“법 적용 대상을 명확히 하고 이해하기 쉽도록 개정돼야”
[보안뉴스= 정성구 김·장 법률사무소 변호사] 금융회사가 고객정보를 이용하고 보호함에 있어서 신용정보의 이용과 보호에 관한 법률(이하 ‘신용정보법’)이 가장 우선적으로 적용된다는 점은, 금융회사는 물론이고 정보보호에 조금이라도 관심이 있는 분들은 이제 다 아는 사실이다. 이러한 인식이 일반화된 것은 그리 오래된 일이 아닌데, 아마도 2014년 초에 있었던 신용카드 3사의 고객정보 유출사건(일명 ‘카드정보대란’)이 신용정보법 위반으로 제재된 사실이 그 인식의 일반화에 가장 큰 영향을 미쳤으리라 보인다.
.jpg)
그 전에는 어떠했는가 하면, 필자가 속한 법조계를 기준으로 봐도, 신용정보법이 금융회사 정보보호의 특별법이라는 점은 고사하고 신용정보법이 존재하는지도 모르는 경우가 많았으므로, 일반인을 기준으로 하면 말할 나위도 없었을 것으로 보인다. 신용정보법의 인지도가 낮은 이유에 관하여는 ‘누가 통계를 내어 분석을 한 것이 아니므로’ 필자의 지레 짐작으로 다음과 같은 면이 가장 중요한 이유였을 것 같다는 생각이다.
신용정보법의 인지도가 낮은 이유
신용정보법 자체에서 원인을 찾으면, 한마디로 신용정보법이 너무 이해하기 어려운 법이어서 그렇다. 신용정보법의 주된 적용대상인 ‘신용정보제공이용자’가 정확히 누구를 말하는 지는 신용정보법을 10년 이상 연구한 필자의 입장에서도 여전히 아리송한 문제이다. 신용정보법이 다루는 ‘신용정보’의 개념이 무엇인지도 마찬가지여서 입법된 지 20년이 지났지만 여전히 어느 정보가 신용정보인지 아닌지를 묻는 질문이 많고 이에 대한 답도 신통치 않다. 내용이 어려우니, 해석도 어렵고 적용도 어렵다. 이쯤 되면 이런 법을 준수해야 한다는 생각도 잘 들지 않게 된다.
무슨 뜻인지 모르는 법률을 준수한다는 것이 얼마나 어려운 일인가? 잘못된 해석에 근거해 조치를 취하였을 때 이를 뒤집어야 하는 일은 누가 감당할 것인가? 신용정보법 밖에서 원인을 찾으면 정보보호에 관한 다른 근사한 법률이 존재하기 때문에 그렇다. 좀 늦게 등장하긴 했지만 개인정보보호법은 이름부터 개인정보를 보유하고 있는 자는 모두 지켜야 할 법 같이 들린다. 게다가 7년 동안의 산고를 거쳐 나온 법이라 그런지 시행되자마자 세간의 이목이 몰렸다. 따라서 ‘개인정보보호에는 개인정보보호법’이라는 명제가 자연스럽게 생기게 되었다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)은 온라인 상의 개인정보 이용 및 보호에 관한 특칙을 두고 있다. 오프라인에서 개인정보를 이용·제공하는 경우도 있나 반문할 정도로, 온라인 상의 개인정보 이용과 제공의 빈도는 압도적이어서 정보통신망법의 위상은 그저 높기만 하다.
카드정보대란 이전의 굵직한 개인정보 유출사건은 모두 정보통신망법 위반 사건이었다는 점도 이를 뒷받침한다. 그런데, 인지도 높은 이 두 법률은 내용상 친형제와 같은 느낌이어서 이 중 어느 하나의 법률을 준수하는 한 다른 법률은 그럭저럭 준수되는 그런 관계로 보면 된다. 이에 비하면, 신용정보법은 이 두 법률과 배다른 형제도 아니고 거의 남남인 관계라 보면 된다. 결국 형제와 남을 동시에 키우기 어려운 마당이라면, 자연스럽게 친형제만 키우는 쪽으로 결론이 나는 것이 인지상정이리라.
카드정보대란 이후 개인정보보호의 첨병 역할을 자의반 타의반 수용해야 할 금융회사들과 이를 감독하는 감독기관의 입장에서는 금융회사가 정보보호와 관련한 사고의 당사자가 되는 것에 관하여 더 이상 인내하지 않을 작정으로 보인다. 그런데 금융회사의 개인정보보호의 첫발을 내딛는 시점부터 요구되는 것이 바로 신용정보법의 준수이다.
신용정보법의 절대적 준수라는 당위에 직면하여 금융위원회는 올해 4월 20일에 신용정보법 개정안(이하 ‘개정안’)을 입법예고했다. 신용정보법이 제정된 이후 13번째 개정으로 기록될 개정안의 내용은, 금융회사나 감독기관의 입장에서 보건, 그 밖에서 신용정보법을 보는 필자와 같은 법조인의 입장에서 보건 신용정보법의 준수를 위하여 내건 2가지의 최소 요구사항을 담고 있다.
신용정보법 준수를 위한 최소한의 요구사항
첫째, 신용정보법을 준수할 수 있는 이해하기 쉬운 법으로 만들어 달라는 요구이다. 개정안은 이 점에서 획기적이라고 할 내용은 담고 있지 못하지만, 개인정보보호법 및 정보통신망법의 내용과도 일관될 수 있는 정보보호의 체계를 도모하고 있다. 향후에는 개인정보보호법을 좀 아는 사람이 개인정보보호법과 신용정보법이 ‘무엇이 다른지’를 염두에 두고 신용정보법을 해석한다면, 신용정보법을 다시 1조부터 꼼꼼히 다시 읽어야 하는 수고로움은 덜 수 있게 될 것이다.
둘째, 신용정보법을 준수해야 할 대상자를 명확히 해 달라는 요구이다. 개정안의 주된 관점은 바로 이 부분에 집중되어 있는데, ‘금융회사’ 및 이와 관련된 기관으로서 법령이 지정한 자들만 신용정보법을 준수하면 되고, 신용정보법을 준수하는 이상 정보통신망법상 개인정보보보에 관한 조항은 준수하지 않아도 된다. 개인정보보호법까지 완전히 배제하지 못한 이유는 신용정보법이 주로 고객정보의 이용과 보호에 초점을 맞춘 것임에 반하여 금융회사는 고객이 아닌 비고객의 개인정보도 이용하거나 보호해야 할 경우가 있기 때문이다. 후자에 관하여는 당연히 개인정보보호법이 적용되게 될 것이다.
이 2가지만 바뀌어도 금융회사들이 신용정보법을 준수함에 있어서 느낀 애로사항의 절반이 해결된다고 해도 과언이 아닌 바, 금융계에서 이 개정안에 거는 기대는 지난 12번의 개정에 비할 바가 아니다. 마침 4년에 한번씩 돌아오는 국회의 교체기라 이 개정안은 빨라야 올 가을에 국회에 제출될 것이다. 새로 구성된 국회에서 이 개정안 만큼은 통 크게 그리고 속 시원하게 처리해 주었으면 하는 바람이다.
[글_ 정성구 김·장 법률사무소 변호사]
[보안뉴스= 정성구 김·장 법률사무소 변호사] 금융회사가 고객정보를 이용하고 보호함에 있어서 신용정보의 이용과 보호에 관한 법률(이하 ‘신용정보법’)이 가장 우선적으로 적용된다는 점은, 금융회사는 물론이고 정보보호에 조금이라도 관심이 있는 분들은 이제 다 아는 사실이다. 이러한 인식이 일반화된 것은 그리 오래된 일이 아닌데, 아마도 2014년 초에 있었던 신용카드 3사의 고객정보 유출사건(일명 ‘카드정보대란’)이 신용정보법 위반으로 제재된 사실이 그 인식의 일반화에 가장 큰 영향을 미쳤으리라 보인다.
그 전에는 어떠했는가 하면, 필자가 속한 법조계를 기준으로 봐도, 신용정보법이 금융회사 정보보호의 특별법이라는 점은 고사하고 신용정보법이 존재하는지도 모르는 경우가 많았으므로, 일반인을 기준으로 하면 말할 나위도 없었을 것으로 보인다. 신용정보법의 인지도가 낮은 이유에 관하여는 ‘누가 통계를 내어 분석을 한 것이 아니므로’ 필자의 지레 짐작으로 다음과 같은 면이 가장 중요한 이유였을 것 같다는 생각이다.
신용정보법의 인지도가 낮은 이유
신용정보법 자체에서 원인을 찾으면, 한마디로 신용정보법이 너무 이해하기 어려운 법이어서 그렇다. 신용정보법의 주된 적용대상인 ‘신용정보제공이용자’가 정확히 누구를 말하는 지는 신용정보법을 10년 이상 연구한 필자의 입장에서도 여전히 아리송한 문제이다. 신용정보법이 다루는 ‘신용정보’의 개념이 무엇인지도 마찬가지여서 입법된 지 20년이 지났지만 여전히 어느 정보가 신용정보인지 아닌지를 묻는 질문이 많고 이에 대한 답도 신통치 않다. 내용이 어려우니, 해석도 어렵고 적용도 어렵다. 이쯤 되면 이런 법을 준수해야 한다는 생각도 잘 들지 않게 된다.
무슨 뜻인지 모르는 법률을 준수한다는 것이 얼마나 어려운 일인가? 잘못된 해석에 근거해 조치를 취하였을 때 이를 뒤집어야 하는 일은 누가 감당할 것인가? 신용정보법 밖에서 원인을 찾으면 정보보호에 관한 다른 근사한 법률이 존재하기 때문에 그렇다. 좀 늦게 등장하긴 했지만 개인정보보호법은 이름부터 개인정보를 보유하고 있는 자는 모두 지켜야 할 법 같이 들린다. 게다가 7년 동안의 산고를 거쳐 나온 법이라 그런지 시행되자마자 세간의 이목이 몰렸다. 따라서 ‘개인정보보호에는 개인정보보호법’이라는 명제가 자연스럽게 생기게 되었다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)은 온라인 상의 개인정보 이용 및 보호에 관한 특칙을 두고 있다. 오프라인에서 개인정보를 이용·제공하는 경우도 있나 반문할 정도로, 온라인 상의 개인정보 이용과 제공의 빈도는 압도적이어서 정보통신망법의 위상은 그저 높기만 하다.
카드정보대란 이전의 굵직한 개인정보 유출사건은 모두 정보통신망법 위반 사건이었다는 점도 이를 뒷받침한다. 그런데, 인지도 높은 이 두 법률은 내용상 친형제와 같은 느낌이어서 이 중 어느 하나의 법률을 준수하는 한 다른 법률은 그럭저럭 준수되는 그런 관계로 보면 된다. 이에 비하면, 신용정보법은 이 두 법률과 배다른 형제도 아니고 거의 남남인 관계라 보면 된다. 결국 형제와 남을 동시에 키우기 어려운 마당이라면, 자연스럽게 친형제만 키우는 쪽으로 결론이 나는 것이 인지상정이리라.
카드정보대란 이후 개인정보보호의 첨병 역할을 자의반 타의반 수용해야 할 금융회사들과 이를 감독하는 감독기관의 입장에서는 금융회사가 정보보호와 관련한 사고의 당사자가 되는 것에 관하여 더 이상 인내하지 않을 작정으로 보인다. 그런데 금융회사의 개인정보보호의 첫발을 내딛는 시점부터 요구되는 것이 바로 신용정보법의 준수이다.
신용정보법의 절대적 준수라는 당위에 직면하여 금융위원회는 올해 4월 20일에 신용정보법 개정안(이하 ‘개정안’)을 입법예고했다. 신용정보법이 제정된 이후 13번째 개정으로 기록될 개정안의 내용은, 금융회사나 감독기관의 입장에서 보건, 그 밖에서 신용정보법을 보는 필자와 같은 법조인의 입장에서 보건 신용정보법의 준수를 위하여 내건 2가지의 최소 요구사항을 담고 있다.
신용정보법 준수를 위한 최소한의 요구사항
첫째, 신용정보법을 준수할 수 있는 이해하기 쉬운 법으로 만들어 달라는 요구이다. 개정안은 이 점에서 획기적이라고 할 내용은 담고 있지 못하지만, 개인정보보호법 및 정보통신망법의 내용과도 일관될 수 있는 정보보호의 체계를 도모하고 있다. 향후에는 개인정보보호법을 좀 아는 사람이 개인정보보호법과 신용정보법이 ‘무엇이 다른지’를 염두에 두고 신용정보법을 해석한다면, 신용정보법을 다시 1조부터 꼼꼼히 다시 읽어야 하는 수고로움은 덜 수 있게 될 것이다.
둘째, 신용정보법을 준수해야 할 대상자를 명확히 해 달라는 요구이다. 개정안의 주된 관점은 바로 이 부분에 집중되어 있는데, ‘금융회사’ 및 이와 관련된 기관으로서 법령이 지정한 자들만 신용정보법을 준수하면 되고, 신용정보법을 준수하는 이상 정보통신망법상 개인정보보보에 관한 조항은 준수하지 않아도 된다. 개인정보보호법까지 완전히 배제하지 못한 이유는 신용정보법이 주로 고객정보의 이용과 보호에 초점을 맞춘 것임에 반하여 금융회사는 고객이 아닌 비고객의 개인정보도 이용하거나 보호해야 할 경우가 있기 때문이다. 후자에 관하여는 당연히 개인정보보호법이 적용되게 될 것이다.
이 2가지만 바뀌어도 금융회사들이 신용정보법을 준수함에 있어서 느낀 애로사항의 절반이 해결된다고 해도 과언이 아닌 바, 금융계에서 이 개정안에 거는 기대는 지난 12번의 개정에 비할 바가 아니다. 마침 4년에 한번씩 돌아오는 국회의 교체기라 이 개정안은 빨라야 올 가을에 국회에 제출될 것이다. 새로 구성된 국회에서 이 개정안 만큼은 통 크게 그리고 속 시원하게 처리해 주었으면 하는 바람이다.
[글_ 정성구 김·장 법률사무소 변호사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
