개인신용정보 보호법제의 중복규제 및 해소방안 연구 ― 신용정보의 이용 및 보호에 관한 법률을 중심으로 ―

백승엽,김일환 미국헌법학회 2017 美國憲法硏究 Vol.28 No.3

오늘날 개인신용정보는 공공부문과 민간부문에서 국민에 대한 적실성 있는 행정 및 소비자 편익제공을 위해 활용도가 점증되고 있는 반면, 복지국가의 이념과 전자정부의 구현을 위한 효과적인 개인정보 처리 및 빅데이터 환경에서 무분별한 수집/활용으로 인한 헌법상 보장된 국민의 기본권이 침해되지 되지 않도록 엄격히 보호되고 규제되어야 할 필요성 또한 매우 높아지고 있는 실정이다. 그러나 국내 개인신용정보 보호법제간 중복규제 문제로 인하여 법을 적용하는 순위 면에서 상호모순적일 뿐만 아니라 법적용의 일관성 측면에서도 문제가 발생하고 있다. 이는 단순히 우선순위의 차이만을 초래하는 것이 아니라 법 적용에 따른 규제수준에도 차이가 발생하는 바, 이를 해소함으로써 개인신용정보의 효과적인 보호와 규제를 보다 철저히 시행할 필요성이 매우 높다고 할 수 있다. 과거 개인신용정보의 오ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호할 필요성뿐만 아니라, 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 통해 건전한 신용질서를 확립하기 위하여 ‘신용정보의 이용 및 보호에 관한 법률(법률 제4866호)’(이하 신용정보법)이 1995년에 개정되었고, 2011년에는 ‘개인정보보호법(법률 제10465호)’이 제정되어 개인정보보호 관련 다른 법률에 특별한 규정이 있는 경우에만 해당 특별법 조항을 우선적으로 적용받게 함으로써 개인정보보호법은 일반법으로서 전체 분야를 관할하고, 그 외 신용정보법, 온라인상에서 금융거래 등과 관련된 개인정보의 보호를 관할하기 위해 제정한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제14080호)’(이하 정보통신망법) 등의 특별법은 각 분야별로 적용되고 있었다. 그러나 전술한 바와 같이 개인정보보호법과 신용정보법간 법률조문 기술방식과 해석상의 문제로 인하여 개인정보보호법과 신용정보법의 일반법과 특별법 관계가 불분명한 경우가 많았고, 각 법률이 중첩적으로 적용되는 문제가 발생하고 있는 실정이다. 즉 개인정보보호법과 신용정보법 간에 실질적으로 동일하거나 유사한 내용을 갖는데도 조문 기술방식이 달라 해석의 어려움이 발생할 뿐만 아니라 신용정보법이 규정하지 않는 사항에 대해서 여전히 개인정보보호법이 적용될 수 있으므로 수범자인 금융기관 입장에서도 두 법률을 모두 검토해야 하는 규제 준수의 부담이 있어 왔다. 이에 따라 금융위원회는 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 따라 신용정보법이 규정하고 있지 않지만 개인정보보호법에는 있는 내용을 반영하여 규제의 틈새를 메워나가는 등 개인정보의 규율에 대한 두 법률의 간극을 해소하고자 개선방안을 발표하고, 입법적 정비(2014년, 2016년, 2017년)를 시도 하였으나, 여전히 조항별로 특별법이 다른 해석상 모순적인 법적용을 계속해서 초래하고 있어 각 법률간의 우선순위 문제가 해결되지 못하고 있는 실정이다. 이와 같은 규정 체계의 상호모순을 극복하고 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 맞추어 신용정보법(제3조의2) 관련 규정을 근본적으로 개정할 필요가 있다. While degree of practical use of personal credit information has been gradually increasing for precise information of administration and convenience in both public and private sector, it also should be noted that such usage should be strictly protected and regulated lest basic right enshrined in the constitution should be infringed due to imprudent collection and utilization of personal information for realization of a welfare state and e-government in so-called big data environments. However, domestic use of personal credit information is not only inter-contradictory in prioritization of legal application due to duplicated regulation but also not consistent in actual applications. Since this could cause both discrepancy in prioritization and one in degree of regulation application, it deems to be necessary to enforce efficient protection and regulation of personal credit information in more thorough fashion. ‘Credit Information Use and Protection Act’ (hereinafter referred to “Credit Information Act”) as was revised in 1995 to foster a sound credit information business, promoting an efficient utilization and systematic management of credit information, and protecting privacy, etc. from the misuse and abuse of credit information properly, thereby contributing to the establishment of sound practices in credit transaction. ‘Personal Information Protection Act’ was established by law in 2011 in which application of the act is subject to the whole industries as a general law unless it is stipulated otherwise in other special law. In the similar fashion, ‘Act on Promotion of Information and Communication Network Utilization and Information protection, etc.’ (hereinafter referred to “Information Network Act”) whose purpose is to protect security of online financial transaction and personal information has been applied to respective industries. However, due to the previously elaborated ambiguity in provision stipulation and interpretation, many occasions occur where relationship between Credit Information Act and Information Network Act are not clear and two acts are applied redundantly. Albeit same or similar contents and intentions are contained in Credit Information Act and Information Network Act, since provisions in those acts could be interpreted differently and Credit Information Act could be applied to where Personal Information Act is not applicable, financial institutions such as banks have been burdened by compliance and interpretation of two acts. To make a point of regulation alignment to Credit Information Act for legal regulation of credit information, Financial Services Commission announced an expedient plan for bridging the gap between personal information related acts reflecting what is not covered in Credit Information Act whereas covered in Personal Information Act. Even with legislative modification in 2014, 2016 and 2017, several special laws have deepened a level of equivocality in provision interpretation and prioritization issues from each legislation has not been cleared yet. To sort out confusion in regulation system and to position Credit Information Act as a special law which should be applied to financial enterprises as framework of protection system of personal information, CreditInformationAct, especially in Article3-2(Relationship to other Acts) should be fundamentally revised to stipulate that Credit Information Act is a speciall with regard to Persona lInformation Act.

개인신용정보의 범위에 대한 비판적 고찰 - 기본적 상행위 거래정보는 모두 개인신용정보인가? -

김현경 ( Hyun-kyung Kim ) 이화여자대학교 법학연구소 2020 法學論集 Vol.25 No.2

「개인정보 보호법」은 개인정보 보호의 일반법·기본법으로서 그 역할을 다해야 한다. 그러나 우리나라의 개인정보 보호법제가 일반법을 중심으로 법령의 체계 정합성을 맞추어 가면서 제·개정 되지 못하고 영역별 필요에 따라 우후죽순으로 만들어진 법령을 그대로 존치한 채, 「개인정보 보호법」을 후발적으로 마련한바, 법령 간 체계 정합성이 부족한 상황이다. 개인정보 보호법제의 체계 부정합은 결국 독립된 감독기구로서 개인정보 보호위원회의 위상을 약화시키고, 「개인정보 보호법」의 집행력을 떨어뜨리게 된다. 영역별 법령이 우선 적용되고 소관부처의 지도·감독이 우선시되면서 독립된 개인정보 감독기구로서 개인정보 보호위원회의 실질적 권한과 역할이 제 기능을 발휘하지 못하게 될 수 있기 때문이다. 특히 최근 개정된 「신용정보법」상 신용정보의 범위에 “「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 포함시켜 그 적용범위가 대폭 확장되었고, 하물며 단순 구매이력정보 역시 신용정보의 범위에 포섭되게 되었다. 이러한 무리한 개인신용정보의 범위 확장은 「개인정보 보호법」의 일반법으로서의 지위를 불명확하게 만들고 있다. 이는 결국 「신용정보법」상 도입된 특수한 제도 즉, ‘개인신용정보 전송요구권(일명 개인정보 이동권)’ 및 '마이데이터(본인신용정보관리업)사업‘이 정작 「개인정보 보호법」에는 도입되지 않았음에도 불구하고 개인정보보호의 거의 전 영역에서 실시되는 결과를 초래할 수 있다. 따라서 “「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 신용정보의 범주에서 삭제하고, 신용판단의 기초가 될 수 있는 거래정보로 제한하여야 한다. 또한 개인정보 보호에 대한 금융위원회의 기능은 개인정보 보호위원회로 일원화하여야 한다. 금융위원회 등 분야별 개별법상 개인정보 기관은 관련 산업의 진흥을 동시에 고려해야 할 뿐만 아니라 업계 및 소관행정기관의 이해관계에 불가피하게 구속될 수 있기 때문이다. 신용정보의 범위 확장은 금융위원회의 개인정보 관리·감독 기능의 확대를 의미하며, 정작 개인정보 보호의 독립적 감독기구인 ‘개인정보 보호위원회’의 기능이 비정상적으로 축소될 수 있다. 개인정보 보호는 기본적으로 인권법 내지는 정보법에서 다뤄야 할 부분이며, 상사특별법인 「신용정보법」을 통하여 개인정보 보호의 원칙이 손상되어서는 안 된다. The 「Personal Information Protection Act」 should fulfill its role as a general law and basic law for personal information protection. However, Korea's personal information protection legal system was not enacted and amended as the system of laws and regulations was aligned with the general laws, and the ``Personal Information Protection Act'' was newly established while still retaining the laws and regulations made out of order according to the needs of each area. Therefore, there is a lack of system consistency between laws and regulations. The inconsistency of the Personal Information Protection Act system eventually weakens the status of the Personal Information Protection Commission as an independent supervisory body, and reduces the enforcement power of the Personal Information Protection Act. This is because the actual authority and role of the Personal Information Protection Commission as an independent personal information supervisory body may not function properly as laws and regulations for each area are applied first and the guidance and supervision of relevant ministries is given priority. In particular, the scope of credit information under the recently revised 「Credit Information Act」 has been greatly expanded by including 'information on the type, period, content, conditions, etc. of commercial transactions pursuant to Article 46 of the 「Commercial Act」’. Furthermore, simple purchase history information was also included in the scope of credit information. This unreasonable expansion of the scope of personal credit information is making its position as a general law of the 「Personal Information Protection Act」 unclear. As a result, the special systems introduced under the 「Credit Information Act」, namely the 'right to request transmission of personal credit information and my data (personal credit information management) business', were not actually introduced in the 「Personal Information Protection Act」. In spite of that, it can lead to consequences that are implemented in almost all areas of personal information protection. Therefore, 'information on the type, period, content, conditions, etc. of commercial transactions pursuant to Article 46 of the 「Commercial Act」’ should be deleted from the category of credit information and credit information should be limited to transaction information that can be the basis for credit judgment. In addition, the function of the Financial Services Commission for personal information protection should be unified with the Personal Information Protection Commission. Personal information institutions in each field, such as the Financial Services Commission, not only need to consider the promotion of related industries at the same time, but it is highly likely that they will not be free from the interests or pressures of the relevant administrative departments or related industries. This is because the expansion of the scope of credit information means the expansion of the personal information management and supervision functions of the Financial Services Commission, and the function of the “Personal Information Protection Commission,” an independent supervisory body for personal information protection, may be abnormally reduced. Personal information protection is basically a part to be dealt with in the Human Rights Laws or the Information Laws and this principle should not be damaged through the 「Credit Information Act」 as a special law of the Commercial Act.

신용정보법 제・개정에 따른 신용정보업의 변화 연구: 신용정보법 일부개정법률안(김병욱 의원 대표발의, 2018.11.15.)을 중심으로

최성민 국회입법조사처 2019 입법과 정책 Vol.11 No.3

This study analyzed the pattern of changes in the credit informationindustry following the enactment and amendment of Credit InformationAct. Especially, the revised bill of Credit Information Act(November 15,2018) has actively accommodated the global environmental change of thetransition to Data Economy and adopted overseas legislation cases ofdata regulation in accordance with domestic circumstances. When thisamendment is enacted, the scope of credit information business issegmented, new players in business enter the market, I expect majorchanges in the existing credit information industry. In addition, it isalso anticipated that different strategies among existing and newbusinesses will be implemented and the market size of the creditinformation industry will be expanded significantly as the sales of creditbureaus increase. However, refined policy supplement is highly necessaryto minimize side effects from rapid changes while watching the transitionand growth of credit information industry as data industry. 본 연구는 신용정보법 제・개정에 따른 신용정보업의 변화양상에 대해 분석하였다. 신용정보법은 1995년 제정 이후, 현재까지 총 35차례에 걸쳐 개정이 이루어졌는데 신용정보업은 이로 인한 규제강화 또는 완화에 따라 다양한 변화를 보여왔다. 특히 2018년 11월15일 김병욱 더불어민주당 의원이 대표발의한 신용정보법 개정안은 데이터 경제로의 전환이라는 전세계적인 환경 변화를 적극 수용하고, 해외 데이터 규제와 관련된 입법례를국내 실정에 맞게 도입한 법안이다. 이 개정안이 입법되면, 신용정보업의 업무범위 세분화, 신규 사업자의 시장 진입, 겸업・부수업무 확대에 따른 금융분야 데이터 산업의 성장등 기존 신용정보업의 큰 변화가 예상된다. 또한 기존 사업자와 시장에 새롭게 진입하려는 신규 사업자는 이번 개정안에 대응하기 위해 서로 다른 경영전략을 펼칠 것으로 예상되며 향후 신용정보회사들의 매출액이 크게 증가하면서 신용정보업의 시장규모도 확대될 것으로 보인다. 다만, 데이터 산업으로서의 신용정보업의 변화와 성장을 주시하면서변화에 따른 부작용을 최소화할 수 있는 세밀한 보완정책이 뒷받침되어야 할 것이다.

개인정보의 국외이송에 대한 법적 통제의 필요성-한?미 FTA의 금융신용정보 국외이송의 문제점을중심으로-

임규철 대한변호사협회 2007 人權과 正義 : 大韓辯護士協會誌 Vol.- No.365

한미자유무역협정의 금융분야에 있어 논란이 되고 있는 한국민의 금융신용정보의 미국으로의 이송은 국내에서 신용정보에 관한 일반법적인 기능을 하는 “신용정보의 이용 및 보호에 관한 법률”에 따라 통제를 통해 정보 주체의 권리보호를 할 수가 있다. 그러나 이 법은 원칙적으로 국외에서의 정보 주체의 보호보다는 국내에서의 신용정보의 효율적 이용 및 신용정보업자, 신용정보집중기관의 통제를 염두에 두고 제정 시행되고 있다. 따라서 금융신용정보를 포함한 개인정보의 국제적 이송에 대한 강한 보호와 통제규정을 가지고 있는 국제적으로 개인 신용정보 보호에 관한 일반 원칙으로 인정받고 있는 OECD나 유럽 연합의 개인정보 보호 관련 규범 준수가 극히 어렵다. 더구나 “목적구속성의 원칙”이 강하게 요구되는 이용제한의 원칙 준수는 사실상 위법에 의해서는 사문화될 수가 있다. 신용정보업자 및 신용정보집중기관, 공공기관과의 상호간 신용정보 주체의 통제 없는 활용을 사실상 인정하고 있기 때문이다. 경영의 효율성을 극대화하기 위한 방안으로서 개인정보 처리방법에 있어 Outsourcing이 활발한 미국으로의 자국민에 대한 신용정보 이송시 실효성 있는 통제방법이 “목적구속성의 원칙”과 독립적인 감독기관의 엄격한 업무실행이라고 본다면, 현재의 준비가 덜 된 관련 법제로서는 개인정보 보호는 요원하다고 볼 수 있다. 또한 금융정보를 포함한 신용정보의 개념의 범위가 넓어 미국에 있어서는 국내의 민감한 개인정보도 일반 개인정보로 둔갑된다. 이에 따라 국내에서는 수집이 금지된 영역도 미국에서는 수집 및 활용될 수 가 있다. 손해배상의 경우에 있어서도 신용정보업자 및 신용정보 이용자가 원칙적으로 책임을 지는 입증전환 법리의 관련법 수용은 발전된 개인정보 법리라고 볼 수 있으나, 징벌적인 손해배상이 아닌 불법행위에기한 손해배상을 염두에 두면서 그 법적 구제수단을 법원을 통한 통상적인 권리보호수단으로 해결하려는 것은 개인정보 피해구조의 특수성을 도외시한 것이 아닌가 한다. 재판 외 분쟁해결수단인 ADR 제도의 실질적인 운영의 적극적 도입이 바람직하다고 본다. 미국과 유럽 연합도 상호 개인정보 보호방법인 “안전한 항구 원칙(safe-harbor-principal)”협약을 체결 하기 전까지 법률문화적인 차이를 서로 인정하지 못해 협상의 난항을 겪었다. 결국은 개인정보의 효율적인 보호를 위해서 형식적으로는 자율규제방식을 채택하되, 실질적으로는 가입과 탈퇴의 제한을 가하면서 독립성이 보장되는 행정부서의 감독을 통해 OECD나 유럽 연합의 개인정보 보호원칙의 엄격한 실행을 담보하기로 하였다. 미국과 우리나라의 국제적인 개인정보의 국외 이송에 대한 보호방안으로 위의 이러한 협약체결방식의 적극적 도입도 시도해 볼 만하다고 본다. 한국 법제가 유럽 연합과 같이 대륙법계의 계통에 속하기에 법률문화적인 차이가 상호간에 존재하지만 금융정보를 포함한 개인신용정보 보호의 효율성을 기준으로 한다면 본질적인 차이점은 없다고 보기 때문이다. 협약체결 전까지 유럽 연합처럼 감독기관의 표준거래약관의 제정을 통한 시행은 금융신용정보의 국외통제가 실효성 있도록 하는 정보 주체의 보호방법일 수가 있다.

개인정보 관련 법령의 실무적 운영과정에서 드러난 문제점과 개선방향

박광배 사법발전재단 2017 사법 Vol.1 No.40

우리나라는 일반법인 개인정보 보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’), 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’) 등의 특별법을 통해 개인정보보호에 관하여 규율하고 있다. 이러한 법령들은 개인정보의 성격(개인정보, 개인신용정보), 적용대상(개인정보처리자, 정보통신서비스 제공자, 신용정보회사 등) 등을 기준으로 다양한 규율을 하고 있지만, 정보기술의 발달로 인한 다양한 정보처리 방식의 대두, 온·오프라인을 동시적으로 사용하는 사업의 증가 등으로 인해 그 구체적인 적용에 있어 많은 혼란을 가져오고 있는 실정이다. 본고에서는 이와 관련하여 아래와 같은 일곱 가지 쟁점을 검토하였다. 첫째, 개인정보 개념은 위와 같은 개인정보보호 법령의 적용 여부를 결정하는 중요한 개념이라 할 것인데, 그 해석에 관하여 확립된 원칙이 존재하지 않는다. 특히 누구를 기준으로 ‘식별가능성’ 요건의 충족 여부를 판단할 것인가에 관하여 학설과 판례의 대립이 있는데, 필자는 개인정보처리자를 기준으로 이를 판단하는 상대설이 타당하다고 본다. 그러나 ‘식별’ 개념에 관하여는 아직 충분한 논의조차 이루어지고 있지 않은바, 앞으로 이 부분 논의가 활발하게 이루어질 필요가 있다. 둘째, 공개된 개인정보의 취급에 관하여도 논란이 존재하며, 공개된 개인정보라 할지라도 개인정보 보호법 제15조 및 제17조에 따라 정보주체의 사전 동의를 얻어야 한다는 견해도 존재하나, 최근 대법원 2016. 8. 17. 선고 2014다235080 판결이 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 개인정보를 수집 내지 제공하는 경우에는 정보주체의 별도 동의가 필요 없다고 판시함으로써 공개된 개인정보의 활용과 정보주체의 보호를 조화할 수 있는 길을 열었다. 앞으로도 공개된 개인정보 취급에 있어 이와 같이 정보의 활용과 정보주체의 조화의 균형을 도모할 필요가 있다. 셋째, 개인정보 보호법, 정보통신망법, 신용정보법이 모두 개인정보의 보호에 관하여 규율함으로 인하여 각 법률들 간의 모순과 충돌이 발생하고 있다. 유럽이나 일본의 사례와 같이 개인정보보호 관련 법규를 적절히 통일할 필요가 있다. 넷째, 개인정보보호 법령상 정보주체의 동의는 정보주체의 개인정보 자기결정권을 보호하기 위하여 마련된 제도이나, 현실적으로 동의의 존재로 인하여 오히려 정보주체의 선택권이 박탈당하는 역설적 결과가 발생하고 있다. 그럼에도 불구하고 우리 개인정보보호 법령은 동의의 획득이라는 측면에 치우쳐 개인정보주체의 실질적 보호에 소홀한 한편, 개인정보의 활용도 어렵게 하고 있다. 이러한 동의 만능주의 내지 동의 형식주의는 조속히 극복될 필요가 있다. 다섯째, 우리나라의 개인정보보호 법령상 제재는 형사처벌에 집중되어 있는바, 이는 세계적으로 유례가 드문 방식이다. 이로 인하여 개인정보처리자들이 개인정보의 활용에 보수적이 되는 문제가 발생하고 있다. 더욱 심각하게, 형사처벌 규정들이 실제 위반행위의 중대성에 비례적이지 않은 부분도 드물지 않게 관찰된다. 형사처벌을 최소화하고, 민사 또는 행정적 제재 위주로 운영하는 방안을 검토해 볼 필요가 있다. 여섯째, 제3자 제공과 처리위탁에 관한 규율을 정비할 필요가 있다. 현재 제3자 제공과 처리위탁의 구분이 모호하며, 이러한 구분을 성공... In Korea, the collection and management of personal information is governed by relevant statutes, such as the Personal Information Protection Act (hereinafter “PIPA”), the Act on Promotion of Information and Communications Network Utilization and Information Protection, Etc. (hereinafter “Information Communications Network Act”), and the Credit Information Use and Protection Act (hereinafter “Credit Information Act”). Albeit the aforementioned statutes (hereinafter collectively referred to as “Data Protection Laws”) provide a wide range of regulations depending on the type of personal information (e.g., personal information or personal credit information) and subjects thereto (e.g., data handlers, information and communications service providers, and credit information companies), the actual enforcement of such regulations is becoming increasingly convoluted due to the emergence of various data processing methods stemming from advances in information technology and growing number of companies conducting business through both online and offline channels. Against this backdrop, this paper seeks to highlight and further discuss the following seven issues. First, the concept of personal information is of vital importance when determining the applicability of Data Protection Laws but nonetheless, there is no established interpretation regarding the concept thereof. Notably, there are opposing views between jurisprudence and judicial precedents regarding whose perspective should be considered when determining “identifiability” (this paper takes the view that the perspective of data handlers should be considered). However, given the lack of discussions regarding the concept of “identification,” active discussions thereon need to take place going forward. Secondly, legal controversy exists over the handling of publicly available personal informationinasmuch as views exist on the need to obtain prior consent from data subjects pursuant to Articles 15 and 17 of PIPA. However, the Supreme Court of Korea recently held that consent from data subject was not required for the collection and sharing of publicly available personal information in cases where such collection and sharing is deemed to be consistent with the data subject’s intention and purpose for disclosing his/her personal information(see Supreme Court Decision 2014Da235080 Decided August 17, 2016), thereby paving the way for achieving balance and harmony between the need for utilization of personal information and protection of the rights of data subjects. Thirdly, inasmuch as conflicts and discrepancies are persistent regarding statutory interpretation of Data Protection Laws, it is necessary to effectively harmonize the relevant laws and regulations as in the case of Europe and Japan. Fourth, even though the consent requirements under the Data Protection Laws were intended to protect the data subject’s right of self-determination of his/her personal information, such requirement is causing a paradoxical effect, i.e., data subjects are being deprived the opportunity to exercise de facto the right of informational self-determination. Nevertheless, the said Acts remain focused on strictly enforcing the consent requirement at the expense of providing actual protection to data subjects and in the process, is impeding the effective utilization of personal information. As such, it is necessary to move beyond this excessive focus on the consent requirement and the legal formalities related thereto. Fifth, Korea is unparalleled in its level of punishing violations related to personal information protection by establishing penal provisions under the PIPA. As such, data handlers are forced to rely on overly conservative practices when managing personal information. Even more concerning, such penal provisions appear to be disproportionate in many cases to the violative acts it seek to prevent. Therefore, it is necessary to consider minimizing criminal...

개정 신용정보법에 따른 신용정보 산업 구조 변화 검토 및 신용정보 산업 체계 개편 방안

장준용 은행법학회 2020 은행법연구 Vol.13 No.2

The revised Credit Information Act reorganized the structure of the credit information-related industry and renewed the definition of business by reducing the scope of its own work while dividing the credit inquiry business into individual credit evaluation business, individual business credit evaluation business, and corporate credit inquiry business. The credit inquiry business is losing its own significance because the tasks defined as incidental services of the business, which were excluded from the definition of a subdivided business and the scope of the unique work, overlap with the unique work of the credit inquiry business. It is deemed reasonable to abolish the credit-related business (personal credit evaluation, personal business credit evaluation, corporate credit inquiry) or credit information business, and to absorb any overlap with credit-related business in the relationship between the principal credit information inquiry business and the collection business, and to hand over other business to the private sector or the law on detective work. The revised Act excluded the collection business from the scope of the credit information business, but it remains in the Credit Information Act. The collection, which is difficult to see as an industry related to credit information, is considered desirable to transfer to the Act on the Fair Collection or the Act on the Registration of Loan Business, etc. and the Protection of Financial Users. 개정 신용정보법은 신용조회업을 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 세분화하면서 고유업무의 범위도 축소하여 신용정보 관련 산업의 구조를 개편하고 업(業)의 정의를 새롭게 하였다. 세분화된 업의 정의 및 고유업무의 범위에서 제외되어 해당 업의 부수업무로규정된 업무들은 신용조사업의 고유업무와 중복되는 면이 있어 신용조사업은 독자적인 존재의미를 잃어가고 있다. 신용정보업(개인신용평가업, 개인사업자신용평가업, 기업신용조회업) 또는 신용정보업의 부수 업무, 본인신용정보관리업과 채권추심업과의 관계에서 신용조사업과 중복되는 부분은 해당 업으로 흡수시키고 그 외의 업무는 개인정보법 및 민간조사업(또는 탐정업)에 관한 법률 제정안으로이관하고 신용조사업은 폐지하는 것이 타당하다고 본다. 개정법이 채권추심업을 신용정보업의 범위에서 제외하였지만 신용정보법에는 그대로 두고 있다. 신용정보 관련 산업으로는 보기 어려운 채권추심업은 「채권의 공정한 추심에 관한 법률」 또는 「대부업 등의 등록 및 금융이용자 보호에 관한 법률」로 이관하거나 독자적인 채권추심업법을 제정하는 것이 바람직하다고 본다.

개인신용정보의 보호법제에 관한 법적 연구

정순섭 ( Sun Seop Jung ),양기진 ( Gi Jin Yang ) 한국금융정보학회 2012 금융정보연구 Vol.1 No.1

이 논문은 우리나라의 개인신용정보 이용현황 및 관련 법제를 소개·분석하고, 신용정보법과 개인정보보호법간의 규제체계의 변동 및 상충여지가 있는 부분들을 적시하고 해결방안을 제시하였다. 개인신용정보가 해당 정보주체에게 어떠한 재산적 권리성인 인정되지 않으나 헌법적 기본권인 자기정보결정권의 선상에서 보호받아야 한다. 그러나 이 역시 공동체의 다른 이익과의 조화의 필요성상 제한될 수 있으며 헌법재판소 역시 이러한 의견을 지지하고 있다. 정보주체의 측면에서 개인신용정보는 해당 정보주체의 여러 가지 헌법적 권리와 긴밀하지만, 사회공동체적 관점에서 개인신용정보는 공공재적 성격을 띠고 있으므로 오히려 적정하게 정보의 수집·유통을 조장하는 것이 사회의 이익에 부합한다고 할 수 있다. 최신의 정확한 개인신용정보가 집적·공유되어야 정보불균형에 의한 금융시장 왜곡을 방지할 수 있다. 그러나 부정적인 정보에 주로 기초한 신용정보법제의 운용은 오늘날과 같은 신용사회에서 개인신용정보의 공공재적 속성에 요구되는 필요에 부응하지 못하고 있다. 따라서 개인신용정보라 할지라도 신용정보집중기관이나 신용조회회사에 정보주체의 동의없이 제공·집적될 수 있는 정보의 범위를 확대시켜야 할 것이다. 개인신용정보의 정확성 담보와 적정한 보호는 그 자체로 완결된 목적이 아니다. 개인신용정보의 정확성 담보는 개인신용평가 결과에 따른 금융상품의 개발 및 거래의 원활화로 연결될 수 있다. 또한 적확한 신용평가의 기초자료로서의 개인신용정보가 충분히 제공·유통될 수 있으려면 개인신용정보가 남용되지 않고 충분히 보호된다는 믿음 및 실질적인 보호가 주어져야 한다. 이제 축적된 개인신용정보의 효용을 깨닫고 정확·충분한 개인신용정보 인프라 구축에 노력해야 할 것이며, 향후에도 이를 위한 많은 연구결과가 나오기를 기대한다. This paper analyzes current law and practice of personal credit information in Korea. It also shows some conflicts between the Act on the Use and Protection of Credit Information and the newly enacted Personal Information Act. Personal Credit Information is not property right in its strict sense, but should be protected as part of the right of self-determination of information, a fundamental right in the Constitution Law. However, this protection may be compromised for public interest, which is to alleviate the financial market weaknesses inevitably caused by information asymmetry. Evaluation of personal credit with correct credit information can encourage the development of more efficient financial markets. Furthermore, personal credit information should not be abused so that the use of personal credit information as the basic data for accurate credit assessment can be expanded. This paper also suggests several proposals to reform the legal infrastructure for collecting and using correct personal credit information.

개인신용정보 비식별 조치의 내용과 한계에 관한 연구

백승엽,김일환 성균관대학교 법학연구원 2017 성균관법학 Vol.29 No.4

현행 개인정보보호법상 개인정보란 특정한 개인을 ‘식별할 수 있는’정보를 의미한다. 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당하므로 개인정보보호법은 개인정보처리자가 당초 수집, 이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원칙적으로 금지하고, 예외적으로 정보주체로부터 동의를 받은 경우 등에만 이를 허용한다. 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 또한 신용정보회사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주체의 개별 동의를 받도록 하고, 일부 예외적인 경우에만 동의 없는 제공을 인정하고 있다. 그러나 비식별(de-identification) 조치된 정보의 경우에는 양법 모두 정보주체의 동의 없이 개인신용정보를 제공 및 이용할 수 있도록 허용하고 있다. 특히 신용정보법은 비식별 정보에 대한 특별 취급을 하고 있는데, 첫째 신용조회회사는 개인신용정보를 그 지배주주 및 계열회사에게 제공할 수 없지만, 비식별 조치된 정보는 예외적으로 제공을 허용하고 있고, 둘째 신용정보회사 등이 ‘통계작성 및 학술연구 등을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인신용정보를 제공받기 위한 목적’으로 사용하는 자에게 개인신용정보를 제공하는 경우에는 정보주체의 동의 없이도 가능하며, 셋째 통계작성 및 학술연구를 목적으로 비식별 조치를 하면 정보주체의 동의 없이도 목적 외 이용이 가능하게 된다. 그러나 이러한 법적근거에도 불구하고 비식별 조치는 몇 가지 근본적인 문제점을 가지고 있다. 첫째 비식별 조치는 개인정보자기결정권의 핵심인 정보 주체의 동의권을 행사할 수 없도록 하는 조치임에도 불구하고, 그러한 기본권 제한의 근거를 신용정보법에서 위임하고 있지 않은 점, 둘째 비식별 조치 사유로서 통계작성과 학술연구 목적을 열거하고 있는 바, 이는 통계작성이나 학술연구 두 가지 목적이 아닌 다른 사유를 근거로 비식별 조치가 허용되지 않음으로써 본래의 도입 목적인 빅데이터 산업 활성화와는 상관없이 작동하게 되어 버린 점, 셋째 법문의 ‘통계작성 및 학술연구 등’이라는 개념이 포괄적이고 불확정적이며 예시적인 형태로도 해석이 가능하고, 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서 다른 정보와의 결합을 통해 당초의 개인신용정보로 재식별될 가능성을 무시할 수 없는 등 개인정보자기결정권이 침해될 수 있는 점, 다섯째 현행 법률은 물론이고 개정안 어디에서도 비식별 조치에 대한 구체적인 판단기준이나 한계의 불명확성으로 인해 그 위반행위에 대한 처벌 구성요건을 적용하기가 어려워 죄형법정주의에 위배될 수 있는 문제점을 가지고 있다. On existing privacy protection act, the privacy protection means information that can identify specific individual. Since actions like investigation, collection, keep, use focused on personal information apply as a rule the limit of individual privacy protection right, the privacy protection law in principle prohibits the case that the manager of personal information uses his information out of purpose of collection, use, or provides a third party with information. By the way, exceptionally he can be allowed if principals of information afford the agreement. Credit information act (the law about use and protection of credit information) also exceptionally acknowledges the offer without agreement the case of a credit information company offers personal credit information to others, in principal after receiving individual agreement of credit information object. However, in the case of the information that takes de-identification action, both allow one provides personal credit information without agreement of principals of information or uses it. In other words, personal information protection act defines one can provide personal information to a third party or use information as a use except of purpose in the case of providing personal information as a form that nobody can identify specific individual for the purpose of statistics producing and academic research if one has no risk to unfairly violate profits of principals of information or a third party. For this, similar to personal information protection act, de-identification information admits the use except of primary purpose and providing to a third party without an agreement of principals of information. This purpose of act presumes through de-identification action, since information that specific principal of information is unrecognizable is no more personal information, it is not applied to individual information protection act, and it can’t violate individual information right that is protected by constitution. Also the government is implementing personal information de-identification guide line announced for clearly abducing de-identification action standard and de-identification information application scope of individual information to utilize Big Data safely in the form of personal information protection act along the appearance of a new ear like Big Data , IoT, etc. Especially, credit information act does special handling about de-identification information. Firstly, a credit inquiry company is not able to provide personal credit information to the controlling shareholder and subsidiary, but it can provide de-identified information exceptionally. Second, in the case a credit information company provides personal credit information to the one who uses it as the purpose to be provided personal credit information that a specific individual can’t be recognized for statistics writing and academic research. In this case, the agreement of principals of information is not needed. Additionally, for statistics writing and academic research, after de-identification action, one can use out of purpose without agreement of principals of information. However, in spite of these legal bases, de-identification action has several fundamental problems. First, de-identification action is the action that prohibits principals of information from the agreement right that is the core of personal information right. Though, the basis of prohibition of basic human right is not delegated by credit information act. Second, the reason of de-identification action is statistics and academic research. This is operating regardless Big Data industry vitalization that was primary introduction purpose, not the original twin purposes, with other reasons. And It can’t be allowed as de-identification action. Third, in the law, the notion of statistics writing and academic research is not obvious and comprehensive and interpreted as a form of foreshadower. And in the handling process that wholes...

개정「신용정보의 이용 및 보호에 관한 법률」주요 사안 검토

전한덕(Jun Han deok) 한국보험법학회 2015 보험법연구 Vol.9 No.2

2014년 1월 카드 3사의 대규모 개인신용정보유출 사태를 계기로 2015년 9월 12일개정ㆍ시행된「신용정보의 이용 및 보호에 관한 법률」은신용정보수집ㆍ이용ㆍ제공시동의절차 강화, 신용정보 집중ㆍ관리체계 개편, 배상책임보험의 가입 의무화 등의 정보유출을 최소화하기 위한 사전 예방조치와 함께 과징금제도, 법정 손해배상책임제도 도입 등의 강화 된 제재수단을 마련하는 등 상당히 획기적인 규제내용을 담고 있다. 반면에 이번 개정 신용정보법은 신용정보주체의 보호에만 치중한 나머지 신용정보회사의 영업 현실이나 신용정보의 효율적인활용 측면은 상대적으로소홀히 다루는 등입법 과정에서 양법익 당사자인 신용정보제공이용자와 개인신용정보 보호 주체의 균형을 도모하려는 신중한 검토가 부족했던 점은 아쉬움으로 남는다. 이 논문에서는 개정 신용정보법의 주요 내용과 시행 효과 등을 살펴보고, 개정 법률에서 나타나는 문제점과 이에 대한 개선안을 제시하여 개인신용정보 보호주체의보호와 신용정보산업의 건전한 발전사이에 균형을 유지할 수 있는 해결책을 찾고자 하였다. Due to the recent event in January 2014 that the customer information of major 3 card companies has been mass-released occured, the Act on Use and Protection of Credit Information (hereinafter "the new revised Act") was comprehensively revised and the amendments taken into effective from September 12, 2015. The new revised Act contains quite innovative regulation contents such as reenforcement of agreement procedure on collection, use and provide of credit information, reorganization of integrated management system on credit information, insuring obligation of liability insurance, etc. On the other hand the new revised Act was focused on protection of principals of credit information, and consequently credit information company's business activities or effective use was relatively handled carelessly. I am sorry that the new revised Act was not revised in a balanced way between credit information companies and credit information proposals. In this connection, I will review the new revised Act's main contents, regulatory effectiveness, etc., find problems and suggest improvement proposals. I hope this study will be of help to the balanced development between protection of credit information proposals and sound development of credit information companies.

금융거래에 있어서 개인신용정보 보호법제의 주요 내용과 법적 문제

맹수석(Maeng Soo-Seok) 한국법학회 2010 법학연구 Vol.37 No.-

금융거래에 있어서 거래고객의 신용정보는 매우 중요한 법적 의미를 갖는다. 최근 금융거래관계에서 제공되고 있는 고객의 개인신용정보에 대한 오ㆍ남용의 문제와 함께, 프라이버시침해로 인한 법적 분쟁이 증가하고 있다. 금융기관의 입장에서는 여신 판단 등을 함에 있어 개인의 신용정보를 정확히 파악할 필요가 있고, 거래 고객의 입장에서는 자신의 경제상태나 프라이버시의 노출을 꺼리게 되기 때문에, 이에 대한 합리적 접점을 찾는 것이 중요하다. 이러한 측면에서 본 연구에서는 개인신용정보보호에 관한 외국의 입법 동향을 살피고, 현행 신용정보보호법제의 문제점과 그에 대한 개선방안을 검토ㆍ제시하였다. 신용정보의 두터운 보호체계가 구축될 때 소비자는 안심하고 금융거래를 할 수 있게 될 것이고, 이러한 여건을 조성하기 위한 입법적 노력은 금융시스템의 선진화를 위해서도 꼭 필요한 과제라고 본다. 이러한 측면에서 2009년 개정된 신용정보보호법은 철회권을 도입하여 신용정보주체의 자기정보통제권을 강화하는 등 기존의 입법적 미비점을 개선ㆍ보완하였지만, 아직도 미흡한 점이 없지 않다. 따라서 개인신용정보 제공에 있어서 실질적 사전 동의방식의 확립, 개인신용정보 이용에 대한 동의를 함에 있어서 적용제외대상의 최소화, 개인신용정보의 이용목적 범위의 합리적 조정, 개인 신용정보 제공ㆍ이용 동의에 대한 실질적 자기통제권의 보장, 신용정보업에 대한 엄격하고도 실질적인 감독의 추구 등을 위한 입법적 노력이 필요하다고 본다. A client's credit information within financial transactions carries vital legal implications. However, legal conflicts over privacy violations as well as the misuse and abused use of client's personal credit information is increasing. From the perspective of the financial institutions, an individual's credit information must be thoroughly identified and reviewed before approving financial activities with that particular client. However, from the perspective of the client, the exposure of personal economic conditions and privacy information cannot be welcomed. Thus, it is imperative to find a rational compromise that can satisfy the needs of the two different perspectives. Our country has continually enforced the protection of individual personal credit information. Still, there are many aspects that can be strengthened. Hence, this research will examine foreign legislations regarding the protection of personal credit information in order to evaluate and identify the problems of the currently enacted protection laws as well as propose ways to improve the current structure. Once a trustworthy safety structure is established, clients will feel more secure in conducting financial transaction. Thus, efforts to strengthen the legislation regarding privacy protection is a necessary task to further develop the national financial system In this aspect, the Credit Information Protection Law passed in 2009 succeeded in reinforcing an individual's authority over his or her own credit information. Still, there are many ways that the enacted Law could achieve further success. This paper believes that further legislative efforts are needed to establish a system where the involved individual provides the final release of personal information, to minimize excluded clients, to control the reasonable range of use of personal credit information, the insurance of control over providing and using personal credit information, as well as the strict and safe management of the provided personal credit information.