21년만에 신용정보법 개정이 추진되면서 핀테크 산업에 미칠 영향에 관심이 쏠린다.
2014년 초 카드 3사 개인정보유출사고 여파로 마련된 '금융회사 개인정보보호 정상화대책'에 따라 개정되는 신용정보법은 개인정보보호법, 정보통신망법 등과 중복되는 조항을 없애고, 금융사가 보유한 정보들을 빅데이터 기반 분석에도 활용할 수 있도록 관련 규정을 명확히 하는 것을 목표로 했다.
개정안은 내달 30일까지 입법예고한 뒤 규제개혁위원회, 법제처 심사를 거쳐 7월 중 국회에 제출될 예정이다.
금융위가 발표한 개정안은 여러가지 복잡한 법이 얽혀있어 조문 내용만으로는 이해하기 힘든 부분들이 많다. 또한 기존 개인정보보호법에 담긴 내용들을 신용정보법 안에 대부분 녹여낸다는 방침이라 소송 등 이슈가 발생했을 때 생길 수 있는 법 간 충돌 문제에 대해서도 보다 세밀한 조율이 필요한 실정이다.
법무법인 민후 김경환 변호사의 도움을 받아 해당 법에 영향을 받게 되는 금융사와 이들로부터 빅데이터 기반 정보를 받아 새로운 서비스에 반영하려고 하는 핀테크 스타트업들 입장에서 궁금해 할만한 사항들을 정리해 봤다.
■금융사는 주민등록번호도 신용정보법에 따라 관리해야한다?
개정안은 우리가 흔히 알고 있는 개인의 신용을 평가할 수 있는 대출이력 등 정보들 외에 이름, 주민등록번호와 같은 고유식별정보도 신용정보법에 따라 관리하도록 규정했다.
개정안 대로라면 금융사가 이름, 주민등록번호 등을 유출시켰을 때도 최대 기업 매출액의 3%까지 과징금을 받을 수 있게 된다.
기존 개인정보보호법에서는 고유식별정보 유출시 최대 5억원 과징금을 부과하고 있어 형평성 논란이 불거질 수도 있으나 정보통신망법 적용을 받는 기업들 역시 같은 건에 대해 최대 매출액의 3%까지 과징금을 부과하고 있는 실정이다.
■신용정보와 고유식별정보 뭐가 다른가?
개정안은 개인신용정보를 '생존하는 개인에 관한 정보로서 신용정보 주체를 식별할 수 있는 정보'로 규정한다.
고유식별정보는 개인정보보호법 상 그 사람이 맞는지를 식별할 수 있는 정보를 말한다. 이름과 주민등록번호 등을 조합해 그 사람이라는 점을 증명할 수 있어야한다.
개정되는 신용정보법은 금융사가 다루는 모든 정보를 신용정보법에 따라 관리하도록 했기 때문에 개인신용정보의 의미가 모호해졌다.
■핀테크 스타트업들이 금융사로부터 직접 빅데이터 정보 끌어다 쓸 수 있나?
금융사에 포함되지 않는 핀테크 스타트업들은 개인이 누구인지 알 수 없게 비식별화 처리한 빅데이터 기반 금융정보라고 하더라도 금융사로부터 직접 제공받을 수 있는 길은 없다. 비식별화된 정보를 다시 그 사람이 누구인지 알아볼 수 있는 정보로 바꿔서 악용하거나 오남용될 가능성이 있는 탓이다.
이러한 문제를 해결하기 위해 금융당국은 한국신용정보원을 설립, 이곳에 빅데이터 기반 금융정보를 모아놓은 뒤 핀테크 스타트업들이나 필요한 금융사들이 제공받을 수 있도록 했다.
관련기사
- 개인정보보호 중복규제, 업종별로 교통정리2016.04.26
- 개인정보보호법 위반시 ‘대표이사’ 징계2016.04.26
- 네이버, 개인정보 보호와 활용 균형 찾는다2016.04.26
- 비식별정보 맘껏 쓰라는 정부…고양이에게 생선을?2016.04.26
■비식별화된 정보면 금융계약 이외 다른 목적으로도 활용할 수 있나?
가능하다. 다만 적어도 비식별화 이전에 정보주체에게 자신의 데이터를 사용하는 것을 허용할지를 확인해 이를 거부하면 비식별화된 데이터에서도 제외시키는 '옵트아웃(Opt-out)'은 제공해야할 것으로 보인다.