​변호사가 직접 작성한 지식글만 게재합니다.

‘신용정보법 개정안’ 독소조항 고쳐야

7월 13일 업데이트됨


금융위원회와 신용정보원이 빅데이터 활용에 본격 시동을 건다고 한다. 이에 앞서 금융위는 신용정보법 개정안을 마련해 발표하기도 했다. 문제는 빅데이터 정보활용의 근거가 되는 법 개정안 자체가 개인정보보호에 큰 맹점을 지니고 있다는 점이다.

개정안은 ①신용정보법, 개인정보법, 정보통신망법 간 유사·중복규제를 해소하여 금융회사는 신용정보법만 준수하면 되는 것으로 하고, ②금융거래정보도 신용정보로 포섭하고, ③빅데이터 근거 조문을 만들었다.

개인정보보호법의 내용을 대거 신용정보법에 포함시킴으로써 중복규제 문제를 해결했는데, 입법기술적으로는 중복하여 기술하는 것보다 간단하게 ‘준용’하면 될 것인데 조문의 낭비로 보인다. 그리고 신용 판단과 무관한 정보도 ‘금융거래’와 관련만 있으면 신용정보로 보는데, 단순한 금융거래정보를 신용정보로 보는 것도 이해하기 어렵고 나아가 ‘금융거래’의 모호성·광범위성 때문에 신용정보 범위가 무제한 넓어질 수 있는 문제점이 있다.

본론으로 들어가서, 신용벙보법 개정안은 다음과 같은 빅데이터 조문을 신설했다. “제32조의2②제1항에도 불구하고 신용정보회사 등은 다음 각 호의 어느 하나에 해당하는 경우에는 신용정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인신용정보를 목적 외 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 4. 특정 개인을 알아볼 수 없는 형태로 처리하는 경우”다.

요약하면, 비식별화로 목적외 이용·제공이 가능하고(제32조의 2 제2항 제4호), 다만 재식별화는 금지된다는 것인데(제7항) 여기서는 몇 가지 문제점이 발견된다.

첫째, 제32조의 2 제2항 제4호는 개인정보보호법 제18조 제2항 제4호(통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우)에 근거한 것인데, 개인정보보호법 위 조항과 달리 ‘통계작성 및 학술연구 등의 목적’의 제한이 삭제되어 있다.

개인정보보호법 위 조항에 대하여 많은 전문가들은 목적 범위를 좁게 해석한 것과 달리 금융위원회는 위 조문을 넓게 해석하고 있었는데 그 결과의 반영으로 보인다. 개인정보보호법 조항과 달리 ‘통계작성 및 학술연구 등의 목적’의 제한없이 이용할 수 있게끔 규정한 것은 금융회사에 대한 특혜로 보이며, 일반법인 개인정보보호법에 나와 있는 목적 제한 범위를 삭제하는 것이 법체계상 타당한지의 의문도 생긴다.

둘째, EU 등은 빅데이터 조문을 신설했는데, 그 주류는 ‘pseudonymous data’의 개념정의와 도입이었다. 한 사람에게 대입할 수 있지만 그 사람이 누구인지 알아볼 수 없는 상태의 ‘pseudonymous data’를 도입함으로써 빅데이터 조항을 신설하는 것이 세계적 흐름이다.

하지만 금융위원회는 비개인정보는 법 적용이 없다는 너무나 당연한 논리의 접근을 하고 있는바, 일단 국제적 흐름에 전혀 부합하지 않는 문제점이 있고, 당연한 말을 굳이 법조문에 만들 필요성이 있는지 의문이며, 이 조문으로는 개인정보보호법 제18조 제2항 제4호의 예와 같이 실제 빅데이터 산업에 큰 기여를 하지 못할 것으로 보인다.

빅데이터의 핵심은 ‘pseudonymous data’의 도입에 있다. 비개인정보는 법 적용이 없다는 논리로 해결될 것은 아니며, EU, 일본 등도 빅데이터 문제를 이렇게 해결하지는 않았다. 빅데이터에서 정작 멀어지고 있는 신용정보법 개정안의 빅데이터 조항을 바로 잡아야 할 것이다.

* 법무법인 민후 김경환 대표변호사 작성, 디지털타임스(2016. 5. 29.), 전자신문(2016. 5. 30.), 리걸인사이트(2016. 5. 30.) 기고.

Today's Pick