이 누리집은 대한민국 공식 전자정부 누리집입니다.
1. 추진 배경 및 법률 제명 변경
□ 변화된 정보환경과 개인정보 유출사고 등에 대응하여 현행 「신용정보법」을 신용정보주체와 신용정보 보호를 근간으로 하는 법으로 개편하고자 하는 것임
* 현행 신용정보법은 신용정보업의 기능 및 신용정보의 이용에 초점을 맞춘 반면, 개정 신용정보법은 신용정보의 보호 의무와 신용정보주체의 자기정보통제권 강화에 초점을 맞춤
ㅇ 또한, 개인정보보호에 관한 「개인정보법」이 제정,시행(11년)됨에 따라 신용정보의 특성을 반영한 특별법*으로 지위를 재정립
* 신용정보의 대상을 금융거래와 관련된 정보로 한정하는 한편, 신용정보처리자를 새롭게 정의하여 수범대상을 명확화
※ 아울러, 현재 정무위 계류 중인 신용정보법 일부 개정법률안의 내용도 개편된 법 체계에 맞춰 수정 반영
* 국회 논의과정에서 정무위 계류안이 조정될 경우 변화된 개정체계에 맞춰 추가 수정 반영할 계획
□ (법률 제명 변경) 「신용정보의 이용 및 보호에 관한 법률」
→ 「신용정보 보호 및 처리에 관한 법률」
ㅇ 신용정보의 보호와 정보주체의 권리보장에 관한 사항을 법 앞부분에 규정하고, 신용정보업에 관한 사항을 뒷부분에 규정
ㅇ 신용정보의 보호와 관련하여 수집?이용?제공?집중?폐기 등 전 처리 과정의 흐름에 따라 강화
< 신용정보법 체계 개편 >
|
현행법 |
|
개정법 |
||
|
|
|
|
|
|
|
제1장 |
총 칙 |
|
제1장 |
총 칙 |
|
|
|
|
|
|
|
제2장 |
신용정보업의 허가 등 |
|
제2장 |
신용정보의 보호 |
|
|
|
|
|
제1절 신용정보의 수집·이용·제공 등 |
|
제3장 |
신용정보의 수집·조사 및 처리 |
|
|
제2절 신용정보의 관리 |
|
|
|
|
|
제3절 신용정보주체의 권리보장 |
|
제4장 |
신용정보의 유통·이용 및 관리 |
|
|
|
|
|
|
|
제3장 |
신용정보의 집중 |
|
|
제1절 신용정보집중기관 제2절 신용정보의 집중 등 |
|||
|
제5장 |
신용정보업 |
|
|
|
|
|
제1절 신용조회업 등 |
|
제4장 |
신용정보업 |
|
|
제2절 신용조사업 및 채권추심업 |
|
|
제1절 신용정보업의 허가 등 |
|
|
|
|
|
제2절 신용정보회사 |
|
제6장 |
신용정보주체의 보호 |
|
|
|
|
|
|
|
제5장 |
신용정보처리자의 감독 |
|
|
|
|
|
|
|
제7장 |
보칙 |
|
제6장 |
보칙 |
|
|
|
|
||
|
|
제7장 |
과징금 등의 부과 및 징수 |
||
|
|
|
|
||
|
|
제8장 |
벌칙 |
||
2. 주요 개정 내용
|
1 |
|
신용정보 및 신용정보처리자의 재정의 |
|
◆ (현행) 신용정보를 한정적 열거 → 해당정보를 이용,제공하는 모든 자를 신용정보이용?제공자로 정의
⇒ (개정) 신용정보처리자를 한정적 열거 → 신용정보처리자가 처리하는 모든 금융거래 관련 정보를 신용정보로 정의 |
|
1. 신용정보처리자 |
□신용정보제공·이용자삭제 →신용정보처리자신설
* 현행 신용정보를 수집·이용 등을 할 수 있는 자:
신용정보회사, 신용정보집중기관, 신용정보제공·이용자
ㅇ 현행 신용정보제공·이용자는 금융거래뿐만 아니라 모든 상거래 기업*까지 포함
* 비금융 상거래기업의 경우 「개인정보법」·「정보통신망법」과 중첩되는 문제가 발생
ㅇ 개정법은 신용정보처리자를 금융당국의 감독대상인 금융기관, 신용정보회사, 신용정보집중기관에 한정하여 수범대상을 명확화
* 7.31 정부합동 개인정보 정상화대책의 후속조치로 개인정보법, 정보통신망법 등 타 법령의 경우에도 수범대상 및 관련 감독기관을 명확히 할 계획
|
2. 신용정보 (§2 1호) |
? 열거주의 → 포괄적으로 정의
ㅇ 현행법은,정보의 이용,측면에서 신용정보제공?이용자간 처리가 필요한 정보를 제한적으로 열거
ㅇ 개정법은,정보의 보호,측면에서 신용정보처리자가 처리하는 모든 금융관련 정보를 신용정보*로 정의하여 보호의무를 부과
* 개정 신용정보의 정의:
신용정보처리자가 처리하는 정보로서 식별정보, 금융거래관계의 설정, 유지여부를 판단하거나 조건을 결정하기 위해 필요한 정보 및 금융거래 정보
< 현행법 > <개정법>
|
금융거래+일반 상거래 목적
|
|
|
금융거래 목적
|
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||
이용측면에서 신용정보처리자간 처리가 필요한 정보는 정의(총칙)조항이 아닌 관련 조항(신용정보집중기관/신용조회회사)에서 구체적으로 열거
ㅇ 이용측면에서 필요한 정보는 정보의 범위, 처리 절차를 함께 규정하여 신용정보를 보호를 강화
* 일반 상거래 기업도 신용정보를 이용할 수 있는지?
① 일반상거래 기업이 계약체결을 위해 개인정보를 수집?이용할 경우 개인정보법에 따라 처리하는 등 원칙적으로 개인정보법이 적용
② 다만, 신용조회회사 등 신용정보회사로부터 신용정보주체의 신용등급 등 신용정보를 조회하는 것은 허용
|
2 |
|
신용정보의 처리: 수집?이용?제공 등 |
|
1. 신용정보의 처리(§2 4호, §4) |
□ 처리*란 신용정보를 수집한 이후 이용·제공·파기 등 일련의 전 과정(Life-cycle)으로 재정의하여 일관된 처리와 보호원칙을 적용
(개인정보법과 체계를 일치시켜 법적 정합성을 제고)
* 처리: 수집, 조사, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 및 이와 유사한 행위
ㅇ 최소처리 등 정보처리 원칙*을 도입(§4)하여 同 원칙이 전 과정에 걸쳐 일관되게 적용되어 신용정보보호를 강화
* 신용정보 처리의 원칙(OECD 권고사항, 「개인정보법」 旣 도입)
① 최소처리의 원칙 ② 목적외 이용금지 ③ 정확성, 최신성의 원칙 등
|
2. 수집·이용·제공 개념의 단순·명확화 (§5, §6, §7) |
(수집·이용) 신용정보처리자가 신용정보주체로부터 직접 수집 또는 타 처리자로부터 제공받아 수집 등 방법에 관계없이 수집으로 개념을 통일하고 수집한 정보를 목적 범위에서 이용
ㅇ 현행법은 수집에 대해 구체적으로 규정하지 않고, 실무상 수집·이용/조회·이용/활용·이용 등으로 구분하나 일반적으로 혼용
* 수집·이용: 신용정보주체에게 직접 수집하여 이용하는 경우
조회·이용: 신용조회회사에게 제공받아 이용하는 경우
조회·이용/활용·이용: 신용정보집중기관에게 제공받아 이용하는 경우
(제공) 신용정보처리자가 제3자에게 신용정보를 공급하는 행위
|
3. 수집·이용, 제공 등에 대한 동의 강화(§5, §7) |
□ 수집·이용, 제공할 경우 모든 개인신용정보에 대해 동의를 의무화하고, 동의한 목적 범위 내에서 이용 및 제공이 가능
ㅇ 이용·제공 목적, 처리기간·방법, 동의하지 않을 권리 등의 고지를 의무화하여 신용정보주체의 자기결정권을 강화
ㅇ 동의 없이 수집·이용, 제공 가능한 신용정보 및 동의 받은 목적이외에 이용,제공 가능한 신용정보는 법령의 명문화하여 한정적으로 허용
|
3 |
|
그 밖에 주요 개정 사항 |
※ 同 사항은 대부분 현재 정무위에 계류 중인 신용정보법 개정안 등에 반영된 사항을 개편된 체계에 맞춰 수정 반영
|
1. 신용정보의 자기결정권 강화 |
포괄적 동의를 폐지하고, 정보수집·제공시 마다 개별적 동의를 의무화
* 다만, 기존 동의 목적 범위에서 정확성·최신성 유지를 위한 것으로 동의 없이 수집·제공이 가능
필수적·선택적 동의사항을 구분하여 신용정보주체의 이해 가능성 및 자기결정권을 제고
ㅇ 선택적 동의사항에 대해서는 신용정보주체에게 철회가 가능(§28)
|
2. 권리보장 강화 |
(신용정보 이용·제공사실 조회, §28) 신용정보처리자는 개인신용정보 이용·제공사실에 대해 신용정보주체가 조회할 수 있는 시스템을 구축
(징벌적 손해배상, §33, §34) 사후적 권리구제를 강화하기 위해 징벌적 손해배상을 도입
|
3. 신용정보에 대한 보호조치 강화 |
(신용정보 국외이전 강화, §9) 신용정보처리자가 국외에 소재하는 제3자에게 신용정보를 제공할 수 있는 추가요건*을 신설
[同 사항은 정무위 계류안에는 없는 내용이며 새로이 반영한 사항]
* 추가요건: ① 동의를 받아 제공할 경우 국외이전 사실을 함께 고지
② 금융위원회가 정하는 국외 제공 지침을 준수한 계약을 체결한 경우
(신용정보처리의 위탁, §12) 개인신용정보처리 위탁시 유출사고를 방지하기 위해 특정 주체를 식별할 수 있는 자료는 암호화를 의무화
(개인신용정보의 보유기간 중 관리강화, §18) 2단계로 구분 관리
ㅇ 금융거래 종료시 거래 중인 다른 신용정보와 분리하여 접근제한*하고 일정기간(최대 5년) 경과 후 삭제 의무화
* 분리된 개인신용정보를 영업목적으로 이용되지 않도록 보안 통제를 강화
(신용정보 유출통지, §22) 신용정보처리자가 관리하는 신용정보가 유출된 경우 신용정보주체에게 통지를 의무화
(제재정비) 제재수준을 강화하는 한편, 개인정보법?정통망법 등 정보보호 관련 법령간 제재수준을 일치시켜 법령간 정합성을 제고
(개인정보 정상화대책 후속조치)
* 개정 예시
신용정보보호를 위한 안정성 조치 미이행시 : (현행) 과태료 6백만원 → (개정) 최대 5천만원
미이행에 따른 정보유출시 벌칙 신설 :
신용정보처리자 : 2년이하 징역, 2천만원이하 벌금, 과징금 최대 50억원
침해한 자 : 7년이하 징역, 7천만원이하 벌금
3. 향후 추진 계획
□ 입법예고 후 규개위, 법제처 심사 등을 거쳐 `15.1/4분기 중 국회에 제출할 수 있도록 추진할 계획
* 자세한 내용은 첨부파일을 참고하시기 바랍니다.