일반 상거래 기업에도 신용정보법 적용
1. 들어가며
최근 이슈가 되고 있는 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 "정보통신망법"), 신용정보의 이용 및 보호에 관한 법률(이하 "신용정보법") 개정안으로 구성된 이른바 '데이터 3법 개정안'이 2020년 1월 9일 국회 본회의를 통과하였다(이하 "개정법"). 개정법은 공포 후 6개월이 경과한 날(단, 개정 신용정보법 일부 규정의 경우 공포 후 1년 또는 1년 6개월 내 대통령령으로 정하는 날)부터 시행될 예정이다.
개정법은 현행 개인정보 보호 관련 법률의 내용과 체계를 상당히 변경하였는바, (1)개인정보 관련 개념 체계를 개인정보, 가명정보, 익명정보로 명확히 하고, 가명정보의 처리에 관한 상세한 규정들을 신설하였으며, (2)개인정보보호위원회를 개인정보 보호에 관한 일원화된 감독기구로서 그 위상을 변경하고, (3)정보통신망법상 정보통신서비스 제공자 대상 개인정보 관련 조항들을 모두 삭제하고 이를 개인정보 보호법으로 이관하였으며, (4)기존에 주로 금융회사에 대해서만 적용되었던 신용정보법이 일반 상거래 기업에도 적용된다는 점을 명확하게 하면서, 일반 상거래 기업에 대해서는 금융위원회 및 금융감독원이 아닌 개인정보보호위원회에 신용정보법 집행을 위한 자료제출요구검사권출입권시정명령, 과징금 및 과태료 부과 등 권한을 부여하였다. 이하에서는 일반 상거래 기업에게 적용되는 개정법의 주요 개정 사항들과 그에 따른 시사점 위주로 소개하고자 한다.
2. 개인정보 보호법의 주요 개정 내용
개정 개인정보 보호법은 개인정보 관련 개념 체계를 개인정보, 가명정보, 익명정보로 명확히 하였다. "개인정보"의 경우, 현행 개인정보 보호법과 동일하게 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 외에 '해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보'도 포함하였으나, '쉽게 알아볼 수 있는지 여부'는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다는 점을 명확히 하였다. 또한 시간 · 비용 · 기술 등을 합리적으로 고려할 때 다른 정보를 활용하여도 더 이상 개인을 알아볼 수 없는 정보(이른바 "익명정보")에 대해서는 개인정보 보호법을 적용하지 않는다는 점을 명시적으로 규정하였다. 이상의 개정은 종래 개인정보 보호법 하에서 해석상 인정되어 온 바를 분명히 하기 위해 이루어진 것으로 이해된다.
익명정보는 개인정보 보호법 비적용
개정 개인정보 보호법은 가명정보를 '개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리(이하 "가명처리")함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용 · 결합 없이는 특정 개인을 알아볼 수 없는 정보'로 정의하였다.
개인정보처리자가 통계작성, 과학적 연구(기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구), 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리(단, 제3자에게 제공하는 경우에는 개인 식별을 위해 사용될 수 있는 정보를 제공할 수 없음)할 수 있는 근거 규정을 신설하였는바, 이로써 종래에는 정보주체로부터 동의를 받지 않으면 이용 · 제공 등 처리가 불가능하였던 정보도 위와 같은 요건을 충족하는 경우 동의 없이 처리할 수 있는 근거가 마련되었다. 또한 서로 다른 개인정보처리자 간의 가명정보 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행할 수 있고, 개인정보처리자는 전문기관의 장의 승인을 받아 외부로 결합된 정보를 반출할 수 있다는 규정이 신설되었다. 이로써 기업이 가명정보를 활용할 수 있는 근거가 확대되었으나, 위 규정의 적용범위–특히 산업적 목적이 포함되는지 여부–가 불분명하기 때문에 향후 이에 대한 규제기관의 해석에 따라 가명정보의 실제 활용 범위가 달라질 수 있다.
한편 개정 개인정보 보호법에서는 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안 된다고 규정하면서, 이를 위반할 경우 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하였다는 점도 유념할 필요가 있다.
현행 개인정보 보호법상 개인정보처리자는 정보주체의 동의를 받은 범위를 벗어나 개인정보를 수집 · 이용하거나 제공할 수 없도록 규정되어 있었으나, 개정 개인정보 보호법에서는 '당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여' 대통령령이 정하는 바에 따라 이미 수집하여 보유하고 있는 개인정보를 정보주체의 동의 없이 개인정보를 수집 · 이용 및 제공할 수 있도록 하였다. 다만, '합리적으로 관련된 범위'에 대한 여러 가지 해석이 가능하고, 구체적인 허용 기준 역시 대통령령에 위임하고 있으므로, 개정 대통령령의 내용을 지켜볼 필요가 있을 것으로 보인다.
개인정보보호위 위상 격상
개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상하는 한편, 현행법상 행정안전부 및 방송통신위원회의 개인정보 관련 기능을 개인정보보호위원회로 이관함으로써, 분산되어 있던 개인정보 보호 감독기능을 일원화하였다. 보호위원회는 상임위원 2명(위원장 1명, 부위원장 1명)을 포함한 9명의 위원으로 구성되며, 공무원, 법조인, 공공기관 또는 단체 소속 임원/추천을 받은 자, 교수 등으로 임명될 예정이다. 추후 개인정보보호위원회는 개정 개인정보 보호법에 근거하여 보다 활발히 기업(정보통신서비스 제공자 포함)의 개인정보 보호법 준수 여부에 대하여 조사를 실시하고 위반사실에 대하여 처분권한을 행사할 것으로 예상되는 바, 기업으로서는 개인정보 보호법 준수 여부를 다시 한 번 점검할 필요도 있다.
이번 개정의 가장 큰 변경 사항 중 하나는 개인정보 보호에 관한 정보통신망법의 규정들을 모두 삭제하고 이를 개인정보 보호법으로 편입하여 종전에는 개인정보에 관하여 정보통신망법의 적용을 받던 정보통신서비스 제공자에 대해서도 앞으로는 개인정보 보호법이 전면 적용될 것이라는 점이다.
다만, 개정 개인정보 보호법은 현행 정보통신망법의 대부분의 규정들을 '특례'로 동일하게 옮겨왔기 때문에, 정보통신서비스 제공자에 대해서는 정보통신망법에 따른 주요 규제들이 일단 동일하게 적용될 것으로 보인다.
그러나 이 중 유의미한 변경 사항들도 있다. 예를 들어 (1)현행 정보통신망법에서는 원칙적으로 개인정보의 처리위탁에 대해 동의를 받도록 규정하였으나, 개정 개인정보 보호법은 현행 개인정보 보호법과 같이 처리위탁에 대해서는 동의를 요하지 않는 것으로 규정하였고, (2)현행 정보통신망법에서는 '정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우'에 한하여 개인정보의 국외 처리위탁 및 보관에 대한 동의가 면제된다고 규정하였으나, 개정 개인정보 보호법에서는 위와 같은 제한을 삭제하였는바, 개인정보 처리위탁 및 보관의 경우에는 국외 이전에 관한 법정사항을 개인정보 처리방침에 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린다면, 이용자의 동의가 면제되는 것으로 이해된다는 점이다.
개정 개인정보 보호법이 위와 같이 개인정보 보호법과 정보통신망법을 형식적으로만 통합한 측면이 있기 때문에 향후 종전의 개인정보 보호법과 정보통신망법의 각 규정들의 차이점을 검토하고 양자 간의 내용과 규제의 정합성을 확보하기 위한 추가적인 법령 개정 논의가 뒤따를 것으로 예상되므로 향후 동향을 면밀히 살펴볼 필요도 있다.
3. 신용정보법의 주요 개정 내용
기존에는 주로 금융회사에 대해서만 적용되고 집행되었던 신용정보법이 일반 상거래 기업 및 법인에 대해서도 적용되는 것을 보다 명확히 하였는바(단, 모든 정보가 아니라 상거래 상대방과의 상거래에서 발생한 정보–즉, 신용정보–에 관하여 적용됨), 일반 상거래 기업으로서는 신용정보법의 내용을 숙지하고 그 준수 여부를 점검해 볼 필요가 있다.
상거래에서 발생한 정보에 국한
일반 상거래 기업 및 법인에 대해서는 신용정보법의 주무부처인 금융위원회와 금융감독원이 아닌 개인정보보호위원회가 자료제출요구 · 검사권 · 출입권 · 시정명령, 과징금 및 과태료 부과 등의 권한을 행사할 수 있다.
개인정보 보호법과 달리 개정 신용정보법에서는 시장조사를 포함한 상업적 목적의 통계 작성과 산업적 연구를 위하여 가명처리된 개인신용정보를 동의 없이 활용할 수 있다고 명확하게 규정하고 있다.
한편 개인신용정보의 수집 · 이용 동의의 예외사유로서 개인정보 보호법의 예외사유를 그대로 준용하면서도 신용정보주체가 스스로 사회관계망서비스에 공개한 정보는 대통령령으로 정하는 바에 따라 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집이 가능하다고 명시하고 있다는 점도 주목할 만하다.
개정 신용정보법은 개인신용정보전송요구권, 자동화평가대응권과 같은 신용정보주체의 새로운 권리를 도입하였다.
개인인 신용정보주체가 대통령령이 정하는 신용정보제공 · 이용자나 공공기관에 대하여 본인에 관한 개인신용정보를 본인신용정보관리업자나 대통령령으로 정하는 신용정보제공 · 이용자에 전송할 것을 요구할 수 있는 개인신용정보 전송요구권이 새로이 도입되었다. 전송요구를 받은 신용정보제공 · 이용자는 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 개인신용정보를 전송할 의무를 부담한다.
또한 신용정보주체는 대통령령이 정하는 신용정보제공 · 이용자에 대하여 자동화평가(컴퓨터 등 정보처리장치로만 개인신용정보 등을 처리하여 개인인 신용정보주체를 평가하는 행위) 실시 여부, 자동화평가 결과 및 주요 기준에 대한 설명 요구, 자동화평가의 기초자료에 대한 정정 요구를 할 수 있는 자동화평가대응권을 갖게 되었다.
다만, 상기와 같은 의무를 부담하는 신용정보제공 · 이용자의 범위는 향후 대통령령에 따라 정해질 예정이므로, 일반 상거래 기업까지 이러한 전송요구권 및 자동화평가대응권의 행사에 대응하여야 할 의무가 부과되는지 여부를 지켜보아야 한다.
개인정보 보호법과의 차이
신용정보법 개정에 따라 개인정보 보호법과 유사하거나 중복된 내용은 개인정보 보호법을 적용하도록 변경되었으나, 여전히 신용정보법과 개인정보 보호법의 내용이 다른 부분이 있으므로 이를 유의할 필요가 있다. 예를 들어, 동의를 받아야 하는 사유, 그 예외나 동의서의 형식이 개인정보 보호법과 다르게 규정되어 있기 때문에 해당 부분에 주의하여야 한다.
또한 개인정보 보호법과 달리 신용정보법에서는 해당 정보주체와의 상거래관계가 종료되면 그 날부터 최장 5년 이내(그 이전에 목적이 달성된 경우, 목적이 달성된 날로부터 3개월 이내)에 개인신용정보를 삭제할 의무를 부과하고 있다. 단, 가명처리된 개인신용정보의 경우에는 예외가 인정된다.
신용정보법에 따르면 개인신용정보를 PC에 저장할 때 암호화를 적용하여야 하는 등 일부 기술적, 물리적, 관리적 보호조치의 차이점도 존재한다.
개정 데이터 3법이 통과되었지만 아직 풀어야 할 숙제가 많다. 새로 도입된 요건에 대한 해석과 향후 대통령령의 구체적인 내용에 따라 개정법의 운영이 달라지게 될 가능성이 상당히 높기 때문이다. 데이터 산업을 활성화 하면서도 안전한 개인정보 활용을 조화롭게 이루기 위한 개정의 취지에 맞는 합리적인 결정이 이루어지기를 기대해 본다.
전보미 · 김이영 변호사(bomi.chen@kimchang.com, 김앤장 법률사무소)
