지난주 데이터 3법(개인정보보호법, 정보통신망법, 신용정보보호법 등)이 개정됨에 따라 금융위원회(위원장 은성수, 이하 금융위)가 본격적인 측면 지원에 나섰다. 

데이터 3법이란, 개인정보보호법, 정보통신망법, 신용정보보호법 등 3개 법안의 개정을 통해 개인정보의 보호를 강화하면서도 데이터 활용 활성화를 통한 관련 산업의 발전을 조화롭게 모색할 수 있도록 현행 제도를 보완한 내용을 주요 내용으로 한다. 

이 3개 법안은 개정이후 1월중 공포되고, 6개월 후 시행될 예정이다. 

금융위는 시행에 앞서 하위 법령 정비 등 데이터 산업 육성을 본격 지원할 것이라고 밝혔다. 

◆금융위, “하위법령 정비 등 시간 필요” = 지난 9일, 발표를 통해 금융위는 2020년 7월 이후 개정 ‘신용정보법’이 시행될 예정이라고 밝혔다.

다만, 금융위는 금융권의 제도 준비 및 시행에 시간이 소요되는 일부 사항에 대해, 공포 후 1년~1년 반 이내에서 시행일을 조정할 수 있다고 덧붙였다. 

예컨대, 모든 금융권 및 공공기관의 API 구축 의무, 정보활용 동의서 내실화, 금융권 정보활용·관리실태 상시평가제 도입 등에 필요한 시간을 말한다. 

우선, 금융위는 ‘마이데이터’의 성공적 정착을 위해 데이터 제공, 보안·인증, 인허가 기준 마련 등 ‘마이데이터 워킹 그룹(Working Group)’ 운영을 마무리한다는 방침이다.

앞서 지난 2019년 5~8월 1차 워킹그룹 운영을 통해 금융위는 마이데이터를 통해 제공되는 데이터 범위, 과금체계, API 표준규격, 인증방법 등에 대해 논의한 바 있다. 

금융위는 지난 2019년 10월부터 올해 4월까지 2차 워킹그룹을 운영할 예정이다. 

이어 금융위는 금융권 정보활용·관리 상시평가제, 정보활용 동의서 양식 개선 등 정보보호 방안의 세부내용도 법 시행 전 마련·발표할 방침이다.

모든 금융권의 신용정보 관리·보호 운영실태에 대한 점검체계을 개선하고 그 결과를 점수화·등급화하고, 금융감독원 검사 등에 활용하는 ‘금융권 정보활용·관리 상시평가제’ 도입을 골자로 한다.

또 금융소비자가 “알고하는 동의”를 할 수 있도록 정보활용 동의서를 단순화·시각화하고, 정보활용 등급도 함께 제공한다.

세 번째로, 금융권 데이터 생태계 조성을 위해 금융분야 빅데이터 인프라를 순차적으로 구축·운영한다.

지난 2019년 6월부터 운영중인 신용정보원 내 ‘금융 빅데이터 개방시스템’을 통해 금융권에 축적된 양질의 데이터를 개방한다. 

현재 핀테크 기업, 금융회사, 학계, 일반기업 등 28개 기관에서 시스템을 이용 중에 있으며, 현재 제공 중인 일반신용·기업신용DB 외에도 보험신용DB, 교육용DB 등 DB 확충할 예정이다. 

금융위는 덧붙여 올해 3분기, 기업 간 안전하고 효율적인 데이터 결합을 지원하는 데이터 전문기관(신용정보원, 금융보안원 등)을 지정·운영한다고 밝혔다. 

아울러 금융위는 활발한 데이터 유통을 위해 비식별정보·기업정보 등을 공급자·수요자가 거래할 수 있는 ‘데이터 거래소’를 구축한다.

데이터 거래소는 금융회사 외에 통신, 유통 등 일반 상거래 기업도 참여가 가능하다.

이 밖에도 금융위는 획일적 신용등급제 적용에 따른 신용등급 문턱효과 개선을 위한 ‘신용등급 점수제 전환’도 2020년 중 차질없이 시행할 예정이다.

지난 2019년 9월부터 모든 금융권이 참여한 ‘개인신용등급 점수제 전환 T/F‘가 구성·운영 중이다. 

금융위는 마지막으로, 데이터를 기반으로 소상공인의 원활한 운전자금 조달을 지원하기 위해 ‘플랫폼 매출망 금융 활성화 방안’도 마련한다고 강조했다.

◆‘신용정보법’ 개정 주요 내용을 보면… = 금융위는 이번 신용정보법 개정으로, ‘데이터 경제 시대’ 전환에 맞춰 금융산업 신성장동력 확보, 일자리 창출 등이 기대된다고 밝혔다. 

또 EU GDPR(General Data Protection Regulation) 등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반이 마련된 것으로 평가했다. 

- 빅데이터 분석･이용의 법적근거 마련 = 신용정보법 개정으로, 금융권은 개인을 알아볼 수 없도록 안전하게 조치한 ‘가명정보’로 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의없이 활용할 수 있게 된다. <그림1 ‘개정 신용정보법 내 가명정보 활용범위’ 참조>

▲ 그림1 ‘개정 신용정보법 내 가명정보 활용범위’.(출처 : 금융위원회 제공)

특히 이번 신용정보법 개정은, 데이터 결합의 법적 근거를 마련하면서, 국가지정 전문기관을 통한 데이터 결합만을 허용했다는 특징을 갖는다. 

이에 따라, 개정 신용정보법은 가명정보 활용 및 결합에 대한 안전장치 및 사후통제 수단도 빠짐없이 마련됐다는 게 금융위 설명이다. 

우선, 가명정보의 재식별을 금지(과태료 5000만원)하고, 추가정보 분리보관 및 엄격한 보안대책 마련·시행(과태료 3000만원)을 의무화했다.

또 가명정보 처리 과정에서 특정 개인을 알아볼 수 있게 되는 경우(재식별), 가명정보의 처리를 중지하고 삭제해야 한다.

고의적 재식별에 대해서는 5년 이하의 징역, 5000만원 이하의 벌금, 전체 매출액의 3% 이하의 과징금이 부과된다고 금융위는 설명했다. 

- 신용정보산업 규제체계 정비 = 이어 금융위는 신용조회업(CB:Credit Bureau)을 개인CB, 개인사업자CB, 기업CB 등으로 구분하고, 진입규제 요건이 합리적 완화된다고 밝혔다. <그림2 ‘완화된 신용조회업 요건’ 참조>

▲ 그림2 ‘완화된 신용조회업 요건’.(출처 : 금융위원회 제공)

정리하면, 개인CB의 하나로, 통신료·전기·가스·수도 요금 등 비금융정보를 활용해 신용을 평가하는 ‘비금융정보 전문CB’이 신설된다.

또 개인사업자에 특화된 신용평가체계를 구축하기 위해 ‘개인 사업자CB’가 신설되고, 카드사의 진입도 가능해진다.

이번 개정안으로 또 신용조회업자의 영리목적 겸업 금지 규제가 폐지돼 데이터 분석·가공, 컨설팅 등 다양한 겸영·부수 업무가 가능해진다.

- 금융분야 ‘마이데이터’ 산업 도입 = 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 ‘마이데이터(MyData)’ 산업이 도입된다. 

금융위는 핀테크 진입을 위해 최소 자본금은 5억원으로 하고, 금융회사 출자요건은 적용하지 않는 등 진입장벽을 최소화했다.

아울러 마이데이터 사업자 수집된 정보를 바탕으로 개인의 정보관리를 돕고, 맞춤형 상품 추천, 금융상품 자문 등을 할 수 있게 됐다.

덧붙여 정보정정청구 등 정보관련 권리의 대리행사 업무, 투자자문·일임업, 금융상품자문업 등 수행도 가능해진다고 금융위는 밝혔다.

이어 금융위는 서비스의 안전한 정보보호·보안체계도 마련했다고 강조했다.

예컨대, 신용정보의 전송은 정보 오·남용 가능성이 없는 방식(표준API)으로 설계해야 하며, 강력한 본인인증 절차, 정보유출에 대응한 배상책임보험 가입도 의무화됐다.

- 금융분야 개인정보보호 강화 = 금융위는 정보활용 동의제도의 개선(단순화·시각화), 정보활용 등급제 도입 등을 통해 소비자가 ‘알고하는 동의 관행’을 정착시키겠다고 밝혔다. 

‘정보활용 등급제’란, 정보활용 동의시 정보제공에 따른 사생활 침해위험, 소비자혜택 등을 평가해 ‘정보활용 동의등급’ 산정·제공하는 활동을 말한다. 

이어 금융위는 ‘기계화․자동화 된 데이터 처리(Profiling)’에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 ‘프로파일링 대응권’을 도입한다고 밝혔다.

‘기계화․자동화 된 데이터 처리’에는 통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과 등을 예로 들 수 있다. 

이 밖에도 금융회사․공공기관 등에게 본인 정보를 다른 금융회사 등으로 제공토록 요구할 수 있는 ‘개인신용정보 이동권’도 도입된다.

마지막으로 금융위는 금융회사 등 개인신용정보 유출 등에 대한 징벌적 손해배상금이 손해액의 3배에서 5배로 강화한다고 밝혔다.

- ‘개인정보보호위원회’(이하 개보위) 기능 강화 = 아울러 개정 신용정보법에 따르면, 상거래기업(금융회사 제외)의 개인신용정보 보호에 관한 법집행 기능(조사·제재)을 개보위로 이관된다.

이는 개인정보보호법 개정안 중 ▲‘개보위’를 행정위원회에서 중앙행정기관로 격상하고 ▲온라인(정보통신망법 : 방통위), 오프라인(개인정보법 : 행안부)로 나뉜 개인정보 관련 법집행기능을 개보위로 이관·통합하는 내용을 근거로 한다. 

<김동기 기자>kdk@bikorea.net