|
1 |
| 개 요 |
□ 데이터경제 3법의 하나인 「신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’, 김병욱 의원 대표 발의)」 개정안이 1.9. 국회 본회의를 통과하였습니다.
ㅇ 오늘 본회의 통과로 금융권 빅데이터 활용의 법적근거가 생기고, 마이데이터 등 새로운 혁신 Player 출현 기반도 마련되었습니다.
ㅇ 데이터의 효율적 활용과 함께 정보보호 내실화 방안도 마련되어 데이터 활용과 안전한 정보보호의 균형이 달성될 것입니다.
< 신용정보법 개정 관련 주요 경과 >
바람직한 데이터 규제 개선 방향에 대한 사회적 논의를 진행
ㅇ 대통령 직속 4차산업혁명위원회 주관으로 산업계, 학계, 시민단체 등이 해커톤 회의(‘18.2월, 4월)를 통해 가명정보 활용범위 및 개인정보보호 등에 대한 합의 도출
ㅇ 정부가 참여한 김병욱 의원실 주관 「신용정보법」 간담회(’18.12월, ‘19.2월, ’19.7월), 추혜선 의원실 주관 토론회(‘19.3월, ’19.11월) 등 진행
⇒ 대통령 주재, 「데이터 경제 활성화」 현장행사(’18.8월)」를 통해 정책방향 제시
데이터 기반 금융혁신을 가속화하기 위해 금융분야 데이터 규제혁신 방안 마련
ㅇ 개인신용평가체계 종합개선방안(‘18.1월), 금융분야 데이터활용 및 정보보호 종합방안(’18.3월), 금융분야 정보보호 내실화 방안(‘18.5월), 마이데이터 산업 도입방안(’18.7월), 신용정보산업 선진화 방안(‘18.11월)
김병욱 의원 발의 「신용정보법」 등 총 6개 법안을 기초로 「신용정보법」 정무위 대안을 마련하여 정무위 의결 후 법사위를 거쳐 금일 본회의에서 법안 최종 확정 |
2 |
| 하위법령 정비 계획 |
□ 개정 「신용정보법」의 시행은 공포 후 6개월로 1월 내 법안이 공포될 경우, ‘20년 7월 이후 개정안이 시행될 예정입니다.
* 다만, 금융권의 제도 준비 및 시행에 시간이 소요되는 일부 사항은 공포 후 1년~1년 반 이내에서 업계 준비도 등을 감안하여 시행일이 조정될 예정
→ 예 : 全금융권 및 공공기관의 API 구축 의무, 정보활용 동의서 내실화,
금융권 정보활용·관리실태 상시평가제 도입 등
□ 금융위는 데이터 활용과 정보보호를 균형있게 반영한 하위법령을 마련하고 법 시행 일정에 맞추어 개정해 나갈 계획입니다.
ㅇ 하위법령 개정 과정에서는 학계, 산업계 전문가 등과의 소통을 강화하는 등 이해당사자 의견*도 지속적으로 청취하겠습니다.
* 학계·법조계·보안업계 전문가, 금융소비자, 금융업계, 핀테크 업계, 통신·유통 등 산업계, 신용정보원·금융보안원 등 금융유관기관 등의 의견을 종합적 청취
ㅇ 법안 공포 전후로 「신용정보법」 개정내용 설명회, 전문가 간담회, 하위법령 개정 관련 의견수렴 간담회 등도 개최하겠습니다.
- 첫 순서로, 1.16.(목) ‘핀테크 정책설명회’를 통해 개정 「신용정보법」의 내용을 설명하는 자리가 마련될 예정입니다.
※ 핀테크 정책설명회 개요 ‣ (일시) ‘20.1.16.(목) 09:30~11:30
|
- 1~2월에 거쳐 계속적인 간담회 추진 등을 통해 개정 「신용정보법」의 개정 취지가 충분히 구현할 수 있도록 하겠습니다.
3 |
| 법령 개정에 따른 후속조치 (안) |
□ 법 시행 이후 데이터 경제 활성화를 촉진하기 위하여 개정안에 포함된 세부 과제에 대한 후속조치도 차질없이 추진하겠습니다.
➊ 마이데이터의 성공적 정착을 위해 데이터 제공, 보안·인증, 인허가 기준 마련 등 마이데이터 Working Group 운영을 마무리하겠습니다.
* ‘19.5~8월 1차 Working Group 운영을 통해 마이데이터를 통해 제공되는 데이터 범위, 과금체계, API 표준규격, 인증방법 등에 대해 논의
** ‘19.10월 이후 2차 Working Gorup 운영 중(~’20.4월(잠정))
➋ 금융권 정보활용·관리 상시평가제, 정보활용 동의서 양식 개선 등 정보보호 방안의 세부내용도 법 시행 전 마련·발표하겠습니다.
(ⅰ) 全금융권의 신용정보 관리·보호 운영실태에 대한 점검체계을 개선하고 그 결과를 점수화·등급화하여 금감원 검사 등에 활용하는 ‘금융권 정보활용·관리 상시평가제’를 도입하겠습니다.
(ⅱ) 금융소비자가 “알고하는 동의”를 할 수 있도록 정보활용 동의서를 단순화·시각화하고, 정보활용 등급도 함께 제공하겠습니다.
➌ 금융권 데이터 생태계 조성을 위해 금융분야 빅데이터 인프라를 순차적으로 구축·운영(‘19.6월~)하겠습니다.
(ⅰ) 신용정보원 內 ‘금융 빅데이터 개방시스템’을 통해 금융권에 축적된 양질의 데이터를 개방하겠습니다.(‘19.6월~운영 중)
* 현재 핀테크 기업, 금융회사, 학계, 일반기업 등 28개 기관에서 시스템 이용 중
** 현재 제공 중인 일반신용·기업신용DB 外 보험신용DB, 교육용DB 등 DB 확충 예정
(ⅱ) 기업 간 안전하고 효율적인 데이터 결합을 지원하는 데이터 전문기관(신용정보원, 금융보안원 등) 지정·운영하겠습니다.(3분기)
(ⅲ) 활발한 데이터 유통을 위해 비식별정보·기업정보 등을 공급자·수요자가 거래*할 수 있는 데이터 거래소를 구축하겠습니다.(1분기)
* 금융회사 외에 통신, 유통 등 일반 상거래 기업도 참여 가능
➍ 획일적 신용등급제 적용에 따른 신용등급 문턱효과 개선을 위한 신용등급 점수제 전환도 ‘20년 중 차질없이 시행하겠습니다.
* 全금융권이 참여한 ’개인신용등급 점수제 전환 T/F‘ 구성·운영 중(’19.9월~)
➎ 데이터를 기반으로 소상공인의 원활한 운전자금 조달을 지원하기 위해 ‘플랫폼 매출망 금융 활성화 방안’ 마련하겠습니다.(1분기)
| ☞ 본 자료를 인용 보도할 경우 출처를 표기해 주십시오. | 금융위원회 대 변 인 prfsc@korea.kr |
|
“혁신금융, 더 많은 기회 함께하는 성장”
붙임1 |
| 법안 주요내용 |
가. 빅데이터 분석・이용의 법적근거 마련 |
□ 개인을 알아볼 수 없도록 안전하게 조치한 ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의없이 활용할 수 있게 됩니다.
| 개념 | 활용가능 범위 |
개인정보 | 특정 개인에 관한 정보, 개인을 알아볼 수 있게 하는 정보 | 사전적이고 구체적인 동의를 받은 범위 內 활용 가능 |
가명정보 | 추가정보의 사용없이는 특정 개인을 알아볼 수 없게 조치한 정보 | 다음 목적에 동의 없이 활용가능 (EU GDPR 반영)
❶ 통계작성(상업적 목적 포함) ❷ 연구(산업적 연구 포함) ❸ 공익적 기록보존 목적 등 |
익명정보 | 더 이상 개인을 알아볼 수 없게 (복원 불가능할 정도로) 조치한 정보 | 개인정보가 아니기 때문에 제한없이 자유롭게 활용 |
□ 데이터 결합의 법적 근거를 마련하되, 국가지정 전문기관을 통한 데이터 결합만을 허용하였습니다.
□ 가명정보 활용 및 결합에 대한 안전장치 및 사후통제 수단도 빠짐없이 마련되었습니다.
ㅇ 가명정보의 재식별을 금지(과태료 5천)하고, 추가정보 분리보관 및 엄격한 보안대책 마련·시행(과태료 3천)을 의무화하였습니다.
ㅇ 가명정보 처리 과정에서 특정 개인을 알아볼 수 있게 되는 경우(재식별) 가명정보의 처리를 중지하고 삭제하여야 합니다.
ㅇ 고의적 재식별에 대해서는 5년 이하의 징역, 5천 만원 이하의 벌금, 전체 매출액의 3% 이하의 과징금이 부과됩니다.
나. 개인정보보호위원회 기능 강화 |
□ 상거래기업(금융회사 제외)의 개인신용정보 보호에 관한 법집행 기능(조사·제재)을 개인정보보호위원회로 이관됩니다.
※ 「개보법」 개정안 : ➊‘개보위’를 행정위원회에서 중앙행정기관로 격상➋ 온라인(정보통신망법 : 방통위), 오프라인(개인정보법 : 행안부)로 나뉜 개인정보 관련 법집행기능을 개보위로 이관·통합
다. 신용정보산업 규제체계 정비 |
□ 신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분하고 진입규제 요건이 합리적 완화됩니다.
| 인가단위 | 최소 자본금 | 금융회사 출자요건 | |
현행 | 신용조회업(CB업 구분X) | 50억원 | 적용(50% 이상) | |
개선 | 개인CB | 50억원 | 적용(50% 이상) | |
| ➊비금융전문CB | 5억원/20억원* | 배제 | |
➋개인사업자CB | 50억원 | 적용(50% 이상) | ||
기업 CB | 기업등급제공 | 20억원 | 적용(50% 이상) | |
기술신용평가 | 20억원 | 적용(50% 이상) | ||
정보조회업 | 5억원 | 배제 |
* (5억원) 비정형 데이터 (20억원) 대량의 정형 데이터
➊ 개인CB의 하나로, 통신료·전기·가스·수도 요금 등 비금융정보를 활용하여 신용을 평가하는 ‘비금융정보 전문CB’이 신설됩니다.
➋ 개인사업자에 특화된 신용평가체계를 구축하기 위해 ‘개인 사업자CB’가 신설되고 카드사의 진입도 가능해집니다.
□ 신용조회업자의 영리목적 겸업 금지 규제가 폐지되어, 데이터 분석·가공, 컨설팅 등 다양한 겸영·부수 업무가 가능해집니다.
□ 산업의 건전성 제고를 위해 영업행위 규제가 신설되고, 개인CB·개인사업자CB에는 최대주주 적격성 심사제도가 도입됩니다.
라. 금융분야 마이데이터 산업 도입 |
□ 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이데이터(MyData) 산업이 도입됩니다.
ㅇ 핀테크 진입을 위해 최소 자본금은 5억원으로 하고, 금융회사 출자요건은 적용하지 않는 등 진입장벽을 최소화하였습니다.
ㅇ 마이데이터 사업자는 수집된 정보를 바탕으로 개인의 정보관리를 돕고, 맞춤형 상품 추천, 금융상품 자문 등을 할 수 있습니다.
- 정보정정청구 등 정보관련 권리의 대리행사 업무, 투자자문·일임업, 금융상품자문업 등의 수행도 가능합니다.
□ 서비스의 안전한 정보보호·보안체계도 마련하였습니다.
* 신용정보의 전송은 정보 오·남용 가능성이 없는 방식(표준API)으로 설계
** 강력한 본인인증 절차, 정보유출에 대응한 배상책임보험 가입 의무화
마. 금융분야 개인정보보호 강화 |
□ 정보활용 동의제도의 개선(단순화·시각화), 정보활용 등급제* 도입 등을 통해 소비자가 “알고하는 동의 관행” 정착하겠습니다.
* 정보활용 동의시 정보제공에 따른 사생활 침해위험, 소비자혜택 등을 평가하여 ‘정보활용 동의등급’ 산정·제공
□ 기계화․자동화된 데이터 처리(Profiling)*에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권이 도입됩니다.
* 예 : 통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과
□ 금융회사․공공기관 등에게 본인 정보를 다른 금융회사 등으로 제공토록 요구할 수 있는 ‘개인신용정보 이동권’도 도입됩니다.
□ 금융권의 정보활용ㆍ관리실태를 상시 평가하는 등 정보보호‧보안은 강화하여 데이터 활용에 따른 부작용을 방지하겠습니다.
□ 금융회사 등의 개인신용정보 유출 등에 대한 징벌적 손해배상금이 손해액의 3배에서 5배로 강화됩니다.
붙임2 |
| 신용정보법 개정에 따른 기대효과 |
◈ 데이터가 全산업의 가치창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞추어 금융산업 新성장동력 확보, 일자리 창출
◈ EU GDPR* 등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반 마련
* General Data Protection Regulation (일반개인정보보호법) |
□ 빅데이터 활용 및 데이터 융합이 활성화되면서 데이터를 기반으로한 소비자 맞춤형 금융서비스 출현 등 금융혁신 제고
ㅇ 데이터 분야(MyData)와 결제분야(Open Banking)이 결합되어 혁신되는 경우 금융권의 Digital Transformation이 가속화
□ 마이데이터, 비금융전문CB와 같은 데이터 신산업의 창업·육성으로 청년층이 선호하는 양질의 데이터 일자리 창출
□ 비금융전문CB, 개인사업자CB 신설 등으로 금융이력부족자, 자영업자의 신용평가상 불이익이 해소*되며 금융접근성 제고
* 신용평가를 위한 데이터가 확충되고, 전용 신용평가체계가 구축되면서 1,100만명의 청년·주부 등 금융이력부족자, 660만명의 자영업자의 신용도가 개선될 것으로 기대
□ 정보보호 사후처벌 강화, 상시평가제 도입 등으로 금융권의 데이터 활용 체계가 튼튼해지면서 신뢰받는 데이터 활용 가능
□ 정보활용 동의서 내실화, 마이데이터 도입 등으로 금융소비자가 자신의 정보를 알고 동의하고, 주도적으로 관리할 수 있게 됨
□ 데이터 경제 3법이 통과될 경우, EU 적정성 평가 제도* 통과가 가능하여 EU진출 국내 기업들의 자유로운 데이터 처리 가능
* EU는 적정성 평가를 통과하지 않은 국가의 기업에 대해서는 EU거주자 정보처리를 위해 대규모 법률 비용 및 시간이 소요되는 표준데이터 보호 조항을 준수한 계약 체결 등 기업차원의 데이터 보호조치를 요구