개인신용정보 보호법제의 중복규제 및 해소방안 연구 ― 신용정보의 이용 및 보호에 관한 법률을 중심으로 ―

백승엽,김일환 미국헌법학회 2017 美國憲法硏究 Vol.28 No.3

오늘날 개인신용정보는 공공부문과 민간부문에서 국민에 대한 적실성 있는 행정 및 소비자 편익제공을 위해 활용도가 점증되고 있는 반면, 복지국가의 이념과 전자정부의 구현을 위한 효과적인 개인정보 처리 및 빅데이터 환경에서 무분별한 수집/활용으로 인한 헌법상 보장된 국민의 기본권이 침해되지 되지 않도록 엄격히 보호되고 규제되어야 할 필요성 또한 매우 높아지고 있는 실정이다. 그러나 국내 개인신용정보 보호법제간 중복규제 문제로 인하여 법을 적용하는 순위 면에서 상호모순적일 뿐만 아니라 법적용의 일관성 측면에서도 문제가 발생하고 있다. 이는 단순히 우선순위의 차이만을 초래하는 것이 아니라 법 적용에 따른 규제수준에도 차이가 발생하는 바, 이를 해소함으로써 개인신용정보의 효과적인 보호와 규제를 보다 철저히 시행할 필요성이 매우 높다고 할 수 있다. 과거 개인신용정보의 오ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호할 필요성뿐만 아니라, 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 통해 건전한 신용질서를 확립하기 위하여 ‘신용정보의 이용 및 보호에 관한 법률(법률 제4866호)’(이하 신용정보법)이 1995년에 개정되었고, 2011년에는 ‘개인정보보호법(법률 제10465호)’이 제정되어 개인정보보호 관련 다른 법률에 특별한 규정이 있는 경우에만 해당 특별법 조항을 우선적으로 적용받게 함으로써 개인정보보호법은 일반법으로서 전체 분야를 관할하고, 그 외 신용정보법, 온라인상에서 금융거래 등과 관련된 개인정보의 보호를 관할하기 위해 제정한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제14080호)’(이하 정보통신망법) 등의 특별법은 각 분야별로 적용되고 있었다. 그러나 전술한 바와 같이 개인정보보호법과 신용정보법간 법률조문 기술방식과 해석상의 문제로 인하여 개인정보보호법과 신용정보법의 일반법과 특별법 관계가 불분명한 경우가 많았고, 각 법률이 중첩적으로 적용되는 문제가 발생하고 있는 실정이다. 즉 개인정보보호법과 신용정보법 간에 실질적으로 동일하거나 유사한 내용을 갖는데도 조문 기술방식이 달라 해석의 어려움이 발생할 뿐만 아니라 신용정보법이 규정하지 않는 사항에 대해서 여전히 개인정보보호법이 적용될 수 있으므로 수범자인 금융기관 입장에서도 두 법률을 모두 검토해야 하는 규제 준수의 부담이 있어 왔다. 이에 따라 금융위원회는 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 따라 신용정보법이 규정하고 있지 않지만 개인정보보호법에는 있는 내용을 반영하여 규제의 틈새를 메워나가는 등 개인정보의 규율에 대한 두 법률의 간극을 해소하고자 개선방안을 발표하고, 입법적 정비(2014년, 2016년, 2017년)를 시도 하였으나, 여전히 조항별로 특별법이 다른 해석상 모순적인 법적용을 계속해서 초래하고 있어 각 법률간의 우선순위 문제가 해결되지 못하고 있는 실정이다. 이와 같은 규정 체계의 상호모순을 극복하고 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 맞추어 신용정보법(제3조의2) 관련 규정을 근본적으로 개정할 필요가 있다. While degree of practical use of personal credit information has been gradually increasing for precise information of administration and convenience in both public and private sector, it also should be noted that such usage should be strictly protected and regulated lest basic right enshrined in the constitution should be infringed due to imprudent collection and utilization of personal information for realization of a welfare state and e-government in so-called big data environments. However, domestic use of personal credit information is not only inter-contradictory in prioritization of legal application due to duplicated regulation but also not consistent in actual applications. Since this could cause both discrepancy in prioritization and one in degree of regulation application, it deems to be necessary to enforce efficient protection and regulation of personal credit information in more thorough fashion. ‘Credit Information Use and Protection Act’ (hereinafter referred to “Credit Information Act”) as was revised in 1995 to foster a sound credit information business, promoting an efficient utilization and systematic management of credit information, and protecting privacy, etc. from the misuse and abuse of credit information properly, thereby contributing to the establishment of sound practices in credit transaction. ‘Personal Information Protection Act’ was established by law in 2011 in which application of the act is subject to the whole industries as a general law unless it is stipulated otherwise in other special law. In the similar fashion, ‘Act on Promotion of Information and Communication Network Utilization and Information protection, etc.’ (hereinafter referred to “Information Network Act”) whose purpose is to protect security of online financial transaction and personal information has been applied to respective industries. However, due to the previously elaborated ambiguity in provision stipulation and interpretation, many occasions occur where relationship between Credit Information Act and Information Network Act are not clear and two acts are applied redundantly. Albeit same or similar contents and intentions are contained in Credit Information Act and Information Network Act, since provisions in those acts could be interpreted differently and Credit Information Act could be applied to where Personal Information Act is not applicable, financial institutions such as banks have been burdened by compliance and interpretation of two acts. To make a point of regulation alignment to Credit Information Act for legal regulation of credit information, Financial Services Commission announced an expedient plan for bridging the gap between personal information related acts reflecting what is not covered in Credit Information Act whereas covered in Personal Information Act. Even with legislative modification in 2014, 2016 and 2017, several special laws have deepened a level of equivocality in provision interpretation and prioritization issues from each legislation has not been cleared yet. To sort out confusion in regulation system and to position Credit Information Act as a special law which should be applied to financial enterprises as framework of protection system of personal information, CreditInformationAct, especially in Article3-2(Relationship to other Acts) should be fundamentally revised to stipulate that Credit Information Act is a speciall with regard to Persona lInformation Act.

개인정보의 국외이송에 대한 법적 통제의 필요성-한?미 FTA의 금융신용정보 국외이송의 문제점을중심으로-

임규철 대한변호사협회 2007 人權과 正義 : 大韓辯護士協會誌 Vol.- No.365

한미자유무역협정의 금융분야에 있어 논란이 되고 있는 한국민의 금융신용정보의 미국으로의 이송은 국내에서 신용정보에 관한 일반법적인 기능을 하는 “신용정보의 이용 및 보호에 관한 법률”에 따라 통제를 통해 정보 주체의 권리보호를 할 수가 있다. 그러나 이 법은 원칙적으로 국외에서의 정보 주체의 보호보다는 국내에서의 신용정보의 효율적 이용 및 신용정보업자, 신용정보집중기관의 통제를 염두에 두고 제정 시행되고 있다. 따라서 금융신용정보를 포함한 개인정보의 국제적 이송에 대한 강한 보호와 통제규정을 가지고 있는 국제적으로 개인 신용정보 보호에 관한 일반 원칙으로 인정받고 있는 OECD나 유럽 연합의 개인정보 보호 관련 규범 준수가 극히 어렵다. 더구나 “목적구속성의 원칙”이 강하게 요구되는 이용제한의 원칙 준수는 사실상 위법에 의해서는 사문화될 수가 있다. 신용정보업자 및 신용정보집중기관, 공공기관과의 상호간 신용정보 주체의 통제 없는 활용을 사실상 인정하고 있기 때문이다. 경영의 효율성을 극대화하기 위한 방안으로서 개인정보 처리방법에 있어 Outsourcing이 활발한 미국으로의 자국민에 대한 신용정보 이송시 실효성 있는 통제방법이 “목적구속성의 원칙”과 독립적인 감독기관의 엄격한 업무실행이라고 본다면, 현재의 준비가 덜 된 관련 법제로서는 개인정보 보호는 요원하다고 볼 수 있다. 또한 금융정보를 포함한 신용정보의 개념의 범위가 넓어 미국에 있어서는 국내의 민감한 개인정보도 일반 개인정보로 둔갑된다. 이에 따라 국내에서는 수집이 금지된 영역도 미국에서는 수집 및 활용될 수 가 있다. 손해배상의 경우에 있어서도 신용정보업자 및 신용정보 이용자가 원칙적으로 책임을 지는 입증전환 법리의 관련법 수용은 발전된 개인정보 법리라고 볼 수 있으나, 징벌적인 손해배상이 아닌 불법행위에기한 손해배상을 염두에 두면서 그 법적 구제수단을 법원을 통한 통상적인 권리보호수단으로 해결하려는 것은 개인정보 피해구조의 특수성을 도외시한 것이 아닌가 한다. 재판 외 분쟁해결수단인 ADR 제도의 실질적인 운영의 적극적 도입이 바람직하다고 본다. 미국과 유럽 연합도 상호 개인정보 보호방법인 “안전한 항구 원칙(safe-harbor-principal)”협약을 체결 하기 전까지 법률문화적인 차이를 서로 인정하지 못해 협상의 난항을 겪었다. 결국은 개인정보의 효율적인 보호를 위해서 형식적으로는 자율규제방식을 채택하되, 실질적으로는 가입과 탈퇴의 제한을 가하면서 독립성이 보장되는 행정부서의 감독을 통해 OECD나 유럽 연합의 개인정보 보호원칙의 엄격한 실행을 담보하기로 하였다. 미국과 우리나라의 국제적인 개인정보의 국외 이송에 대한 보호방안으로 위의 이러한 협약체결방식의 적극적 도입도 시도해 볼 만하다고 본다. 한국 법제가 유럽 연합과 같이 대륙법계의 계통에 속하기에 법률문화적인 차이가 상호간에 존재하지만 금융정보를 포함한 개인신용정보 보호의 효율성을 기준으로 한다면 본질적인 차이점은 없다고 보기 때문이다. 협약체결 전까지 유럽 연합처럼 감독기관의 표준거래약관의 제정을 통한 시행은 금융신용정보의 국외통제가 실효성 있도록 하는 정보 주체의 보호방법일 수가 있다.

2014년의 신용정보 유출관련 개인정보 보호법제 개정안의 검토

김주영(Kim, Ju-Young) 조선대학교 법학연구원 2014 法學論叢 Vol.21 No.1

2014년 1월 발생한 금융권의 개인정보유출사건으로 계기로, 보이스 피싱(Voice Phishing)이나 스미싱(Smishing) 등을 통한 2차 피해에 대한 우려는 물론 개인정보 보호체제 전반에 대한 국민들의 불안감이 높아짐에 따라 이에 대한 다양한 대책들이 모색되고 있다. 이 가운데 상당수는 법치주의(法治主義)의 원리에 따라서 자연스럽게 개인정보 보호법제의 개정을 요구하고 있다. 주지하다시피 오늘날의 법치주의는 실질적 법치주의로서 형식적인 합법성을 넘어 실질적인 정당성을 법률에 요구하고 있기에, 보다 '좋은 법'을 만들기 위한 다양한 노력이 제기되고 있는 바, 법률을 제정하는 기관(이른바 입법자)에 대한 제반 평가와 그러한 기관의 활동의 결과 산출된 가치관계와 기준의 정립 결과로서의 법률에 대한 평가 모두를 포괄하는 '입법평가(legislative evaluation; legislative analysis)'는 그 대표적인 것이라 할 수 있다. 이에 본 논문에서는 이번 금융권의 개인정보유출 사건과 관련하여 다수 제출된 바 있는 신용정보 보호법제의 개정안들을 특히 '신용정보의 보호 및 이용에 관한 법률', '개인정보 보호법' 및 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 중심으로, 법률이 갖추어야 할 실질적 정당성 판단의 출발점이라 할 수 있는 체계성과 이해가능성의 확보를 위해 입법평가방법 가운데 하나인 교차점 분석(Schnittstellenanalyse)을 활용하여 사전적(ex ante) 입법평가를 수행해 보았다. 이러한 분석을 통해 개인정보 보호법제상의 일반법으로서의 개인정보 보호법이 제정되어 운용중임에도 불구하고 여전히 민간부문의 여러 영역에 잔존하고 있는 다수의 개인정보 보호법제들로 인해, 개인정보 보호법제의 실제 운용상의 개별적인 영역에 있어 중첩적인 규율의 문제가 상존하는 현실 속에서는 신용정보와 같은 특수한 개인정보 분야의 보호를 위한 조치를 마련하는 것은 생각만큼 단순한 문제가 아님을 확인해 볼 수 있었다. 결국 보다 근본적인 관점에서의 해결을 위한 전체적ㆍ체계적인 법정비가 시급하다고 할 것이다. The leakage of personal information from credit card companies in January 2014 has made a problem of protecting personal information a critical issue. People who are worried about voice phishing or smishing etc. have made complains of illegal distributions of personal information and claim appropriate measures for protecting personal information. So National Assembly and financial authorities have announced a series of strong countermeasures for protecting personal information including the revision of the current regulation system on credit information. For the principle of "rule of law" nowadays, as everyone knows, means not only 'formal' legality but also 'substantive' legitimacy, so we have made a lot of efforts to get "better laws." One of these efforts could be a legislative evaluation(; legislative analysis). So, as an ex-ante legislative evaluation(; analysis), this study examines some recently proposed revision bills on regulations for protection of credit information with a method of analysis on the interface(Schnittstellenanalyse): focusing interface among 「Use and Protection of Credit Information Act」, 「Act on Promotion of Information and Communications Network Use and Information Protection」 and 「Personal Information Protection Act」 based on the legislative analyzing criteria of systemicity and understandability. In conclusion, current regulation system for protection of personal information would cause some problems of overlapping regulation by the several remaining personal-information-laws in private sector in spite of legislation of 「Personal Information Protection Act」 which is the lex general is for protecting personal information so we need to make an overall and systematic maintenance of regulation system for protecting personal information.

개정「신용정보의 이용 및 보호에 관한 법률」주요 사안 검토

전한덕(Jun Han deok) 한국보험법학회 2015 보험법연구 Vol.9 No.2

2014년 1월 카드 3사의 대규모 개인신용정보유출 사태를 계기로 2015년 9월 12일개정ㆍ시행된「신용정보의 이용 및 보호에 관한 법률」은신용정보수집ㆍ이용ㆍ제공시동의절차 강화, 신용정보 집중ㆍ관리체계 개편, 배상책임보험의 가입 의무화 등의 정보유출을 최소화하기 위한 사전 예방조치와 함께 과징금제도, 법정 손해배상책임제도 도입 등의 강화 된 제재수단을 마련하는 등 상당히 획기적인 규제내용을 담고 있다. 반면에 이번 개정 신용정보법은 신용정보주체의 보호에만 치중한 나머지 신용정보회사의 영업 현실이나 신용정보의 효율적인활용 측면은 상대적으로소홀히 다루는 등입법 과정에서 양법익 당사자인 신용정보제공이용자와 개인신용정보 보호 주체의 균형을 도모하려는 신중한 검토가 부족했던 점은 아쉬움으로 남는다. 이 논문에서는 개정 신용정보법의 주요 내용과 시행 효과 등을 살펴보고, 개정 법률에서 나타나는 문제점과 이에 대한 개선안을 제시하여 개인신용정보 보호주체의보호와 신용정보산업의 건전한 발전사이에 균형을 유지할 수 있는 해결책을 찾고자 하였다. Due to the recent event in January 2014 that the customer information of major 3 card companies has been mass-released occured, the Act on Use and Protection of Credit Information (hereinafter "the new revised Act") was comprehensively revised and the amendments taken into effective from September 12, 2015. The new revised Act contains quite innovative regulation contents such as reenforcement of agreement procedure on collection, use and provide of credit information, reorganization of integrated management system on credit information, insuring obligation of liability insurance, etc. On the other hand the new revised Act was focused on protection of principals of credit information, and consequently credit information company's business activities or effective use was relatively handled carelessly. I am sorry that the new revised Act was not revised in a balanced way between credit information companies and credit information proposals. In this connection, I will review the new revised Act's main contents, regulatory effectiveness, etc., find problems and suggest improvement proposals. I hope this study will be of help to the balanced development between protection of credit information proposals and sound development of credit information companies.

개인정보 관련 법령의 실무적 운영과정에서 드러난 문제점과 개선방향

박광배 사법발전재단 2017 사법 Vol.1 No.40

우리나라는 일반법인 개인정보 보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’), 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’) 등의 특별법을 통해 개인정보보호에 관하여 규율하고 있다. 이러한 법령들은 개인정보의 성격(개인정보, 개인신용정보), 적용대상(개인정보처리자, 정보통신서비스 제공자, 신용정보회사 등) 등을 기준으로 다양한 규율을 하고 있지만, 정보기술의 발달로 인한 다양한 정보처리 방식의 대두, 온·오프라인을 동시적으로 사용하는 사업의 증가 등으로 인해 그 구체적인 적용에 있어 많은 혼란을 가져오고 있는 실정이다. 본고에서는 이와 관련하여 아래와 같은 일곱 가지 쟁점을 검토하였다. 첫째, 개인정보 개념은 위와 같은 개인정보보호 법령의 적용 여부를 결정하는 중요한 개념이라 할 것인데, 그 해석에 관하여 확립된 원칙이 존재하지 않는다. 특히 누구를 기준으로 ‘식별가능성’ 요건의 충족 여부를 판단할 것인가에 관하여 학설과 판례의 대립이 있는데, 필자는 개인정보처리자를 기준으로 이를 판단하는 상대설이 타당하다고 본다. 그러나 ‘식별’ 개념에 관하여는 아직 충분한 논의조차 이루어지고 있지 않은바, 앞으로 이 부분 논의가 활발하게 이루어질 필요가 있다. 둘째, 공개된 개인정보의 취급에 관하여도 논란이 존재하며, 공개된 개인정보라 할지라도 개인정보 보호법 제15조 및 제17조에 따라 정보주체의 사전 동의를 얻어야 한다는 견해도 존재하나, 최근 대법원 2016. 8. 17. 선고 2014다235080 판결이 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 개인정보를 수집 내지 제공하는 경우에는 정보주체의 별도 동의가 필요 없다고 판시함으로써 공개된 개인정보의 활용과 정보주체의 보호를 조화할 수 있는 길을 열었다. 앞으로도 공개된 개인정보 취급에 있어 이와 같이 정보의 활용과 정보주체의 조화의 균형을 도모할 필요가 있다. 셋째, 개인정보 보호법, 정보통신망법, 신용정보법이 모두 개인정보의 보호에 관하여 규율함으로 인하여 각 법률들 간의 모순과 충돌이 발생하고 있다. 유럽이나 일본의 사례와 같이 개인정보보호 관련 법규를 적절히 통일할 필요가 있다. 넷째, 개인정보보호 법령상 정보주체의 동의는 정보주체의 개인정보 자기결정권을 보호하기 위하여 마련된 제도이나, 현실적으로 동의의 존재로 인하여 오히려 정보주체의 선택권이 박탈당하는 역설적 결과가 발생하고 있다. 그럼에도 불구하고 우리 개인정보보호 법령은 동의의 획득이라는 측면에 치우쳐 개인정보주체의 실질적 보호에 소홀한 한편, 개인정보의 활용도 어렵게 하고 있다. 이러한 동의 만능주의 내지 동의 형식주의는 조속히 극복될 필요가 있다. 다섯째, 우리나라의 개인정보보호 법령상 제재는 형사처벌에 집중되어 있는바, 이는 세계적으로 유례가 드문 방식이다. 이로 인하여 개인정보처리자들이 개인정보의 활용에 보수적이 되는 문제가 발생하고 있다. 더욱 심각하게, 형사처벌 규정들이 실제 위반행위의 중대성에 비례적이지 않은 부분도 드물지 않게 관찰된다. 형사처벌을 최소화하고, 민사 또는 행정적 제재 위주로 운영하는 방안을 검토해 볼 필요가 있다. 여섯째, 제3자 제공과 처리위탁에 관한 규율을 정비할 필요가 있다. 현재 제3자 제공과 처리위탁의 구분이 모호하며, 이러한 구분을 성공... In Korea, the collection and management of personal information is governed by relevant statutes, such as the Personal Information Protection Act (hereinafter “PIPA”), the Act on Promotion of Information and Communications Network Utilization and Information Protection, Etc. (hereinafter “Information Communications Network Act”), and the Credit Information Use and Protection Act (hereinafter “Credit Information Act”). Albeit the aforementioned statutes (hereinafter collectively referred to as “Data Protection Laws”) provide a wide range of regulations depending on the type of personal information (e.g., personal information or personal credit information) and subjects thereto (e.g., data handlers, information and communications service providers, and credit information companies), the actual enforcement of such regulations is becoming increasingly convoluted due to the emergence of various data processing methods stemming from advances in information technology and growing number of companies conducting business through both online and offline channels. Against this backdrop, this paper seeks to highlight and further discuss the following seven issues. First, the concept of personal information is of vital importance when determining the applicability of Data Protection Laws but nonetheless, there is no established interpretation regarding the concept thereof. Notably, there are opposing views between jurisprudence and judicial precedents regarding whose perspective should be considered when determining “identifiability” (this paper takes the view that the perspective of data handlers should be considered). However, given the lack of discussions regarding the concept of “identification,” active discussions thereon need to take place going forward. Secondly, legal controversy exists over the handling of publicly available personal informationinasmuch as views exist on the need to obtain prior consent from data subjects pursuant to Articles 15 and 17 of PIPA. However, the Supreme Court of Korea recently held that consent from data subject was not required for the collection and sharing of publicly available personal information in cases where such collection and sharing is deemed to be consistent with the data subject’s intention and purpose for disclosing his/her personal information(see Supreme Court Decision 2014Da235080 Decided August 17, 2016), thereby paving the way for achieving balance and harmony between the need for utilization of personal information and protection of the rights of data subjects. Thirdly, inasmuch as conflicts and discrepancies are persistent regarding statutory interpretation of Data Protection Laws, it is necessary to effectively harmonize the relevant laws and regulations as in the case of Europe and Japan. Fourth, even though the consent requirements under the Data Protection Laws were intended to protect the data subject’s right of self-determination of his/her personal information, such requirement is causing a paradoxical effect, i.e., data subjects are being deprived the opportunity to exercise de facto the right of informational self-determination. Nevertheless, the said Acts remain focused on strictly enforcing the consent requirement at the expense of providing actual protection to data subjects and in the process, is impeding the effective utilization of personal information. As such, it is necessary to move beyond this excessive focus on the consent requirement and the legal formalities related thereto. Fifth, Korea is unparalleled in its level of punishing violations related to personal information protection by establishing penal provisions under the PIPA. As such, data handlers are forced to rely on overly conservative practices when managing personal information. Even more concerning, such penal provisions appear to be disproportionate in many cases to the violative acts it seek to prevent. Therefore, it is necessary to consider minimizing criminal...

신용정보법 제・개정에 따른 신용정보업의 변화 연구: 신용정보법 일부개정법률안(김병욱 의원 대표발의, 2018.11.15.)을 중심으로

최성민 국회입법조사처 2019 입법과 정책 Vol.11 No.3

This study analyzed the pattern of changes in the credit informationindustry following the enactment and amendment of Credit InformationAct. Especially, the revised bill of Credit Information Act(November 15,2018) has actively accommodated the global environmental change of thetransition to Data Economy and adopted overseas legislation cases ofdata regulation in accordance with domestic circumstances. When thisamendment is enacted, the scope of credit information business issegmented, new players in business enter the market, I expect majorchanges in the existing credit information industry. In addition, it isalso anticipated that different strategies among existing and newbusinesses will be implemented and the market size of the creditinformation industry will be expanded significantly as the sales of creditbureaus increase. However, refined policy supplement is highly necessaryto minimize side effects from rapid changes while watching the transitionand growth of credit information industry as data industry. 본 연구는 신용정보법 제・개정에 따른 신용정보업의 변화양상에 대해 분석하였다. 신용정보법은 1995년 제정 이후, 현재까지 총 35차례에 걸쳐 개정이 이루어졌는데 신용정보업은 이로 인한 규제강화 또는 완화에 따라 다양한 변화를 보여왔다. 특히 2018년 11월15일 김병욱 더불어민주당 의원이 대표발의한 신용정보법 개정안은 데이터 경제로의 전환이라는 전세계적인 환경 변화를 적극 수용하고, 해외 데이터 규제와 관련된 입법례를국내 실정에 맞게 도입한 법안이다. 이 개정안이 입법되면, 신용정보업의 업무범위 세분화, 신규 사업자의 시장 진입, 겸업・부수업무 확대에 따른 금융분야 데이터 산업의 성장등 기존 신용정보업의 큰 변화가 예상된다. 또한 기존 사업자와 시장에 새롭게 진입하려는 신규 사업자는 이번 개정안에 대응하기 위해 서로 다른 경영전략을 펼칠 것으로 예상되며 향후 신용정보회사들의 매출액이 크게 증가하면서 신용정보업의 시장규모도 확대될 것으로 보인다. 다만, 데이터 산업으로서의 신용정보업의 변화와 성장을 주시하면서변화에 따른 부작용을 최소화할 수 있는 세밀한 보완정책이 뒷받침되어야 할 것이다.

금융거래에 있어서 개인신용정보 보호법제의 주요 내용과 법적 문제

맹수석(Maeng Soo-Seok) 한국법학회 2010 법학연구 Vol.37 No.-

금융거래에 있어서 거래고객의 신용정보는 매우 중요한 법적 의미를 갖는다. 최근 금융거래관계에서 제공되고 있는 고객의 개인신용정보에 대한 오ㆍ남용의 문제와 함께, 프라이버시침해로 인한 법적 분쟁이 증가하고 있다. 금융기관의 입장에서는 여신 판단 등을 함에 있어 개인의 신용정보를 정확히 파악할 필요가 있고, 거래 고객의 입장에서는 자신의 경제상태나 프라이버시의 노출을 꺼리게 되기 때문에, 이에 대한 합리적 접점을 찾는 것이 중요하다. 이러한 측면에서 본 연구에서는 개인신용정보보호에 관한 외국의 입법 동향을 살피고, 현행 신용정보보호법제의 문제점과 그에 대한 개선방안을 검토ㆍ제시하였다. 신용정보의 두터운 보호체계가 구축될 때 소비자는 안심하고 금융거래를 할 수 있게 될 것이고, 이러한 여건을 조성하기 위한 입법적 노력은 금융시스템의 선진화를 위해서도 꼭 필요한 과제라고 본다. 이러한 측면에서 2009년 개정된 신용정보보호법은 철회권을 도입하여 신용정보주체의 자기정보통제권을 강화하는 등 기존의 입법적 미비점을 개선ㆍ보완하였지만, 아직도 미흡한 점이 없지 않다. 따라서 개인신용정보 제공에 있어서 실질적 사전 동의방식의 확립, 개인신용정보 이용에 대한 동의를 함에 있어서 적용제외대상의 최소화, 개인신용정보의 이용목적 범위의 합리적 조정, 개인 신용정보 제공ㆍ이용 동의에 대한 실질적 자기통제권의 보장, 신용정보업에 대한 엄격하고도 실질적인 감독의 추구 등을 위한 입법적 노력이 필요하다고 본다. A client's credit information within financial transactions carries vital legal implications. However, legal conflicts over privacy violations as well as the misuse and abused use of client's personal credit information is increasing. From the perspective of the financial institutions, an individual's credit information must be thoroughly identified and reviewed before approving financial activities with that particular client. However, from the perspective of the client, the exposure of personal economic conditions and privacy information cannot be welcomed. Thus, it is imperative to find a rational compromise that can satisfy the needs of the two different perspectives. Our country has continually enforced the protection of individual personal credit information. Still, there are many aspects that can be strengthened. Hence, this research will examine foreign legislations regarding the protection of personal credit information in order to evaluate and identify the problems of the currently enacted protection laws as well as propose ways to improve the current structure. Once a trustworthy safety structure is established, clients will feel more secure in conducting financial transaction. Thus, efforts to strengthen the legislation regarding privacy protection is a necessary task to further develop the national financial system In this aspect, the Credit Information Protection Law passed in 2009 succeeded in reinforcing an individual's authority over his or her own credit information. Still, there are many ways that the enacted Law could achieve further success. This paper believes that further legislative efforts are needed to establish a system where the involved individual provides the final release of personal information, to minimize excluded clients, to control the reasonable range of use of personal credit information, the insurance of control over providing and using personal credit information, as well as the strict and safe management of the provided personal credit information.

개정 신용정보법에 따른 신용정보 산업 구조 변화 검토 및 신용정보 산업 체계 개편 방안

장준용 은행법학회 2020 은행법연구 Vol.13 No.2

The revised Credit Information Act reorganized the structure of the credit information-related industry and renewed the definition of business by reducing the scope of its own work while dividing the credit inquiry business into individual credit evaluation business, individual business credit evaluation business, and corporate credit inquiry business. The credit inquiry business is losing its own significance because the tasks defined as incidental services of the business, which were excluded from the definition of a subdivided business and the scope of the unique work, overlap with the unique work of the credit inquiry business. It is deemed reasonable to abolish the credit-related business (personal credit evaluation, personal business credit evaluation, corporate credit inquiry) or credit information business, and to absorb any overlap with credit-related business in the relationship between the principal credit information inquiry business and the collection business, and to hand over other business to the private sector or the law on detective work. The revised Act excluded the collection business from the scope of the credit information business, but it remains in the Credit Information Act. The collection, which is difficult to see as an industry related to credit information, is considered desirable to transfer to the Act on the Fair Collection or the Act on the Registration of Loan Business, etc. and the Protection of Financial Users. 개정 신용정보법은 신용조회업을 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 세분화하면서 고유업무의 범위도 축소하여 신용정보 관련 산업의 구조를 개편하고 업(業)의 정의를 새롭게 하였다. 세분화된 업의 정의 및 고유업무의 범위에서 제외되어 해당 업의 부수업무로규정된 업무들은 신용조사업의 고유업무와 중복되는 면이 있어 신용조사업은 독자적인 존재의미를 잃어가고 있다. 신용정보업(개인신용평가업, 개인사업자신용평가업, 기업신용조회업) 또는 신용정보업의 부수 업무, 본인신용정보관리업과 채권추심업과의 관계에서 신용조사업과 중복되는 부분은 해당 업으로 흡수시키고 그 외의 업무는 개인정보법 및 민간조사업(또는 탐정업)에 관한 법률 제정안으로이관하고 신용조사업은 폐지하는 것이 타당하다고 본다. 개정법이 채권추심업을 신용정보업의 범위에서 제외하였지만 신용정보법에는 그대로 두고 있다. 신용정보 관련 산업으로는 보기 어려운 채권추심업은 「채권의 공정한 추심에 관한 법률」 또는 「대부업 등의 등록 및 금융이용자 보호에 관한 법률」로 이관하거나 독자적인 채권추심업법을 제정하는 것이 바람직하다고 본다.

신용정보법과 탐정업의 연관성 및 탐정업의 현실태에 대한 연구

강지형 한국민간경비학회 2024 한국민간경비학회보 Vol.23 No.3

본 연구는 신용정보법과 한국 탐정업 간의 연관성 및 현황에 대해 심도 있는 분석을 수행하였다. 연구의 주된 내용은 신용정보법과 탐정업의 역사, 문제점들을 포함하며, 신용정보법 제40조에 명시된 신용정보회사등의 금지사항과 탐정 명칭, 그리고 탐정업의 연관성을 다루었다. 또한, 한국 탐정업의 현황과 법적 문제점들도 검토하였다. 연구에 따르면, 건국 이래로 신용정보 집중기관의 직원들을 제외한 일반인들에게 탐정 명칭 사용 및 탐정업 수행이 명시적으로 금지된 사례는 없었다. 그러나 탐정업과 관련하여 생성된 허위 정보를 담은 뉴스는 탐정 명칭과 탐정업에 대한 부정적 인식을 조장하였고, 이로 인해 탐정 명칭과 탐정업의 불법성에 대한 잘못된 정보가 확산되었다. 올바른 탐정업에 대한 인식 개선 노력에도 불구하고, 2020년 신용정보법 개정을 통해 탐정 명칭 사용이 공식적으로 허용되었다는 사실이 왜곡되어 기사나 논문으로 전달되는 경우가 지속되고 있다. 이러한 현상은 탐정업에 대한 사회적 인식과 법적 기준에 혼란을 야기하고 있음을 나타낸다. 본 연구의 목적은 2020년 신용정보법의 개정 이유와 역사, 탐정업의 법적 위치를 재조명하고, 법적 혼란을 해소하기 위한 방안을 제시하는 것이다. 특히, 법적 제도를 확립하고, 대중의 인식을 개선하며, 전문 인력을 양성함으로써 한국 탐정업의 발전 가능성을 모색하고자 한다. 현재 탐정업에 대한 부정적 인식과 법적 제약을 극복하기 위해서는 정확한 법적 제도 확립이 필요하며, 대중의 인식을 개선하기 위한 교육과 홍보가 중요하다. 또한, 관련 연구와 교육 프로그램을 강화하여 전문 인력을 양성함으로써 탐정업의 전문성과 신뢰성을 높이는 것이 필요하다. 이러한 노력을 통해 한국 탐정업이 보다 건전하고 발전된 방향으로 나아갈 수 있는 토대를 마련하고자 한다. This study conducted an in-depth analysis of the relationship and status between the Credit Information Act and the Korean detective business. The main contents of the study included the history and problems of the credit information law and the detective business, and dealt with the relationship between the detective business and prohibitions such as credit information companies specified in Article 40 of the Credit Information Act. In addition, the current status and legal problems of the Korean detective business were reviewed. According to the study, since the foundation of the country, there have been no cases in which the use of detective names and the performance of detective businesses have been explicitly prohibited by the general public except for employees of credit information-intensive institutions. However, news containing false information generated in connection with the detective business promoted negative perceptions of the detective name and the detective business, which led to the spread of false information about the detective name and the illegality of the detective business. Despite efforts to improve the awareness of the correct detective business, the fact that the use of the detective name was officially allowed through the revision of the Credit Information Act in 2020 is distorted and delivered as an article or thesis. This phenomenon indicates that social perception and legal standards for the detective business are causing confusion.The purpose of this study is to re-examine the reason for the revision of the Credit Information Act in 2020, the history, and the legal position of the detective business, and to suggest ways to resolve legal confusion. In particular, it aims to explore the possibility of the development of the Korean detective business by establishing a legal system, improving public awareness, and nurturing professional manpower. In order to overcome the current negative perception and legal restrictions on the detective business, it is necessary to establish an accurate legal system, and education and publicity to improve public perception are important. In addition, it is necessary to increase the professionalism and reliability of the detective business by strengthening related research and educational programs to cultivate professional manpower. Through these efforts, we intend to lay the foundation for the Korean detective business to move in a more sound and developed direction.

개인신용정보 비식별 조치의 내용과 한계에 관한 연구

백승엽,김일환 성균관대학교 법학연구원 2017 성균관법학 Vol.29 No.4

현행 개인정보보호법상 개인정보란 특정한 개인을 ‘식별할 수 있는’정보를 의미한다. 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당하므로 개인정보보호법은 개인정보처리자가 당초 수집, 이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원칙적으로 금지하고, 예외적으로 정보주체로부터 동의를 받은 경우 등에만 이를 허용한다. 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 또한 신용정보회사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주체의 개별 동의를 받도록 하고, 일부 예외적인 경우에만 동의 없는 제공을 인정하고 있다. 그러나 비식별(de-identification) 조치된 정보의 경우에는 양법 모두 정보주체의 동의 없이 개인신용정보를 제공 및 이용할 수 있도록 허용하고 있다. 특히 신용정보법은 비식별 정보에 대한 특별 취급을 하고 있는데, 첫째 신용조회회사는 개인신용정보를 그 지배주주 및 계열회사에게 제공할 수 없지만, 비식별 조치된 정보는 예외적으로 제공을 허용하고 있고, 둘째 신용정보회사 등이 ‘통계작성 및 학술연구 등을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인신용정보를 제공받기 위한 목적’으로 사용하는 자에게 개인신용정보를 제공하는 경우에는 정보주체의 동의 없이도 가능하며, 셋째 통계작성 및 학술연구를 목적으로 비식별 조치를 하면 정보주체의 동의 없이도 목적 외 이용이 가능하게 된다. 그러나 이러한 법적근거에도 불구하고 비식별 조치는 몇 가지 근본적인 문제점을 가지고 있다. 첫째 비식별 조치는 개인정보자기결정권의 핵심인 정보 주체의 동의권을 행사할 수 없도록 하는 조치임에도 불구하고, 그러한 기본권 제한의 근거를 신용정보법에서 위임하고 있지 않은 점, 둘째 비식별 조치 사유로서 통계작성과 학술연구 목적을 열거하고 있는 바, 이는 통계작성이나 학술연구 두 가지 목적이 아닌 다른 사유를 근거로 비식별 조치가 허용되지 않음으로써 본래의 도입 목적인 빅데이터 산업 활성화와는 상관없이 작동하게 되어 버린 점, 셋째 법문의 ‘통계작성 및 학술연구 등’이라는 개념이 포괄적이고 불확정적이며 예시적인 형태로도 해석이 가능하고, 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서 다른 정보와의 결합을 통해 당초의 개인신용정보로 재식별될 가능성을 무시할 수 없는 등 개인정보자기결정권이 침해될 수 있는 점, 다섯째 현행 법률은 물론이고 개정안 어디에서도 비식별 조치에 대한 구체적인 판단기준이나 한계의 불명확성으로 인해 그 위반행위에 대한 처벌 구성요건을 적용하기가 어려워 죄형법정주의에 위배될 수 있는 문제점을 가지고 있다. On existing privacy protection act, the privacy protection means information that can identify specific individual. Since actions like investigation, collection, keep, use focused on personal information apply as a rule the limit of individual privacy protection right, the privacy protection law in principle prohibits the case that the manager of personal information uses his information out of purpose of collection, use, or provides a third party with information. By the way, exceptionally he can be allowed if principals of information afford the agreement. Credit information act (the law about use and protection of credit information) also exceptionally acknowledges the offer without agreement the case of a credit information company offers personal credit information to others, in principal after receiving individual agreement of credit information object. However, in the case of the information that takes de-identification action, both allow one provides personal credit information without agreement of principals of information or uses it. In other words, personal information protection act defines one can provide personal information to a third party or use information as a use except of purpose in the case of providing personal information as a form that nobody can identify specific individual for the purpose of statistics producing and academic research if one has no risk to unfairly violate profits of principals of information or a third party. For this, similar to personal information protection act, de-identification information admits the use except of primary purpose and providing to a third party without an agreement of principals of information. This purpose of act presumes through de-identification action, since information that specific principal of information is unrecognizable is no more personal information, it is not applied to individual information protection act, and it can’t violate individual information right that is protected by constitution. Also the government is implementing personal information de-identification guide line announced for clearly abducing de-identification action standard and de-identification information application scope of individual information to utilize Big Data safely in the form of personal information protection act along the appearance of a new ear like Big Data , IoT, etc. Especially, credit information act does special handling about de-identification information. Firstly, a credit inquiry company is not able to provide personal credit information to the controlling shareholder and subsidiary, but it can provide de-identified information exceptionally. Second, in the case a credit information company provides personal credit information to the one who uses it as the purpose to be provided personal credit information that a specific individual can’t be recognized for statistics writing and academic research. In this case, the agreement of principals of information is not needed. Additionally, for statistics writing and academic research, after de-identification action, one can use out of purpose without agreement of principals of information. However, in spite of these legal bases, de-identification action has several fundamental problems. First, de-identification action is the action that prohibits principals of information from the agreement right that is the core of personal information right. Though, the basis of prohibition of basic human right is not delegated by credit information act. Second, the reason of de-identification action is statistics and academic research. This is operating regardless Big Data industry vitalization that was primary introduction purpose, not the original twin purposes, with other reasons. And It can’t be allowed as de-identification action. Third, in the law, the notion of statistics writing and academic research is not obvious and comprehensive and interpreted as a form of foreshadower. And in the handling process that wholes...