​변호사가 직접 작성한 지식글만 게재합니다.

늘어나는 마이데이터 사업자위한 마이데이터 사업 관련 규제 및 법령

최종 수정일: 7월 8일


1. 개요

'마이데이터'란, 정보주체 개인이 개인데이터의 활용처 및 활용범위 등에 대해 능동적인 의사결정을 하는 새로운 패러다임으로, 데이터 관리 및 활용체계가 기관 중심이었던 이전과 달리, 이를 정보주체 중심으로 전환하고자 하는 것이다. 신용정보의 이용 및 보호에 관한 법률(이하 '신용정보법'이라 함)은 2020. 2. 4. 개정으로 마이데이터 사업에 관한 규정을 신설하였으며, 이는 2020. 8. 5.부터 시행되었다.

신용정보법은 마이데이터 사업을 '본인신용정보관리업'이라 명명하고, 이를 "개인인 신용정보주체의 신용관리를 지원하기 위하여 신용정보를 일정한 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것"이라 정의한다(신용정보법 제2조 제9호의2).


신용정보의 이용 및 보호에 관한 법률 제2조(정의) 9의 2. "본인신용정보관리업"이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 다음 각 목의 전부 또는 일부의 신용정보를 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말한다. 가. 제1호의3가목1)·2) 및 나목의 신용정보로서 대통령령으로 정하는 정보 나. 제1호의3다목의 신용정보로서 대통령령으로 정하는 정보 다. 제1호의3라목의 신용정보로서 대통령령으로 정하는 정보 라. 제1호의3마목의 신용정보로서 대통령령으로 정하는 정보 마. 그 밖에 신용정보주체 본인의 신용관리를 위하여 필요한 정보로서 대통령령으로 정하는 정보 신용정보의 이용 및 보호에 관한 법률 시행령 제2조(정의) ㉑ 법 제2조제9호의2 각 목 외의 부분에서 "대통령령으로 정하는 방식"이란 신용정보제공ㆍ이용자 또는 「개인정보 보호법」에 따른 공공기관이 보유한 개인신용정보 등을 수집하고 수집된 정보의 전부 또는 일부를 신용정보주체가 조회ㆍ열람할 수 있게 하는 방식을 말한다. 다만, 금융위원회가 정하여 고시하는 방식은 제외한다.

또한 신용정보법은 본인신용정보관리업을 금융위원회의 허가를 받아야 하는 허가업으로 규정함으로써 진입을 규제하고(신용정보법 제4조), 허가 없이 본인신용정보관리업을 한 자에 대하여 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다는 벌칙 규정을 두고 있는바(신용정보법 제50조 제2항 제1호), 금융 분야 마이데이터 사업을 하고자 하는 자는 해당 규정을 숙지할 필요가 있다. 이에 이하에서는 마이데이터 사업 허가와 관련된 내용을 살펴보겠다.


신용정보의 이용 및 보호에 관한 법률 제4조(신용정보업 등의 허가) ① 누구든지 이 법에 따른 신용정보업, 본인신용정보관리업, 채권추심업 허가를 받지 아니하고는 신용정보업, 본인신용정보관리업 또는 채권추심업을 하여서는 아니 된다. ② 신용정보업, 본인신용정보관리업 및 채권추심업을 하려는 자는 금융위원회로부터 허가를 받아야 한다. ③ 제2항에 따른 허가를 받으려는 자는 대통령령으로 정하는 바에 따라 금융위원회에 신청서를 제출하여야 한다. ④ 금융위원회는 제2항에 따른 허가에 조건을 붙일 수 있다. ⑤ 제2항에 따른 허가와 관련된 허가신청서의 작성 방법 등 허가신청에 관한 사항, 허가심사의 절차 및 기준에 관한 사항, 그 밖에 필요한 사항은 총리령으로 정한다. 제50조(벌칙) ② 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 1. 제4조제1항을 위반하여 신용정보업, 본인신용정보관리업 또는 채권추심업 허가를 받지 아니하고 신용정보업, 본인신용정보관리업 또는 채권추심업을 한 자

2. 허가 대상

구체적인 허가 요건을 살펴보기에 앞서, 마이데이터 사업을 하고자 하는 자는 자신이 신용정보법상 허가 대상인지 여부를 확인하여야 한다. 금융위원회는 아래 5가지 경우에는 허가가 불필요하다고 본다.


정리하면, 신용정보주체의 권리행사에 따라 개인신용정보 등을 수집하고, 수집된 정보를 신용정보주체가 조회·열람 등 제공하는 행위를 영업으로 하는 경우가 허가 대상에 속하는 것이다.

3. 허가 요건

위 2.에 기재한 허가 대상에 속하는 자는 신용정보법이 규정하는 허가 요건을 갖추고, 금융위원회에 허가신청을 하여야 하는데, 신용정보법은 신용정보의 안전한 보호를 위하여 최소 자본금 및 충분한 물적 설비, 주요 출자자의 건전성, 사업계획의 타당성 등을 허가 요건으로 규정하며, 해당 영업을 하는 동안에는 이를 계속 유지하도록 규정하고 있다(신용정보법 제6조).


신용정보의 이용 및 보호에 관한 법률 제6조(허가의 요건) ① 신용정보업, 본인신용정보관리업 또는 채권추심업의 허가를 받으려는 자는 다음 각 호의 요건을 갖추어야 한다. 1의 4. 본인신용정보관리업을 하려는 경우: 5억원 이상 2. 사업계획이 타당하고 건전할 것 3. 대주주가 충분한 출자능력, 건전한 재무상태 및 사회적 신용을 갖출 것 3의 2. 임원이 제22조제1항·제2항, 제22조의8 또는 제27조제1항에 적합할 것 4. 신용정보업, 본인신용정보관리업 또는 채권추심업을 하기에 충분한 전문성을 갖출 것 ③ 제1항에 따른 허가의 세부요건에 관하여 필요한 사항은 대통령령으로 정한다. ④ 신용정보회사, 본인신용정보관리회사 및 채권추심회사는 해당 영업을 하는 동안에는 제1항제1호에 따른 요건을 계속 유지하여야 한다.

가. 자본금 요건

신용정보법은 마이데이터 사업을 하려면 최소 5억 원 이상의 자본금을 갖추어야 한다고 규정한다(신용정보법 제6조 제1항 제1호의4).

나. 인적 요건

신용정보법은 마이데이터 사업에 관하여 별도 전문인력 요건을 규정하고 있지는 않으나, 금융위원회는 안전한 신용정보 보호를 위해 충분한 정보보호 담당자를 충족할 것을 권장한다.

다. 물적 요건

신용정보법은 마이데이터 사업을 하려면 신용정보의 안전한 처리를 위한 정보처리·통신설비를 구축하여야 한다고 규정하는데(신용정보법 시행령 제6조 제2항 제2호), 물적 설비의 세부 요건은 아래 [별표2]에 기재된 바와 같다(신용정보업감독규정 제6조 및 [별표2]).


신용정보의 이용 및 보호에 관한 법률 시행령 제6조(허가의 세부요건 등) ① 법 제6조제1항 및 제3항에 따라 신용정보업, 본인신용정보관리업 또는 채권추심업의 허가를 받으려는 자가 갖추어야 할 인력 및 물적 시설의 세부요건은 다음 각 호의 구분에 따른다. 5. 본인신용정보관리업을 하는 경우: 제2항제2호에 따른 설비를 갖출 것 ② 제1항 각 호(상시고용인력의 경우 같은 항 제4호는 제외한다)에 따른 상시고용인력 및 설비는 다음 각 호의 구분에 따른다. 2. 설비: 신용정보 등의 처리를 적정하게 수행할 수 있다고 금융위원회가 정하여 고시하는 정보처리ㆍ정보통신 설비 신용정보업감독규정 제6조(정보처리·정보통신설비) 영 제6조제2항제2호에서 "금융위원회가 정하여 고시하는 정보처리·정보통신 설비"란 해당 신용정보업, 본인신용정보관리업 또는 채권추심업의 범위와 규모에 비추어 신용정보를 원활히 처리할 수 있는 수준의 정보처리·정보통신설비로서 별표 2에 규정된 사항을 말한다. [별표2] 2. 본인신용정보관리업


라. 대주주 요건

신용정보법은 마이데이터 사업을 하려면 대주주가 신용정보법 시행령 별표 1의2에 따른 충분한 출자능력, 건전한 재무상태, 사회적 신용을 갖추어야 한다고 규정하는데(신용정보법 제6조 제1항 제3호, 신용정보법 시행령 제6조 제4항), 대주주 요건을 간략하게 요약하자면 아래와 같다.



마. 임원 요건

신용정보법은 임원이 자격요건을 갖출 것도 허가 요건 중 하나로 규정하는데(신용정보법 제6조 제1항 제3호의2), 특히 본인신용정보관리회사의 임원에 관하여는 제22조의8에서 금융회사의 지배구조에 관한 법률 제5조를 준용하도록 규정하고 있다.


신용정보의 이용 및 보호에 관한 법률 제22조의8(본인신용정보관리회사의 임원의 자격요건) 본인신용정보관리회사의 임원에 관하여는 「금융회사의 지배구조에 관한 법률」 제5조를 준용한다.

바. 사업계획의 타당성 및 전문성

마지막으로 신용정보법은 마이데이터 사업을 하려면 사업계획이 타당할 것과 본인신용정보관리업을 하기에 충분한 전문성을 갖추어야 한다고 규정하고 있다(신용정보법 제6조 제1항 제2호 및 제4호). 특히 사업계획에 관하여는 수입ㆍ지출 전망이 타당하고 실현 가능성이 있을 것, 사업계획상의 조직구조 및 관리ㆍ운용체계가 사업계획의 추진에 적합하고 이해상충 및 불공정 행위 등으로 본인신용정보관리업을 건전하게 하는 데에 지장을 주지 않을 것을 세부 요건으로 규정한다(신용정보법 시행령 제6조 제3항).


신용정보의 이용 및 보호에 관한 법률 시행령 제6조(허가의 세부요건 등) ③ 법 제6조제1항제2호에 따른 사업계획은 다음 각 호의 요건에 적합해야 한다. 1. 수입ㆍ지출 전망이 타당하고 실현 가능성이 있을 것 2. 사업계획상의 조직구조 및 관리ㆍ운용체계가 사업계획의 추진에 적합하고 이해상충 및 불공정 행위 등으로 신용정보업, 본인신용정보관리업 또는 채권추심업을 건전하게 하는 데에 지장을 주지 않을 것

4. 금융위원회의 허가심사

마이데이터 사업 허가를 받고자 하는 자가 위 3.에 기재한 허가 요건을 갖추고 금융위원회에 허가 신청서를 제출하면, 금융위원회는 신청내용에 관한 사실 여부를 확인하고, 신청내용이 허가 요건을 충족하는지를 심사한다(신용정보법 제4조 제3항, 신용정보법 시행규칙 제3조 제1항).


신용정보의 이용 및 보호에 관한 법률 시행규칙 제3조(허가심사 절차 등) ① 「신용정보의 이용 및 보호에 관한 법률」(이하 "법"이라 한다) 제4조제3항에 따라 신용정보업, 본인신용정보관리업 및 채권추심업 허가 신청서를 제출받은 금융위원회는 신청내용에 관한 사실 여부를 확인하고, 신청내용이 법 제6조에 따른 허가요건을 충족하는지를 심사해야 한다.

금융위원회는 위 허가심사 과정에서 ① 개인신용정보의 안전한 보호가 가능한 체계를 충분히 갖추었는지, ② 신용정보주체의 편익기여도가 얼마나 되는지, ③ 이해상충행위 방지 체계구축 등 금융소비자 보호체계가 충분한지, ④ 사업계획이 혁신성·적절성·현실가능성이 있는지, ⑤ 마이데이터 산업 발전에 기여할 수 있는지 등의 요소를 종합적으로 고려하여 해당 신청업체의 안전한 데이터 활용능력 보유 여부를 판단하여 허가를 결정한다고 밝히면서, 심사요건을 갖추었음을 증명하기 위해 아래 표에 기재된 사항을 신청단계에서 충분히 설명할 필요가 있다고 하였는바, 허가 신청서 제출시 이 점을 참고하기 바란다.

덧붙여, 신용정보법 부칙 제16957호는 개정 신용정보법이 시행된 2020. 8. 5. 이전부터 마이데이터 사업을 영위하고 있었던 자도 개정법이 시행된 2020. 8. 5. 이후 6개월 이내에 허가 요건을 갖추어 금융위원회로부터 허가를 받아야 한다고 정하고 있는데(부칙 제7조), 이에 관하여 금융위원회는 개정 신용정보법 시행 전부터 마이데이터 사업을 영위하고 있었던 자더라도, 충분한 신용정보 보호 체계 등을 갖추지 못한 경우에는 허가를 받지 못할 수도 있다고 하여, 기존 마이데이터 사업 영위 여부와 허가 여부는 원칙적으로 무관하다고 하였다. 다만, 과거 마이데이터 사업을 영위한 것이 충분한 노하우와 전문성이 쌓였다고 판단될 경우, 전문성 요건 심사시 이를 고려한다고도 하였는바, 기존에 마이데이터 사업을 영위하였던 사업자는 이 점을 참고하기 바란다.


부칙 <제16957호, 2020. 2. 4> 제7조(본인신용정보관리업에 관한 경과조치) 이 법 시행 당시 본인신용정보관리업을 하는 자는 이 법 시행 이후 6개월 이내에 이 법에 따른 요건을 갖추어 금융위원회로부터 허가를 받아야 한다.

* 법무법인 민후 김경환 대표변호사, 최주선, 김도윤 변호사 작성, 민후 로인사이드(2021. 1. 7.), 민후 뉴스레터(2021.1.28.) 기고.

Today's Pick