가. 2016년 6월 24일 추경호의원이 대표발의한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 제346회 국회(정기회) 제12차 정무위원회(2016.11.16.)에 상정하여 제안설명과 전문위원 검토보고를 듣고 대체토론을 거쳐 법안심사소위원회에 회부하였음.
나. 2016년 12월 21일 박선숙의원이 대표발의한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 제350회 국회(임시회) 제1차 정무위원회(2017.3.21.)에 상정하여 제안설명과 전문위원 검토보고를 듣고 대체토론을 거쳐 법안심사소위원회에 회부하였음.
다. 2017년 7월 14일 송희경의원이 대표발의한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 제354회 국회(정기회) 제7차 정무위원회(2017.11.27.)에 상정하여 제안설명과 전문위원 검토보고를 듣고 대체토론을 거쳐 법안심사소위원회에 회부하였음.
라. 2018년 5월 11일 박선숙의원이 대표발의한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 제363회 국회(임시회) 제2차 정무위원회(2018.8.27.)에 상정하여 제안설명과 전문위원 검토보고를 듣고 대체토론을 거쳐 법안심사소위원회에 회부하였음.
마. 2018년 11월 15일 김병욱의원이 대표발의한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 제365회 국회(임시회) 제1차 정무위원회(2018.12.27.)에 상정하여 제안설명과 전문위원 검토보고를 듣고 대체토론을 거쳐 법안심사소위원회에 회부하였음.
바. 2019년 2월 18일 추혜선의원이 대표발의한 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」을 제370회 국회(임시회) 제1차 정무위원회(2019.8.22.)에 상정하여 제안설명과 전문위원 검토보고를 듣고 대체토론을 거쳐 법안심사소위원회에 회부하였음.
사. 제371회 국회(정기회) 제4차 법안심사제1소위원회(2019.11.28.)에서는 위 6건의 법률안을 각각 본회의에 부의하지 아니하기로 하고, 각 법률안의 내용을 통합·조정하여 대안을 위원회안으로 제안하기로 함.
아. 제371회 국회(정기회) 제11차 정무위원회(2019.11.29.)는 법안심사제1소위원회에서 심사보고한 대로 6건의 법률안을 각각 본회의에 부의하지 아니하기로 하고, 법안심사제1소위원회에서 마련한 대안을 위원회안으로 제안하기로 의결함.
2. 대안의 제안이유
데이터는 사물인터넷, 인공지능 등으로 대표되는 4차 산업혁명의 흐름 속에서 혁신성장의 토대가 될 뿐만 아니라, 누구나 기회를 갖고 자유로이 경쟁할 수 있는 공정한 시장경제를 구축하는 데에 이바지할 것임. 또한, 데이터의 생산․유통 및 수집․분석․이용 서비스를 전문적으로 제공하는 데이터산업이 성장하면, 시장과 산업의 다양한 정보수요에 대응함과 동시에 청・장년층에 임금 수준, 만족도, 성장 가능성 등이 높은 양질의 일자리를 창출할 수 있을 것으로 기대됨.
특히, 금융분야는 그 산업의 발전 과정에서 여신심사 등에 다양한 데이터를 활용함으로써 많은 개인・기업들을 제도권 금융으로 포용해 온 결과, 은행․카드․보험․금융투자 등 금융업권별로 체계적으로 관리되는 정형화된 데이터가 대량으로 축적되어 있음. 이러한 금융분야 데이터의 특성으로 인해, 소비·투자 행태, 위험성향 등 개인의 특성을 반영한 맞춤형 금융상품의 개발이나, 정보통신․위치정보․보건의료 등 다른 산업분야와의 융합까지도 가능하게 되는 등 혁신성장의 혜택이 국민의 삶과 직결되어 있어 데이터의 활용가치가 매우 높음.
그런데, 금년 5월에 전면 시행된 유럽연합 일반개인정보보호법(EU GDPR: General data protection regulation)이 전 세계 정보보호 법제를 대표하는 제도로 가장 광범위한 영향력을 갖게 되는 등 미국․중국․EU 등 거대경제권역은 데이터 활용과 정보보호를 조화롭게 도모함으로써 데이터 기반의 혁신성장을 앞다투어 추진하고 있음. 이에 비해, 우리나라는 2017년에 발표된 스위스 국제경영대학원의 자료에서 보는 바와 같이 국내 기업의 빅데이터 이용률은 7.5%에 불과하고 빅데이터 활용과 분석수준은 전 세계 63개국 중 56위에 그치는 등 데이터 활용 수준이 낮은 상황임. 또한, 각종 외신․전문기관 등에서 평가한 바와 같이 전 세계적으로 가장 강한 수준의 정보보호 규제를 도입하였음에도, 그 규제마저 형식적으로 설계․운영되는 등에 따라 정보주체를 실질적으로 보호하지도 못하면서 데이터 활용조차 저해하고 있는 실정임.
이에, 데이터 경제(Data economy)로의 전환이라는 전 세계적 환경변화를 적극적으로 수용하면서 적극적인 데이터 활용으로 소비자 중심의 금융혁신과 금융의 포용성 확대 등의 계기를 마련하고 국민들의 금융분야 정보보호에 대한 신뢰성을 제고하기 위하여, 빅데이터 분석ㆍ이용의 법적 근거를 명확하게 하고 빅데이터 활용에 따라 발생할 수 있는 부작용을 방지하기 위한 안전장치를 강화하며, 일반법인 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제를 혁신하고,본인신용정보관리업(MyData), 전문개인신용평가업 및 개인사업자신용평가업의 도입, 현행 신용조회업의 업무체계 정비 등을 통하여 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계를 선진화하고, 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명요구권 등 새로운 개인정보 자기결정권의 도입 등을 통해 금융분야 개인정보보호를 보다 내실 있게 하는 한편, 4차 산업혁명 흐름 속에 나타나는 다양한 신기술을 신용정보 관리체계에 안정적으로 포섭할 수 있도록 법률상 신용정보의 개념을 정비하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완하려는 것임.
3. 대안의 주요내용
가. 금융분야 빅데이터 분석ㆍ이용의 법적 근거 명확화
1) 추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 처리(가명처리)한 개인신용정보로서 가명정보의 개념을 도입하고, 통계작성(시장조사 등 상업적 목적의 통계작성을 포함), 연구(산업적 연구를 포함), 공익적 기록보존 등을 위해서는 가명정보를 신용정보주체의 동의 없이도 이용하거나 제공할 수 있도록 함으로써 금융분야에서 빅데이터 분석․이용을 활성화하도록 함(안 제2조제15호ㆍ제16호 및 제32조제6항제9호의2․제9호의4 신설).
2) 신용정보회사 등에 대하여 가명처리에 사용한 추가정보는 일정한 방법으로 분리하여 보관하도록 하고, 신용정보회사 등은 가명정보를 보호하기 위하여 일정한 기술적ㆍ물리적ㆍ관리적 보안대책을 수립․시행하도록 하며, 가명정보를 이용하는 과정에서 특정 개인을 알아볼 수 있게 된 경우 처리를 즉시 중지토록 하고, 특정 개인을 알아볼 수 있게 된 정보를 즉시 삭제토록 하는 등의 의무를 부과함으로써 빅데이터 분석․이용에 따라 발생할 수 있는 부작용을 방지하기 위한 안전장치를 마련함(안 제40조의2제1항․제2항 및 제6항부터 제8항까지 등 신설).
3) 더 이상 특정 개인을 알아볼 수 없도록 개인신용정보를 처리하는 익명처리에 대해서는 금융위원회가 지정하는 데이터전문기관의 적정성 평가를 거친 경우에는 더 이상 특정 개인을 알아볼 수 없도록 처리된 정보로 추정하여 금융회사 등의 빅데이터 활용에 따른 법적 불확실성을 해소함(안 제2조제17호, 제26조의4, 제40조의2제3항부터 제5항까지 신설).
4) 신용정보회사 등이 보유하는 정보집합물을 제3자가 보유하는 다른 정보집합물과 결합할 경우에는 데이터전문기관을 통해서만 하도록 하고, 데이터전문기관이 결합된 정보집합물을 해당 신용정보회사 등에게 전달하는 경우에는 가명처리 또는 익명처리가 된 상태로 전달되도록 하는 등 이종(異種) 산업분야 간의 데이터 결합을 촉진함과 동시에 안전하게 데이터 결합이 이루어질 수 있는 제도적 기반을 마련함(안 제17조의2, 제26조의4, 제32조제6항제9호의3 신설).
5) 영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리한 경우 금융위원회가 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하는 동시에, 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 하는 등 빅데이터 활용에 따른 부작용을 방지하기 위한 책임성 확보장치를 마련함(안 제42조의2제1항제1호의4, 제50조제2항제7호의2 신설).
나. 상거래 기업 및 법인의 개인신용정보 보호를 위한 개인정보 보호위원회의 법집행 기능 강화(안 제38조제5항ㆍ제6항, 제39조의4제4항, 제42조의2제1항ㆍ제3항ㆍ제5항ㆍ제6항, 제45조, 제45조의3, 제45조의4 및 제52조제6항 신설)
금융회사 등을 제외한 신용정보제공․이용자인 상거래 기업 및 법인에 대해서는 금융위원회의 감독, 금융감독원의 검사 등을 대신하여 개인정보 보호위원회에 대하여 자료제출요구ㆍ검사권ㆍ출입권ㆍ시정명령, 과징금 및 과태료 부과 등의 권한을 부여함으로써 개인정보보호에 대한 독립적인 관리감독기구로서 개인정보 보호위원회의 기능을 제고하고 상거래기업 및 법인의 개인정보보호에 대한 관리감독체계를 효율화하도록 함.
개인신용정보의 처리, 그 업무의 위탁, 유통 및 관리와 신용정보주체의 보호에 관하여 일반법인 「개인정보 보호법」의 일부 규정을 금융분야에 알맞게 특별법인 이 법에 수용하거나 일반법과 특별법의 적용관계를 보다 명확하게 규정하고, 유사하거나 중복적으로 규정하고 있는 내용에 대해서는 「개인정보 보호법」의 해당 조문을 적용토록 하는 등 현행 개인정보보호 체계를 보다 효율화하도록 함.
라. 신용정보 관련 산업의 규제체계 선진화
1) 신용정보의 수집․생성․제공을 개념요소로 하여 지나치게 포괄적으로 규정되어 있는 현행 신용조회업무의 정의를 바꾸어, 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 구분하여 정의하고, 이 중에서 기업신용조회업은 기업정보조회업무, 기업신용등급제공업무, 기술신용평가업무로 각 업무의 특성에 맞게 세분화함(안 제2조제8호, 제8호의2ㆍ제8호의3 신설).
2) 금융거래에 관한 개인신용정보 외의 개인신용정보만을 활용하여 개인인 신용정보주체의 신용상태를 평가하는 전문개인신용평가업과 기업신용조회업으로서 기업정보조회업무, 기업신용등급제공업무 및 기술신용평가업무에 대해서는 허가요건으로서 최소 자본금을 처리대상 정보나 업무의 특성 등에 따라 5억원 또는 20억원으로 하는 등 진입규제를 대폭 완화함으로써 금융분야 데이터산업에서 경쟁과 혁신을 촉진함과 동시에 사회초년생 등 금융 이용경험이 부족한 취약계층에 대한 개인신용평가 등의 정확성과 공정성을 높일 수 있도록 함(안 제5조제1항․제3항, 제6조제2항제1호단서․제1호의3 신설).
3) 개인사업자의 신용을 판단하는데 필요한 정보를 수집하고 개인사업자의 신용상태를 일정한 방법으로 평가하여 그 결과를 제3자에게 제공하는 행위를 영업으로 하는 개인사업자신용평가업을 도입하고, 개인신용평가회사, 기업신용조회회사 외에 신용카드업자가 겸영업무로 수행할 수 있도록 하는 등 개인사업자에 관한 신용위험 관리체계를 개선함과 동시에 개인사업자에 대한 성장 지원 기능을 확충할 수 있도록 함(안 제2조제8호의2, 제5조제2항, 제6조제2항제1호의2 등 신설).
4) 신용조회회사는 원칙적으로 영리를 목적으로 다른 업무를 겸업할 수 없도록 한 규제를 폐지하면서, 신용정보주체 보호 및 신용질서를 저해할 우려가 없는 업무에 대해서는 겸영을 허용하고, 허가를 받은 업무에 부수하는 업무를 수행할 수 있음을 명확히 하는 등 신용정보회사 등의 업무체계를 정비함과 동시에, 데이터 분석 및 컨설팅 업무 등의 수행을 허용하여 양질의 데이터 및 분석·관리 노하우를 지닌 신용정보회사 등이 빅데이터 초기 시장을 선도하는 주도적 역할을 수행할 수 있도록 함(안 제11조, 제11조의2 신설).
5) 신용정보회사 등에 적용되는 지배주주의 변경승인 제도를 현행 「금융회사의 지배구조에 관한 법률」(이하 ‘「지배구조법」’)에 따른 대주주 변경승인 제도에 준하여 정비하고, 신용정보회사 등의 임원에 대해서도 「지배구조법」에 준하여 그 자격요건을 강화하며, 국민의 경제·금융생활에 큰 영향을 미치는 일정한 개인신용평가회사 및 개인사업자신용평가회사에 대해서는 현행 「지배구조법」에 준하는 최대주주의 자격심사 등에 관한 제도를 도입함으로써 신용정보 관련 산업의 건전성과 책임성을 제고함(안 제9조, 제9조의2 신설, 제22조제1항․제2항).
6) 개인신용평가회사, 개인사업자신용평가회사, 일정한 기업신용조회회사가 신용정보주체의 신용상태를 평가할 때 정확성․공정성․투명성 등의 원칙에 따라 업무를 수행하도록 하고, 성별․출신지역․국적 등으로 합리적 이유 없이 차별하는 행위를 금지하는 등 신용정보회사에 대한 영업행위 규제를 새로이 도입하며, 개인사업자신용평가회사 및 기업신용조회회사에 대해서는 이해상충 방지 등을 위해 내부통제기준을 마련하도록 하는 등 개인신용평가 등의 결과, 평가체계, 과정 등에 대한 국민의 신뢰를 높이도록 함(안 제22조의3부터 제22조의6까지 신설).
개인인 신용정보주체의 신용관리를 지원하기 위하여 본인의 신용정보를 일정한 방식으로 통합하여 그 본인에게 제공하는 행위를 영업으로 하는 본인신용정보관리업을 도입하고, 본인신용정보관리업을 하려는 자는 금융위원회로부터 허가를 받도록 하며, 본인신용정보관리회사가 금융회사 등이 선정하여 사용·관리하는 「전자금융거래법」상 접근매체를 보관·사용하는 등의 방식으로 신용정보를 수집하는 행위를 금지하되, 금융회사 등으로부터 안전성과 신뢰성이 보장될 수 있는 방식으로 본인의 개인신용정보를 전송받을 수 있도록 하여 정보보호·보안은 강화하고, 데이터 분석 및 컨설팅, 신용정보주체의 개인정보 자기결정권의 대리 행사 및 일정한 투자일임업․투자자문업 등을 부수업무나 겸영업무로 허용하는 등 본인신용정보관리업을 개인인 금융소비자의 신용관리·자산관리 및 정보관리를 지원하는 새로운 금융분야 데이터 산업으로 육성함.
바. 종합신용정보집중기관의 역할 강화
1) 개인인 신용정보주체가 종합신용정보집중기관에 대하여 본인에 관한 채권자변동정보를 열람하거나 교부하여 줄 것을 요구할 수 있도록 하는 권리를 새로이 도입함으로써 종합신용정보집중기관이 채권자인 금융회사 간의 정보공유 지원 기능 외에 채무자를 보호하는 공적 역할을 수행할 수 있도록 함(안 제18조제2항 단서, 제25조의2제1호의3 및 제39조의2 신설).
2) 종합신용정보집중기관에 개인신용평가체계 검증위원회를 두도록 하고, 개인신용평가회사 등의 평가에 사용되는 기초정보, 평가모형의 예측력, 안정성 등을 심의하도록 함으로써 종합신용정보집중기관으로 하여금 개인신용평가 등의 정확성과 공정성을 높이도록 하는 데에도 기여할 수 있도록 함(안 제25조의2제3호의2 및 제26조의3 신설).
사. 정보활용 동의 제도의 내실화
1) 금융회사등이 개인인 신용정보주체로부터 정보활용 동의를 받는 경우에는 쉬운 용어나 단순하고 시청각적인 전달 수단 등을 활용하도록 하고, 고지사항의 중요한 사항만을 발췌한 요약정보를 신용정보주체에게 알리고 정보활용 동의를 받을 수 있도록 하되, 신용정보주체가 요청할 경우 고지사항 전부를 알리도록 하는 등 신용정보주체가 정보활용 동의 내용을 충분히 알고 동의할 수 있는 여건을 마련하도록 함(안 제34조의2 신설).
2) 금융위원회로 하여금 금융회사 등의 정보활용 동의사항에 대하여 사생활의 비밀과 자유를 침해할 위험, 신용정보주체가 받게 되는 이익이나 혜택 등을 고려하여 정보활용 동의등급을 부여하도록 하고, 금융회사 등은 그 동의등급을 신용정보주체에게 알리고 정보활용 동의를 받도록 하여 신용정보주체가 자신의 정보활용 동의에 따르는 효과를 손쉽게 알 수 있도록 함(안 제34조의3 신설).
아. 금융분야에 새로운 개인정보 자기결정권의 도입
1) 개인인 신용정보주체가 금융회사, 정부·공공기관 등에 대하여 본인에 관한 개인신용정보를 본인이나 본인신용정보관리회사, 다른 금융회사 등에게 전송하여 줄 것을 요구할 수 있는 개인신용정보의 전송요구권을 도입하여 신용정보주체가 능동적으로 본인 정보를 통제하고 활용할 수 있도록 하는 기반을 마련함(안 제33조의2 신설).
2) 개인인 신용정보주체가 금융회사 등에게 자동화평가 실시 여부 및 자동화평가의 결과 및 주요기준, 기초자료 등의 설명을 요구할 수 있도록 하고, 자동화평가 결과의 산출에 유리하다고 판단되는 정보의 제출 또는 기초정보의 정정·삭제, 자동화평가 결과의 재산출을 요구할 수 있는 권리를 도입함으로써 신용정보주체에게 자동화평가에 대한 적극적인 대응권을 보장함(안 제36조의2 신설).
자. 개인신용정보 활용․관리 실태에 대한 상시평가 제도 도입(안 제20조제6항 및 제45조의5 신설)
금융회사 등의 신용정보관리ㆍ보호인으로 하여금 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검하도록 하고 그 점검결과를 금융위원회에 제출하도록 하며, 금융위원회는 이를 확인하여 그 결과를 점수 또는 등급으로 표시하고 금융감독원이 금융회사 등의 신용정보 보호 업무에 대하여 검사를 할 때 그 점수나 등급을 활용할 수 있도록 함으로써 금융권 정보활용․관리실태에 대한 상시적인 감독체계를 보다 강화할 수 있도록 함.
차. 신용정보회사등의 손해배상 책임 강화(안 제43조제2항)
신용정보회사등이나 그 밖의 신용정보 이용자가 고의 또는 중대한 과실로 이 법을 위반하여 개인신용정보가 누설되거나 분실·도난·누출·변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 5배를 넘지 아니하는 범위에서 배상하도록 함.
카. 현행 제도의 미비점 보완
1) 현재 대통령령에 상당 부분 위임하여 규정하고 있는 신용정보 등의 주요 개념을 법률에서 직접 규정하도록 함으로써 하위 법령의 개정을 통하여 신용정보 등의 범위가 지나치게 축소되지 아니하도록 함과 동시에 기술의 발전과 금융환경 변화 등에 맞추어 신용정보 등의 개념을 체계적으로 정비함(안 제2조제1호 및 안 제2조 제1호의2부터 제1호의6까지 신설).
2) 현재 금융회사 등은 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내에 해당 개인신용정보를 관리대상에서 삭제하여야 하나, 앞으로는 가명정보를 이용하는 경우로서 이용 목적 및 가명처리의 기술적 특성, 정보의 속성 등을 고려하여 필요한 경우에는 그 가명정보의 보존기간을 보다 더 길게 정할 수 있도록 하는 등 기술의 발전 및 금융환경 변화 등에 맞추어 정보보호 규제를 합리적으로 조정해 나갈 수 있도록 함(안 제20조의2제2항제2호의2 신설 및 같은 항 제3호).
4. 부대의견
가. 금융위원회는 이 법 개정에 따라 「독점규제 및 공정거래에 관한 법률」 위반 요건을 대주주 요건에서 제외하는 내용으로 「신용정보의 이용 및 보호에 관한 법률 시행령」을 개정한다.
나. 데이터전문기관을 통한 정보집합물의 결합․제공․보관의 절차와 방법은 대통령령에서 정하되, 데이터전문기관에서 데이터 결합 서버는 별도 분리하고, 데이터 결합의 목적이 달성되면 결합데이터는 삭제하며, 결합데이터를 데이터전문기관 내에서 처리․보관하는 데 강화된 기준을 마련하는 등 안전한 데이터 결합을 위한 보완장치를 마련한다.