과 같은 문제를 안고 있다. 

 

첫째, 개인정보 보호체계 효율화와 개인정보보호위원회 위상 강화는 대통령의 공약이자 국정과제이다. 개인정보보호법, 정보통신망법, 신용정보법으로 분산된 개인정보 보호법제는 수범자의 혼란을 야기해 왔으며, 개인정보 권리의 실효성있는 보호와 통일적인 개인정보 정책 수립을 저해하고 중복규제로 인해 개인정보처리자에게도 부담으로 작용해왔다. 이에 따라 현재 개인정보보호법으로의 일원화가 추진되고 있음에도 불구하고, 오직 금융위원회만이 부처 이기주의에 빠져 개인정보 감독권한의 이양을 거부하고 있다. 이번 개정안만 보더라도 금융위원회는 개인정보 보호에 대한 기본적인 인식조차 결여되어 있어, 감독기구로서 자격이 없음을 다시 한번 확인할 수 있다. 또한, 개인정보보호법과의 중복, 유사 조항이 여전히 남아있을 뿐 아니라, 심지어 두 개정안 사이에서도 서로 다른 용어와 규정을 사용하고 있어 혼란을 심화시키고 있다. 

 

둘째, 개인신용정보는 경제 생활과 관련이 되어 있어 국민들이 가장 민감하게 생각하는 정보이다. 지난 2014년 발생한 개인신용정보의 대량 유출 사태로 인해 국민들은 금융 영역에서의 개인정보 보호에 대해 불신을 크게 갖고 있다. 이러한 불신이 여전히 존재함에도 불구하고 금융위원회는 금융분야를 빅데이터 테스트베드로 우선 추진하겠다고 나서고 있다. 그러나 데이터 독점 기업이 고객 정보를 판매하면 자영업자는 추가 비용이 드는 반면, 독점 대기업의 이익만 늘려 주고 정보비대칭으로 소비자 후생은 감소할 수 있다. 그래서 미국, 유럽 등 세계 각국은 데이터 독점기업의 데이터 과다수집, 결합, 판매를 독점의 가장 큰 폐해로 보고 소비자 보호를 위한 규제를 강화하고 있다. 

 

금융위원회가 주창하는 신용정보법 개정안에는 민간 기업의 개인정보의 판매 및 공유를 허용하는 개인정보보호법 개정안의 문제를 그대로 포함하고 있을 뿐만 아니라, △ 익명조치에 대한 적정성 평가를 통해 부적절한 익명처리의 면책, △ 공공기관이 보유한 개인정보의 공유 확대, △ 공개된 개인정보에 대한 정보주체의 권리 제한, △ 신용조회회사에 대한 영리 목적의 빅데이터 업무 겸영 허용 , △ 신용정보집중기관이 보유하고 있는 개인정보의 빅데이터 분석 목적의 제공 등 개인정보의 무분별한 활용을 허용하고 있다. 특히, SNS 정보를 신용평가 목적으로 활용하도록 허용하는 것은 성별, 연령, 장애, 학력, 국적 등을 이유로 하는 자의적 차별을 금지하는 법률의 취지에 정면으로 반하고, 더불어 이용자의 SNS 사용에 위축효과를 불러와 표현의 자유를 침해하게 될 것이다. 

 

셋째, 금융위원회는 마이데이터(MyData) 제도와 이용자의 전송요구권, 자동화평가(프로파일링)에 대한 설명 및 이의제기권 등 새로운 제도를 도입하겠다고 한다. 그러나 GDPR에서 정보주체의 권리 강화 및 공정경쟁 촉진을 위해 개인정보이동권을 신설한 취지와 달리, 마이데이터는 데이터 브로커 활성화를 위한 제도에 불과하다. 정보주체의 동의권, 열람권 등 기본권의 보장없이 마이데이터 사업을 추진하는 것은 개인정보의 상품화를 부추길 뿐이다. 프로파일링과 자동화된 결정으로 인한 이용자 차별 및 권리 침해의 위험성을 고려할 때, 프로파일링에 대한 정보주체의 권리는 강화할 필요가 있으나 신용정보법 개정안은 설명 및 이의제기권만을 보장하고 있어 국제규범에 비해 정보주체의 권리가 매우 제한적이다. 무엇보다 개인정보이동권 및 프로파일링에 대한 권리는 신용정보법이 아니라 개인정보보호법에 제대로 규정될 필요가 있다. 

 

금융위원회의 신용정보법 개정안은 일부 조항을 수정한다고 문제가 해결될 수준의 것이 아니다. 이번에 발의된 신용정보법 개정안은 즉각 철회되어야 한다. 금융위원회는 부처 이기주의를 버리고 개인정보보호체계 일원화에 대승적으로 협력해야 한다. 신용정보법의 개인정보 관련 내용은 개인정보보호법으로 일원화하고, 감독권한도 개인정보보호위원회에 이양해야 한다. 국민들은 금융위원회를 개인정보 감독기구로서 신뢰하지 않는다. 

 

개인신용정보는 실험 대상이 아니다. 금융분야 빅데이터 활성화 계획을 철회하라! 

금융위원회의 신용정보산업 선진화 방안에 반대한다. 

금융위원회는 개인정보 감독권한을 개인정보보호위원회로 이양하라! 

 

2018년 12월 12일 

 

정의당 추혜선 국회의원, 건강과대안, 건강권실현을 위한 보건의료단체연합, 건강세상네트워크, 경실련, 금융정의연대, 무상의료본부,  민변 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동

 
 
 

<의견서> 

신용정보법 개정안(김병욱 의원 대표발의)에 대한 시민사회 의견서

 

 

금융위원회는 지난 1월 개인신용평가를 수행하는 신용조회회사(CB사)의 비금융정보 활용을 확대하겠다고 내용의 「개인신용평가체계 종합 개선방안」 발표했습니다. 사회보험료·세금 납부실적 등 다양한 비금융 공공정보를 공유·활용하고, 본인정보의 효율적 관리를 지원하는 ‘본인신용정보 관리업’을 도입할 계획임을 밝혔습니다.

 

이후 2018년 3월 「금융분야 데이터활용 및 정보보호 종합방안」, 2018년 5월 「금융분야 개인정보보호 내실화 방안」, 2018년 7월 「금융분야 마이데이터 산업 도입 방안」, 2018년 11월 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」을 연이어 발표했습니다.

 

그리고 금융위원회는 2018년 11월 15일, 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」(김병욱 의원 대표발의)을 발의했습니다.  

 

이에 금융위원회의 개인 신용정보 활용과 신용정보산업 활성화 정책 및 신용정보법 개정안에 대해 다음과 같이 의견을 제시합니다.   

 

1. 법제간 중복, 혼란 지속

 
  • 현행 개인정보 보호법제가 개인정보보호법, 정보통신망법, 신용정보법으로 분산되어 있고, 각 법에서 중복, 유사한 규정을 포함하고 있어 수범자의 혼란을 야기하고 있다는 비판이 제기되어 왔음. 이러한 혼란을 막기 위해서는 개인정보보호법을 중심으로 관련 법제를 정비할 필요가 있음.
     

  • 이러한 요구를 수용하여 현재 정부는 개인정보보호법 일원화를 추진하고 있는 바, 이러한 취지를 반영하여 지난 11월 15일 발의된 정보통신망법 개정안(노웅래 의원 대표발의)은 개인정보 관련 조항을 삭제하고, 같은 날 발의된 개인정보보호법 개정안(인재근 의원 대표발의)으로 통합하는 내용을 담고 있음.
     

  • 그러나 신용정보법 개정안(김병욱 의원 대표발의)은 개인정보보호법 등과의 유사, 중복 조항을 정비하였다고 하나, 여전히 유사, 중복 조항을 포함하고 있어 개인정보 보호법제 일원화 정책에 역행하고 있음.

    • 예를 들어, 개인정보의 정의, 동의 등 여전히 개인정보보호법과 유사하면서도 조금씩 다른 조항을 포함하고 있음.

    • 또한, 신용정보법 적용을 받는 기관 등은 개인정보보호법에 따른 개인정보보호책임자 뿐만 아니라, 신용정보법에 따른 신용정보관리ㆍ보호인까지 두어야 함.
       

  • 신용정보법 개정안(김병욱 의원 대표발의)의 일부 조항의 경우 개인정보보호법 개정안(인재근 의원 대표발의)의 관련 조항과 벌써부터 문구가 달라, 기존의 혼란을 오히려 확대하고 있음. 예를 들어,

    • 개인정보 정의의 문구도 다르고, 신용정보법에는 가명처리된 정보를 이에 포함시키지 않고 있음.

    • 서로 다른 단어 사용 : 가명처리(개인정보보호법)/가명조치(신용정보법), 과학적연구(개인정보보호법)/연구(신용정보법)

 

개인정보보호법 개정안(인재근 의원 대표발의)

신용정보법 개정안(김병욱 의원 대표발의)

제2조

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

   가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

   나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우, 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다)

   다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원상태로 복원하기 위한 추가 정보의 사용·결합없이는 특정 개인을 알아볼 수 없는 정보(이하 ”가명정보”라 한다)

제2조
2. “개인신용정보”란 살아 있는 개인에 관한 신용정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

   가. 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보

   나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보. 이 경우, 특정 개인을 알아볼 수 있는지 여부는 이에 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여 판단하여야 한다.

1의2. “가명처리”란 특정 개인을 알아볼 수 없도록 대통령령으로 정하는 방법으로 처리하는 것을 말한다.

15. “가명조치”란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말한다.

* 익명처리의 개념 정의는 없음.

 

제58조의2(적용제외) 이 법은 시간·비용·기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.

17. “익명조치”란 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말한다.

제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.

제32조(개인신용정보의 제공ㆍ활용에 대한 동의)

⑥ 「개인정보 보호법」 제18조제2항에도 불구하고 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.

9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이 경우, 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.

 
  • 이러한 혼란을 계속 방치한다면, 향후 신용정보법 및 개인정보보호법의 추가 개정에 따라 법제 간 혼란으로 인한 비효율성은 더욱 커질 것임.

 

신용정보법에서 중복, 유사 조항을 포함한 개인정보 관련 조항은 개인정보보호법으로 통합하고, 신용정보법에서는 개인정보와 관련이 없는 내용만을 다룰 필요가 있음.
 

 

2. 가명처리된 개인신용정보의 상업적 목적의 판매 우려

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제32조(개인신용정보의 제공ㆍ활용에 대한 동의)

⑥ 「개인정보 보호법」 제18조제2항에도 불구하고 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.

9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이 경우, 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.

9의3. 제17조의2제1항에 따른 정보집합물의 결합 목적으로 데이터전문기관에게 개인신용정보를 제공하는 경우

 

제17조의2(정보집합물의 결합 등) ① 신용정보회사등(대통령령으로 정하는 자는 제외한다. 이하 이 조 및 제40조의2에서 같다)은 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에는 제26조의4에 따라 지정된 데이터전문기관을 통하여 결합하여야 한다.

 ② 제26조의4에 따라 지정된 데이터전문기관이 제1항에 따라 결합된 정보집합물을 해당 신용정보회사등 또는 그 제3자에게 전달하는 경우에는 가명조치 또는 익명조치가 된 상태로 전달하여야 한다.

 
  • 개인정보보호법 개정안(인재근 의원 대표발의)과 같이 신용정보법 개정안에서도 가명처리된 개인신용정보를 통계작성, 연구, 공익적 기록보존 등을 위하여 수집 목적 외로 활용할 수 있도록 열어주고 있음. 더구나 신용정보법 개정안에서는 과학적 연구를 ‘연구’로, 그리고 ‘통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다’는 문구를 포함하여, 목적 외 활용 범위가 더욱 넓음.
     

  • 개인정보보호법 개정안에 대한 시민사회 의견서에서 밝힌 바와 같이 이는 유럽연합 GDPR에 대한 과도한 확대 해석이며, 기업들이 보유한 고객정보를 기업 간에 상업적으로 판매하고 공유할 수 있도록 하는 것에 다름 아님. (상세한 분석은 개인정보보호법 개정안에 대한 시민사회 의견서 참조)

 

신용정보법에서는 별도로 가명처리된 개인(신용)정보에 대한 규정이 필요없으므로 삭제되어야 함. 개인정보보호법 개정안에서는 고객정보의 상업적 판매 및 공유를 제한하는 방향으로의 입법 필요.

 

3. 익명조치에 대한 책임성 부재

 

금융위원회 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」 (11월)

 

○ 신정원, 금융보안원을 데이터전문기관으로 지정하여 데이터 결합, 금융회사 등의 익명조치의 적정성 평가 업무를 부여

 ■ 금융회사의 익명조치가 추가정보를 활용하더라도 더 이상 개인을 알아볼 수 없도록 충분히 이루어졌는지 검증, 검증 後 익명정보로 추정

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제40조의2(가명조치ㆍ익명조치에 관한 행위규칙)

 ③ 신용정보회사등은 개인신용정보에 대한 익명조치가 적정하게 이루어졌는지 여부에 대하여 금융위원회에 그 심사를 요청할 수 있다.

 ④ 금융위원회가 제3항의 요청에 따라 심사하여 적정하게 익명조치가 이루어졌다고 인정한 경우 더 이상 해당 개인인 신용정보주체를 알아볼 수 없는 정보로 추정한다.

 ⑤ 금융위원회는 제3항의 심사 및 제4항의 인정 업무에 대해서는 대통령령으로 정하는 바에 따라 제26조의4에 따른 데이터전문기관에 위탁할 수 있다.

 
  • 제40조의2는 개념만 비식별조치에서 익명조치로 바뀌었을 뿐, 2016년 <개인정보 비식별조치 가이드라인>의 문제점을 그대로 포함하고 있음. 금융위원회가 익명조치의 적정성을 심사하여, 적정하게 익명조치가 이루어졌다고 인정한 경우 ‘더 이상 해당 개인인 신용정보주체를 알아볼 수 없는 정보’, 즉 익명정보로 추정하도록 하고 있음.
     

  • 익명정보는 개인정보보호법의 적용을 받지 않는데, 익명조치가 제대로 이루어지지 않아 개인정보 침해가 발생한 경우 누가 이에 대해 책임질 것인지 의문. 즉, 익명조치를 제대로 하지 않은 개인정보처리자가 책임지는 것인지, 잘못된 익명조치를 인정한 금융위원회가 책임질 것인지 의문임.

 

개인정보감독기구가 가명, 익명조치에 대한 가이드라인을 제시할 수는 있으나, 익명조치가 제대로 이루어지지 않은 경우의 책임은 해당 개인정보처리자에게 있음. 책임 소재에 대한 규정을 명확히 해야 함.

 

4. SNS 정보(공개된 개인정보)의 남용과 표현의 자유 침해

 

금융위원회 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」 (11월)

 

○ 비금융정보의 체계적 활용을 위한 비금융정보 전문 CB사 도입

 ■ 비금융 개인신용정보(통신·전기·가스 요금납부, 온라인 쇼핑 내역, SNS정보 등)만을 활용하여 개인신용을 평가하는 전문 CB사 도입

 ■ 비금융정보 전문CB사에는 자본금(최소 50억→최소20·5억) 요건을 나주고 금융기관 출자의무(50%)도 배제하여 진입규제 완화

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제15조(수집 및 처리의 원칙)

 

② 신용정보회사등이 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.

 1. 「개인정보 보호법」 제15조제1항제2호부터 제6호까지의 어느 하나에 해당하는 경우

 2. 다음 각 목의 어느 하나에 해당하는 정보(이하 “공개정보”라 한다)를 수집하는 경우

   가. 법령에 따라 공시(公示)되거나 공개된 정보

   나. 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」 제2조제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보

   다. 신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보

   라. 그 밖에 이와 유사한 정보로서 대통령령으로 정하는 정보

 3. 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우

 

제32조(개인신용정보의 제공ㆍ활용에 대한 동의)

⑥ 「개인정보 보호법」 제18조제2항에도 불구하고 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.

 9의5. 공개정보를 제공하거나 제공받는 경우

 
  • 신용정보법 개정안은 SNS 정보 등 공개된 개인정보를 정보주체의 동의없이 신용정보회사 등이 수집하고 제3자에게 제공할 수 있도록 하고 있음. 그러나, 정보주체가 적극적으로 자신의 개인정보를 공개했다고 해서 그 정보가 어떠한 목적으로든 이용되는 것을 허락한 것이라고 해석해서는 안됨. 상대편에게 명함을 주든, 홈페이지에 전화번호를 공개하든, SNS에 글을 올리든 정보주체는 자신이 공개한 개인정보가 특정한 범위에서, 혹은 특정한 목적을 위해 활용될 것임을 기대하는 것임. 국내 헌법재판소와 대법원도 공개된 개인정보 역시 개인정보자기결정권이 배제되지 않는 개인정보임을 인정하고 있음.
     

  • 대법원 판결에 따르면, 공개된 개인정보에도 목적제한의 원칙이 적용되어 애초에 공개된 목적에 부합하는 방식으로 활용되어야 함. 대법원은 정보주체가 직접 또는 제3자를 통하여 공개한 개인정보는 ‘일정한 범위 내에서’ 그 처리에 동의를 한 것으로 보았으나, 이때 그 처리가 인정되는 범위는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 정보제공으로 공개의 대상 범위가 원래의 것과 달라졌는지, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 고려하여 판단해야 한다고 설시하였음.
     

  • 한편, 방송통신위원회는 빅데이터 산업 활성화를 위해 2014년 12월 <빅데이터 개인정보보호 가이드라인>을 발표하였는데, 이 가이드라인에 공개된 개인정보 및 이용내역정보 관련 규정을 포함하고 있음. 그러나 동 가이드라인에 대해 개인정보보호위원회는 개인정보보호법 등에 부합하지 않는 내용을 일부 포함하고 있으므로 관련 법제에 맞게 재검토할 것을 권고한 바 있음. 특히 공개된 개인정보와 이용내역정보의 처리가 문제가 되었는데, 개인정보보호위원회는 “현행 개인정보 보호법 및 정보통신망법은 ‘공개된 개인정보’ 나 ‘이용내역정보’를 달리 취급하여 규정하고 있지 않으므로 …. 정보주체로부터 명시적인 동의를 받도록 하며, 다만 다른 법률에 특별한 규정이 있는 등의 몇 가지 예외 사유에 한정하여 동의 없는 수집을 허용하고, 그 수집 목적의 범위 내에서만 수집된 개인정보를 이용할 수 있도록 하는 규정들 (개인정보보호법 제15조, 정보통신망법 제22조, 제24조 등)은 ‘공개된 개인정보’ 및 ‘이용내역정보’에도 그대로 적용된다”고 보았으며, 이에 따라 “제한없이 일반 공중에게 공개되었다 하여 개인정보보호법이나 정보통신망법의 규제를 받지 않는다거나 구체적 사정을 고려함이 없이 해당되는 모든 정보주체가 그 수집에 필요한 동의를 한 것으로 해석하거나 간주할 수는 없다”고 판단하였음.
     

  • 포털 사이트에서 특정 검색어를 입력한 이용자의 전화, 이메일을 추출하여 광고 목적으로 활용할 수 있도록 하는 프로그램이 유통되어 문제가 되고 있는 상황에서, 이번 개정안은 이러한 스팸 마케팅을 합법화하겠다는 것에 다름이 아님.
     

  • 개인정보보호법은 공개된 개인정보와 관련된 명시적인 규정을 두고 있지 않지만, 제20조에서 정보주체 이외로부터 개인정보를 수집했을 경우 개인정보처리자의 고지 의무 등을 다루고 있는데, 홈페이지나 SNS 등을 통해 정보주체가 공개한 정보를 수집하는 것도 정보주체 이외로부터 개인정보를 수집하는 경우에 해당할 것임. 신용정보법에서 이와 같은 고지 의무를 수반하는 것인지 명확히 할 필요가 있음.

 

개인정보보호법

 

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.

1. 개인정보의 수집 출처

2. 개인정보의 처리 목적

3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

 

② 제1항에도 불구하고 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.  

 
  • 이용자가 SNS 등을 통해 자신의 개인정보를 공개했을 때, 공개한 개인정보가 자신에 대한 신용평가를 목적으로 활용될 것이라고 기대할 가능성은 크지 않음. 따라서 정보주체의 권리 보장을 위해서는 정보주체에게 이를 고지하고 동의를 받을 필요가 있음.

 
  • 금융위원회는 SNS 정보 활용 예로 미국 Lenddo 사를 들고 있는데, Lenddo사는  싱가포르에서 설립된 회사로 연락처, 통화기록, 문자메세지, 위치정보, 브라우징기록, 휴대폰에 있는 어플리케이션, 캘린더 이벤트, 전화번호 등의 과도한 정보를 수집하며 관련 프라이버시 규제가 발전하지 못한 필리핀, 콜롬비아, 멕시코 등 개발도상국(이머징 마켓)에서 사업하는 회사임.  미국 및 유럽에서 페이스북의 캠브리지 애널리티카 사건으로 소셜미디어 상 정보의 활용에 대하여 부정적인 인식이 확산되고 있음에도 불구하고, 국제적으로 프라이버시 침해 우려가 큰 기업 사례를 좋은 사례로 드는 것은 부적절함.
     

  • SNS 정보의 신용평가 목적의 활용이 보편화된다면, 이용자의 SNS 이용과 표현의 자유를 제약할 가능성이 큼. SNS 정보를 어떤 방식으로 신용평가에 반영할 것인지 명확하지 않은 상황이므로, 예를 들어 오타가 많거나, 개인의 병명 등 민감한 내용을 포함하고 있거나, 정부 혹은 기업에 비판적인 내용이거나, 술자리 등 방탕한 면모를 보여주는 등의 SNS 정보들이 혹여나 자신의 신용평가에 부정적으로 사용될 것을 우려하여 이용자들이 SNS 사용에 위축 효과를 불러오게될 가능성이 큼.
     

  • 또한, 신용정보법 개정안은 과도하게 대통령령에 위임(제15조2항2호의 라목 및 3호)하고 있어, 동의를 받지 않고 수집할 수 있는 개인정보의 범위가 어디까지인지 예측할 수 없음.
     

⇒ 현재 ‘공개된 개인정보’는 개인정보보호법에서도 명확한 규정이 없음. ‘공개된 개인정보’를 동의없이 수집, 제공하도록 하는 신용정보법 개정안의 규정은 프라이버시 및 표현의 자유와 같은 기본권 침해 우려가 크기 때문에 삭제되어야 함. 공개된 개인정보에 대한 구체적인 규율이 필요하다면, 개인정보보호법에서 규정할 필요가 있음.

 

 

5. 공공기관 보유 개인정보의 공유 확대

 

금융위원회 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」 (11월)

 

○ 정확한 신용평가를 위해 필요한 정보의 금융권 공유 확대 추진

 ■ 공공정보의 경우 조세체납 등 부정적 정보만 공유되고 있으나, 세금·사회보험료 성실납부 이력 등 긍정적 정보도 공유 필요

 ■ 기존에 금융권에서 공유되지 않았던 대부업 정보, 보험약관 대출 정보 등을 全금웅권에 공유

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제23조(공공기관에 대한 신용정보의 제공 요청 등)

② 신용정보집중기관이 국가ㆍ지방자치단체 또는 대통령령으로 정하는 공공단체(이하 이 조에서 “공공기관”이라 한다)의 장에게 신용정보주체의 신용도ㆍ신용거래능력 등의 판단에 필요한 신용정보로서 대통령령으로 정하는 신용정보의 제공을 요청하면 그 요청을 받은 공공기관의 장은 다음 각 호의 법률에도 불구하고 해당 신용정보집중기관에 정보를 제공할 수 있다. 이 경우 정보를 제공하는 기준과 절차 등은 대통령령으로 정한다.

1. 「공공기관의 정보공개에 관한 법률」

2. 「개인정보 보호법」

3. 「국민건강보험법」

4. 「국민연금법」

5. 「한국전력공사법」

6. 「주민등록법」

(아래 추가)

7. 「국세기본법」

8. 「지방세기본법」

9. 「고용보험법」

10. 「산업재해보상보험법」

 
  • 신용정보법 개정안은 공공기관이 신용정보집중기관에 제공하는 개인정보의 범위를 조세 및 고용, 산재보험 정보로 확대하고 있음. 이는 정보주체의 동의없이 제공되는 정보로서 이렇게 확대될 경우 정보주체의 권리를 제약하게 되고, 개인정보 유출의 위험성도 커질 수밖에 없음. 단지 ‘신용정보주체의 신용도ㆍ신용거래능력 등의 판단에 필요한 신용정보’라는 이유로 공공기관이 보유하고 있는 개인정보의 공유를 허용한다면, SNS 등까지 신용도 판단에 활용하겠다고 하는 상황에서, 그 범위는 무한정 확대될 위험이 있음.
     

  • 특히, 이번 신용정보법 개정안은 신용정보집중기관을 포함한 신용조회회사등이 정보주체의 동의없이 활용, 제3자 제공, 서로 다른 정보집합물의 결합하도록 하고 있기 때문에 그 위험성이 더욱 커질 것임.

 

⇒ 개인신용정보 감독기관에 대한 신뢰 부족, 동의없는 개인정보 활용 추세 등을 고려할 때, 정보주체의 동의없는 개인정보의 공유 범위 확대에 반대함.

 

6. 자동화평가(프로파일링)에 따른 정보주체의 권리 보장 미흡

 

신용정보법 개정안(김병욱 의원 대표발의)

 

14. “자동화평가”란 제15조제1항에 따른 신용정보회사등의 종사자가 평가 업무에 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 개인인 신용정보주체를 평가하는 행위를 말한다.

 

제36조의2(개인신용평가 결과에 대한 설명 및 이의제기 등) ① 개인인 신용정보주체는 자동화평가의 방법으로 개인신용평가를 하는 개인신용평가회사 및 대통령령으로 정하는 신용정보제공ㆍ이용자(이하 이 조에서 “개인신용평가회사등”이라 한다)에 대하여 다음 각 호의 사항을 설명하여 줄 것을 요구할 수 있다.

 1. 개인신용평가의 결과

 2. 개인신용평가의 주요 기준

 3. 개인신용평가에 이용된 기초정보(이하 이 조에서 “기초정보”라 한다)의 개요

 4. 그 밖에 대통령령으로 정하는 사항

② 개인인 신용정보주체는 개인신용평가회사등에 대하여 다음 각 호의 행위를 할 수 있다.

 1. 해당 신용정보주체에게 개인신용평가 결과의 산출에 유리하다고 판단되는 정보의 제출

 2. 기초정보의 내용이 정확하지 아니하거나 최신의 정보가 아니라고 판단되는 경우 다음 각 목의 어느 하나에 해당하는 행위

   가. 기초정보를 정정하거나 삭제할 것을 요구하는 행위

   나. 개인신용평점 등 개인신용평가 결과를 다시 산출할 것을 요구하는 행위

③ 개인신용평가회사등은 다음 각 호의 어느 하나에 해당하는 경우에는 제1항 및 제2항에 따른 개인인 신용정보주체의 요구를 거절할 수 있다.

 1. 이 법 또는 다른 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

 2. 해당 신용정보주체의 요구에 따르게 되면 금융거래 등 상거래관계의 설정 및 유지 등이 곤란한 경우

 3. 그 밖에 대통령령으로 정하는 경우

④ 제1항 및 제2항에 따른 요구의 절차 및 방법, 제3항의 거절의 통지 등에 대하여 필요한 사항은 대통령령으로 정한다.

 

제36조의3(자동화평가 결과에 대한 설명 및 이의제기 등) ① 개인인 신용정보주체는 대통령령으로 정하는 신용정보제공ㆍ이용자에 대하여 다음 각 호의 사항을 설명하여 줄 것을 요구할 수 있다.

 1. 다음 각 목의 경우에 자동화평가를 하는지 여부

   가. 대통령령으로 정하는 금융거래의 설정 및 유지 여부의 결정

   나. 대통령령으로 정하는 금융거래의 내용 결정

   다. 그 밖에 컴퓨터 등 정보처리장치로만 처리하면 개인신용정보 보호를 저해할 우려가 있는 경우로서 대통령령으로 정하는 경우

 2. 자동화평가를 하는 경우 다음 각 목의 사항

   가. 자동화평가의 결과

   나. 자동화평가의 주요 기준

   다. 자동화평가에 이용된 기초정보(이하 이 조에서 “기초정보”라 한다)의 개요

   라. 그 밖에 대통령령으로 정하는 사항

 
  • 이번 신용정보법 개정안은 소위 ‘프로파일링을 포함한 개인에 대한 자동화된 의사결정’ 관련 조항을 ‘자동화평가’라는 이름으로 포함하고 있음. 지능정보사회에서 개인에 대한 프로파일링과 자동화된 의사결정은 정보처리의 불투명성, 개인에 대한 차별 등의 문제로 핵심적인 쟁점이 되고 있으며, 이 때문에 95년 유럽연합의 개인정보보호지침, 2010년 유럽평의회의  ‘프로파일링 맥락상 개인정보의 자동화된 처리에서 개인의 보호’, 그리고 GDPR 등에서 이와 관련된 규범을 발전시켜왔음. 그런데 신용정보법 개정안의 ‘자동화평가’ 조항은 국제규범에 비해 정보주체의 권리가 매우 제한적일 뿐만 아니라, 일반법인 개인정보보호법이 아닌 신용정보법에서 먼저 규정하는 것이 타당한 것인지 의문임.
     

  • 유럽연합 GDPR의 경우, ‘본인에 관한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는’ 경우, (1) 계약 이행, (2) 법률적 근거, (3) 정보주체의 명시적 동의가 있을 경우를 제외하고는, 자동 처리에만 전적으로 의존하는 결정의 적용을 받지 않을 권리를 인정하고 있음. 또한 정보주체에게 정보를 제공받을 권리, 거부권, 인적 개입을 요구할 권리, 설명요구권, 이의제기권 등을 보장하고 있으며, 민감정보에 대해서는 정보주체의 동의 등 제한적인 조건에서만 허용되고, 정보처리자에는 적절한 안전조치를 수립할 책임을 부과하고 있음.
     

  • 그러나 신용정보법 개정안은 자동화평가를 기본적으로 허용하고 있으며, 단지 정보주체에게 자동화평가에 대한 설명요구 및 이의제기권을 부여하고 있을 뿐임.

 

⇒ 신용정보법 개정안에서 자동화평가 조항을 삭제하고, 개인정보보호법에서 프로파일링에 대한 정보주체의 권리를 충분히 보장할 수 있는 방향으로 입법해야 함.

 

7. 개인정보이동권과 마이데이터(MyData)의 문제  

 

금융위원회 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」 (11월)

 

○ 정부주체가 본인의 신용정보를 주도적으로 관리·활용할 수 있도록 금융분야 마이데이터(MyData) 산업을 도입

 ■ 마이데이터 사업자가 수집된 정보를 바탕으로 개인의 정보 관리를 돕고, 맞춤형 상품 추천, 금융상품 자문을 할 수 있도록 함

 ■ 마이데이터 사업자에 정보정정청구 등 정보관련 권리의 대리행사 업무, 투자자문·일임업, 금융상품자문업 등을 허용

 

신용정보법 개정안(김병욱 의원 대표발의)

 

9의2. “본인신용정보관리업”이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 다음 각 목의 전부 또는 일부의 신용정보를 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말한다.

 

제6조(허가의 요건)

② 신용정보업, 본인신용정보관리업 또는 채권추심업의 허가를 받으려는 자는 다음 각 호의 구분에 따른 자본금 또는 기본재산을 갖추어야 한다.

1의5. 본인신용정보관리업을 하려는 경우: 5억원 이상

 

제11조(겸영업무)

④ 본인신용정보관리회사의 겸영업무는 다음 각 호와 같다.

 1. 「자본시장과 금융투자업에 관한 법률」 제6조제1항제4호 또는 제5호에 따른 투자자문업 또는 투자일임업(신용정보주체의 보호 및 건전한 신용질서를 저해할 우려가 없는 경우로서 대통령령으로 정하는 경우로 한정한다)

 2. 그 밖에 신용정보주체 보호 및 건전한 거래질서를 저해할 우려가 없는 업무로서 대통령령으로 정하는 업무

 

제11조의2(부수업무)

 ⑤ 본인신용정보관리회사의 부수업무는 다음 각 호와 같다.

 1. 해당 신용정보주체에게 제공된 본인의 개인신용정보를 기초로 그 본인에게 하는 데이터 분석 및 컨설팅 업무

 2. 신용정보주체 본인에게 자신의 개인신용정보를 관리ㆍ사용할 수 있는 계좌를 제공하는 업무

 3. 제39조의3제1항 각 호의 권리를 대리 행사하는 업무

 4. 그 밖에 대통령령으로 정하는 업무

 

제22조의10(본인신용정보관리업에 따른 법률관계)

 ② 제33조의2제1항에서 정하는 신용정보제공ㆍ이용자등은 개인인 신용정보주체가 같은 조 같은 항에 따라 본인신용정보관리회사에게 본인에 관한 개인신용정보의 전송을 요구하는 경우에는 정보제공의 안전성과 신뢰성이 보장될 수 있는 방식으로서 대통령령으로 정하는 방식으로 해당 개인인 신용정보주체의 개인신용정보를 그 본인신용정보관리회사에 직접 전송하여야 한다.

 ③ 제2항에도 불구하고 제33조의2제1항에서 정하는 신용정보제공ㆍ이용자등의 규모, 금융거래 등 상거래의 빈도 등을 고려하여 대통령령으로 정하는 경우에 해당 신용정보제공ㆍ이용자등은 대통령령으로 정하는 중계기관을 통하여 본인신용정보관리회사에게 개인신용정보를 전송할 수 있다.

 

제33조의2(개인신용정보의 전송요구) ① 개인인 신용정보주체는 대통령령으로 정하는 신용정보제공ㆍ이용자나 「개인정보 보호법」에 따른 공공기관으로서 대통령령으로 정하는 공공기관(이하 이 조 및 제33조의4에서 “신용정보제공ㆍ이용자등”이라 한다)에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 다음 각 호의 어느 하나에 해당하는 자에게 전송하여 줄 것을 요구할 수 있다.

 1. 해당 신용정보주체 본인

 2. 본인신용정보관리회사

 3. 대통령령으로 정하는 신용정보제공ㆍ이용자

 4. 개인신용평가회사

 5. 그 밖에 대통령령으로 정하는 자

 
  • 신용정보법 개정안은 소위 ‘개인정보이동권’과 마이데이터 사업(본인신용정보관리업)과 관련한 조항을 새로 도입하고 있음. 그런데 GDPR에서 개인정보이동권 제도를 도입한 취지는 시장에서의 정보독점을 방지하고 정보주체의 권리를 강화하기 위한 것인 반면, 금융위원회의 마이데이터 사업 도입 취지는 ‘데이터 브로커’ 양성을 위한 것에 불과함. 또한, 개인정보보호법에서 개인정보이동권을 도입하기 이전에 신용정보법에서 우선 도입하는 것은 향후 개인정보보호법과의 관계에서 혼란을 야기할 우려가 있음.  
     

  • 금융위원회가 진정으로 정보주체의 권리 보장을 원한다면, 마이데이터 사업의 도입 이전에 설명 후 동의(informed consent) 실질화를 위한 동의제도 개선, 개인정보처리자에 의한 개인정보 처리의 투명화, 정보주체의 열람권 등 기본권 강화가 실효성있게 보장될 수 있도록 노력해야할 것임.
     

  • 정보주체가 개인정보 처리의 이익과 위험성에 대해 충분한 이해하지 못한 상황에서 이 제도가 도입된다면, 데이터 브로커를 통한 개인정보의 상품화를 부추길 뿐임. 더구나 개정안은 본인신용정보관리업에 대해서는 허가요건을 완화시키고 있는 바, 허가받은 업체가 개인정보 보호를 위한 충분한 안전조치를 취할 수 있을지 의문임.
     

  • 본인신용정보관리업의 겸영업무도 투자자문업 또는 투자일임업과 함께 나머지는 시행령에 위임하고 있으며, 부수업무도 시행령에 위임하고 있어 개인정보의 상업적 활용을 위한 어떠한 업무를 추가적으로 할 지 우려됨. 이와 같이 신용정보법 개정안은 과도하게 많은 부분을 시행령에 위임하고 있어, 금융위원회가 자의적으로 금융분야의 개인정보 활용 범위를 통제할 수 있도록 하고 있음.  개인정보 자문 및 대리권 행사는 현행 민법, 상법, 변호사법 등 현행 법률체계를 종합적으고 검토해 사회적 논의와 합의가 필요한 사안임.
     

  • 신용정보법 개정안 제12조는 마이데이터(MyData)라는 용어를 허가받은 자 외에는 사용하지 못하도록 하고 있는데, 마이데이터라는 용어가 신용정보업체만 사용하는 것이 아니므로 과도한 명의독점이라고 할 수 있음.

 

⇒ 신용정보법 개정안에서 해당 조항을 삭제하고, 개인정보보호법에서 개인정보 이동권 도입 여부에 대해 신중한 검토 필요함.

 

8. 신용조회회사에 대한 영리 목적의 빅데이터 업무 겸영 허용

 

금융위원회 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」 (11월)

 

○ 선진국의 경우 데이터를 다량으로 보유한 CB사들이 데이터 기반 서비스를 다양하게 출시하며 빅데이터 시장을 선도

 ■ 반면, 우리나라의 경우 ‘15.9월 이후 정부·공공기관에 대한 분석·조사업무 등 일부업무 外 영리목적 겸업이 금지*

 

○ CB사에 빅데이터 업무 허용

 ■ CB사가 해외처럼 소상공인 마케팅 전략 수립, 상권분석, 다양한 대출모형 개발 등 데이터 기반 업무를 수행할 수 있도록 함

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제11조(겸업) ① 신용정보회사, 본인신용정보관리회사 및 채권추심회사는 총리령으로 정하는 바에 따라 금융위원회에 미리 신고하고 그 업무를 하더라도 신용정보주체 보호 및 건전한 신용질서를 저해할 우려가 없는 업무(이하 “겸영업무”라 한다)를 겸영할 수 있다. 이 경우 이 법 및 다른 법률에 따라 행정관청의 인가ㆍ허가ㆍ등록 및 승인 등의 조치가 필요한 겸영업무는 해당 개별 법률에 따라 인가ㆍ허가ㆍ등록 및 승인 등을 미리 받아야 할 수 있다.

② 개인신용평가회사의 겸영업무는 다음 각 호와 같다.

 1. 개인신용평가업 외의 신용정보업

 2. 채권추심업

 3. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의3에 따른 본인확인기관의 업무

 4. 그 밖에 신용정보주체 보호 및 건전한 신용질서를 저해할 우려가 없는 업무로서 대통령령으로 정하는 업무

 

제11조의2(부수업무) ① 신용정보회사, 본인신용정보관리회사 및 채권추심회사는 해당 허가를 받은 영업에 부수하는 업무(이하 “부수업무”라 한다)를 할 수 있다. 이 경우 신용정보회사, 본인신용정보관리회사 및 채권추심회사는 그 부수업무를 하려는 날의 7일 전까지 이를 금융위원회에 신고하여야 한다.
 ② 개인신용평가회사의 부수업무는 다음 각 호와 같다.
 1. 새로이 만들어 낸 개인신용평점, 그 밖의 개인신용평가 결과를 신용정보주체 본인이나 그 대리인에게 제공하는 업무
 2. 개인신용정보나 이를 가공한 정보를 본인이나 제3자에게 제공하는 업무
 3. 가명정보나 익명조치한 정보를 이용하거나 제공하는 업무
 4. 개인신용정보, 그 밖의 정보를 기초로 하는 데이터 분석 및 컨설팅 업무
 5. 개인신용정보 관련 전산처리시스템, 솔루션 및 소프트웨어(개인신용평가 및 위험관리 모형을 포함한다) 개발 및 판매 업무
 6. 그 밖에 대통령령으로 정하는 업무

 

(현행 신용정보법에서 아래 조항 삭제)

제22조의3(계열회사 등에 대한 개인신용정보 제공 금지) 신용조회회사는 제32조제2항에도 불구하고 제9조제1항에 따른 지배주주 및 「독점규제 및 공정거래에 관한 법률」 제2조제3호에 따른 계열회사에 개인신용정보를 제공할 수 없다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.

1. 신용조회회사가 제4조제1항제1호에 따른 업무수행을 위하여 제공하는 경우

2. 제32조제6항제4호에 따라 제공하는 경우

 
  • 신용조회회사는 신용정보를 수집ㆍ처리하는 행위, 신용정보주체의 신용도ㆍ신용거래능력 등을 나타내는 신용평가정보를 만들어 내는 행위 및 의뢰인의 조회에 따라 신용평가정보를 제공하는 등의 업무를 수행함. CB사는 이러한 업무를 수행하면서도 영업수익은 2011년 243억원에서 2017년 1,399억원으로 큰폭으로 증가하였음.
     

  • 또한, 2015년 신용정보법 개정을 통해, 신용조회업의 부수 업무를 제한하고 신용조회회사의 영리 목적 겸업을 금지한 것(제11조 제2항 신설)은 2014년 금융 개인정보의 대량 유출사태를 계기로 개인신용정보의 보호를 강화할 필요성에 따른 것임.
     

  • 신용정보법 개정안은 금융지주회사 내 계열회사에 대한 개인신용정보 제공을 제한한 제22조의3을 삭제하였음. 이 역시 2014년 금융 개인정보 대량 유출 이후, 2015년 신용정보법 개정을 통해 규정된 것임. 금융위원회는 2015년 개정을 통한 개인신용정보 보호 강화 조치를 은근슬쩍 후퇴시키고 있음. 그러면서 법안 주요 개정 내용 설명에서는 마치 개인정보보호법과의 중복, 유사 조항을 정비하기 위해 삭제한 것처럼 거짓말을 하고 있음.  
     

  • 개인신용정보 보호 강화를 목적으로 한 개정이 3년 밖에 지나지 않았고, 개인신용정보의 보호를 완화할 별다른 상황 변화가 없음에도 불구하고 정보주체의 권리를 완화하는 방향으로 전환하는 것은 합당한 명분이 없음.

 

⇒ 신용조사회사에 영리를 목적으로 신용정보업 외의 다른 업무를 허용하는 것은  개인신용정보를 목적 외 활용하는 것으로 폐기되어야 함.

 

9. 신용정보집중기관의 개인정보 남용

 

금융위원회 「데이터 경제 활성화를 위한 신용정보산업 선진화 방안」 (11월)

 

○ 신용정보산업 지원을 위한 신정원의 공공인프라 기능 확충

 ■ 신정원, 금융보안원을 데이터전문기관으로 지정하여 데이터 결합, 금융회사 등의 익명조치의 적정성 평가 업무*를 부여

 데이터시장 조성을 위해 빅데이터 DB·분석시스템* 구축하고 중소형 금융회사 및 창업·핀테크기업의 데이터활용 지원

     * 신정원, 보험개발원이 보유한 정보를 비식별조치한 뒤 표본DB 또는 맞춤형 DB화하여 제공하거나, 신정원 내 분석도구·보안체계를 활용하여 자신이 보유한 DB를 분석할 수 있도록 지원

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제26조의4(데이터전문기관) ① 금융위원회는 제17조의2에 따른 정보집합물의 결합 및 제40조의2에 따른 익명조치의 적정성 평가를 전문적으로 수행하는 법인 또는 기관(이하 “데이터전문기관”이라 한다)을 지정할 수 있다.

 ② 데이터전문기관은 다음 각 호의 업무를 수행한다.

 1. 신용정보회사등이 보유하는 정보집합물과 제3자가 보유하는 정보집합물 간의 결합 및 전달

 2. 신용정보회사등의 익명조치에 대한 적정성 평가

 3. 제1호 및 제2호와 유사한 업무로서 대통령령으로 정하는 업무

 ③ 데이터전문기관은 제2항제1호 및 제2호의 업무를 전문적으로 수행하기 위하여 필요하면 대통령령으로 정하는 바에 따라 적정성평가위원회를 둘 수 있다.

 
  • 금융위원회는 한국신용정보원, 금융보안원 등을 데이터전문기관으로 지정하여 상업적 목적의 개인정보 활용을 지원하고자 하고 있음. 그러나 한국신용정보원은 신용정보집중기관으로서 각 금융기관 등이 보유하고 있는 개인신용정보를 제공받아 집중 관리하고 있는 바, 이와 같이 각 금융기관 등이 보유하고 있는 개인신용정보를 강제로 집중하는 것은 정보주체의 권리를 크게 제약하는 것임에도 불구하고 법에서 이를 허용하고 있는 것은 금융 건전성 제고 등 공공적 목적을 위한 것임. 더구나 ‘신용정보회사가 다른 신용정보회사 또는 신용정보집중기관과 서로 집중관리ㆍ활용하기 위하여 제공하는 경우’(제32조 6항)에는 정보주체의 동의도 받지 않고 제공할 수 있도록 하는 등 개인정보 보호원칙을 벗어난 공유를 이미 허용하고 있음.  따라서, 이에 따른 개인정보 침해를 최소화하기 위해서는 공공적 목적을 달성하기 위한 최소한의 범위에서 개인신용정보의 수집 및 활용이 이루어져야 마땅함.  
     

  • 그러나 금융위원회와 신용정보법 개정안은 신용정보집중기관이 방대한 개인신용정보를 보유하고 있음을 이용하여, 금융산업 지원을 위해 개인정보를 애초 수집 목적 외로 활용하려고 하고 있음.
     

  • 앞서 지적한 바와 같이 ‘익명조치의 적정성 평가’는 그 누구도 책임지지 않는 구조를 만든다는 점에서 그 자체로 적절하지 않으며, 영리 목적의 정보집합물의 결합 역시 허용되어서는 안됨.
     

  • 신용정보법 개정안 제26조의4 2항 3호는 ‘제1호 및 제2호와 유사한 업무로서 대통령령으로 정하는 업무’로 되어 있는데, 금융위원회가 밝힌 바와 같이 ‘신정원, 보험개발원이 보유한 정보를 비식별조치한 뒤 표본DB 또는 맞춤형 DB화하여 제공’하는 업무 등으로 추정됨. (이와 같이 신용정보법 개정안에서 시행령으로의 위임을 남발하는 것은 제한할 필요가 있음.) 금융위원회는 ‘비식별조치’라는 용어를 사용하고 있는데, 표본DB 또는 맞춤형 DB라고 표현한 것으로 보아 가명처리인 것으로 보여지며, 가명처리된 개인정보를 제공하는 것은 개인정보보호법 위반이며, 이와 같이  공공적 목적으로 집적한 개인정보를 상업적 목적으로 활용은 허용되어서는 안됨.
     

  • 더구나 한국신용정보원은 2016년 1월, 은행연합회를 비롯하여 생명보험협회, 손해보험협회 등을 통합하여 설립이 되어 보유하고 있는 개인신용정보가 방대할 뿐만 아니라 질병이나 치료 정보 등 민감한 정보도 보유하고 있기 때문에, 보유하고 있는 개인정보의 활용을 더욱 공공적 목적으로 제한할 필요가 있음.
     

⇒ 익명조치 적정성 평가, 정보집합물의 결합, 공공적 목적으로 수집된 개인정보를 표본DB 또는 맞춤형 DB화하여 제공하는 업무 모두 허용되어서는 안되므로, 해당 조항은 삭제되어야 함.

 

10. 개인정보 보호원칙에 벗어난 장기 보유의 문제

 

신용정보법 개정안(김병욱 의원 대표발의)

 

제20조의2(개인신용정보의 보유기간 등)

 

② 「개인정보 보호법」 제21조제1항에도 불구하고 신용정보제공ㆍ이용자는 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집ㆍ제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다.

 

 2의2. 가명정보를 이용하는 경우로서 그 이용 목적, 가명조치의 기술적 특성, 정보의 속성 등을 고려하여 대통령령으로 정하는 기간 동안 보존하는 경우

 3. 그 밖에 다음 각 목의 어느 하나에 해당하는 경우로서 대통령령으로 정하는 경우

   다. 개인신용정보를 처리하는 기술의 특성 등으로 개인신용정보를 보존할 필요가 있는 경우

   라. 가목부터 다목까지와 유사한 경우로서 개인신용정보를 보존할 필요가 있는 경우

 
  • 수집된 개인정보는 수집 목적이 다하면 폐기하는 것이 개인정보 보호원칙이며, 가명처리된 개인정보 역시 개인정보보호법의 적용을 받는 개인정보임. 그런데 신용정보법 개정안은 수집 목적을 달성한 개인신용정보를 모호한 이유로 장기간 보관할 수 있도록 하고 있음. 이는 개인정보 보호원칙에 정면으로 위배됨.
     

  • ‘이용 목적, 가명조치의 기술적 특성, 정보의 속성 등을 고려’했을 때 어떻게 달라진다는 것인지, 대통령령으로 정하는 기간은 얼마 동안인지, 특히, 제20조의2 2항 3호의 다, 라의 경우에는 도대체 어떠한 경우에 해당하는 것인지 법안만으로는 알 수가 없음. 이렇게 모호한 이유로 개인정보를 보유기간 이상으로 보유할 수 있도록 하는 것은 정보주체의 권리에 대한 중대한 침해임.

 

⇒ 명확한 필요성을 법에 규정하지 않는 이상, 수집 목적에 필요한 기간 이상 개인정보를 보유하지 않아야 함. 따라서 위의 모호한 조항은 삭제되어야 함.

 

11. 개인신용정보에 대한 감독권한의 문제

 
  • 무엇보다 큰 문제는 현재 개인정보감독기구의 일원화가 추진되고 있음에도 불구하고, 개인신용정보에 대한 금융위원회의 감독권한은 여전히 존치하고 있다는 것임. 이에 따라 감독기관의 분산에 따른 혼란, 비효율성, 중복규제 등의 문제가 지속될 것이 우려됨. 예를 들어, 개인정보보호위원회와 금융위원회 간에 개인신용정보 보호정책을 두고 이견이 발생했을 경우 어떻게 처리할 것인지 의문임.
     

  • 개인정보감독기구의 가장 중요한 요소 중의 하나는 독립성임. 그러나 금융위원회는 금융산업에 대한 감독과 함께 금융산업의 진흥을 목적으로 하고 있는 바, 2018년에도 수차례 금융산업 활성화 및 개인신용정보의 산업적 활용 정책을 천명한 바 있음. 이에 따라 금융산업 활성화 목적으로 정보주체의 권리를 제한하는 정책을 아무런 문제의식없이 쏟아내고 있는 바, 개인정보 감독기구로서의 신뢰를 상실함. 감독기구에 대한 신뢰없이 개인정보 보호에 대한 신뢰가 있을 수 없으며, 이는 궁극적으로 개인정보의 안전한 활용을 저해하게 될 것임.

 

⇒ 금융위원회의 개인정보 감독권한을 개인정보보호위원회로 이관하고, 금융위원회는 금융산업에 대한 감독 역할에 충실해야 함.

 

12. 결론

 

개인신용정보는 경제 생활과 관련이 되어 있기에 국민들이 가장 민감하게 반응하는 정보임. 신용정보법은 다른 분야에 비해 개인정보 보호원칙에서 벗어난 조항들을 다수 포함하고 있었고, 급기야 2014년 발생한 개인신용정보의 대량 유출 사태는 금융 영역에서의 개인정보 보호에 대한 국민들의 심각한 불신을 초래한 바 있음. 이러한 불신이 여전히 남아있는 상황에서, 금융위원회는 금융분야를 빅데이터의 테스트베드로서 우선 추진하겠다는 등 개인정보의 상업적 활용에 어느 부처보다 앞장서고 있음.

 

한편, 개인정보 보호체계 효율화, 개인정보보호위원회 위상 강화에 대한 대통령의 공약 및 국정과제 설정에 따라, 개인정보보호법 및 개인정보보호위원회로의 일원화가 추진되고 있음에도 불구하고, 금융위원회만이 부처 이기주의에 빠져 감독 권한의 이양을 거부하고 있음.

                                                                                                                                                                                                                                                                                                                                                           

이번 신용정보법 개정안은 지난 2015년 개인정보 보호를 강화한 내용을 후퇴시키고, 개인신용정보의 상업적 활용을 촉진하는데 초점을 두고 있음. 정부의 개인정보보호법 개정안과 마찬가지로 국제적인 개인정보 보호 규범에 한참 미달할 뿐 아니라, 익명조치에 대한 적정성 평가, SNS 등 공개된 개인정보의 활용, 데이터 브로커 양성, 개인정보보호원칙을 벗어난 활용 조항 등 개인정보보호법보다 훨씬 심각한 독소조항을 포함하고 있음. 신용정보법 개정안만 보더라도 금융위원회가 개인정보 감독기구로서 자격이 없음을 여실히 보여주고 있음.

 

금융위원회는 더 이상 부처 이기주의를 고집하지 말고, 개인정보 감독기구로서의 역할을 개인정보보호위원회로 이양하고 금융 감독기구로서의 역할에 충실해야 함. 신용정보법 역시 개인정보와 관련한 내용은 개인정보보호법으로 일원화해야 함. 정부는 현재 발의한 개정안을 철회하고 개인정보 보호체계 일원화 및 정보주체의 권리를 실효성있게 강화하는 방향으로 다시 신용정보법 개정안을 제출할 것을 촉구함.

 

2018.12.12

건강과대안, 건강권실현을 위한 보건의료단체연합, 건강세상네트워크, 경실련, 금융정의연대, 무상의료본부,  민변 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동

 
 
 

[보도자료 원문보기/다운로드]

[기자회견문 원문보기/다운로드] 

[의견서 원문보기/다운로드]

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입