신용정보법, 개인정보보호법, 정보통신망법 등 보안 관련 중복규제에 따른 혼란이 앞으로 크게 해소될 전망이다.
금융위원회는 21년 만에 신용정보법을 개정해 금융사가 보유한 개인정보, 금융정보는 신용정보법에 따라 관리하고, 결제 등을 지원하는 일반 상거래 회사에 대해서는 개인정보보호법, 정보통신망법을 적용하도록 구분할 방침이라고 18일 밝혔다.
해당 개정안은 4월20일~5월30일까지 입법예고기간을 거쳐 오는 7월 중 국회에 제출된다.
현행 법 상 정수기 회사나 렌트카 회사와 같은 금융사가 아닌데도 신용정보법 적용이 대상이 되면서 해당 회사들 입장에서는 비슷한 규제를 중복해서 지켜야하는 점이 부담으로 작용해 왔다. 이를테면 신용정보이용, 제공내역 조회(신용정보법 제35조)에 대해 일반 상거래 회사들까지 해당 규정을 준수해야하는 의무가 생기는 것이다.
반대로 이전까지 금융사가 보유한 주민번호 등 고유식별정보는 개인정보보호법, 정보통신망법에 따라 관리돼 왔던 탓에 유출됐을 때 과징금이 상대적으로 낮았다는 점에서 형평성 논란이 제기됐다. 기존에 개인신용정보가 누설됐을 때 신용정보법상 과징금은 매출액의 3%였으나 개인정보보호법 상 고유식별정보 누설에 따른 과징금은 5억원 수준에 그쳤다.
이에 따라 개정안은 신용정보법 적용대상을 금융 관련 공공기관을 포함한 금융사, 신용정보회사, 신용정보집중기간에만 한정했다. 여기에 해당하지 않는 일반 상거래 회사는 대출, 연체 등 신용정보를 처리한다고 하더라도 개인정보보호법, 정보통신망법에 따르도록 한 것이다.
금융사는 고유식별번호 외에도 개인의 신용정보를 알 수 있기 때문에 유출사고가 발생할 경우 개인정보보호법이 아니라 신용정보법 상 과징금에 해당하는 처벌을 받게 된 것이다.
개정안에 따르면 금융사와 일반 상거래 회사들 사이 중간쯤 위치하는 핀테크 회사들은 신용정보법의 규제를 받지 않는 대신 금융사들로부터 제공받은 비식별 정보를 재식별화하지 못하도록 규정했다.
다시 말해 핀테크 회사가 금융사로부터 빅데이터 정보를 받아 분석해 의미있는 데이터를 뽑아내 새로운 서비스를 만들어 내는 과정에서 이미 해당 정보가 누구의 것인지 확인할 수 없도록 비식별화된 정보에 대해 개인이 누군지까지도 확인할 수 있는 정보로 재식별화하게 되면 처벌 대상이 된다는 뜻이다.
관련기사
- 파수닷컴, 개인정보 비식별화 솔루션 '애널리틱 디아디' 출시2016.04.18
- 개인정보보호법 위반시 ‘대표이사’ 징계2016.04.18
- 개인정보보호 근본 대책 모색에 전문가 한자리2016.04.18
- "개인정보 오남용…관련법 통합 규제해야"2016.04.18
개정안은 개인정보보호법, 정보통신망법 간 개인정보 관련 규정의 중복 문제를 해결하기 위해 신용정보법상 미비한 부분에 대해 불명확했던 조문명, 조문내용, 조문체계 등을 개인정보법과 유사하게 변경하도록 했다.
또한 개정안은 중복되는 정보통신망법상 개인정보보호 조항은 신용정보법 내에서만 다루도록 하되 금융사가 정보통신서비스제공자로서 지켜야하는 사항에 대해서는 해당 법을 따르도록 규정했다. 예를들어 이동통신단말장치 저장 정보 등에 대한 접근권한이 필요한 경우 사용자 동의를 받아야하며, 주민등록번호 수집, 이용 등에 대해서는 정보통신망법을 지키도록 한 것이다.