[TMT] '개인정보와 금융정보 규율체계'의 조화로운 발전 방안
[TMT] '개인정보와 금융정보 규율체계'의 조화로운 발전 방안
  • 기사출고 2024.07.04 06:59
이 기사를 공유합니다

"개인정보 활용이 데이터 전략의 성패"

법무법인 광장이 6월 19일 '개인정보와 금융정보 규율체계의 조화로운 발전 방안'을 주제로 특별세미나를 개최했다. 개인정보전문가협회와 금융보안원의 MOU 체결을 기념해 열린 이번 세미나에선 '금융 분야의 개인정보 규제와 마이데이터 발전을 위한 법정책적 과제'에 대한 발표와 토론이 진행되었다. 또 개인정보보호위원회 최장혁 부위원장이 '마이데이터와 데이터 생태계의 발전'이란 주제로 기조발제했다. 온라인 참여를 포함해 기업법무, 개인정보, 금융 관련 실무자 등 200여명이 참석한 가운데 진행된 세미나의 주요 내용을 순서대로 요약해 소개한다.

1. 마이데이터와 데이터 생태계의 발전

디지털 대전환 시대에는 '데이터'가 산업 발전과 가치 창출의 핵심 경쟁력이자 촉매제이며, 데이터 전략의 성패는 활용가치가 높은 개인정보를 얼마나 잘 활용하는가에 있다. AI, 초개인화 서비스 개발의 핵심 원료인 개인정보가 엄정한 프라이버시 보호 하에 제대로 활용되도록 근본적인 체질 개선이 필요하다. 그리고 '마이데이터'는 국민 신뢰를 확보하면서도 데이터 활용 생태계를 한 단계 진일보시킬 기회이다.

◇법무법인 광장이 6월 19일 '개인정보와 금융정보 규율체계의 조화로운 발전 방안' 주제의 세미나를 개최해 높은 호응을 받았다. 개인정보, 금융 관련 실무자 등 200여명이 참석한 가운데 토론까지 열띤 분위기 속에 진행되었다.
◇법무법인 광장이 6월 19일 '개인정보와 금융정보 규율체계의 조화로운 발전 방안' 주제의 세미나를 개최해 높은 호응을 받았다. 개인정보, 금융 관련 실무자 등 200여명이 참석한 가운데 토론까지 열띤 분위기 속에 진행되었다.

법적인 생태계 관점에서, 개인정보 보호법에 가명정보 결합 등이 도입되었음에도 활성화 정도가 낮은 편이다. 이는 가명정보 활용 목적이 3가지로 제한되어 있기 때문만은 아니고, 기관마다 가명처리의 수준과 기준의 상이하고, 지방, 중소병원 등에서는 가명정보 전문가의 부족 등 어려움을 겪고 있는 것이 주요 원인으로 생각된다. 이러한 어려움 해소를 위해 개인정보보호위원회는 최근 '비정형데이터 가명처리 기준'을 통해 사례 등을 제시하기도 했다. 의료분야에서 데이터심의위원회(DRB)와 생명윤리위원회(IRB)를 어느 범위에서는 통합하고자 하는 움직임이 있는 것과 마찬가지로, 금융 데이터를 제외한 일반 데이터의 가명처리를 뒷받침할 수 있는 기관이 생긴다면 가명처리 및 익명처리의 법적 리스크를 완화시켜줄 수 있을 것이라고 생각한다.

아울러 경제적 측면에서, 마이데이터를 규제의 시각으로 보는 경우가 많은데, 마이데이터를 통해 데이터가 한 곳에 모여 새로운 부가가치가 창출되면, 그 부가가치에서 수익을 배분하는 구조를 만들어 낼 수 있을 것이고, 이것이 과금체계와 연결되면 마이데이터 생태계도 경제적으로 발전할 수 있을 것이라고 생각한다. 세계 최초의 마이데이터 전 분야 확산인 만큼, 큰 걸음을 내딛기 위해 부처, 기업들의 동참을 요청한다. (이상 개인정보보호위원회 최장혁 부위원장)

2. 금융기관이 유의해야 할 개인정보 보호법 이슈

금융 분야 개인정보보호 관련 법률의 관계를 명확히 파악하여 적용해야 한다. 일반법인 개인정보 보호법과 특별법인 신용정보법 간의 관계에 있어, 신용정보법에 개인정보 보호법의 내용과 다른 특별한 규정이 있는 경우 신용정보법 규정이 우선 적용된다. 다만, 일반법의 적용을 배제할 의도가 분명하다고 인정되는 경우, 또는 일반법의 규정을 그대로 적용할 경우 일반법과 특별법 간 모순, 불합리한 상황, 왜곡된 결과가 발생하는 경우에만 특별법이 적용된다.

특히 금융회사는 금융서비스를 제공하면서 개인신용정보뿐만 아니라 임직원 정보, 부가서비스(쇼핑몰, 알뜰폰 등) 제공에 필요한 일반 개인정보도 함께 처리하므로, 처리하는 정보 유형에 따라 법 적용에 세심한 주의가 요구된다.

◇발제 중인 고규만 팀장
◇발제 중인 고규만 팀장

금융기관이 법 적용 시 고려해야 할 사항을 살펴보면, (1)금융권은 신용카드번호, 계좌번호를 개인신용정보로 관리하고 있으며 금융당국의 2015년 법령해석 및 가이드에 따라 암호화 저장 대상으로 인식하지 않고 있으나, 금융서비스 외 부가서비스에서 관리되고 있는 신용카드번호, 계좌번호는 개인정보 보호법에 따라 암호화 저장이 필요하다. (2)신용정보법은 개인정보 보호법 제15조 제1항 제4호(계약의 체결 · 이행 시 동의 예외)를 준용하고 있으므로, 금융회사가 금융상품 등 계약 시 기존 필수 동의 방식이 아닌 다른 방법으로 갈음할 수 있을지 여부에 대해 금융당국의 명확한 가이드가 필요하다. (3)금융회사는 개인신용정보를 이용한 자동화평가의 경우 신용정보법 제36조의2에 따른 기준과 절차를 준수하는 한편, 임직원 정보 등 그 밖의 개인정보를 이용한 자동화된 결정의 경우에는 개인정보 보호법 제37조의2에 따른 기준과 절차를 준수해야 한다. (4)금융회사의 개인신용정보 이용 · 제공 사실 통지는 신용정보법 제35조를 준수하면 된다. (5)금융권에서는 신용정보관리 · 보호인, 정보보호최고책임자(CISO), 준법감시인, 고객정보관리인 등 직무를 지정해야 하는데, 개인정보 보호법에 따른 개인정보보호책임자(CPO) 지정 요건과 상이한 부분이 있어 CPO를 별도로 지정해야 하는 상황이다. 이 경우 CPO 자격 요건을 면밀히 살펴 다른 직무와의 겸직을 고려해야 한다. 향후 CPO와 금융권 관련 직무의 겸직이 가능하도록 제도 개선이 필요할 것으로 사료된다. (이상 고규만 금융보안원 개인정보기획팀장)

3. 금융 분야의 개인정보 보호법 컴플라이언스 대응방안

개인정보보호위원회가 금융 분야(금융회사, 전자금융업자, 보험대리점, 가상자산 사업자 포함)에 대해 제재 처분한 사례를 살펴보면, 동의 없는 수집 또는 고지사항 누락(제15조 제1항, 제2항), 목적 외 이용(제19조), 보유기간 경과 불구 미파기(제21조 제1항), 필수 · 선택 동의 사항 미구분(제22조 제1항(구), 제4항, 제6항), 업무위탁 시 의무사항 미포함 및 수탁자 관리 · 감독 미이행(제26조 제1항, 제4항), 안전성 확보조치 미이행(제29조), 개인정보 최소 수집 원칙 위반(구 제39조의3 제3항) 등 개인정보 처리 및 안전조치 전반에 있어 개인정보 보호법이 적용되었음을 알 수 있다.

예를 들어, 개인정보보호위원회는 K손해보험이 만 14세 미만 아동을 피보험자로 하는 보험계약을 체결하면서 법정대리인의 동의를 받지 않은 행위, D법인보험대리점이 보험상담을 하면서 제공받은 고객의 지인, 배우자 등의 개인정보를 당사자의 동의 없이 보험상품 소개 및 상담을 위해 수집한 행위에 대해, 각 과태료 부과 및 공표 처분을 하였다. 또 K법인보험대리점이 방송사로부터 전문가 상담 목적으로 제공받은 개인정보를 보험상품 권유 및 판매 등에 이용하고, 서비스 홍보 및 판매 권유에 대한 동의를 받는 과정에서 명확히 고지하지 않은 행위에 대해 과징금 약 1억 5천만원, 과태료 부과 및 시정명령 처분을 하였다.

접속기록 1년 이상 미보존도 제재

그 외에도 S증권이 웹서버 설정 오류로 인한 디렉토리 리스팅 취약점 보완 조치를 하지 않고 관리자 페이지 접근 시 인증절차를 누락하는 등 개인정보에 대한 접근통제 조치 의무를 위반하여 개인정보가 유출되도록 한 행위, 개인정보처리시스템의 접속기록을 1년 이상 보존 · 관리하지 않은 행위에 대해 과징금 9,800만원과 과태료를 부과하였다.

◇주제 발표하는 손경민 변호사
◇주제 발표하는 손경민 변호사

한편 해외 금융분야 사업자인 P온라인 간편결제 사업자가 특정 IP에서 반복적으로 로그인 시도를 하였음에도 미리 탐지 · 차단하지 못하는 등 개인정보처리시스템에 대한 침입차단 및 침입탐지시스템 운영을 소홀히 한 결과 개인정보가 유출되도록 한 행위, 개인정보 유출 사실 인지 후 정당한 사유 없이 24시간이 지나 통지 · 신고한 행위에 대해서도, 과징금 9억 600만원과 과태료를 부과하고 공표 처분을 하였다.

금융분야 ISMS-P 컴플라이언스 측면에서, 최근 금융권 ISMS-P 인증기준 점검 항목이 개정된 점에 유의해야 한다. 인증기준과 금융권 업무의 정합성 향상, 금융분야 정보보호 및 개인(신용)정보보호 관련 법규 반영을 위해 일반 ISMS-P보다 점검 항목이 총 71개 증가되었다. 그 중 주요 개정 사항은, '보호대책 요구사항' 부분에서 개인정보처리시스템의 원격 접근 단말기에 대하여 직접, 간접 접속 여부와 관계없이 안전성 확보조치를 적용하도록 하였고(2.6.6.4 개정), '개인정보 처리단계별 요구사항' 부분의 '수집' 및 '제공' 시 보호조치 항목에서 개인정보 보호법의 개정 내용을 반영하였다.

예를 들어, 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의 여부를 확인하도록 하였고(3.1.1 개정), 정보주체의 동의 없이 처리할 수 있는 개인정보 항목과 처리의 법적 근거를 구분하여 개인정보 처리방침에 공개하도록 하였다(3.1.9 신설). 개인정보 제3자 제공 동의 획득 시 관련 사항을 명확하게 고지하고 다른 동의 사항과 구분하도록 하였고(3.3.1.2 신설), 위탁에 재위탁이 포함된다는 점을 명시하여 재위탁에 대한 공개 의무를 반영하였다(3.3.2.1 개정). 또 개인정보 국외이전 시, 개인정보 보호법 제28조의2에 따른 적법 요건을 준수하도록 규정하였다(3.3.4.1, 3.3.4.2 개정).

금융회사 등은 주요 처분 사례와 판례를 지속적으로 업데이트 및 분석하고, 리스크 현실화 가능성까지 고려하여 실무적으로 대응해야 한다. 특히 개정 개인정보 보호법에 따른 과징금 등 상향된 리스크를 고려하여 컴플라이언스 기준을 설정할 필요가 있다. (이상 손경민 변호사)

4. 토론

최경진 개인정보전문가협회 회장 겸 가천대 교수가 좌장을 맡아 개인정보보호위원회 김직동 과장, 나이스평가정보 서영우 상무, 금융위원회 신상록 과장, 아주대 이원태 교수(전 한국인터넷진흥원 원장), 한국소비자연맹 정지연 사무총장, 법무법인 광장의 차현정 변호사 등이 토론에 참여했다.

마이데이터 전 분야 확산과 관련하여, 마이데이터 안전 준칙 및 부당한 전송유도 방지대책 마련, 투명한 전송과정 관리 지원을 위한 플랫폼 운영 등을 통해, 마이데이터 프라이버시 보호체계를 확립해야 한다. 또 정보전송자와 정보수신자 간에 합리적으로 전송비용을 분담할 수 있는 체계를 마련해야 하며, 이종분야 허가심사 간소화 또는 면제 등 관계부처와 유관기관 간 긴밀한 협력을 통해 사업자 지정 및 데이터 융합기준을 마련해야 한다. 아울러 마이데이터의 성공적 안착 후 정부주도에서 민간주도로 전환할 수 있도록 시장참여자 간 발전적 거버넌스 협의체를 운영하는 등 지속가능한 마이데이터 생태계 조성 방안이 필요하다.

개인정보 보호법과 신용정보법의 조화를 위해 수범자의 범위를 합리적으로 조율해야 하고, 두 법률 간 충돌하거나 중복되는 조항을 정비해야 한다.

대법, 개인정보처리시스템 확장

KT 개인정보 유출사고를 시작으로 개인정보처리자의 안전조치 의무가 인정되는 개인정보처리시스템의 범위에 대한 논쟁이 지속되고 있는데, 관련하여 대법원은 데이터베이스와 연동되어 개인정보 처리과정에 관여하는 웹서버, 응용프로그램 등을 포함한다고 해석하여 개인정보처리시스템의 범위를 확장한 바 있다. 이러한 판례의 태도가 신용정보업감독규정 [별표3]의 기술적 · 물리적 · 관리적 보안대책 마련 기준 내의 '개인신용정보처리시스템'의 해석에 동일하게 유지될 것인지 고민해 볼 필요가 있다. (이상 이원태 아주대 교수)

마이데이터 사업의 활성화를 위해서는 정보 활용의 효용과 개인정보 보호 간 균형이 중요하다. 세심한 정책과 규제를 통해 활용과 데이터 보호 간 최적 균형 상태를 모색해야 하며, 벨곡선 형태에서 정보 공유와 정보보호 최대점을 잘 협의해야 한다.

구체적으로, (1)개인정보 보호법, 금융 분야 정보보호 법률 등 많은 법률이 있고, ISMS/ISMS-P 인증 및 상시평가제도, 마이데이터 정보처리/정보통신 보안 규정 등 다양한 제도가 시행되고 있는데, 정보 보호의 테두리를 명확하게 설정해야 하고 특히 수범자 입장에서 공통된 기준이 필요하다고 생각된다. (2)금융위원회에서 마이데이터 사업을 활성화하고자 2024. 4. '마이데이터 2.0 추진 방안'을 발표했는데, 사업자가 다양한 아이디어를 가지고 활용할 수 있는 범위에서 규제해야 한다. (3)마이데이터 사업은 2022년 2조 1,280억원의 매출을 기록했다. 그 중 금융회사 마이데이터 매출액이 56억원으로 사업적 활성화는 다소 미진해 보이고, 대형 핀테크 매출액은 2억 1,224억원인데 겸영업무인 전자금융 수익이 대부분을 차지한다. 국내 데이터사업 시장 규모가 2026년 36조원으로 성장할 것으로 예상되는 상황에서 시장에서 공정한 경쟁을 유지할 필요가 있다. (이상 나이스평가정보 서영우 상무)

소비자 관점에서의 마이데이터

소비자 관점에서 마이데이터가 왜 필요한지, 누구를 위한 것인지 명확하지 않아 목적을 분명히 할 필요가 있다. 산업 활성화가 아니라 소비자를 위한 공익적 편익이 확보될 수 있는가에 대한 논의가 필요하다.

그리고 한국에서는 마이데이터가 GDPR상 본래 취지와 다르게, 제3자 제공과 같이 개인정보의 상품화 촉진으로 변질되는 것이 아닌지 우려된다. 소비자 관점에서는 일관성이 필요하고, 그 안에서 개별 산업별 특성이 반영되어야 한다고 생각한다.

또 법률에서 시행령, 고시 등에 과도하게 위임하여 법률 해석의 여지를 남겨두는 것은 바람직하지 않다. 인터넷 쇼핑몰에서 소비자의 주문정보를 지나치게 수집하는 것이 문제된 바 있는데, 주문내역 정보에는 민감한 정보가 포함될 수 있다는 점에서, 특히 마이데이터의 본질은 정보주체의 권익 향상임을 명확히 인식할 필요가 있다. (이상 한국소비자연맹 정지연 사무총장)

개인정보 보호법 vs 특별법

다양한 기술의 발전, 서비스 형태의 복잡화에 따라 개인정보 보호법과 신용정보법 간의 적용 관계가 복잡해지고 있고, 실무적으로도 금융위원회와 개인정보보호위원회 간 의견을 공유하는 케이스들이 생기고 있다. 수범자의 예측 가능성 향상, 규제 비용 절감을 위해, 마이데이터뿐만 아니라 개인정보 보호법과 신용정보법 전반에 있어 일관된 체계 정비가 필요하다. 일반법인 개인정보 보호법이 일반적인 원칙을 모두 포괄해야 하며, 위치정보법, 신용정보법 등 개인정보보호법보다 먼저 입법된 법률의 정합성 정비가 필요하고, 특별법은 특별한 경우로 한정된 범위에서 적용되어야 할 것이다.

금융 마이데이터 허가를 받은 금융권 외 사업자가 가명정보 결합 등을 하는 경우, 신용정보법과 개인정보 보호법 중 어느 법률에 따른 결합기관에서 해야 하는지 혼란이 있을 수 있다. 아울러 계좌정보 외 다양한 정보에 대하여도 어떤 안전성 확보조치 기준을 따라야 하는지, 그리고 개인(신용)정보 유출 신고 건수 기준은 신용정보법 10,000건, 개정 개인정보 보호법 1,000건으로 차이가 있는데 어떤 법률을 따라 신고 여부 등을 결정해야 하는지 등의 문제도 있다. 따라서 금융권에서 강하게 규제해야 할 사항들은 특별법에서 규정하는 한편, 일반법인 개인정보 보호법에서 일반적인 원칙을 정하여 법률 간 정비를 할 필요가 있다. 이를 위해 개인정보보호위원회는 금융위원회와 적극적으로 협력할 것이다. (이상 개인정보보호위원회 김직동 개인정보보호정책과장)

금융위 관점에서의 마이데이터

금융위원회는 신용정보법에 입각한 해석을 하고 있고 일반법인 개인정보 보호법과의 관계도 고려하고 있다. 개인정보보호위원회와 협조가 잘되고 있다고 생각한다. 한편 마이데이터와 관련하여 안전한 활용이 핵심이고, 안전한 활용이 되었을 때 소비자의 권익이 향상될 수 있고 그래야만 마이데이터가 성공할 수 있다고 생각한다. 그리고 대환대출 서비스, 제3자 정보 제공 서비스 등은 마이데이터 없이는 불가능한 서비스로, 금융 마이데이터는 지금까지 성과를 거두었다고 생각한다.

또 마이데이터는 조회 · 열람이기 때문에 마이데이터 사업 자체로 매출을 발생시키기는 어려울 수 있다. 즉, 마이데이터는 기본적으로 소비자들의 알 권리, 개인정보자기결정권을 위한 서비스라고 할 수 있다. 제3자 제공과 관련하여, 마이데이터 2.0에서는 안심제공 시스템을 통해, 소비자가 마이데이터 앱에서 제3자에게 어떤 정보가 제공되고 있는지 확인하고, 이를 직접 삭제할 수 있도록 하고자 한다. 마이데이터 2.0에서는 결합 규정도 명확히 하고자 한다. 이는 AI와 관련이 있는데, AI가 개인화된 서비스를 제공하기 위해서는 학습과 활용의 각 절차에 데이터가 필요한데, 마이데이터는 이 두 가지 절차 모두에 효용이 있을 것으로 기대된다. (이상 금융위원회 신상록 금융데이터정책과장)

마이데이터 확산에 따른 고려사항

금융 분야 마이데이터 도입에 따라 정보를 통합 관리할 수 있게 되어 편리성이 제고되었지만, 출시되는 서비스 내용의 다양성이 부족하고 혁신성을 느끼기에는 다소 둔감해진 상황이다. 개정 개인정보 보호법에 따라 마이데이터 사업자를 지정하는 경우, 전문성과 안전성을 동시에 확실하게 갖춘 사업자로 하여금 국민들이 실질적으로 혁신적이고 편리하다고 체감할 수 있는 서비스를 제공하도록 제도가 운영되어야 한다. 이때 통신시장과 같이 사업자 간 가입자 유치 경쟁이 과열되어 있는 경우에는 특히 맞춤형 서비스 추천에 있어 이해상충 가능성이 없는 사업자가 전문기관으로 지정될 필요성이 있는 등 업권별 특성도 충분히 고려되어야 하며, 규제 샌드박스 등 제도가 함께 활용되면 좋을 것이다.

◇세미나 참석자들이 기념 촬영을 하고 있다.
◇세미나 참석자들이 기념 촬영을 하고 있다.

또 제3자 대상 정보전송의 경우, 안전성을 강조하더라도 개인정보 오남용이나 유출의 위험성이 높아질 수밖에 없다. 정보 전송 범위가 과도하고 민감한 정보까지 제공 대상에 포함되는 경우, 정보주체 입장에서도 우려가 많을 것이고, 사업을 영위하면서 어렵게 수집한 영업비밀성이 있는 정보를 전송할 의무가 있는 사업자들의 입장에서도 상당히 부담이 될 것이다. 따라서 예상되는 서비스로 인한 이익과 과도한 범위의 개인정보가 이전됨으로써 발생할 수 있는 위험이나 권리 침해 가능성 사이의 이익 형량을 통해 합리적인 범위를 도출해야 한다.

한편 금융 마이데이터에서 정보 전송 비용에 관해 오랜 논의 끝에 과금체계가 마련되었으나, 과금 대상 사업자들은 많은 부담을 느끼고 있고, 정보 제공 사업자들의 경우 시스템 구축 및 운영 비용 중 극히 일부만 회수하고 있어 실제 지출한 비용을 보전받지 못하였다는 점에서 불만도 존재한다. 개정 개인정보 보호법에 따른 마이데이터 제도 시행 전에 정보 전송 비용에 대한 보전 방안이 선결적으로 마련되고, 적절한 인센티브가 부여될 필요도 있다.

위반행위 무관 매출액은 제외

일반법에는 있지만 특별법에는 없는 규율사항에 대하여는 개인정보 보호법이 적용되고, 실제로 개인정보보호위원회가 금융 분야에 대해 개인정보 보호법을 적용하여 제재한 사례와 대법원이 금융회사가 개인정보 보호법에 따른 손해배상책임을 부담하는지 판단한 사례가 있으므로, 금융회사 등 신용정보법이 적용되는 사업자들은 개인정보 보호법까지 빈틈없이 검토해야 한다. 특히 개정 개인정보 보호법 제64조의2는 과징금을 전체 매출액 기준으로 부과하고 있고 위반행위와 관련 없는 매출액을 제외하도록 규정하고 있다. 그런데 지금까지의 사례를 보면, 규제기관이 위반행위와 관련 없는 매출액으로 인정하는 범위가 굉장히 엄격하고 위반행위와의 관련성을 다소 넓게 인정하는 경향이 있는 것으로 보인다. 이러한 점을 고려하여 개인정보 보호법 법령 추이에도 주의를 기울여야 할 것이다. (이상 차현정 변호사)