[뉴스레터_지식재산권_제8호_개정법률]
신용정보법 개정과 신용정보보호 강화
이지선 변호사
2015년 3월 11일 드디어 “신용정보의 이용 및 보호에 관한 법률(신용정보법)”이 개정되었다. 개정된 법은 9월 12일부터 시행된다. 신용정보의 중요성은 두말할 나위가 없을 정도인데, 기존 신용정보법의 규정은 충분하지 못하다는 비판이 있었다. 게다가 금융권의 정보 유출 사고도 종종 있었다. 이번에 개정된 신용정보법은 신용정보보호를 강화하는 방향으로 바뀌었다.
주요 내용은 종합신용정보집중기관의 설치, 신용정보회사의 업무 변화, 개인신용정보주체의 자기신용정보에 대한 통제권 강화 등 권리 보호, 개인신용정보 누설시 과징금 부과, 고의 중과실로 인한 신용정보 누설 등으로 신용정보주체가 피해를 입은 경우 손해배상액 증가 등이다.
(1) 신용정보집중기관과 신용정보회사 등의 업무 등의 변화
개정법 시행으로 신용정보집중기관만 공공기관으로부터 신용정보를 제공받을 수 있게 되었다. 개정 전에는 신용조회회사도 가능했지만, 이제는 신용조회회사는 신용정보집중기관으로부터 제공받는 방식이 된다. 신용정보집중기관은 등록제에서 허가제로 변경되었다. 금융기관의 개별신용정보 집중기관은 폐지되었고, 금융기관 전체로부터의 신용정보를 집중관리∙활용하는 종합신용정보집중기관이 설치된다.
신용조회회사의 영리목적 겸업은 금지되었고, 부수 업무도 일정한 내용으로 한정되었다. 신용조회회사는 신용조회업을 수행하기 위하여 개인신용정보를 제공하는 경우 또는 채권추심업 등의 목적으로 사용하는 자에게 개인신용정보를 제공하는 경우 이외에 지배주주 또는 계열회사에게 개인신용정보를 제공할 수 없도록 하였다.
신용정보회사, 신용정보집중기관, 신용정보제공∙이용자(이를 모두 합하여 ‘신용정보회사 등’이라고 한다)가 신용정보를 수집∙조사하는 경우 필요 최소한의 범위에서 하여야 하고, 신용정보 수집 시 해당 신용정보주체의 동의를 받도록 하였다.
신용정보 처리 위탁 시 식별정보 암호화 등 보호 조치 등을 위탁계약에 반영하도록 하였고, 금융위원회가 인정하는 경우 이외에 신용정보 처리의 재위탁을 금지하였다. 또한 신용정보회사 등은 금융위원회가 정하는 신용정보 관리기준을 준수하도록 하였다. 일정 규모 이상의 신용정보제공∙이용자는 신용정보관리∙보호인을 임원으로 지정하도록 하였다.
신용정보회사의 업무정지 사유로서, 신용정보 처리 위탁 시 식별정보 암호화 조치 또는 신용정보전산시스템 보안대책 수립∙시행 의무를 위반하여 신용정보를 분실∙도난∙유출∙변조 또는 훼손당한 경우, 신용정보업관련자가 업무상 알게 된 타인의 신용정보 등을 업무 목적 외에 누설하거나 이용한 경우, 신용조회회사가 계열회사 등에 신용정보를 제공한 경우가 추가되었다.
(2) 개인신용주체의 개별적 동의 요구 등 개인신용정보주체의 권리 강화
신용정보제공∙이용자의 개인신용정보 보유기간을 상거래 종료 후 5년 이내로 제한하고, 상거래가 종료된 신용정보주체의 개인신용정보는 현재 거래 중인 자의 정보와 분리하여 관리하며, 이를 활용하는 경우 본인에게 통지하도록 하였다.
신용정보제공∙이용자가 개인신용정보를 타인에게 제공하거나 신용정보제공∙이용자나 신용조회회사가 개인신용정보를 제공받는 경우 해당 개인으로부터 개별적 동의를 받도록 하였다. 신용정보회사 등은 동의를 받을 때에는 필수적 동의사항과 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받으며, 신용정보주체가 선택적 동의사항에 동의하지 아니한다는 이유로 서비스 제공을 거부할 수 없도록 하였다. 법률에 따라 신용정보주체의 동의 없이 개인신용정보를 제공하는 경우 대통령령으로 정하는 사유를 제외하고는 해당 개인에게 사전 통지하도록 하였다.
신용정보제공∙이용자가 모집업무를 제3자에게 위탁하는 경우 모집업무수탁자의 개인신용정보 취득 경로 등을 확인하고 불법취득신용정보가 모집업무에 이용된 사실을 확인한 경우, 제공∙이용자는 위탁계약을 해지하도록 하였다.
영업양도∙분할∙합병 등의 이유로 권리∙의무를 이전하면서 금융위원회의 승인을 받아 관련 개인신용정보를 제공하는 경우에는 현재 거래중인 신용정보주체의 개인신용정보와 분리하여 관리하도록 하였다.
그 밖에 개인신용정보의 이용 제공에 대한 신용정보회사 등의 통지 의무, 신용정보주체의 통지 요청권, 삭제 요구권 등도 추가되었다.
(3) 과징금, 손해배상, 형사처벌 조항
개인비밀을 업무 목적 외에 누설하거나 이용한 경우, 불법 누설된 개인비밀임을 알고도 타인에게 제공하거나 이용한 경우 관련 매출액의 100분의 3 이하의 과징금을, 신용정보전산시스템 기술적∙물리적∙관리적 보안대책을 수립하지 않아 개인비밀을 분실∙도난∙누출∙변조 또는 훼손당한 경우 50억원 이하의 과징금을 각각 부과할 수 있도록 하였다.
신용정보회사 등이나 신용정보이용자가 고의 또는 중대한 과실로 신용정보법을 위반하여 신용정보가 누설되거나 분실도난∙누출∙변조∙훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배 이내에서 배상할 책임을 지도록 하였다. 또는 신용정보회사 등이나 신용정보이용자가 고의 또는 과실로 이 법을 위반하여 개인신용정보가 누설되거나 분실∙도난∙누출∙변조∙훼손된 경우에는 해당 신용정보주체에 대하여 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상할 책임을 지도록 하였다. 대통령령으로 정하는 신용정보회사 등은 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
형사처벌 형량도 상향되었다. 개인비밀을 업무 목적 외에 누설하거나 이용한 경우, 불법 누설된 개인비밀임을 알고도 타인에게 제공하거나 이용한 경우 10년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하였다.