개정법의 적용대상은 금융거래 관련정보를 처리하는 ‘신용정보처리자’로 금융당국 감독대상인 금융사와 신용정보사, 신용정보집중기관 등 종전보다 범위가 좁아진다. 현행법은 신용정보 제공·이용자에 신용정보사·신용정보집중기관 등은 물론 비금융 상거래기업까지 모두 포함해 ‘개인정보법’, ‘정보통신망법’과 중첩되는 문제가 있었기 때문.
신용정보처리자가 처리하는 정보는 기존의 열거주의(포지티브)에서 포괄적인 정의로 변경해 법적용 범위가 넓어진다. 식별정보와 금융거래관계 설정, 유지여부를 판단하거나 조건결정을 위해 필요한 정보와 금융거래 정보 등을 모두 ‘신용정보’로 정의해 보호의무를 부과하는 등 개인정보 보호의무를 강화했다.
정보주체의 자기결정권 역시 강화된다. 신용정보처리자가 정보를 수집·이용하거나 제공할 경우, 모든 개인신용정보에 대해 동의를 받아야 하며 동의한 목적 범위 안에서만 정보를 이용·제공할 수 있도록 했다. 정보주체에게는 정보의 이용·제공목적, 처리기간·방법, 동의하지 않을 권리에 대한 고지를 의무화했다.
국회 정무위에 계류 중인 신용정보법 개정안에 반영된 사항도 개편체계에 맞춰 수정 반영하기로 했다. 정보주체가 정보를 제공할 때 정보수집·제공 때마다 개별적으로 동의하는 것을 의무화하고 필수적·선택적 동의사항을 구분해 신용정보주체의 이해와 자기결정권을 높이기로 했다. 선택적 동의사항은 동의를 철회할 권리를 갖도록 하고 사후 권리구제를 강화하기 위해 징벌적 손해배상제를 도입할 방침이다.
금융위는 개정안에서 신용정보처리자가 국외에 있는 제3자에게 국내 신용주체의 신용정보를 제공할 수 있는 추가요건을 신설했다. 추가요건은 정보주체의 동의를 받으면서 국외로 정보가 이전된다는 사실을 함께 고지하고 금융위가 정하는 국외 제공지침을 준수한 계약을 체결한 경우에만 허용한다는 내용이다.
이 밖에도 신용정보와 관련한 제재수준을 강화하는 한편 개인정보법과 정보통신망법 등 다른 관련 법령간 제재수준을 일치시키는 등 제재를 정비해 나갈 계획이다. 신용정보보호를 위한 안정성 조치를 이행하지 않을 경우, 부과하는 과태료를 현행 600만원에서 최대 5000만원까지로 올리는 방안이 추진되며 정보유출로 이어지면 신용정보처리자에 대한 제재(2년 이하 징역, 2000만원 이하 벌금, 최대 50억원 과징금)와 정보를 침해한 자에 대한 제재(7년 이하 징역, 7000만원 이하 벌금)가 신설될 전망이다.
원충희 기자 wch@fntimes.com