개인신용정보 보호법제의 중복규제 및 해소방안 연구 ― 신용정보의 이용 및 보호에 관한 법률을 중심으로 ―

백승엽,김일환 미국헌법학회 2017 美國憲法硏究 Vol.28 No.3

오늘날 개인신용정보는 공공부문과 민간부문에서 국민에 대한 적실성 있는 행정 및 소비자 편익제공을 위해 활용도가 점증되고 있는 반면, 복지국가의 이념과 전자정부의 구현을 위한 효과적인 개인정보 처리 및 빅데이터 환경에서 무분별한 수집/활용으로 인한 헌법상 보장된 국민의 기본권이 침해되지 되지 않도록 엄격히 보호되고 규제되어야 할 필요성 또한 매우 높아지고 있는 실정이다. 그러나 국내 개인신용정보 보호법제간 중복규제 문제로 인하여 법을 적용하는 순위 면에서 상호모순적일 뿐만 아니라 법적용의 일관성 측면에서도 문제가 발생하고 있다. 이는 단순히 우선순위의 차이만을 초래하는 것이 아니라 법 적용에 따른 규제수준에도 차이가 발생하는 바, 이를 해소함으로써 개인신용정보의 효과적인 보호와 규제를 보다 철저히 시행할 필요성이 매우 높다고 할 수 있다. 과거 개인신용정보의 오ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호할 필요성뿐만 아니라, 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 통해 건전한 신용질서를 확립하기 위하여 ‘신용정보의 이용 및 보호에 관한 법률(법률 제4866호)’(이하 신용정보법)이 1995년에 개정되었고, 2011년에는 ‘개인정보보호법(법률 제10465호)’이 제정되어 개인정보보호 관련 다른 법률에 특별한 규정이 있는 경우에만 해당 특별법 조항을 우선적으로 적용받게 함으로써 개인정보보호법은 일반법으로서 전체 분야를 관할하고, 그 외 신용정보법, 온라인상에서 금융거래 등과 관련된 개인정보의 보호를 관할하기 위해 제정한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제14080호)’(이하 정보통신망법) 등의 특별법은 각 분야별로 적용되고 있었다. 그러나 전술한 바와 같이 개인정보보호법과 신용정보법간 법률조문 기술방식과 해석상의 문제로 인하여 개인정보보호법과 신용정보법의 일반법과 특별법 관계가 불분명한 경우가 많았고, 각 법률이 중첩적으로 적용되는 문제가 발생하고 있는 실정이다. 즉 개인정보보호법과 신용정보법 간에 실질적으로 동일하거나 유사한 내용을 갖는데도 조문 기술방식이 달라 해석의 어려움이 발생할 뿐만 아니라 신용정보법이 규정하지 않는 사항에 대해서 여전히 개인정보보호법이 적용될 수 있으므로 수범자인 금융기관 입장에서도 두 법률을 모두 검토해야 하는 규제 준수의 부담이 있어 왔다. 이에 따라 금융위원회는 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 따라 신용정보법이 규정하고 있지 않지만 개인정보보호법에는 있는 내용을 반영하여 규제의 틈새를 메워나가는 등 개인정보의 규율에 대한 두 법률의 간극을 해소하고자 개선방안을 발표하고, 입법적 정비(2014년, 2016년, 2017년)를 시도 하였으나, 여전히 조항별로 특별법이 다른 해석상 모순적인 법적용을 계속해서 초래하고 있어 각 법률간의 우선순위 문제가 해결되지 못하고 있는 실정이다. 이와 같은 규정 체계의 상호모순을 극복하고 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 맞추어 신용정보법(제3조의2) 관련 규정을 근본적으로 개정할 필요가 있다. While degree of practical use of personal credit information has been gradually increasing for precise information of administration and convenience in both public and private sector, it also should be noted that such usage should be strictly protected and regulated lest basic right enshrined in the constitution should be infringed due to imprudent collection and utilization of personal information for realization of a welfare state and e-government in so-called big data environments. However, domestic use of personal credit information is not only inter-contradictory in prioritization of legal application due to duplicated regulation but also not consistent in actual applications. Since this could cause both discrepancy in prioritization and one in degree of regulation application, it deems to be necessary to enforce efficient protection and regulation of personal credit information in more thorough fashion. ‘Credit Information Use and Protection Act’ (hereinafter referred to “Credit Information Act”) as was revised in 1995 to foster a sound credit information business, promoting an efficient utilization and systematic management of credit information, and protecting privacy, etc. from the misuse and abuse of credit information properly, thereby contributing to the establishment of sound practices in credit transaction. ‘Personal Information Protection Act’ was established by law in 2011 in which application of the act is subject to the whole industries as a general law unless it is stipulated otherwise in other special law. In the similar fashion, ‘Act on Promotion of Information and Communication Network Utilization and Information protection, etc.’ (hereinafter referred to “Information Network Act”) whose purpose is to protect security of online financial transaction and personal information has been applied to respective industries. However, due to the previously elaborated ambiguity in provision stipulation and interpretation, many occasions occur where relationship between Credit Information Act and Information Network Act are not clear and two acts are applied redundantly. Albeit same or similar contents and intentions are contained in Credit Information Act and Information Network Act, since provisions in those acts could be interpreted differently and Credit Information Act could be applied to where Personal Information Act is not applicable, financial institutions such as banks have been burdened by compliance and interpretation of two acts. To make a point of regulation alignment to Credit Information Act for legal regulation of credit information, Financial Services Commission announced an expedient plan for bridging the gap between personal information related acts reflecting what is not covered in Credit Information Act whereas covered in Personal Information Act. Even with legislative modification in 2014, 2016 and 2017, several special laws have deepened a level of equivocality in provision interpretation and prioritization issues from each legislation has not been cleared yet. To sort out confusion in regulation system and to position Credit Information Act as a special law which should be applied to financial enterprises as framework of protection system of personal information, CreditInformationAct, especially in Article3-2(Relationship to other Acts) should be fundamentally revised to stipulate that Credit Information Act is a speciall with regard to Persona lInformation Act.

개인신용정보의 범위에 대한 비판적 고찰 - 기본적 상행위 거래정보는 모두 개인신용정보인가? -

김현경 ( Hyun-kyung Kim ) 이화여자대학교 법학연구소 2020 法學論集 Vol.25 No.2

「개인정보 보호법」은 개인정보 보호의 일반법·기본법으로서 그 역할을 다해야 한다. 그러나 우리나라의 개인정보 보호법제가 일반법을 중심으로 법령의 체계 정합성을 맞추어 가면서 제·개정 되지 못하고 영역별 필요에 따라 우후죽순으로 만들어진 법령을 그대로 존치한 채, 「개인정보 보호법」을 후발적으로 마련한바, 법령 간 체계 정합성이 부족한 상황이다. 개인정보 보호법제의 체계 부정합은 결국 독립된 감독기구로서 개인정보 보호위원회의 위상을 약화시키고, 「개인정보 보호법」의 집행력을 떨어뜨리게 된다. 영역별 법령이 우선 적용되고 소관부처의 지도·감독이 우선시되면서 독립된 개인정보 감독기구로서 개인정보 보호위원회의 실질적 권한과 역할이 제 기능을 발휘하지 못하게 될 수 있기 때문이다. 특히 최근 개정된 「신용정보법」상 신용정보의 범위에 “「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 포함시켜 그 적용범위가 대폭 확장되었고, 하물며 단순 구매이력정보 역시 신용정보의 범위에 포섭되게 되었다. 이러한 무리한 개인신용정보의 범위 확장은 「개인정보 보호법」의 일반법으로서의 지위를 불명확하게 만들고 있다. 이는 결국 「신용정보법」상 도입된 특수한 제도 즉, ‘개인신용정보 전송요구권(일명 개인정보 이동권)’ 및 '마이데이터(본인신용정보관리업)사업‘이 정작 「개인정보 보호법」에는 도입되지 않았음에도 불구하고 개인정보보호의 거의 전 영역에서 실시되는 결과를 초래할 수 있다. 따라서 “「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 신용정보의 범주에서 삭제하고, 신용판단의 기초가 될 수 있는 거래정보로 제한하여야 한다. 또한 개인정보 보호에 대한 금융위원회의 기능은 개인정보 보호위원회로 일원화하여야 한다. 금융위원회 등 분야별 개별법상 개인정보 기관은 관련 산업의 진흥을 동시에 고려해야 할 뿐만 아니라 업계 및 소관행정기관의 이해관계에 불가피하게 구속될 수 있기 때문이다. 신용정보의 범위 확장은 금융위원회의 개인정보 관리·감독 기능의 확대를 의미하며, 정작 개인정보 보호의 독립적 감독기구인 ‘개인정보 보호위원회’의 기능이 비정상적으로 축소될 수 있다. 개인정보 보호는 기본적으로 인권법 내지는 정보법에서 다뤄야 할 부분이며, 상사특별법인 「신용정보법」을 통하여 개인정보 보호의 원칙이 손상되어서는 안 된다. The 「Personal Information Protection Act」 should fulfill its role as a general law and basic law for personal information protection. However, Korea's personal information protection legal system was not enacted and amended as the system of laws and regulations was aligned with the general laws, and the ``Personal Information Protection Act'' was newly established while still retaining the laws and regulations made out of order according to the needs of each area. Therefore, there is a lack of system consistency between laws and regulations. The inconsistency of the Personal Information Protection Act system eventually weakens the status of the Personal Information Protection Commission as an independent supervisory body, and reduces the enforcement power of the Personal Information Protection Act. This is because the actual authority and role of the Personal Information Protection Commission as an independent personal information supervisory body may not function properly as laws and regulations for each area are applied first and the guidance and supervision of relevant ministries is given priority. In particular, the scope of credit information under the recently revised 「Credit Information Act」 has been greatly expanded by including 'information on the type, period, content, conditions, etc. of commercial transactions pursuant to Article 46 of the 「Commercial Act」’. Furthermore, simple purchase history information was also included in the scope of credit information. This unreasonable expansion of the scope of personal credit information is making its position as a general law of the 「Personal Information Protection Act」 unclear. As a result, the special systems introduced under the 「Credit Information Act」, namely the 'right to request transmission of personal credit information and my data (personal credit information management) business', were not actually introduced in the 「Personal Information Protection Act」. In spite of that, it can lead to consequences that are implemented in almost all areas of personal information protection. Therefore, 'information on the type, period, content, conditions, etc. of commercial transactions pursuant to Article 46 of the 「Commercial Act」’ should be deleted from the category of credit information and credit information should be limited to transaction information that can be the basis for credit judgment. In addition, the function of the Financial Services Commission for personal information protection should be unified with the Personal Information Protection Commission. Personal information institutions in each field, such as the Financial Services Commission, not only need to consider the promotion of related industries at the same time, but it is highly likely that they will not be free from the interests or pressures of the relevant administrative departments or related industries. This is because the expansion of the scope of credit information means the expansion of the personal information management and supervision functions of the Financial Services Commission, and the function of the “Personal Information Protection Commission,” an independent supervisory body for personal information protection, may be abnormally reduced. Personal information protection is basically a part to be dealt with in the Human Rights Laws or the Information Laws and this principle should not be damaged through the 「Credit Information Act」 as a special law of the Commercial Act.

개인정보 보호법과 다른 법률 간의 정합성 연구

이부하 충북대학교 법학연구소 2023 과학기술과 법 Vol.14 No.1

The consistency between the 「Personal Information Protection Act」 and other laws related to personal information is an issue. It is necessary to investigate the relationship between the 「Personal Information Protection Act」 and the Credit Information Act and between the Personal Information Protection Act and the Location Information Act. As a problem of systematic and consistent support for the protection of the rights and interests of the data subject, it is difficult to confirm the inconsistency of applicable laws and support organizations for rights relief when rights relief is necessary. It is necessary to amend the law on the subject and scope of application of the Personal Information Protection Commission, which has the general supervision of ʻpersonal information protectionʼ. It is necessary to establish a senior supervisory body to perform the role of managing and supervising all workplaces that process personal information. The hierarchical hierarchy of supervisory bodies should be rearranged, and senior supervisory bodies should be set up to separate them by sector. Supervisory body should be performed personal information protection through compliance with personal information protection principles, receipt of reports on personal information infringement notices and handling of complaints, cooperation between personal information processors and consignees, and mutual support and cooperation with the Personal Information Protection Committee. According to the revision of the Credit Information Act, similar or overlapping contents to the 「Personal Information Protection Act」 were changed to apply the 「Personal Information Protection Act」, but there are some differences in the contents of the two laws. While the Credit Information Act includes statistical and industrial research on the use of pseudonymous information, the 「Personal Information Protection Act」 has no explicit regulations, so there is a difference in interpretation. In addition, the reason for obtaining the consent of the information subject under the Credit Information Act, exceptions, and the format of the consent form are stipulated differently from the 「Personal Information Protection Act」, causing confusion. It is difficult to confirm the inconsistency of the applicable law and the organization supporting the relief of rights when remedies are applied. When personal information is leaked to credit information companies, excluding commercial enterprises and corporations, it is stipulated that the Financial Services Commission has jurisdiction. It is necessary to improve the subject and scope of application of the Personal Information Protection Committee, which has the general supervision of ʻpersonal information protectionʼ. In order to resolve the confusion in the application of personal information, the 「Personal Information Protection Act」 should be basically applied, and the Personal Information Protection Committee should perform professional and systematic supervision in each area. After deleting provisions similar to the 「Personal Information Protection Act」 in the Credit Information Act, make the 「Personal Information Protection Act」 apply as the basic law, and stipulate only the provisions requiring exceptions in the Credit Information Act.

개인신용정보 비식별 조치의 내용과 한계에 관한 연구

백승엽,김일환 성균관대학교 법학연구원 2017 성균관법학 Vol.29 No.4

현행 개인정보보호법상 개인정보란 특정한 개인을 ‘식별할 수 있는’정보를 의미한다. 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당하므로 개인정보보호법은 개인정보처리자가 당초 수집, 이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원칙적으로 금지하고, 예외적으로 정보주체로부터 동의를 받은 경우 등에만 이를 허용한다. 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 또한 신용정보회사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주체의 개별 동의를 받도록 하고, 일부 예외적인 경우에만 동의 없는 제공을 인정하고 있다. 그러나 비식별(de-identification) 조치된 정보의 경우에는 양법 모두 정보주체의 동의 없이 개인신용정보를 제공 및 이용할 수 있도록 허용하고 있다. 특히 신용정보법은 비식별 정보에 대한 특별 취급을 하고 있는데, 첫째 신용조회회사는 개인신용정보를 그 지배주주 및 계열회사에게 제공할 수 없지만, 비식별 조치된 정보는 예외적으로 제공을 허용하고 있고, 둘째 신용정보회사 등이 ‘통계작성 및 학술연구 등을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인신용정보를 제공받기 위한 목적’으로 사용하는 자에게 개인신용정보를 제공하는 경우에는 정보주체의 동의 없이도 가능하며, 셋째 통계작성 및 학술연구를 목적으로 비식별 조치를 하면 정보주체의 동의 없이도 목적 외 이용이 가능하게 된다. 그러나 이러한 법적근거에도 불구하고 비식별 조치는 몇 가지 근본적인 문제점을 가지고 있다. 첫째 비식별 조치는 개인정보자기결정권의 핵심인 정보 주체의 동의권을 행사할 수 없도록 하는 조치임에도 불구하고, 그러한 기본권 제한의 근거를 신용정보법에서 위임하고 있지 않은 점, 둘째 비식별 조치 사유로서 통계작성과 학술연구 목적을 열거하고 있는 바, 이는 통계작성이나 학술연구 두 가지 목적이 아닌 다른 사유를 근거로 비식별 조치가 허용되지 않음으로써 본래의 도입 목적인 빅데이터 산업 활성화와는 상관없이 작동하게 되어 버린 점, 셋째 법문의 ‘통계작성 및 학술연구 등’이라는 개념이 포괄적이고 불확정적이며 예시적인 형태로도 해석이 가능하고, 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서 다른 정보와의 결합을 통해 당초의 개인신용정보로 재식별될 가능성을 무시할 수 없는 등 개인정보자기결정권이 침해될 수 있는 점, 다섯째 현행 법률은 물론이고 개정안 어디에서도 비식별 조치에 대한 구체적인 판단기준이나 한계의 불명확성으로 인해 그 위반행위에 대한 처벌 구성요건을 적용하기가 어려워 죄형법정주의에 위배될 수 있는 문제점을 가지고 있다. On existing privacy protection act, the privacy protection means information that can identify specific individual. Since actions like investigation, collection, keep, use focused on personal information apply as a rule the limit of individual privacy protection right, the privacy protection law in principle prohibits the case that the manager of personal information uses his information out of purpose of collection, use, or provides a third party with information. By the way, exceptionally he can be allowed if principals of information afford the agreement. Credit information act (the law about use and protection of credit information) also exceptionally acknowledges the offer without agreement the case of a credit information company offers personal credit information to others, in principal after receiving individual agreement of credit information object. However, in the case of the information that takes de-identification action, both allow one provides personal credit information without agreement of principals of information or uses it. In other words, personal information protection act defines one can provide personal information to a third party or use information as a use except of purpose in the case of providing personal information as a form that nobody can identify specific individual for the purpose of statistics producing and academic research if one has no risk to unfairly violate profits of principals of information or a third party. For this, similar to personal information protection act, de-identification information admits the use except of primary purpose and providing to a third party without an agreement of principals of information. This purpose of act presumes through de-identification action, since information that specific principal of information is unrecognizable is no more personal information, it is not applied to individual information protection act, and it can’t violate individual information right that is protected by constitution. Also the government is implementing personal information de-identification guide line announced for clearly abducing de-identification action standard and de-identification information application scope of individual information to utilize Big Data safely in the form of personal information protection act along the appearance of a new ear like Big Data , IoT, etc. Especially, credit information act does special handling about de-identification information. Firstly, a credit inquiry company is not able to provide personal credit information to the controlling shareholder and subsidiary, but it can provide de-identified information exceptionally. Second, in the case a credit information company provides personal credit information to the one who uses it as the purpose to be provided personal credit information that a specific individual can’t be recognized for statistics writing and academic research. In this case, the agreement of principals of information is not needed. Additionally, for statistics writing and academic research, after de-identification action, one can use out of purpose without agreement of principals of information. However, in spite of these legal bases, de-identification action has several fundamental problems. First, de-identification action is the action that prohibits principals of information from the agreement right that is the core of personal information right. Though, the basis of prohibition of basic human right is not delegated by credit information act. Second, the reason of de-identification action is statistics and academic research. This is operating regardless Big Data industry vitalization that was primary introduction purpose, not the original twin purposes, with other reasons. And It can’t be allowed as de-identification action. Third, in the law, the notion of statistics writing and academic research is not obvious and comprehensive and interpreted as a form of foreshadower. And in the handling process that wholes...

개인정보 법제의 정합성 확보방안에 관한 검토 – 개인정보보호법, 신용정보법, 위치정보법을 중심으로 –

박미사 서강대학교 법학연구소 2023 서강법률논총 Vol.12 No.3

Korea's personal information legislation consists of the 「Personal Information Protection Act」, which is both a general law and a fundamental law, and individual laws such as the 「Credit Information Use And Protection Act」, and the 「Act On The Protection And Use Of Location Information」. Until now, Korea's personal information legislation have similar and overlapping problems existed while being dispersed into the Personal Information Protection Act, the Information and Communication Network Act, and the Credit Information Act. However, through the revision of the Data 3 Act in February 2020, it was unified around the Personal Information Protection Act. In addition, in March 2023, the special provisions for provider of information and communications services were deleted through the second revision. Therefore, the problems of overlap between personal information controller and provider of information and communications services have been resolved to some extent. However, three years after the Data 3 Act took effect, the issue of overlapping regulations of the Personal Information Protection Act, the Credit Information Act, and the Location Information Act still remains. In addition, there has been no complete consultation between ministries on the revision of the Location Information Act, which transfers the processing and protection functions of personal location information to the Personal Information Protection Committee. Therefore, in this paper, I would like to examine the similar and overlapping problems of Korea's personal information legislation, focusing on the current 「Personal Information Protection Act」, the 「Credit Information Use And Protection Act」, and the 「Act On The Protection And Use Of Location Information」. Next, as a reasonable way to improve the personal information legislation in consideration of the principle of coherence of the legal system, we would like to clarify the status of the 「Personal Information Protection Act」 as a general law and a fundamental law.

개인정보 법제의 쟁점과 개선방안

이성엽 서울대학교 기술과법센터 2009 Law & technology Vol.5 No.4

The capacity for gathering and storing personal information has significantly improved due torecent developments in Internet service and information and communications technology. In light ofsuch improvement, there is an increasing demand for companies to utilize personal information formarketing purposes. Consequently, many countries, including Korea, are amending their privacyprotections acts. With regards to Korean privacy laws, the “Act on the Protection of Personal InformationMaintained by Public Agencies”applies to the public sector while the “Act on Promotion ofInformation and Telecommunications Network Use and Protection of Information”(“APITN”)applies to the private sector. In addition, the “Use and Protection of Credit Information Act”(“CreditInformation Act”) protects credit information relating to financial transactions. Such laws that serveto protect personal information are based on the individual’s right to control his/her own personalinformation, a right to personal privacy and freedom detailed in Article 17 of the Korea Constitution.With respect to privacy laws in the United States, despite the establishment of privacy acts such asthe Privacy Act of 1974 and the Electronic Communication Privacy Act of 1986, such laws onlyobligate a company to publicize privacy policies pursuant to such laws; the laws do not regulate thecontent of a company’s privacy policy. In this regard, there is a significant disparity betweenKorean and American privacy acts. While American privacy acts do not regulate the content ofprivacy policy, Korean privacy acts not only dictate the collection, use and provision of personalinformation but also regulate the content of privacy policy.My opinions regarding key issues in Korean privacy laws today are as follows. ①First, withregard to the relationship between the APITN and the Credit Information Act, some advocate theview that the APITN is a special law in relation to the Credit Information Act, and therefore shouldtake precedence. However, in my opinion, both the APITN and the Credit Information Act can beapplied simultaneously since the purpose, object, measure and method of the APITN are differentfrom those of the Credit Information Act. ②Second, providing personal information to a third partyestablishes a new legal relationship with the third party, while entrusting a trustee with personalinformation obligates the trustee to assist or act as an agent in the performance of the provider’slegal relations. ③Third, the compensation for damages incurred by the improper dissemination ofpersonal information should, in principle, be limited to property damages, but mental damages canalso be compensated for if users are able to specifically prove facts relating to the mental damages. ④According to Article 26 of APITN, telecommunication service providers should notify the nameof transferee etc. when transferring personal information for both business transfers as well asmergers. From a legislative perspective, however, I believe there is a need to amend such articlethat provides that it is sufficient only to notify users when there is a business transfer, because thecompany should obtain consent from users on an individual basis for business transfers unlikemergers. The Korean Government has recently submitted the “Act on Protection of PersonalInformation,”a bill applying to both public sector and private sector, for consideration by theNational Assembly. It appears likely that if such an act is established, there will be a significantchange in Korean privacy law system. However, I believe an in-depth study regarding the relationbetween this law and other privacy laws such as APITN and the jurisdiction of these laws will benecessary. 최근 인터넷과 정보통신기술의 발전으로 개인정보의 수집, 저장능력이 획기적으로 발전하면서, 기업들이 개인정보를 마케팅 등에 활용하고자 하는 수요도 증가하고 있고, 이에 따라 한국을 비롯한 각국은 개인정보보호에 관한 법제를 정비하고 있다. 한국의 개인정보보호 관련 법률로는, 공공부문에 적용되는“공공기관의 개인정보보호에 관한 법률”, 민간부문에 적용되는“정보통신망 이용촉진 및 정보보호 등에 관한 법률”(“정보통신망법”)이 있으며, 그 외에도 금융거래상의 신용정보를 보호하기 위한 신용정보의 이용 및 보호에 관한 법률(“신용정보법”) 등이 있다. 이러한 개인정보 보호에 관한 법률은 헌법 제17조의 사생활의 비밀과 자유의 일환으로 인정되는 자기정보관리 통제권에 근거한 것이다. 한편, 미국의 경우 1974년 연방프라이버시법(Privacy Act of 1974), 1986년 전자통신프라이버시법(Electronic Communication Privacy Act of 1986) 등 개인정보 보호를 위한 법률이 제정되어 있지만, 기업이 개인정보보호정책을 공지하고 그 정책을 준수할 것을 요구하고 있을 뿐, 그 정책의 내용을 규제하고 있지는 않다. 이와 같이 미국의 개인정보보호 관련 법률은 기업의 개인정보보호 정책내용을 규제하고 있지 않으나, 한국의 개인정보보호 관련 법률은 개인정보의 수집, 이용, 제공에 대한 규정을 두고 있고 개인정보보호방침에 대한 규제를 통해 기업의 개인정보보호 정책 내용까지 규제하고 있다는 점에서 큰 차이가 있다. 최근 한국의 개인정보보호 법제와 관련하여 이슈가 되고 있는 사항에 관한 필자의 생각은 다음과 같다. ① 정보통신망법과 신용정보법의 관계와 관련하여, 정보통신망법이 신용정보법의 특별법이라고 해석하는 견해도 있으나 양법의 입법목적, 규율대상, 수단, 방법 등을 달리하고 있으므로 중첩적으로 적용된다고 보아야 할 것이다. ② 한편, 개인정보의 제3자 제공은“제공받은 제3자의 새로운 법률관계의 성립 및 이행을 위해 제공하는 경우”이고, 개인정보의 취급 위탁은“위탁자의 법률관계의 성립, 이행의 보조 및 대행을 위한 경우”라고 구분할 수 있을 것이다. ③ 개인정보유출로 인한 손해배상책임은 원칙적으로 이용자의 재산상 손해에 한하도록 하되, 이용자가 손해 발생 사실을 구체적으로 입증한 경우에는 정신적 손해에 대한 배상책임도 부담하도록 하는 것이 필요할 것이다. ④ 정보통신망법 제26조는 영업양수와 합병으로 개인정보를 이전하는 경우 개인정보를 이전 받는 자의 성명등을 고지하도록 하고 있으나, 합병과 달리 영업양도를 하기 위해서는 영업재산 이전을 위한 개별적인 동의가 필요하므로, 영업양수도시 합병과 동일하게 개인정보 이전을 위해 고지만으로 가능하도록 하는 조항은 입법적으로 개선할 필요가 있다. 최근 정부는 공공 부문과 민간 부문에 공통적으로 적용될 수 있는“개인정보보호법”을 마련하여 국회에 제출하였는데, 위 법이 제정되는 경우 한국이 개인정보보호법제는 획기적인 변화를 맞이할 것으로 보인다. 그러나, 정보통신망법 및 공공기관의 개인정보보호에 관한 법률 등과 같은 기존의 개인정보보호 법률과 관계, 규제기관간 관할 문제 등에 대한 심도 있는 검토가 필요할 것으로 보인다.

금융소비자의 금융정보보호 관련법제의 내용과 문제점

안수현 ( Soo Hyun Ahn ) 아세아여성법학회 2008 아세아여성법학 Vol.11 No.-

In Korea, universal privacy protection legislation is not existed. Instead, the Act concerning the Use and Protection of Credit Information has been the statas of basic act for the protection of personal privacy information of financial consumers. Internationally the foreign countries`s approach to protect the financial consumers from financial privacy infrmation`s misuse is seemed to follow one of following models. First, it tis EU model. According to the EU Directive on data protection, it regulates the conditional data export to a third county but also it governs personal credit information flow. Second, it is US type model. In the United States, there are several acts concerning the use of credit information of financial consumers. Among them, they in-cludes such sa the Fair Credit Reporting Act, Gramm-Leach-Bliley Act and Sarbanes-Oxley Act. Especially, Gramm-Leach-Bliley Act applies only to the financial Institutions. Gramm-Leach-Bliley Act`s financial privacy rule requires financial institutions to provide each consumer with a privacy no-tice at the time the consumer relationship is established and once a year thereafter. The privacy notice must explain the information collected about the consumer, where that information is shared, how that information used, and how that information is protected. The notice must also identify the consumer`s right to opt-out of the information being shared with unaffiliated parties. Although our regulatory approach to protect financial consumers from misuse of credit information is somewhat seemed to similar to the US model, it shows many different features such as scope of protected in-formation, data subject to access to personal information, standards of con-sumer`s control to the information sharing, treatment of sensitive information etc. Especially, in U.S. if a customer argues that his credit information is hurt by negligent management of financial institutions, they have to inves-tigate disputed information. In the other hand, accrding to the EU Directive, EU member state1s law creates more stringent opt-in policy for sharing data relating to sensitive information like racial, ethnic information or religious beliefs, trade union membership etc. This treatment gives good example us to adopt more flexible and balancing policy among financial in-stitution`s information. In conclusion, the protected information should be divided in detail and more stringent opt-in consent is only re-quired for the sensive information. Unlike sensitive information, opt-out consent is enough for the normal credit information.

개정 신용정보법상 개인신용정보의 개념 - 보험업의 관점에서 -

윤기열 ( Yoon Ki-yeol ) 한국보험학회 2021 保險學會誌 Vol.126 No.-

이 글은 2020년 8월 5일 시행된 개정 신용정보법 중에서 (1) “개인신용정보”에 대한 정의규정 및 (2) 「보험정보」를 신용정보의 하나로 열거하고 있는 부분을 소재로 하여 이 법률이 보험업에 적용되는 양상을 검토한다. 신용정보법의 개정 경과를 통해, 이 법률이 어떤 문제를 해결하기 위한 목적으로 현재의 모습을 하게 되었는지 살펴보았다. 그리고 그러한 시도에도 불구하고 여전히 남아있는 해석상의 문제점을 밝혀보았다. 첫째 “개인신용정보”가 개인정보보호법상 “개인정보”와 개념을 같이하면서 그 “활용” 측면에서의 어려움까지도 이어받은 문제가 있다. 특히 많은 기대를 모았던 가명정보를 보험업에서 적극 활용하기 어려운 사정을 분석하였다. 둘째 “본래의 신용정보”를 중심으로 한 기존의 신용정보법 체계는 그와는 성질이 다른 「보험정보」에 그대로 적용하기 어려운 면이 있었는데 이번 개정에서는 양자를 “신용정보”라는 이름으로 묶어버리면서도 신용정보법의 기존 체계는 그대로 유지하고 있다. 결과적으로 개정 신용정보법상 “신용정보”라는 하나의 단어가 경우에 따라 “본래의 신용정보”를 가리키기도 하고 「보험정보」를 포함한 “신용정보”를 가리키기도 하는 혼란을 야기하게 되었다. 차후 신용정보법을 개선하게 될 때에는 이러한 개념상의 혼란을 바로잡는 것도 하나의 과제가 될 것으로 생각된다. This article examines the application of The (revised) Credit Information Act of 2020 to the insurance industry of Korea in the context of the two topics : (1) the definition of “personal credit information” and (2) specifying 「insurance information」as one of the credit information. The series of revisions since the enactment of the Credit Information Act informs us that the Act of 2020 has become what it looks like in an effort to solve various practical or interpretative problems. However, there remains a kind of interpretative problems in spite of such efforts. First, “personal credit information” shares the concept with “personal data” under the Personal Information Protection Act, which also led to similar difficulties in “using” the information(data). Second, the Credit Information Act system has been based on the concept of “the original credit information”, which is different in nature from 「insurance information」. However the (revised) Credit Information Act of 2020 maintains the existing system while binding the dissimilar two sorts of information under the name of “credit information”. As a result, some provisions are still challenging to apply to 「insurance information」by nature, so the word “credit information” in the Act sometimes refers to “original credit information”, sometimes to “credit information including 「insurance information」”. Due to these difficulties, the Credit Information Act is expected to be revised again someday.

개정「신용정보의 이용 및 보호에 관한 법률」주요 사안 검토

전한덕(Jun Han deok) 한국보험법학회 2015 보험법연구 Vol.9 No.2

2014년 1월 카드 3사의 대규모 개인신용정보유출 사태를 계기로 2015년 9월 12일개정ㆍ시행된「신용정보의 이용 및 보호에 관한 법률」은신용정보수집ㆍ이용ㆍ제공시동의절차 강화, 신용정보 집중ㆍ관리체계 개편, 배상책임보험의 가입 의무화 등의 정보유출을 최소화하기 위한 사전 예방조치와 함께 과징금제도, 법정 손해배상책임제도 도입 등의 강화 된 제재수단을 마련하는 등 상당히 획기적인 규제내용을 담고 있다. 반면에 이번 개정 신용정보법은 신용정보주체의 보호에만 치중한 나머지 신용정보회사의 영업 현실이나 신용정보의 효율적인활용 측면은 상대적으로소홀히 다루는 등입법 과정에서 양법익 당사자인 신용정보제공이용자와 개인신용정보 보호 주체의 균형을 도모하려는 신중한 검토가 부족했던 점은 아쉬움으로 남는다. 이 논문에서는 개정 신용정보법의 주요 내용과 시행 효과 등을 살펴보고, 개정 법률에서 나타나는 문제점과 이에 대한 개선안을 제시하여 개인신용정보 보호주체의보호와 신용정보산업의 건전한 발전사이에 균형을 유지할 수 있는 해결책을 찾고자 하였다. Due to the recent event in January 2014 that the customer information of major 3 card companies has been mass-released occured, the Act on Use and Protection of Credit Information (hereinafter "the new revised Act") was comprehensively revised and the amendments taken into effective from September 12, 2015. The new revised Act contains quite innovative regulation contents such as reenforcement of agreement procedure on collection, use and provide of credit information, reorganization of integrated management system on credit information, insuring obligation of liability insurance, etc. On the other hand the new revised Act was focused on protection of principals of credit information, and consequently credit information company's business activities or effective use was relatively handled carelessly. I am sorry that the new revised Act was not revised in a balanced way between credit information companies and credit information proposals. In this connection, I will review the new revised Act's main contents, regulatory effectiveness, etc., find problems and suggest improvement proposals. I hope this study will be of help to the balanced development between protection of credit information proposals and sound development of credit information companies.

개인정보보호 법제 정합성 강화를 위한 고찰- 정보통신망법과 신용정보법을 중심으로 -

김일환 단국대학교 법학연구소 2018 법학논총 Vol.42 No.1

「Personal information protection act」 as general law stipulates that the relationshipwith other laws shall be subject to the provisions of this Act except as otherwiseprovided in Article 6 of the Act. Accordingly, since 「Personal Information ProtectionAc」t is a general law in this field, the personal information protection regulations in「Act on Promotion of Information and Communication Network Utilization andInformation protection」 are special laws on the protection of personal information. However, the provisions of 「Personal Information Protection Act」 and existingpersonal information protection laws are largely duplicated. As a result, it isconfusing for the intervention of multiple regulatory bodies as well as for the lawsthat apply to the legal applicants. There are many laws and institutions related topersonal information protection in Korea, but it is doubtful that such laws andinstitutions give the personal information processors predictability and protect therights of information subjects. Now, we should think about the direction of enhancingthe normative power of related laws rather than revising or revising new laws. Inorder to do so, we first need to ensure the integrity of personal informationprotection laws. Personal information protection general laws and Personal informationprotection special laws should be reviewed to eliminate unnecessary laws andregulations. I believe that even if unnecessary laws related to personal information exist in accordance with ministry selfishness and various interests, only a lot ofapplication confusion and interpretation mistakes in practice are resolved. If 「Act onPromotion of Information and Communication Network Utilization and Informationprotection」 leave a wide range of privacy regulations intact, ultimately, 「PersonalInformation Protection Act」 is a general law and its meaning is diminished and isbound to be reduced or eliminated. However, there is no theoretical or practicalnecessity to exist as a special law any more, although 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」,which is the most problematic at present, does not abandon its role as a general lawwith the appearance of a special law. Therefore, according to 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」, theprotection of personal information should be deleted and abolished and integratedwith the general corporate personal information protection law. Secondly, 「CreditInformation Use and Protection Act」 should have legislative forms and systems thatregulate the contents to be specifically regulated as a special law, even if thenecessity to regulate personal information in a specific area of credit information isacknowledged to some extent. You should not try to make the appearance of generallaw as it is now. 일반법인 개인정보보호법은 다른 법률과의 관계에 대하여 제6조에서 다른법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다고 규정하고 있다. 이에 따라서 개인정보보호법이 이 분야의 일반법이므로 정보통신망법상 개인정보보호규정 등은 개인정보보호에 관한 특별법으로서 해당부문에서는 이러한 법규정들이 우선 적용된다. 하지만 개인정보보호법과 기존의 개인정보보호 관련 개별법들의 규정들이 상당부분 중복되고 있다. 이에 따라서 법적용대상자가 보기에는 적용되는 법률들은 물론, 복수의 규제기구의 개입에 대해서도 혼란을 느끼고 있는 실정이다. 현재 우리나라에서는 개인정보보호 관련 법률과 제도들은 많이 있으나, 그러한 법률과 제도들이 개인정보처리자들에게 예측가능성을 부여하고, 정보주체의 권리를 충분히 보호하고 있는지는 의심스럽다. 이제 새로운 법률의 제⋅개정보다는 관련 법률들의 규범력을 높이는 방향으로 고민해해야 한다. 그러려면 먼저 개인정보보호법제의체계정합성을 확보해야 한다. 개인정보보호 일반법과 특별법들을 검토해서 불필요한 법률이나 규제는 과감히 정비, 폐지해야 한다. 부처이기주의나 각종 이해관계 등에 따라 존재하는 개인정보보호 관련 불필요한 법률들만 정비하더라도 실무계에서 겪고 있는 상당수의 적용상 혼란과 해석상 오류는 해소되리라믿는다. 정보통신망법에 광범위한 개인정보보호규정을 그대로 두게 되면 결국개인정보보보호법은 일반법으로서 그 의미가 퇴색되고 적용대상이나 범위가줄어들거나 없어질 수밖에 없다. 그렇다면 현재 가장 문제가 되고 있는 법률중 정보통신망법은 특별법의 외관을 가진 채 일반법으로서 역할을 포기하지않으려 하고 있지만, 더 이상 특별법으로서 존재해야할 이론적, 실무적 필요성이 존재하지 않는다. 따라서 정보통신망법상 개인정보보호부분은 삭제, 폐지하고 일반법인 개인정보보호법과 통합해야 한다. 다음으로 신용정보법은 신용정보라는 특수한 영역의 개인정보를 규율할 필요성은 일정부분 인정한다 하더라도 특별법으로서 특별히 규율할 내용을 별도로 규정하는 입법형식과 체계를갖추어야지, 지금처럼 일반법의 외관을 갖추려 해서는 안 된다.