본인신용정보관리회사가 알아야 할 신용정보법
상태바
본인신용정보관리회사가 알아야 할 신용정보법
  • 서지은 수석
  • 승인 2020.09.16 11:08
  • 조회수 4252
  • 댓글 0
이 콘텐츠를 공유합니다

2020년 2월 개정된 「신용정보 이용 및 보호에 관한 법률」(이하 신용정보법)이 지난 8월5일을 기준으로 시행되었다. 신용정보법-시행령-시행규칙-신용정보업감독규정까지 개정ㆍ시행되면서 본인신용정보관리업의 허가제 도입 등 다양한 변화가 시작되었다. 

따라서 개인신용정보를 이용해 마이데이터 사업을 계획하고 있는 사업자는 해당 법조항을 제대로 파악하고 준수하여야 한다.

이에 본 글에서 아래의 내용을 알아보고자 한다.

- 본인신용정보관리회사가 알아야 할 신용정보법
- 허가 이후에 본인신용정보관리회사가 준수하여야 할 주요 조항
- 주의하여 할 신용정보법 조항


본인신용정보관리회사가 알아야 할 신용정보법

「신용정보법」은 본인신용정보관리업 뿐만 아니라 신용정보업(개인신용평가업, 개인사업자신용평가업, 기업신용조회업, 신용조사업), 채권추심업 등을 다루고 있으므로 모든 내용을 파악할 필요는 없다. 본인신용정보관리회사가 어떤 조항에 해당되는지, 관련성이 높은 조항이 무엇인지 아래와 같이 파악하여야 한다.

또한 본인신용정보관리회사 내에서도 이해관계자별 역할이 구분되어 있으므로 역할별로 알아야 할 법 조항이 다르다.

특히 의사결정자는 아래 사항에 대해 인지ㆍ관리하고 이슈사항 발생 시 이를 통제할 수 있어야 한다.

■ 허가: 대주주 및 임원 요건, 겸영ㆍ부수업무 범위, 허가취소ㆍ업무정지 사항 등
■ 자격 및 행위규칙: 본인신용정보관리회사 행위규칙, 개인신용정보 누설 시 조치사항, 신용정보협회 등 
■ 데이터 관리ㆍ보고: 신용정보관리·보호인 지정 및 관리현황 금융위원회 보고 등
■ 감독ㆍ검사ㆍ평가ㆍ조치: 금융위원회 감독 및 검사 항목, 활용·관리 실태에 대한 상시평가, 업무보고서 등 보고 필요사항, 금융위원회 조치사항 반영 등
■ 과징금ㆍ벌칙ㆍ손해배상: 본인신용정보회사 과징금 부과 항목 및 금액, 손해배상 보장 방법 및 금액, 벌칙 및 과태료 등

 

허가 이후에 본인신용정보관리회사가 준수하여야 할 주요 조항 

본인신용정보관리업 허가를 받은 본인신용정보관리회사가 중점적으로 준수하여야 할 영역은 신용정보주체 권리, 개인신용정보 수집ㆍ이용ㆍ제공 및 관리ㆍ보고 영역이다.

허가까지는 허가요건에 맞는 사업계획서 작성 및 제출서류 등에 집중하였다면 허가 이후에는 실제 사업운영에 필수적인 개인신용정보를 합법적인 기준 안에서 어떻게 수집ㆍ이용ㆍ관리 할 것인가가 중요 포인트다.

본인신용정보관리회사는 기본적으로 개인신용정보주체의 전송요구에 의해 신용정보제공ㆍ이용자(금융기관 등)으로부터 개인신용정보를 제공받게 되어있다. 그러나 전송요구권에 의한 데이터 수집 외에도 신용정보주체에게 직접 제공받거나 개인신용정보 외 개인정보를 동의를 통해 확보할 수 있으므로 ‘동의’와 관련된 법조항을 파악하여야 한다. 또한 겸영ㆍ부수업무 수행에 개인신용정보 가명ㆍ익명처리가 필요하다면 관련 조항 및 데이전문기관에 대해서도 파악이 필요하다.

본인신용정보관리회사는 마이데이터 사업에 필요한 개인신용정보를 합법적으로 수집ㆍ이용ㆍ제공한 후에 보유한 개인신용정보를 안전하게 보호ㆍ관리하여야 한다. 따라서 수집한 개인신용데이터를 어떠한 체계에서 관리하고 그 기록을 보관ㆍ정정ㆍ삭제ㆍ보존 할 것인지, 그리고 그 내용을 누구(개인신용정보주체, 금융위원회 등)에게 언제 통지ㆍ보고 해야 할 것인 것인지 등을 해당 법률에 따라 정의하여야 한다.

금융위원회로부터 허가를 받은 본인신용정보관리회사는 금융위원회 및 금융감독원 등 다양한 기관의 감독과 검사를 받게된다. 이에 따라 보고 할 의무(분기별, 매년 초 등)도 다양하다. 따라서 감독ㆍ검사ㆍ평가ㆍ조치 영역에 대한 법조항 또한 상세히 파악하고 준비하여야 한다.


주의하여 할 신용정보법 조항 

2020년 8월5일 시행된 「신용정보법」에는 시행일이 아직 도래하지 않은 내용이 포함되어 있다. 그 중 본인신용정보관리회사가 반드시 주의하여야 할 조항은 아래와 같다.

■ 제22조의9 본인신용정보관리회사의 행위규칙 ③④⑤⑥⑦항[시행일 : 2021. 8. 4.]
■ 제33조의2(개인신용정보의 전송요구) [시행일 : 2021. 2. 4.]

제22조의9의 ③④⑤⑥⑦항의 주요 내용은 ‘③본인신용정보관리회사는 스크래핑을 통해 개인신용정보를 수집해서는 안되며, ④신용정보제공ㆍ이용자등은 대통령령으로 정한 방식(API)으로 본인신용정보관리회사에 개인신용정보를 직접 전송해야한다. ⑤규모가 기준보다 작은 신용정보제공ㆍ이용자등은 개인신용정보를 중계기관을 이용해 본인신용정보관리회사에 전송할 수 있다. ⑥ 신용정보제공ㆍ이용자등은 개인신용정보 최신화를 위한 정기적 전송의 경우 필요한 범위에서 최소한의 비용을 본인신용정보관리회사가 부담하게 할 수 있다. ⑦개인신용정보 전송 절차 및 방법, 비용에 관한 세부사항은 대통령령을 정한다.’ 이다.

위에 따르면 2021년 8월4일부터 스크래핑이 아닌 API방식으로 개인신용정보의 전송이 가능하다. 그런데 제33조의2에 따라 개인신용정보주체가 법적으로 전송요구를 할 수 있는 시기는 2021년 2월 4일이다. 

즉, 2021년 2월4일부터 2121년 8월3일까지는 개인신용정보주체의 전송요구 시 API 전송이 아닌 방식으로 개인신용정보를 수집하여야 하는데 기존 스크래핑 방식으로 수집이 가능한 데이터는 크게 문제되지 않으나 스크래핑이 불가능한 대상으로부터 데이터를 받아야 하는 상황이 생길 수 있으므로 이 점을 유의하여야 한다.

이 기간에 전송요구권 행사 상황 발생시 신용정보제공ㆍ이용자등(금융기관 등)은 반드시 본인신용정보관리회사에 개인신용정보를 제공하여야 하는데 신용정보법 제33조의2제3항에 따라 신용정보제공ㆍ이용자등은 개인신용정보를 컴퓨터 등 정보처리장치로 처리가 가능한 형태로만 전송하면 된다. 전송요구에 의한 데이터 제공 의무는 신용정보제공ㆍ이용자등에게 있지만 본인신용정보관리회사도 해당 데이터를 받아야하는 당사자이기 때문에 이 이슈에서 자유로울 수 없다. 

따라서 본인신용정보관리회사는 이 시기(2021년 2월4일부터 2121년 8월3일)에 어떠한 형태로 데이터가 전송될지 파악하고 이에 대비하여야 한다.

 

 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.