금융위원회가 오는 5~6월께 '본인신용정보관리업(이하 마이데이터)' 허가 신청을 받고 심사 결과는 하반기에 나눠서 발표할 예정이다.
마이데이터는 오는 8월 5일부터 시행되는 개정 신용정보법의 핵심 내용 중 하나다.
금융위는 또 4월께 마이데이터 허가와 관련된 구체적인 정책 방향을 내놓을 예정이다.
20일 서울 중구 은행회관에서 열린 '개정 신용정보법 설명회 및 의견수렴 간담회'에서 금융위 박주영 금융데이터정책과장은 "마이데이터 구체 허가정책은 4월 중 발표될 예정이며 예비인가와 본인가로 나눠 진행할 지 등에 대해서 아직 결정한 바는 없다"고 말했다.
마이데이터 사업 허가 신청 대상은 제한이 없다. 기존 금융사나 캐피털사 등 이 사업 신청 대상에는 제한이 없다는 게 금융위 측 설명이다.
한 금융지주사 내에서도 여러 계열사가 별도로 마이데이터 사업 허가를 받으면 관련 사업을 진행할 수 있다. 박주영 과장은 "같은 금융지주사라 하더라도 계열사별로 마이데이터 사업 허가 신청서를 내야하며, 인허가의 개수 제한은 없지만 물리적으로 한번에 (허가 결과를) 내긴 어렵다"고 설명했다.
허가 기준에 대해 금융위 금융데이터정책과 관계자는 "대량의 신용 정보를 처리하게 되니 물리적, 기술적 보안을 잘 갖추고 신용 정보를 남용하지 않고 정보 주체의 이익을 위해 업무를 수행하는지를 (허가 심사 시) 검토할 것"이라고 대답했다.
마이데이터 하위 규정에는 물리적, 시스템적으로 갖춰야 하는 보안 사안과 겸업할 수 없는 업무, 금지 규정이 담긴다. 통신 구간 암호화 시스템과 백업 및 복구시스템, 시스템 보안 및 시설 보안 구축 등이다. 박 과장은 "데이터 암호화 처리 체계를 갖추고, 보안시스템 내·외부 네트워크를 분리해 운영해야 한다"고 말했다.
마이데이터 사업자는 개인 정보 수집 시 스크래핑 기술을 쓸 수 없다. 2020년 8월에서 2021년 8월까지 스크래핑 기술 이용을 허용했으나 이후에는 원칙적으로 쓸 수 없게 된다. 박주영 과장은 "마이데이터 사업할 기업은 내년 8월까지 스크래핑 대시 애플리케이션 프로그래밍 인터페이스(API)를 구축해야 한다"고 강조했다.
마이데이터 사업자는 전자금융업이나 대출 중개 및 주선, 로보어드바이저를 통한 자문과 일임 등을 겸할 수 있다. 겸업하는 비금융업무에서 문제가 있다고 판단되면 금융위는 마이데이터 허가 단계서 허가를 제한하겠다는 입장이다.
이밖에 마이데이터 사업자가 데이터 전송 요구를 부당하게 행사하는 것은 금지된다.
박주영 과장은 "마이데이터 사업자들은 데이터가 우리에게만 있었으면 좋겠다는 생각을 할 것"이라며 "정보 주체에게 자신의 회사에게만 전송요구권을 행사하라고 강요하는 행위를 하거나 전송요구를 변경하고 서비스 철회를 어렵게 하는 행위, 이해상충 행위는 금지된다"고 설명했다. 만약 정보 주체가 A사에서 B사로 정보 전송 요구 시 즉각 이행해야 하며, A사는 즉각 보유 데이터를 삭제해야 한다.
다음은 간담회서 나온 일문일답 일부 내용.
Q. 지주회사 내 회사가 마이데이터 사업 허가 받으면 계열사 내 정보 공유를 할 수 있게 되나.
"지주회사법에 따라 정보 공유를 특정 목적으로 공유 금지하고 있다. 마이데이터 전송요구와 별개 문제다. 정보 주체의 이동 하에 동의하는 것이고 지주사 계열사 정보 공유는 동의없이 하는 거라 별개 문제다. 마이데이터 사업자가 된다고 해서 지주사 계열사 정보 공유 허용되는 건 아니다."
Q. 금융 정보와 비금융 정보를 결합해 개인 맞춤형 서비스를 제공하고자 하는 업체가 있다면 해당 기업이 직접 두 정보 결합은 할 수 없나.
"할 수 없다. 데이터 결합은 전문기관(신용정보원, 금융보안원)에서만 해야 한다."
Q. 데이터 전문기관을 통해 받은 결합된 데이터를 받아 맞춤서비스를 제공할 수 있나.
"그렇다. 마이데이터 사업자가 데이터 전문기관에 결합을 한 정보를로 맞춤 서비스 가능하다. 그러나 결합 정보는 가명 처리이거나 익명 처리 정보라 어느 정도 맞춤형 서비스할지는 해당 기업 기술력에 따라 다르겠다."
Q. 신용정보원과 금융보안원이 데이터 전문기관으로 운영되는데 정보 결합 소요 시간과 비용이 문제일 것 같다. 데이터 전문기관을 신용조회사(CB)로 늘려달라.
"사회적 요건이 되면 민간까지 할 수 있는 통로를 열어놓긴 했다.(개정 신용정보법 하위규정 고려 사항에 데이터전문기관의 자격 요건을 민법상 비영리 법인, 금융위가 정해 고시하는 자본금, 매출액 등 요건을 갖춘 법인으로 열거함) 결합에 대한 우려도 있고 해서 당분간은 데이터 전문기관은 신용정보원과 금융보안원에서만 데이터 결합할 수 있도록 할 것이다."
Q. 가명 처리 가이드라인은.
"행정안전부의 개인정보 가이드라인과 일정 맞춰야 한다. 시행령과 감독 규정 나온 뒤 나올 것이다. 5~6월 초안 상태 볼 수 있을 것으로 예상한다."
Q. 기존 금융업자가 마이데이터 허가 받으면, 기존 사업서 수집한 정보와 결합해 서비스 제공하거나 마케팅 할 수 있나.
"정보 주체의 전송 요구에 따라 마이데이터가 적법하게 얻은 정보라면 적절히 활용해서 마케팅이 가능할 것으로 보인다. 내부적으로 갖고 있는 정보를 결합하는지 모르겠지만 다른 부분은 전문 기관을 통해 결합하는 것이 원칙이다."
Q. 가명 정보 활용 과정에서 유출, 해킹 위험성 있다.
"가명처리가 적당한지 판단할 수 있는 기준 마련될 것이긴 한데, 어느 수준이 위험성이 없는지는 기술적인 부분이면서 정치적인 부분이다. 간담회 등을 통해 시민사회, 전문가와 구체화할 것이다. 다만 유출이나 해킹에 대해서 강력한 처벌 기준 마련했다. 가명 정보를 고의적으로 식별하면 형벌까지 부과되기 때문에 형벌을 감수하고 재식별을 하지 않을 것이라고 예상한다."
Q. 금융지주 내 마이데이터 사업자 중복 허용한다고 했는데 지주 내 금융사도 개별 금융업자로서 허가 신청에 제한이 없어야 한다고 보나.
"일단 금융지주사의 계열사들도 개별 법인으로 수행하는 업자들이기 때문에 각각 개별 계열사가 마이데이터 허가 신청할 수 있고 특정 금융사가 계열사가 받았다고 해사 다른 회사는 안된다 이런 건 없다. 제한은 지금은 없다고 보면 된다."
Q. 신용 정보 유형에 상행위 개념이 추가됐는데 예컨데 인터넷 쇼핑 구매 정보도 개인신용정보에 포함되나.
"구매 내역이나 해당 정보를 통해 정보 주체의 신용도 등을 판단이 가능하면 신용정보에 해당된다."
관련기사
- 신정법 개정안 8월 5일 시행...금융위 간담회 연다2020.02.20
- 금융결제원, 금융데이터융합센터 신설2020.02.20
- 신용정보원, 금융빅데이터센터 신설2020.02.20
- 정부, '데이터 3법' 후속 조치 박차…다음달 시행령2020.02.20
Q. 마이데이터의 대상이 개인에 대한 것인데 법인이나 개인사업자는.
"전송요구권의 대상이 되는 정보 주체가 개인이다. 개인사업자는 가능하지만 법인 기업에 대한 것은 보장하고 있지 않다."