민생희망본부 기타(cc) 2014-03-20   1949

[감사청구]생명보험사의 개인질병정보 과잉수집 등에 대한 금융위 조치의 위법·부당성에 대한 감사청구

생명보험사의 개인질병정보 과잉수집 등에 대한 금융위 조치의 위법·부당성에 대한 감사청구

생명보험협회, 개인 동의 없이 국민 개인의 질병(건강) 관련 다수의 민감한 정보를 과잉 수집 및 활용

금융위원회, 생명보험협회 행태 묵인·비호하고 면죄부 부여

생명보험협회의 개인질병정보 과잉수집 및 집중관리 활용에 대한 금융위원회 조치의 위법·부당성에 대한 감사원 국민감사·공익감사 동시 청구 기자 브리핑

일시 및 장소 : 2014년 3월 20일 (목) 오후 2시,  삼청동 감사원 민원접수실 앞

 

피해자 추가 소송 안내

참여연대, 금융소비자연맹, 민변 민생위 공동으로 카드3사 정보유출 피해 소송 집단소송을 위한 소송원고인단 모집은 1, 2차에 걸쳐 모집 및 마무리하였습니다. 따라서 참여연대, 금융소비자연맹, 민변 민생위에서 진행하는 공익소송은 2차로 마무리가 됐음을 알려드립니다. 

시민단체 등이 추가 소송을 더 진행할 수 없음을 양해해주시면 고맙겠습니다. 추가 소송을 진행하고자 하는 분들은 개별적으로 소송 진행 또는 해당 변호사 사무실에 문의하시기 바랍니다.

 

 

3.20(목) 금융소비자연맹, 참여연대, 민변 민생경제위, 금융정의연대는 금융위원회가 신용정보보호법 상 승인범위를 초과하는 개인의 민감한 ‘질병정보’를 신용정보라고 해석하여, 개인정보보호법 상 수집이 금지된 개인의 ‘민감 정보’ 인 질병(건강) 정보를 생명보험협회가 과잉 수집하고, 집중관리 활용할 수 하도록 승인하고, 그 과정과 내용에서의 문제점을 묵인·비호한 행위에 대해 감사원에 국민감사(국민 300명 이상의 연명 청구)와 공익감사(공익적 시민단체들의 감사 청구)를 동시에 청구할 예정입니다. 위 네 단체들은 지난 2월 신용카드 3사의 개인정보 유출에 대해서도 공익 소송을 제기한 바 있고, 앞으로도 계속해서 대기업, 금융권의 개인정보 과잉 수집 및 활용, 부실 관리 및 유출 등에 대해서도 적극적으로 공동 대응해나갈 예정입니다.

 

 아래와 같이 감사청구서를 접수함을 안내합니다.(감사청구서의 취지와 요약 내용, 감사청구서 전문 등을 모두 별첨)

 

   ◯ 제목: 생명보험협회 개인 질병 정보 과잉 수집 및 집중관리·활용에 대한 금융위원회 조치의 위법·부당성에 대한 국민·공익감사 청구(접수)

   ◯ 일시: 2014년 3월 20일 (목) 오후 2시 

   ◯ 장소: 서울특별시 종로구 북촌로 112 감사원 민원접수실     

   ◯ 감사청구서를 접수하기 전에 약식으로 기자 브리핑을 진행합니다.

 

※ 별첨 1 : 감사청구서의 취지와 요약된 내용

 

□ 참여연대, 금융소비자연맹, 민변 민생경제위, 금융정의연대는 금융위원회가 생보협회에 대해 개인질병정보의 과잉 수집과 집중관리·활용 허용에 대한 조치의 위법·부당성에 대해 2014.3.20.일 오후 2시 감사원에 국민감사(국민 320명이 연명하여 감사청구)와 공익감사(공익적 NGO들이 감사청구)를 동시에 청구한다.

 

금융위원회가 신용정보보호법상 승인범위를 초과하는 개인의 민감한 '질병정보'를 신용정보라고 해석하여, 개인정보보호법상 수집이 금지된 개인의 '민감정보'인 건강(질병)정보를 생명보험협회에 집중관리활용을 하도록 승인해 준 행위에 대해서 국민청구인 안진걸(참여연대 합동사무처장) 등 국민 320명이 감사원에 공익 국민 감사를 청구한다.

 

□ 생명보험협회는 2002.10.7.  기존 여신거래정보 외에 “보험계약정보 및 보험금지급정보” 총 36개 항목을 집중관리·활용 대상 정보에 추가해 줄 것을 당시 금융감독위원회에 신청(생협보 제683호)하여, 2002. 12. 18. 금융감독위원회가 이 중 25개 항목을 승인(시장 41254-102호)하였다.

 

생명보험협회는 그 동안 보험계약정보 및 보험금지급정보를 집중관리·활용하는 과정에서 동 정보의 유출 및 무단사용에 관련된 논란이 끊이지 않았고, 무엇보다 금융감독위원회로부터 승인받은 정보보다 훨씬 많은 정보를 수집하고 있다.

 

□ 금융감독원의 생보협회 부문검사(2013.1.14.∼2013.2.15.)결과, 생명보험협회가 2002년 승인받은 항목이 25개인데 반해 2013년 현재 수집하고 있는 정보는 185개에 달하여, 실제로 생명보험협회가 금융감독위원회로부터 승인받지 않은 정보를 무더기로 수집하여 보험회사에 제공하고 있었다. 

 

위와 같은 사실 적발 후 금융감독원은 법령 적용을 확실히 하기 위하여 2013. 8. 8. 금융위원회에 “생보협회가 집중관리·활용하고 있는 보험관련 정보 중 각 항목별로 금융위의 승인범위에 해당하는지”에 관한 질의를 하였는데(보영검삼-00040), 이에 대하여 금융위원회는 2013. 8. 23. 생명보험협회가 수집 및 제공하고 있는 정보 가운데 상당수가 2002년 승인받은 정보에 속한다고 “해석”될 수 있다는 요지의 회신을 하였다

 

이러한 금융위원회의 회신은 생명보험협회의 그 동안의 위법한 행위를 사실상 추인해 주는 결과가 되며, 앞으로도 동 협회가 “필요”하다고 스스로 판단만하면 마음대로 승인 없이 정보를 수집하더라도 이러한 행태가 사후적으로 묵인될 수 있게 했다.

 

관련법령의 취지상 신용정보집중기관에서 “집중관리·활용되는 정보”는 해석의 여지가 없을 정도로 일의적이며 명확해야 하는 것이므로, 2013. 8. 23. 금융위원회가 새로 “해석”을 한다는 것 자체가 부적절한 것이다. 

 

□ 신용정보집중기관에 의한 신용정보의 집중관리·활용은, 정보주체의 헌법상의 권리인 “개인정보 자기결정권”(헌법재판소 2005. 5. 26. 자 99헌마513 결정)을 제한하는 것이다. 

 

헌법상의 권리를 제한할 때에는 국민의 대표인 국회가 제정한 법률의 형식에 의하여야 한다는 일반적인 요청(헌법 제37조 제2항)은 이 경우에도 적용된다.

 

물론 법률에서 직접 정하지 않고 대통령령에 위임할 수도 있으나(헌법 제75조), 이 경우에도 대통령령으로 규정할 수 있는 사항은 법률에서 구체적으로 범위를 정하여 위임받은 사항으로 한정됨으로써(포괄위임금지 원칙) 위임입법의 범위와 한계가 정해진다. 이와 같이 헌법에서 포괄위임을 금지하는 취지는 만약 하위법령에 대한 포괄위임을 허용한다면 이는 곧 하위법령이 실질적인 입법을 하게 되는 것이어서 입법권은 국회가 보유하는 것으로 규정한 헌법 제40조에 위반되기 때문이다(헌법재판소 2013. 7. 25. 자 2012헌바92 결정 외 다수)

 

그런데 신용정보법 제25조 제4항에서는 “집중관리·활용되는 신용정보의 범위”를 대통령령에 위임하고 있고, 이를 받아 신용정보법 시행령 제21조 제4항에서는 개별신용정보집중기관의 경우 같은 종류의 금융기관 등의 협약, 금융위원회의 승인을 요건으로 하여 위 신용정보의 범위가 정해진다고 정하고 있다. 

 

신용정보법에 있어서 “집중관리·활용되는 신용정보의 범위”는 개인정보 자기결정권 제한에 있어 가장 핵심이 되는 것인데도, 신용정보법이 그 실질적인 내용에 대해서는 거의 언급하지 않은 채 사실상 금융기관등의 협약 및 금융위원회의 승인만으로 정할 수 있게 함으로써 개인정보 자기결정권의 제한 여부를 금융위원회의 손에 맡겨 둔 것은 그것만으로도 논란의 여지가 있을 수는 있다(참고로 종합신용정보집중기관에서 집중관리·활용되는 신용정보는 신용정보법 시행령 제21조 제3항에 따라 동 시행령 [별표 2]에서 정함을 원칙으로 함).

 

승인 대상 정보의 목록은 그 자체로 일의적이고 명확하여 해석의 여지가 없어야 하는 것이고, 수정할 필요성이 있다면 신용정보법 및 동법 시행령이 정한 절차에 따라 정당하게 공개적으로 수정하도록 해야 하는 것이지, “당시 승인의 내용은 이러했던 것이었다”라고 사후적으로 해석하는 것은 그 자체로 부적절한 것이다.

 

□ 정보집중기관인 생명보험협회가 승인받은 정보와는 무관하게 마음대로 보험 소비자의 정보를 수집 및 제공하는 것을 발견하였다면 금융위원회로서는 이를 엄중히 문책해야 할 것인데, 오히려 편법적인 방식으로 그간의 위법행위를 추인함에 대하여 소비자로서 분노를 참을 길이 없다. 

 

2013. 8. 23. 금융위원회의 유권해석을 구체적으로 검토하면, 기본적으로 “보험금 지급사유”라는 항목을 잘못 이해하고 있는 문제가 있고, 기타 어떤 항목은 2002년에 승인하지 않았으면서 이제 와서는 당시 승인되었던 항목에 포함되어 있었다고 “해석”하는 등의 명백한 잘못도 있다.

 

이러한 문제는 근원적으로 2002년 당시 보험 관련 정보를 신용정보의 일종으로 판단한 금융위원회의 잘못된 법령해석에서 비롯된 것입니다.

 

□ 신용정보란 “금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한” 정보(신용정보법 제2조 제1호)이며, “신용”이란 “사람의 지불능력 또는 지불의사에 대한 타인의 신뢰”(대법원 1969. 1. 21. 선고 68도1660 판결, 2006. 5. 25. 선고 2004도1313 판결 등 다수)를 말하므로, 신용정보란 “금융거래 등 상거래에 있어서 거래 상대방(채무자)이 지불능력 또는 지불의사가 있는지에 대한 신뢰를 형성함에 필요한 정보”라고 정리할 수 있다. 

 

그런데 보험관련 정보들은 대개 보험사고가 발생한 경우에 보험수익자 등이 보험금을 받을 수 있는지, 받아도 되는 사람인지에 대한 정보(요컨대 정당한 채권자인지에 대한 정보)이지, 그가 채무자로서 신뢰할 만한 사람인지, 예컨대 보험료를 제때 잘 낼 사람인지에 대한 정보가 아닙니다. 요컨대 “신용정보”의 개념과는 정반대의 이질적인 정보입니다.

 

특히 협회가 수집하여 문제되는 정보들은 대개 “개인의 질병에 관한 정보”입니다. 과거 신용정보법에서는 보호 필요가 긴절한 몇 가지 (신용정보가 아닌) 개인정보를 “개인신용정보”라 하여 별도로 규율하던 때가 있었고, 이 당시에는 개인의 질병에 관한 정보도 개인신용정보의 하나에 포함된 적이 있으나, 현재 신용정보법에서는 개인신용정보를 “신용정보 가운데 개인에 대한 것”으로 개념을 정비하였고, 질병정보는 채무자의 변제의사 및 능력과는 무관한 정보이므로 신용정보에 포함되지 않습니다. 한편 신용정보집중기관은 “신용정보” 가운데 금융위원회의 승인을 받은 정보를 수집하는 곳이므로, 질병정보는 금융위원회의 승인 대상도 아니며, 해석을 통해 이를 수집할 수 있는 성질의 것이다. 

 

이처럼 보험관련정보는 신용정보가 아님에도 2002년 당시 금융감독위원회가 신용정보의 하나라고 유권해석을 하고 집중하도록 승인까지 해 준 것은, 추측건대 보험회사도 “금융기관”이므로, 금융기관이 취급하는 정보는 다 신용정보로 볼 수 있으리라는 다소 느슨한 법률해석 및  아직 개인정보 보호법이 제정되기 전이어서 신용정보법 외에 민간분야에서 개인정보를 보호할 다른 법적 장치가 마땅치 않았다는 현실적인 필요성 정도를 원인으로 찾을 수 있지 않을까 생각된다.

 

그러나 사람의 인격에 관련된 중요한 기본권을 제한하는 것이므로 신용정보의 의미는 금융기관이 취급하는 정보 가운데 신용, 즉 지불능력 및 지불의사에 대한 정보만을 가리키는 것으로 엄격하게 해석해야 할 것이고, 현재 일반법인 개인정보보호법이 제정되어 있는 현실 등을 고려할 때, 보험정보와는 이질적인 신용정보를 규율하는 신용정보법을 고집함에 문제가 있음에는 이론이 있을 수 없다. 그럼에도 금융위원회는 보험업법 정비 등의 방법으로 이 문제를 정면으로 해결할 생각은 하지 않고 있다.

 

□ 금융위원회도 사실 위와 같은 문제를 인식하고 있었기에, 2013. 4. 3. 금융위원회 업무보고에서는 “필요 최소한의 개인정보만을 수집”하고 “소비자의 자기정보통제권 보장 강화”를 위해 “다수기관에서 수행하고 있는 보험정보 관리 체계를 개선”할 것이라고 하였고, 「보험정보체계 개선 TF 구성(3월) → 제도 개선안 마련(6월) → 보험업법 개정안 국회 제출(9월)」로 이어지는 실천계획도 짜 놓은 상태였다. 그런데 금융위원회의 이번 조치는 위와 같은 보고 내용과는 정반대의 정책방향을 잡은 것으로, 이에 대해서는 어떠한 납득할 만한 설명도 내어놓지 못하고 있는 실정이다. 

 

□ 금융위원회의 2013년 유권해석 및 지난 10여년 간 보험관련 정보를 신용정보의 일종으로 규율하였던 것은 정책적 판단의 범위를 유월한 위법·부당한 것이며, 이로 인하여 일반 소비자의 헌법상 권리인 개인정보 자기결정권이라는 중대한 공익을 침해하는 것인 바, 부디 시시비비를 명백히 가려 잘못을 바로잡아 주기 바라며 국민 감사를 청구한다.

 

※ 감사청구서 전문(별첨)

 

 

 

 

 

 

 

 

 

공익사항에 관한 감사원 감사청구서(단체용)

 수신 : 감사원장                                     청구일자 : 2014 .3.20.

 

 

1.

청구 

단체

 

단 체 명

 참여연대(담당 : 참여연대 민생희망본부 이헌욱 변호사/안진걸 협동사무처장 02-723-5303)(금융소비자연맹, 민변, 금융정의연대, 참여연대 4개 단체를 대표하여 참여연대가 공익감사청구서 제출)

소 재 지

 종로구 통인동 132번지 참여연대

대 표 자

 정현백

단체설립목적

참여연대는 각계각층 국민들의 자발적인 참여로 국가권력을 감시하고, 구체적인 정책과 대안을 제시하며, 실천적인 시민행동을 통하여 자유와 정의, 인권과 복지가 바르게 실현되는 참여민주사회를 건설하는 것을 목적으로 함.

허가․신고․등록기관

 안전행정부

회 원 의 수

 약 13,000명

조직년월일

 1994.9.10

연락전화 등

전화

  02-723-5303

FAX

 

2.

감사대상기관

 금융위원회

3.

감사청구 제목 : 생명보험협회의 보험관련 개인정보 과잉 수집 및 집중관리·활용을 묵인·비호해온 금융위원회 조치의 위법·부당성

4.

감사

청구

사항

1. 금융감독원 보영검삼-00050(2013.8.8.)호[금융감독원 생보협회 부문검사('13.1.14.∼'13.2.15.)와 관련하여 생보협회가 집중관리·활용하고 있는 보험관련 정보 중 각 항목별로 금융위의 승인범위에 해당하는지]에 대한 금융위원회 2013.8.23.자 질의 회신(서민금융과-1434)의 위법·부당성 

2. 보험관련 정보는 신용정보에 속하지 않음에도 2002년 이래 생명보험협회가 보험관련 정보를 신용정보의 일종으로 과잉 수집하고, 집중관리·활용할 수 있도록 허용한 금융위원회 방침의 위법·부당성 

5.

청구

이유

[붙임1]

7.

관련

증거

자료

[붙임2]

 

  [ 첨부문서 : 단체등록증 1매 ]

 

[붙임 1]

 

감사청구이유

 

1. 감사청구의 배경

 

가. 생명보험협회는 생명보험회사간의 업무질서를 유지하고 보험업의 발전에 기여하기 위하여 설립된 법인입니다(보험업법 제175조).

나. 신용정보를 집중하여 수집·보관함으로써 체계적·종합적으로 관리하고, 신용정보회사등 상호간에 신용정보를 교환·활용(“집중관리·활용”)하려는 자는 금융위원회에 신용정보집중기관으로 등록하여야 하는데[「신용정보의 이용 및 보호에 관한 법률」(이하 “신용정보법”이라 합니다) 제25조], 

● 종합신용정보집중기관(“전국은행연합회”를 가리킵니다)을 통하여 집중관리·활용되는 신용정보에 대해서는 신용정보법 시행령 별표 2에서 정함을 원칙으로 하고(신용정보법 시행령 제21조 제3항), 

● 개별신용정보집중기관을 통하여 집중관리·활용되는 정보는 금융위원회의 승인을 받아야 합니다(신용정보법 시행령 제21조 제4항).

다. 생명보험협회는 1998. 7. 29. 당시 재정경제원으로부터 개별신용정보집중기관으로 지정(금융41207-232)받고, 신용거래정보, 신용능력정보, 금융질서문란정보 등 생명보험업권의 여신거래정보를 집중관리·활용하고 있었는데,

라. 2002. 10. 7. 생명보험협회는 기존 여신거래정보 외에 “보험계약정보 및 보험금지급정보” 총 36개 항목을 집중관리·활용 대상 정보에 추가해 줄 것을 당시 금융감독위원회에 신청(생협보 제683호)하였고, 2002. 12. 18. 금융감독위원회가 이 중 25개 항목을 승인(시장 41254-102호)하여 오늘에 이릅니다(아래 [표] 참조).

 

 

신청 신용정보

승인 신용정보(25개 항목)

보험

계약

정보

○ 보험계약자·피보험자·보험수익자의 성명, 주민등록번호, 주소

○ 보험사명, 보험계약일자, 보험상품명, 보험료, 보험가입금액, 보험계약 유지여부

○ 보험계약자·피보험자·보험수익자의 성명, 주민등록번호, 주소

○ 보험사명, 보험계약일자, 보험상품명, 보험료, 보험가입금액, 보험계약 유지 여부

보험금

지급

정보

○ 보험수익자, 피해자의 성명·주민번호·주소, 보험금 청구일자, 보험사고 일자, 보험금 지급일자, 보험금 지급액, 보험금 지급사유, 사고내용

○ 부상, 장해급수, 진단병원명 및 병명, 입원 및 치료기간

○ 차량번호, 형식, 연식

○ 보험수익자·피해자의 성명, 주민등록번호, 주소

○ 보험금 청구일자, 보험금 지급일자, 보험금 지급액, 보험금 지급사유 

[표] 2002년 협회가 신청한 신용정보 및 금융위가 승인한 신용정보

 

(** 위 표에서 알 수 있듯이 왼쪽의 굵은 글씨체의 주요 정보는 금융위가 수집 및 활용을 애초에 승인하지 않은 것임을 알 수 있음.)

마. 한편 생명보험협회는 그 동안 보험계약정보 및 보험금지급정보를 집중관리·활용하는 과정에서 동 정보의 유출 및 무단사용에 관련된 논란이 끊이지 않았고, 무엇보다 금융감독위원회로부터 승인받은 정보보다 훨씬 많은 정보를 수집하고 있다는 혐의를 받아 왔습니다. 

● 2012. 12. 생명보험협회 정보를 무단조회한 보험회사 무더기 징계

● 2013. 2. 생명보험협회가 구 금융감독위원회로부터 승인받은 25개 항목 외에 진단정보, 적부정보, 질병정보 등 다양한 종류의 보험관련 정보들을 집중관리·활용하고 있음을 금융감독원에서 적발

바. 2013. 1. 14.∼2013. 2. 15. 금융감독원의 생보협회 부문검사 결과, 생명보험협회가 2002년 승인받은 항목이 25개인데 반해 2013년 현재 수집하고 있는 정보는 185개에 달하여, 실제로 생명보험협회가 금융감독위원회로부터 승인받지 않은 정보를 무더기로 수집하여 보험회사에 제공하고 있었음이 밝혀졌습니다. 

사. 위와 같은 사실 적발 후 금융감독원은 법령 적용을 확실히 하기 위하여 2013. 8. 8. 금융위원회에 “생보협회가 집중관리·활용하고 있는 보험관련 정보 중 각 항목별로 금융위의 승인범위에 해당하는지”에 관한 질의를 하였는데(보영검삼-00040), 이에 대하여 금융위원회는 2013. 8. 23. 생명보험협회가 수집 및 제공하고 있는 정보 가운데 상당수가 2002년 승인받은 정보에 속한다고 “해석”될 수 있다는 요지의 회신을 하였습니다.

● 금융위원회는 생명보험협회가 “진단정보”라고 분류하여 수집한 “진단일자, 신장, 부정맥여부, 가족이력” 등 66종의 정보에 대해서는 기존에 승인받은 정보가 아니라고 보았고(위법한 수집이라는 판단),

● 동 협회가 “적부정보”라고 분류하여 수집한 “조사일자, 조사경로, 부담보부위” 등 9종의 정보에 대해서도 역시 기존에 승인받은 정보가 아니라고 보았으나(위법한 수집이라는 판단),

● 동 협회가 “보험금 지급사유”라고 분류하여 수집한 “사고일자, 사인코드, 사인명, 사망일자, 질병코드, 질병명, 진단일자, 항암치료일자, 항암방사선일자, 개호일자, 골절일자, 깁스일자, 발치갯수, 출산명수, 저체중아여부, 입원여부, 입원통원일자, 퇴원일자, 장해진단일자, 장해등급명, 장해항명, 산업재해장해등급명, 산업재해항명, 장해부위, 장해비율, 관여도비율, 합계비율, 한시장해여부, 수술일자, 수술명, 수술등급명, 수술부위, 신수술부위” 등 33종의 정보에 대해서는 기존에 승인받은 정보에 포함되어 있다고 보았습니다(적법한 수집이라는 판단).

아. 위와 같은 2013. 8. 23.자 금융위원회의 회신은 생명보험협회의 그 동안의 위법한 행위를 사실상 추인해 주는 결과가 되며, 앞으로도 동 협회가 “필요”하다고 스스로 판단하여 마음대로 승인 없이 정보를 수집하더라도 이러한 행태가 사후적으로 묵인될 수도 있다는 신호를 수범자들에게 보낸 것으로, 구체적인 위법·부당한 문제점은 이하에서 상술하도록 하겠습니다.

● 실제로 생명보험협회는 최근 그 동안 자신들의 행태는 이미 승인받은 25개의 정보를 활용의 효율성을 위해 180여 세부 항목으로 구분하여 집중하였던 것이며, 그 동안 불법을 저질러 온 것이 아니라 일부 법적 리스크 있는 부분을 금융위원회가 명확하게 해 준 것에 불과하다고 홍보하고 있습니다. 

 

2. 관련법령의 취지상 신용정보집중기관에서 “집중관리·활용되는 정보”는 해석의 여지가 없을 정도로 일의적이며 명확해야 하는 것이므로, 2013. 8. 23. 금융위원회가 새로 “해석”을 한다는 것 자체가 부적절한 것입니다. 

가. 신용정보집중기관에 의한 신용정보의 집중관리·활용은, 정보주체의 헌법상의 권리인 “개인정보 자기결정권”(헌법재판소 2005. 5. 26. 자 99헌마513 결정)을 제한하는 것입니다. 

나. 헌법상의 권리를 제한할 때에는 국민의 대표인 국회가 제정한 법률의 형식에 의하여야 한다는 일반적인 요청(헌법 제37조 제2항)은 이 경우에도 적용됩니다. 물론 법률에서 직접 정하지 않고 대통령령에 위임할 수도 있으나(헌법 제75조), 이 경우에도 대통령령으로 규정할 수 있는 사항은 법률에서 구체적으로 범위를 정하여 위임받은 사항으로 한정됨으로써(포괄위임금지 원칙) 위임입법의 범위와 한계가 정해집니다. 이와 같이 헌법에서 포괄위임을 금지하는 취지는 만약 하위법령에 대한 포괄위임을 허용한다면 이는 곧 하위법령이 실질적인 입법을 하게 되는 것이어서 입법권은 국회가 보유하는 것으로 규정한 헌법 제40조에 위반되기 때문입니다(헌법재판소 2013. 7. 25. 자 2012헌바92 결정 외 다수).

다. 그런데 신용정보법 제25조 제4항에서는 “집중관리·활용되는 신용정보의 범위”를 대통령령에 위임하고 있고, 이를 받아 신용정보법 시행령 제21조 제4항에서는 개별신용정보집중기관의 경우 (i) 같은 종류의 금융기관 등의 협약, (ii) 금융위원회의 승인을 요건으로 하여 위 신용정보의 범위가 정해진다고 정하고 있습니다. 

라. 한편 신용정보집중기관은 금융위원회로부터 승인받은 정보를 해당 기관의 인터넷 홈페이지 등을 통하여 정보주체가 열람할 수 있게 공시할 의무가 있습니다(신용정보법 시행령 제27조 제2항 제1호, 제3항 제2호).

● 이에 따라 생명보험협회는 동 협회 인터넷 홈페이지에 위 [표]의 내용과 같이 25개 항목을 수집하고 있음을 공시하고 있습니다.

마. 신용정보법에 있어서 “집중관리·활용되는 신용정보의 범위”는 개인정보 자기결정권 제한에 있어 가장 핵심이 되는 것인데도, 신용정보법이 그 실질적인 내용에 대해서는 거의 언급하지 않은 채 사실상 금융기관등의 협약 및 금융위원회의 승인만으로 정할 수 있게 함으로써 개인정보 자기결정권의 제한 여부를 금융위원회의 손에 맡겨 둔 것은 그것만으로도 논란의 여지가 있을 수는 있습니다(참고로 종합신용정보집중기관에서 집중관리·활용되는 신용정보는 신용정보법 시행령 제21조 제3항에 따라 동 시행령 [별표 2]에서 정함을 원칙으로 합니다).

바. 그러나 그럼에도 불구하고 우리 입법자가 집중관리·활용 대상 정보를 사실상 금융위원회가 정하도록 한 것은 (i) 전문적이고 공평무사한 우리 나라 공무원에 대한 신뢰를 토대로 하여, (ii) 제도 운용중에 해석상 정보의 범위에 대한 의문이 생기거나 새로이 집중해야 할 정보가 생겨나는 등 사정이 변경될 때마다 법률이나 대통령령을 개정하는 등의 절차를 밟느라 실기(失機)하지 않도록 하며, (iii) “개인정보 자기결정권”을 제한하는 집중관리·활용 대상 정보를 모호한 상태로 두어서는 안 되기에 적시에 수정함으로써 명확한 상태로 유지해야 한다는 입법자의 의지가 반영된 것으로 볼 수 있습니다. 그리고 (iv) 소비자가 구체적으로 자신에 대한 어떤 정보를 수집하고 있는지를 인터넷 홈페이지 등에서 쉽게 확인할 수 있다는 사정도 고려된 것으로 보입니다.

사. 따라서 예컨대 신용정보집중기관이 [A]라는 정보를 수집하겠다고 승인을 받았는데, [A]에 속하는 것 같으나 승인 항목에는 명시되어 있지 않은 [A-1], [A-2]와 같은 정보를 수집할 수 있을지 의문이 있다거나,  [A] 정보와 비슷해 보이는데 승인 항목에 명시되지는 않은 [A´], [A˝]와 같은 정보를 수집할 수 있을지 의문이 있다면, 신용정보집중기관에서는 그 즉시 금융위원회에 승인을 요청할 수 있으며, 또 요청을 해야 하는 것입니다. 그 결과 금융위원회가 만약 [A-1]과 [A´]에 대해서만 승인을 한다면 그 정보는 새로이 수집할 수 있게 되는 것이고, 당연히 [A-2]와 [A˝]는 수집할 수 없게 될 것입니다. 

아. 이처럼 법이 예정한 절차를 거치지 않고 신용정보집중기관이 마음대로 [A-1]이고 [A-2]고 [A´]고 [A˝]고 수집을 하고, 이를 금융위원회가 사후적으로 어떤 것은 가능했던 것이고 어떤 것은 가능하지 않았다고 가를 것 같으면, “수집 대상 정보에 대한 사전적 판단권을 신용정보집중기관이 아닌 금융위원회의 손에 두어야 한다”는 제도의 취지를 몰각하는 것이며, 국민의 대표인 국회가 부여한 금융위원회의 권한을 스스로 저버리는 것입니다. 또한 개별 소비자의 개인정보 자기결정권 제한을 정당화할 사실상 유일한 근거가 “동의”인데, 동의시 결정적인 판단자료가 될 승인 대상 정보의 목록을 생명보험협회와 금융위원회 사이에서만 공유하고 정작 소비자에 대해서는 은폐하는 결과를 낳음으로써 소비자의 권리를 심각하게 침해하는 것입니다. 

자. 요컨대 승인 대상 정보의 목록은 그 자체로 일의적이고 명확하여 해석의 여지가 없어야 하는 것이고, 수정할 필요성이 있다면 신용정보법 및 동법 시행령이 정한 절차에 따라 정당하게 공개적으로 수정하도록 해야 하는 것이지, “당시 승인의 내용은 이러했던 것이었다”라고 사후적으로 해석하는 것은 그 자체로 부적절한 것입니다.

차. 신용정보집중기관인 생명보험협회가 승인받은 정보와는 무관하게 마음대로 보험 소비자의 정보를 수집 및 제공하는 것을 발견하였다면 금융위원회로서는 이를 엄중히 문책해야 할 것인데, 오히려 편법적인 방식으로 그간의 위법행위를 추인함에 대하여 소비자로서 분노를 참을 길이 없습니다. 

 

3. 2013. 8. 23. 금융위원회의 유권해석을 구체적으로 검토하면, 기본적으로 “보험금 지급사유”라는 항목을 잘못 이해하고 있는 문제가 있고, 기타 어떤 항목은 2002년에 승인하지 않았으면서 이제 와서는 당시 승인되었던 항목에 포함되어 있었다고 “해석”하는 등의 명백한 잘못도 있습니다.

가. 금융감독위원회에서는 2002년 12월, “보험금지급정보”라는 항목으로 보험수익자·피해자의 성명, 주민등록번호, 주소, 보험금청구일, 보험금지급일, 보험금지급액, 보험금지급사유 등 10개 항목을 승인하였는데, 2013년 금융위원회는 그 중 “보험금지급사유”라는 하나의 항목이 “사고일자, 사인코드, 사인명, 사망일자, 질병코드, 질병명, 진단일자, 항암치료일자, 항암방사선일자, 개호일자, 골절일자, 깁스일자, 발치갯수, 출산명수, 저체중아여부, 입원여부, 입원통원일자, 퇴원일자, 장해진단일자, 장해등급명, 장해항명, 산업재해장해등급명, 산업재해항명, 장해부위, 장해비율, 관여도비율, 합계비율, 한시장해여부, 수술일자, 수술명, 수술등급명, 수술부위, 신수술부위” 등 33개 항목을 포함하는 것으로, 정확히는 2002년 당시부터 위 33개 항목을 포함해 왔던 것으로 “해석”할 수 있다고 밝혔습니다. 

나. 그러나 명백히 2002년 금융감독위원회는 “보험금 지급사유”라는 정보를 수집할 것을 승인한 것이지, “보험금 지급사유에 관한 정보”를 수집하라고 승인한 바 없습니다. 

● 승인된 항목 중 예컨대 “보험수익자의 성명”이라는 항목에는 “김영수”, “보험금청구일”이라는 항목에 대해서는 “2013. 8. 5.”이라는 정보를 수집해야 하는 것처럼,

● 마찬가지로 “보험금 지급사유”에 대해서는 “생존”, “사망”, “장해”, “질병”, “입원”, “통원”, “요양”, “수술”, “간병” 등의 단어로 답하여 이 정보를 수집해야 하는 것이며, “어느 부위”에 “어떤 질병”이 있어 보험금을 지급하기에 이르렀다는 정보는 “보험금 지급사유에 관한 정보”이지 “보험금 지급사유” 자체는 아닙니다. 

● 만약 생명보험협회가 “발치갯수”, “출산명수”, “장해등급명” 등의 정보를 수집하려면 그 정보를 명시하여 금융위원회로부터 승인을 받아 동 정보를 수집해야 하는 것이고 그랬어야 하는 것입니다.

● 위에서 본 바와 같이 신용정보집중기관은 관리하는 신용정보의 종류 등을 해당 기관의 인터넷 홈페이지를 통하여 해당 신용정보주체가 열람할 수 있게 공시할 의무가 있어(신용정보법 시행령 제27조 제2항 제1호, 제3항 제2호), 현재 생명보험협회도 자사의 홈페이지를 통해 어떤 정보를 수집하고 있는지를 공개하고 있습니다. 그런데 2013년 금융위원회의 유권해석은 엄밀히 2002년의 승인을 변경하거나 추가한 것이 아니라 그 당시 승인의 의미를 “해석”한 것에 불과하므로, 앞으로도 지금까지처럼 “보험금 지급사유” 등 25개 정보를 수집하고 있다고 공시하면 된다는 말이 됩니다. 그렇다면 보험에 가입하는 소비자 입장에서는 인터넷 공시를 찾아보더라도 협회가 자신의 “보험금 지급사유”를 수집한다는 것을 알 수 있을 뿐, 현재 “항암치료일자”, “골절일자”, “장해진단일자” 등의 정보까지 수집하고 있다고는 도저히 짐작조차 할 수 없게 되며, 더욱이 앞으로도 협회가 “필요”에 따라 어떤 기상천외한 정보를 “보험금 지급사유”라는 명목으로 수집하더라도 그 사실조차 알 수 없는 상황에 빠집니다. 

다. 한편 위 [표]에서 “부상, 장해급수” 같은 정보는 2002년 보험협회가 수집하겠다고 신청한 항목에는 포함되어 있으나, 금융감독위원회가 승인한 정보에서는 배제되어 있고, 이는 해당 정보를 수집하지 말아야 한다는 명령이나 다름없는데, 이번 유권해석에서는 “보험금 지급사유”에 포함된(포함되어 있었던) 정보라고 “해석”하는 모순된 태도를 취하고 있습니다. 협회에 대한 징계 수위를 낮추고자 하는 생각이 앞서 기본적인 사실확인조차 제대로 하지 못한 것이 아닌지 의심됩니다.

 

4. 이러한 문제는 근원적으로 2002년 당시 보험 관련 정보를 신용정보의 일종으로 판단한 금융위원회의 잘못된 법령해석에서 비롯된 것입니다.

가. 신용정보란 “금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한” 정보(신용정보법 제2조 제1호)이며, “신용”이란 “사람의 지불능력 또는 지불의사에 대한 타인의 신뢰”(대법원 1969. 1. 21. 선고 68도1660 판결, 2006. 5. 25. 선고 2004도1313 판결 등 다수)를 말하므로, 신용정보란 “금융거래 등 상거래에 있어서 거래 상대방(채무자)이 지불능력 또는 지불의사가 있는지에 대한 신뢰를 형성함에 필요한 정보”라고 정리할 수 있습니다. 

● 신용정보법에서는 이러한 신용정보를 (i) 특정 신용정보주체를 식별할 수 있는 정보, (ii) 신용정보주체의 거래내용을 판단할 수 있는 정보, (iii) 신용정보주체의 신용도를 판단할 수 있는 정보, (iv) 신용정보주체의 신용거래능력을 판단할 수 있는 정보 등으로 구체화하고 있습니다(신용정보법 제2조 제1호 각호).

나. 그런데 보험관련 정보들은 대개 보험사고가 발생한 경우에 보험수익자 등이 보험금을 받을 수 있는지, 받아도 되는 사람인지에 대한 정보(요컨대 정당한 채권자인지에 대한 정보)이지, 그가 채무자로서 신뢰할 만한 사람인지, 예컨대 보험료를 제때 잘 낼 사람인지에 대한 정보가 아닙니다. 요컨대 “신용정보”의 개념과는 정반대의 이질적인 정보입니다.

● 특히 협회가 수집하여 문제되는 정보들은 대개 “개인의 질병에 관한 정보”입니다. 과거 신용정보법에서는 보호 필요가 긴절한 몇 가지 (신용정보가 아닌) 개인정보를 “개인신용정보”라 하여 별도로 규율하던 때가 있었고, 이 당시에는 개인의 질병에 관한 정보도 개인신용정보의 하나에 포함된 적이 있으나, 현재 신용정보법에서는 개인신용정보를 “신용정보 가운데 개인에 대한 것”으로 개념을 정비하였고, 질병정보는 채무자의 변제의사 및 능력과는 무관한 정보이므로 신용정보에 포함되지 않습니다. 한편 신용정보집중기관은 “신용정보” 가운데 금융위원회의 승인을 받은 정보를 수집하는 곳이므로, 질병정보는 금융위원회의 승인 대상도 아니며, 해석을 통해 이를 수집할 수 있는 성질의 것이 아닙니다. 

다. 이처럼 보험관련정보는 신용정보가 아님에도 2002년 당시 금융감독위원회가 신용정보의 하나라고 유권해석을 하고 집중하도록 승인까지 해 준 것은, 추측건대 (i) 보험회사도 “금융기관”이므로, 금융기관이 취급하는 정보는 다 신용정보로 볼 수 있으리라는 다소 느슨한 법률해석 및 (ii) 아직 개인정보 보호법이 제정되기 전이어서 신용정보법 외에 민간분야에서 개인정보를 보호할 다른 법적 장치가 마땅치 않았다는 현실적인 필요성 정도를 원인으로 찾을 수 있지 않을까 생각됩니다. 

라. 그러나 (i) 사람의 인격에 관련된 중요한 기본권을 제한하는 것이므로 신용정보의 의미는 금융기관이 취급하는 정보 가운데 신용, 즉 지불능력 및 지불의사에 대한 정보만을 가리키는 것으로 엄격하게 해석해야 할 것이고, (ii) 현재 일반법인 개인정보보호법이 제정되어 있는 현실 등을 고려할 때, 보험정보와는 이질적인 신용정보를 규율하는 신용정보법을 고집함에 문제가 있음에는 이론이 있을 수 없습니다. 그럼에도 금융위원회는 보험업법 정비 등의 방법으로 이 문제를 정면으로 해결할 생각은 하지 않고 고식지계(姑息之計)에 불과했던 위법적 해석을 오히려 심화시키는 방법으로 이 문제를 피해가려 하고 있습니다. 간(肝)을 다쳐 얼굴빛이 검게 되었다면 간을 고쳐야 할 것이지, 얼굴을 더 짙게 분칠하는 것은 해답이 아닐 것입니다.

● 금융위원회도 사실 위와 같은 문제를 인식하고 있었기에, 2013. 4. 3. 금융위원회 업무보고에서는 “필요 최소한의 개인정보만을 수집”하고 “소비자의 자기정보통제권 보장 강화”를 위해 “다수기관에서 수행하고 있는 보험정보 관리 체계를 개선”할 것이라고 하였고, 「보험정보체계 개선 TF 구성(3월) → 제도 개선안 마련(6월) → 보험업법 개정안 국회 제출(9월)」로 이어지는 실천계획도 짜 놓은 상태였습니다. 그런데 금융위원회의 이번 조치는 위와 같은 보고 내용과는 정반대의 정책방향을 잡은 것으로, 이에 대해서는 어떠한 납득할 만한 설명도 내어놓지 못하고 있는 실정입니다. 

 

5. 금융위원회의 2013년 유권해석 및 지난 10여년 간 보험관련 정보를 신용정보의 일종으로 규율하였던 것은 정책적 판단의 범위를 유월한 위법·부당한 것이며, 이로 인하여 일반 소비자의 헌법상 권리인 개인정보 자기결정권이라는 중대한 공익을 침해하는 것인바, 부디 시시비비를 명백히 가려 잘못을 바로잡아 주시기를 바랍니다.                                                

 

* 관련증거자료

 

 

증 제1호

2002. 9. 11. 생명보험협회 집중관리·활용대상 신용정보 추가신청 (생협보 제683호)

증 제2호

2013. 8. 8. 금융감독원 금융위 승인범위에 해당하는 정보인지 여부 질의 (보영검삼-00040)

증 제3호

2013. 8. 23. 금융위원회 질의회신 (서민금융과-1434)

증 제4호

2013. 4. 3. 금융위원회 업무보고

증 제5호

각종 언론보도 모음

 (** 별도 첨부하여 제출합니다)

첨부파일:

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입
목록
참여연대 NOW

공식일정 캘린더

일정을 클릭해 내용을 확인하세요

실시간 활동 SNS

텔레그램 채널에 가장 빠르게 게시되고,

더 많은 채널로 소통합니다. 지금 팔로우하세요!