1. 추진 배경 및 법률 제명 변경

□ 변화된 정보환경과 개인정보 유출사고 등에 대응하여 현행 「신용정보법」을 신용정보주체와 신용정보 보호를 근간으로 하는 법으로 개편하고자 하는 것임

* 현행 신용정보법은 신용정보업의 기능 및 신용정보의 이용에 초점을 맞춘 반면, 개정 신용정보법은 신용정보의 보호 의무와 신용정보주체의 자기정보통제권 강화에 초점을 맞춤

ㅇ 또한, 개인정보보호에 관한 「개인정보법」이 제정,시행(11년)됨에 따라 신용정보의 특성을 반영한 특별법*으로 지위를 재정립

* 신용정보의 대상을 금융거래와 관련된 정보로 한정하는 한편, 신용정보처리자를 새롭게 정의하여 수범대상을 명확화

※ 아울러, 현재 정무위 계류 중인 신용정보법 일부 개정법률안의 내용도 개편된 법 체계에 맞춰 수정 반영

* 국회 논의과정에서 정무위 계류안이 조정될 경우 변화된 개정체계에 맞춰 추가 수정 반영할 계획

□ (법률 제명 변경) 「신용정보의 이용 및 보호에 관한 법률」

→ 「신용정보 보호 및 처리에 관한 법률」

ㅇ 신용정보의 보호와 정보주체의 권리보장에 관한 사항을 법 앞부분에 규정하고, 신용정보업에 관한 사항을 뒷부분에 규정

ㅇ 신용정보의 보호와 관련하여 수집?이용?제공?집중?폐기 등 전 처리 과정의 흐름에 따라 강화

< 신용정보법 체계 개편 >

2. 주요 개정 내용

□신용정보제공·이용자삭제 →신용정보처리자신설

* 현행 신용정보를 수집·이용 등을 할 수 있는 자:

신용정보회사, 신용정보집중기관, 신용정보제공·이용자

ㅇ 현행 신용정보제공·이용자는 금융거래뿐만 아니라 모든 상거래 기업*까지 포함

* 비금융 상거래기업의 경우 「개인정보법」·「정보통신망법」과 중첩되는 문제가 발생

ㅇ 개정법은 신용정보처리자를 금융당국의 감독대상인 금융기관, 신용정보회사, 신용정보집중기관에 한정하여 수범대상을 명확화

* 7.31 정부합동 개인정보 정상화대책의 후속조치로 개인정보법, 정보통신망법 등 타 법령의 경우에도 수범대상 및 관련 감독기관을 명확히 할 계획

? 열거주의 → 포괄적으로 정의

ㅇ 현행법은,정보의 이용,측면에서 신용정보제공?이용자간 처리가 필요한 정보를 제한적으로 열거

ㅇ 개정법은,정보의 보호,측면에서 신용정보처리자가 처리하는 모든 금융관련 정보를 신용정보*로 정의하여 보호의무를 부과

* 개정 신용정보의 정의:

신용정보처리자가 처리하는 정보로서 식별정보, 금융거래관계의 설정, 유지여부를 판단하거나 조건을 결정하기 위해 필요한 정보 및 금융거래 정보

< 현행법 > <개정법>

 이용측면에서 신용정보처리자간 처리가 필요한 정보는 정의(총칙)조항이 아닌 관련 조항(신용정보집중기관/신용조회회사)에서 구체적으로 열거

ㅇ 이용측면에서 필요한 정보는 정보의 범위, 처리 절차를 함께 규정하여 신용정보를 보호를 강화

* 일반 상거래 기업도 신용정보를 이용할 수 있는지?

① 일반상거래 기업이 계약체결을 위해 개인정보를 수집?이용할 경우 개인정보법에 따라 처리하는 등 원칙적으로 개인정보법이 적용

② 다만, 신용조회회사 등 신용정보회사로부터 신용정보주체의 신용등급 등 신용정보를 조회하는 것은 허용

□ 처리*란 신용정보를 수집한 이후 이용·제공·파기 등 일련의 전 과정(Life-cycle)으로 재정의하여 일관된 처리와 보호원칙을 적용

(개인정보법과 체계를 일치시켜 법적 정합성을 제고)

* 처리: 수집, 조사, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 및 이와 유사한 행위

ㅇ 최소처리 등 정보처리 원칙*을 도입(§4)하여 同 원칙이 전 과정에 걸쳐 일관되게 적용되어 신용정보보호를 강화

* 신용정보 처리의 원칙(OECD 권고사항, 「개인정보법」 旣 도입)

① 최소처리의 원칙 ② 목적외 이용금지 ③ 정확성, 최신성의 원칙 등

 (수집·이용) 신용정보처리자가 신용정보주체로부터 직접 수집 또는 타 처리자로부터 제공받아 수집 등 방법에 관계없이 수집으로 개념을 통일하고 수집한 정보를 목적 범위에서 이용

ㅇ 현행법은 수집에 대해 구체적으로 규정하지 않고, 실무상 수집·이용/조회·이용/활용·이용 등으로 구분하나 일반적으로 혼용

* 수집·이용: 신용정보주체에게 직접 수집하여 이용하는 경우

조회·이용: 신용조회회사에게 제공받아 이용하는 경우

조회·이용/활용·이용: 신용정보집중기관에게 제공받아 이용하는 경우

 (제공) 신용정보처리자가 제3자에게 신용정보를 공급하는 행위

□ 수집·이용, 제공할 경우 모든 개인신용정보에 대해 동의를 의무화하고, 동의한 목적 범위 내에서 이용 및 제공이 가능

ㅇ 이용·제공 목적, 처리기간·방법, 동의하지 않을 권리 등의 고지를 의무화하여 신용정보주체의 자기결정권을 강화

ㅇ 동의 없이 수집·이용, 제공 가능한 신용정보 및 동의 받은 목적이외에 이용,제공 가능한 신용정보는 법령의 명문화하여 한정적으로 허용

※ 同 사항은 대부분 현재 정무위에 계류 중인 신용정보법 개정안 등에 반영된 사항을 개편된 체계에 맞춰 수정 반영

 포괄적 동의를 폐지하고, 정보수집·제공시 마다 개별적 동의를 의무화

* 다만, 기존 동의 목적 범위에서 정확성·최신성 유지를 위한 것으로 동의 없이 수집·제공이 가능

 필수적·선택적 동의사항을 구분하여 신용정보주체의 이해 가능성 및 자기결정권을 제고

ㅇ 선택적 동의사항에 대해서는 신용정보주체에게 철회가 가능(§28)

 (신용정보 이용·제공사실 조회, §28) 신용정보처리자는 개인신용정보 이용·제공사실에 대해 신용정보주체가 조회할 수 있는 시스템을 구축

 (징벌적 손해배상, §33, §34) 사후적 권리구제를 강화하기 위해 징벌적 손해배상을 도입

 (신용정보 국외이전 강화, §9) 신용정보처리자가 국외에 소재하는 제3자에게 신용정보를 제공할 수 있는 추가요건*을 신설

[同 사항은 정무위 계류안에는 없는 내용이며 새로이 반영한 사항]

* 추가요건: ① 동의를 받아 제공할 경우 국외이전 사실을 함께 고지

② 금융위원회가 정하는 국외 제공 지침을 준수한 계약을 체결한 경우

 (신용정보처리의 위탁, §12) 개인신용정보처리 위탁시 유출사고를 방지하기 위해 특정 주체를 식별할 수 있는 자료는 암호화를 의무화

 (개인신용정보의 보유기간 중 관리강화, §18) 2단계로 구분 관리

ㅇ 금융거래 종료시 거래 중인 다른 신용정보와 분리하여 접근제한*하고 일정기간(최대 5년) 경과 후 삭제 의무화

* 분리된 개인신용정보를 영업목적으로 이용되지 않도록 보안 통제를 강화

 (신용정보 유출통지, §22) 신용정보처리자가 관리하는 신용정보가 유출된 경우 신용정보주체에게 통지를 의무화

 (제재정비) 제재수준을 강화하는 한편, 개인정보법?정통망법 등 정보보호 관련 법령간 제재수준을 일치시켜 법령간 정합성을 제고

(개인정보 정상화대책 후속조치)

* 개정 예시

신용정보보호를 위한 안정성 조치 미이행시 : (현행) 과태료 6백만원 → (개정) 최대 5천만원

미이행에 따른 정보유출시 벌칙 신설 :

신용정보처리자 : 2년이하 징역, 2천만원이하 벌금, 과징금 최대 50억원

침해한 자 : 7년이하 징역, 7천만원이하 벌금

3. 향후 추진 계획

□ 입법예고 후 규개위, 법제처 심사 등을 거쳐 `15.1/4분기 중 국회에 제출할 수 있도록 추진할 계획

* 자세한 내용은 첨부파일을 참고하시기 바랍니다.

“이 자료는 금융위원회의 보도자료를 전재하여 제공함을 알려드립니다.”