​[데이터3법 시대] ①내일부터 개정안 시행…금융사 데이터 결합 가능해진다

[사진=게티이미지코리아]

오는 5일부터 개인정보보호법·신용정보법·정보통신망법 등 일명 ‘데이터3법’ 개정안이 시행된다. 데이터3법이 시행되면 개인정보 전송 요구권이 생기고, 금융회사의 데이터 결합이 가능해진다. 주체의 동의 없이 개인정보를 추가적으로 활용할 수도 있다.

4일 금융권에 따르면 신용정보법은 데이터 결합의 절차와 결합 시 준수사항 등에 대한 내용을 담고 있다.

금융사와 일반 기업은 신용정보법에 따라 지정된 데이터 전문기관을 통해 데이터를 결합할 수 있다. 금융당국은 오는 6일 데이터 전문기관을 지정해 발표할 예정이다. 한국신용정보원, 금융보안원이 우선 지정되고, 향후 민간기업으로 확대할 것으로 알려졌다.

신용정보업(CB업)에 대한 규제도 완화된다. 기존의 CB업은 인가 단위의 구분이 없었고 최소 자본금은 50억원, 전문 인력은 10명이었다.

앞으로는 개인CB, 개인사업자CB, 기업CB로 세분화된다. 자본금은 50억원(개인CB), 50억원(개인사업자CB), 20억원(기업CB)이며 전문 인력은 10명이다.

복수의 신용정보업을 허가받고자 할 경우, 최대 10명의 전문 인력만 갖추면 된다. 전문 인력의 범위도 금융회사·핀테크·빅테크 기업·연구소 등에서 정보 분석·기획 등의 업무를 한 자 등까지 확대했다.

마이데이터 사업자는 제3자에 대한 개인신용정보 전송요구를 철회하도록 강요하는 행위를 할 수 없고, 정보주체가 요구하면 신용정보를 즉시 삭제해야 한다.

정보주체는 금융회사 등, 전기통신사업자, 공공기관 등이 보유한 개인신용정보를 본인, 마이데이터 사업자, 금융회사 등에 전송해 줄 것을 요구할 수 있다. 전송 대상 정보의 범위는 금융거래정보, 국세 및 지방세 납부정보, 4대 보험료 납부정보, 통신료 납부정보 등이다.

금융회사는 연 1회 이상 정보 관리·보호실태를 점검하고, 점점결과를 대표자와 이사회에 보고한 뒤 금융위원회(금융보안원에 위탁)에 제출해야 한다.

개인정보보호법은 개인정보 주인의 동의 없이 개인정보를 추가로 활용하거나 제3자에게 제공할 때 갖춰야 할 기준을 완화했다.

수집 목적과의 관련성, 개인정보 수집 정황 또는 처리 관행에 비춘 예측 가능성, 추가처리가 정보주체의 이익을 부당하게 침해하지 않는지, 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 했는지 등을 고려해 개인정보 수집 목적과 관련성이 있는 경우 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있다.

결합된 가명정보는 외부로 반출할 수도 있다. 가명정보가 특정 개인을 알아볼 가능성이 없고 반출정보에 대한 안전조치 계획이 있는 경우, 결합전문기관의 반출심사위원회 승인을 거쳐 외부 반출하도록 했다.

다만 지문·홍채·안면 등 생체인식정보와 인종·민족정보를 ‘민감정보’에 포함시켜 정보주체의 별도 동의를 받아야 추가 활용이 가능하게 했다.

마지막으로 정보통신망법의 개인정보 보호 규정이 개인정보보호법으로 이관됐다. 이에 따라 정보통신망법 시행령에 규정됐던 ‘개인정보 이용내역 통지’ ‘손해배상책임 보장’ ‘해외 사업자의 국내 대리인 지정’ 등 개인정보 보호 관련 조항이 삭제됐다.