 |  |  | 한 두 번이 아니다. 우량한 기업들의 전체 이용자들의 개인정보가 모두 유출되는 상황이 반복되고 있다. 우리 시민들의 주민등록번호는 이미 오래전부터 중국에서 헐값에 거래되고 있다. 이 와중에 롯데카드, 국민카드, 농협카드 고객정보가 또 다시 유출되었다. 금융거래의 근간을 이루는 신뢰는 붕괴되었고 시민들은 실체화된 불안감속에 떨고 있다.
이 사고는 근본적으로 금융회사들에게만 특혜로 수익을 위하여 정보공유를 과도하게 허용하고 있는 현행법과, 금융서비스업자의 시각에서 개인신용정보 활용정책을 펴 왔던 금융위원회에 그 책임이 있다. 이제는 각종 관련 법제의 과도한 공유근거조항을 개인정보보호법상의 동의기준에 맞게 폐지 또는 개선하여야 하고, 향후에 독립적인 위원회가 개인정보정책을 주관하도록 하는 프라이버시에 대한 정책적 결단이 필요하다. | | |  |  | | | 창원지방검찰청은 2012년 5월부터 2013년 12월까지 농협카드, 국민은행카드, 롯데카드사의 고객정보가 하청업체 직원의 행위로 대출업체 등에 유통된 행위를 적발하고 2014년 1월 8일 관계자들을 구속기소한 바 있다. 이렇게 수집된 인적 정보는 무려 총 1억 400만 건이다. 여기에는 이름, 휴대전호 뿐만 아니라 직장명, 주소, 및 신용카드 사용내역까지 포함된 것으로 드러나 큰 충격을 주었다.1)
이번 사고는 거의 대부분의 국내금융소비자들이 포함되어 있다는 점에서 충격적이었고, 금융소비자들이 겉으로 드러내기 꺼려하는 다양한 신용정보들이 포함되어 있다는 점에서 과거의 개인정보 유출사고보다 더 충격적이었다. 그러나 이 사건이 발생한 직후 강기정 의원이 금융감독원 등에 확인한 바에 의하면, 2009년부터 현재까지 금융기관의 개인정보유출사고는 17번 가량, 약 1억 9,283만 건 발생한 것으로 드러나2)이미 이 사건 이전에도 다양한 개인 금융정보들이 여러 통로로 유통되고 있었다는 점까지 밝혀졌다.
검찰의 기소결과 발표이후 카드사 정보유출로 금융소비자들의 걱정과 우려가 높아지자, 금융위원회는 2주나 지난 2014년 1월 22일 금융회사 고객정보 유출 재발방지 대책을 제시한 바 있다. 그러나 그 재발방지대책 자체가 근본적인 프라이버시 정책에 대한 것이 아니라, 이미 금융서비스 자체에 대한 신뢰를 잃어버린 금융 소비자들에게 명확한 대책이나 이유제시 없이 안심하고 금융서비스를 이용하라는 내용에 집중되어 있다. 금융위원회는 아직 현장조사가 마무리되지 않았음에도 재발방지대책에 대한 보고서에서 “금번에 유출되었던 정보는 전량 회수되어 부정사용가능성은 없다”거나 “신용카드 비밀번호나 본인인증코드”와 같은 중요정보는 포함되지 않았으므로 기존카드를 그대로 사용할 것을 권고“하였다.3)금융위원회는 이 사건 사고에 대하여 안이하게 IT・보안의 문제로만 상황을 파악하여, 사건의 위험성에 대한 일반 소비자들의 관심을 돌리는 데에만 급급한 상황이다.
현재 다른 기업들과 달리 금융회사에 대하여 개인정보의 수집, 이용, 공유 등에 대하여 넓은 특혜가 허용되고 있다. 개인정보보호법 제6조는 “다른 법률에 특별한 규정이 있는 경우를 제외하고 적용된다”는 규정이 있어,4)금융회사들에 대하여 적용되는 별개의 법률의 규정들은 개인정보보호법에 우선 적용될 수밖에 없다. 문제는 금융회사들에게 적용되는 개인정보보호의 기준이 영업목적으로 개인정보보호법보다 완화되어있다는 점이다. 실제로 개인정보보호법에 의하면 심각한 문제가 되는 경우라도, 금융회사들에게 적용되는 별개의 법률들에 따르면 문제가 되지 않는 경우가 많다. 이에 따라 금융회사들은 다른 기업들보다 더 많은 정보를 영업목적으로 취득할 수 있는 통로가 열려 있다.
이미 금융기관들은 신용정보와 관련하여 업무목적으로 과도한 정보들을 수집, 활용할 수 밖에 없다. 그럼에도 또 다시 현행법에 따라 텔레마케팅 등의 영업목적으로 다른 금융기관들이 수집한 정보들에도 소비자들의 동의 없이 접근하여 이용할 수 있는 권한이 있다. 이는 금융기관이 보유하는 정보가 유출되었을 때 그 범위가 예상할 수 없을 정도로 광범위하게 증대할 수밖에 없는 원인이기도 하다. 더 나아가 개인들은 이렇게 수집, 활용된 정보들이 어떻게 활용되는지 알 수 조차 없다. 이에 따라 금융소비자들은 헌법이 보장하고 있는 개인정보관리통제권을 실질적으로 행사할 수 없는 상황에 처한다. | | | |  | | | 원칙적으로, 금융소비자 개인정보의 유통 경로와 활용 실태는 명확하게 드러나야 하고, 개인정보보호법 제3조 제2항에 따라 기업들은 필요한 범위 내의 정보만을 처리해야 한다. 그러나 금융정보에 이러한 원칙이 적용되지 않는다. 오히려 다른 기업들에 비해 금융기관에는 영업이익추구를 위한 개인신용정보가 공유되는 특혜가 있다.
현재 금융기관들에게 적용되는 “신용정보의 이용 및 보호에 관한 법률”은 신용조회, 신용조사, 채권추심 등의 다양한 목적으로 신용과 관련된 광범위한 개인정보를 수집하여 활용하게 할 수 있는 다양한 근거조항을 두고 있으며, “금융지주회사법”에서는 개인신용정보를 금융지주회사들 간에 영업상 이용하게 할 목적으로 제공할 수 있는 근거 규정을 두고 있다.(제48조의 2) 금융기관들이 이러한 정보의 손쉬운 결합, 이용을 통하여 얻을 수 있는 수익은 그들이 다루는 신용정보의 양과 품질의 측면에서 새로운 차원의 이익창출과 연결될 수밖에 없다. 금융위원회 역시 그간 금융회사들간 정보를 공유하여 활용할 수 있는 방법을 금융회사들과 함께 발굴해 왔다. 금융위원회는 새정부 출범이후 창조경제라는 기치아래 2013년 11월 27일 「금융업 경쟁력 강화방안」을 발표하면서 금융사들이 빅데이터 기반 비즈니스 서비스 모델 발굴을 용이하게 하는 방안으로 “신용정보의 포괄적인 활용을 지원”할 것임을 약속했다. 또한 금융위원회는 올해 초에 신용정보의 이용 및 보호에 관한 법률상 개인정보활용을 완화하는 근거조항을 넣을 것도 계획한 바 있다.
그러나 이러한 법률상의 신용정보들의 수집, 이용, 공유 등은 무엇보다도 금융기관의 영업상의 편의에 치중하여 개인들의 정보관리통제권의 행사를 형해화하는 특혜이다. 금융소비자는 현행법의 공유근거조항들 때문에, 금융기관과 단순한 거래를 시작하더라도, 자신의 정보가 유통되는 경로, 기관, 목적, 보유되는 기간 등을 대략적으로도 짐작할 수조차 없는 상황이 되었다. 실제로 개인정보보호위원회의 권고자료에 따르면, 12개 금융지주그룹에서 2011년부터 2012년까지 1,217회에 걸쳐 약 40억 건의 고객정보가 그룹 내 회사들에게 제공되었을 뿐만 아니라 제공된 고객정보 중 67%인 27억 건은 위험관리, 고객분석, 영업점평가, 고객등급산정, 우수고객관리 등 그룹 내 경영관리 목적으로, 33%인 13억 건은 고객 본인들이 직접 가입하지 않은 자회사 또는 손자회사가 보험텔레마케팅, 신용대출상품판매 등 직접영업(마케팅) 목적으로 이용되었음을 알 수 있다.5)즉, 금융기관들이 공유하는 정보들의 상당한 정도가 개인들의 일상생활들을 방해하는 스팸 등의 금융상품 판매를 위한 텔레마케팅 목적으로 활용되고 있다는 것이다. 개인정보보호의 원칙은 의료, 금융, 통신 등 산업 간에 차이가 존재해야 할 필요가 전혀 없다.6)그럼에도 금융정보에만 완화된 특칙을 규정한 것이 오늘날 금융정보의 과도한 공유가 발생한 원인이 되었고, 그러한 영업행태는 개인신용정보유출시 그 위험성을 과도하게 만든 주범이라 할 수 있다.
금융정보와 관련된 제도 개선책은 무엇보다도 다른 사기업들에게도 통일적으로 적용되는 개인정보보호법, 또는 그보다 강화된 규제를 하는 것으로부터 시작할 필요가 있다. 즉, 개인정보보호법보다 규제를 완화한 신용정보의 이용 및 보호에 관한 법률 및 금융지주회사법상의 정보의 공유 및 활용을 허용한 규정들에 대해서는 적어도 개인정보보호법과 유사한 수준으로 개정하는 작업이 선행되어야 한다. 현재 금융지주회사법에 대하여는 변재일 외 10인의 의원안이 발의되었으나, 이 발의안은 해당 조항의 폐지보다는 사후통지를 통한 제도의 최소한 개선이라, 근본적으로는 금융지주회사법상의 정보공유규정의 폐지안이 필요한 상황이다. | | | |  | | | 규제기관과 피규제기관의 관계에서는, 진흥과 규제 기능이 결합되어 항상 “규제기관이 피규제기관의 대리인이 될 우려”가 항상 제기되곤 한다. 같은 취지에서 금융기관들에 대한 진흥과 규제를 함께 담당하고 있는 금융위원회가 개인정보보호업무까지 보는 것은 무엇보다도 금융기관과의 유착관계 측면에서 문제가 발생할 소지가 있다. 금융위원회는 프라이버시 업무뿐만 아니라 금융기관들의 다양한 진흥업무도 함께 담당함으로써, 개인정보보호의 처리 기준과 원칙이 금융기관에 대한 진흥정책에 따라 달라질 수 있는 원인이 된다. 앞서 본 것처럼, 금융위원회는 금융 빅데이터 산업증진을 위하여 금융회사들의 입장에서 힘을 써 왔다. 그간 금융위원회는 신용정보의 이용 및 보호에 관한 법률의 완화를 위한 개정작업도 진행할 정도로 개인정보보호법과 다른 기준의 정보의 이용, 공유, 활용의 금융시스템을 지지해 왔으며, 금융위원회는 이번 사건의 발생 이후 금융소비자들 입장에서는 이해하기 어렵게도 손해발생 및 원인을 제한적으로 해석하는 대책발표를 하기까지 하였다. 즉, 금융위원회가 금융회사들의 영업이익 때문에 프라이버시 정책을 실질적으로 구현할 수 없다는 우려는 현실적이다.
원칙적으로는 금융기관의 개인정보보호업무는, 개인정보보호위원회 한 곳으로 통합하고, 이 과정에서 개인정보보호의 원칙들은 금융기관이라고 특혜를 주는 일 없이 통일적으로 규정되어야 할 것이다. 그러나 문제는 우리나라의 개인정보보호위원회가 현재 독립적이지 않다는 점에서 문제가 있다. UN은 개인정보 보호업무를 전담하는 독립된 개인정보보호기구의 설치 운영을 회원국들에게 권고하고 있으나, 현재 국내의 개인정보보호위원회는 이러한 역할을 전혀 하지 못하고 있다. 오히려 현재 개인정보보호위원회 직원의 약 30%가 행정안전부, 방송통신위원회 등 파견 공무원으로 구성되어 있을 뿐 아니라, 개인정보보호위원회는 심의의결권만 있을 뿐 조사권도 없어 독립적인 기구로 보기 어렵다.7)따라서 이 문제는 개인정보보호위원회의 독립성을 확보하는 문제와 함께 해결하여야 할 것으로 보인다. | | | |  | | | 어찌 보면 이번 금융정보 유출은 단순하게 직원의 불법행위에 의하여 발생한 보안의 문제처럼 보이기도 한다. 금융위원회가 제시한대로 금융정보기관들의 보안을 증진하는 것도 하나의 방법이 될 수 있다. 하지만 금융기관이 보유하는 정보의 양이 서비스 제공과 무관하게 과도하고, 그 성격이 돈이 된다는 점에서 반복적으로 금융정보유출사고가 발생하는 원인이 되고 있다. 즉, 서비스제공과 관련하여 필요하지 않는 정보는 보유하지 않도록 하는 것, 그리고 금융소비자가 알지 못하는 방법으로 정보를 이용, 공유, 활용하는 것 등을 금지하는 것이 필요하다.
반복적으로 발생하는 이러한 사고들을 통하여, 금융소비자들은 자신의 정보를 보유하였는지 알지도 못하는 기관에서 정보가 유출되는 상황을 인식하지 못한 채 경험할 수밖에 없다. 이는 근본적으로 우리 헌법이 보장하고 있는 자기정보관리통제권 침해문제와 연결될 수밖에 없다. 따라서 인권적 측면에서, 개인정보보호법과 다른 기준으로 금융회사들에게 영업상의 편의를 봐주었던 정책 및 근거법들은 폐기되어야 한다. 금융회사들도 다른 기업들과 마찬가지로 소비자들에게 어떤 목적으로, 어떤 정보가 활용되는지 고지하고, 그 필요한 목적 범위 내에서만 소비자들의 개인정보를 처리하여야 한다. | | | | 1. 전자신문『‘1억 400만명’ 사상 최대 카드 고객정보 유출 … 협력사 직원 2년간 USB로 빼내』, 길재식 기자 외1, 2014. 1. 8. http://www.etnews.com/news/economy/finance/2898329_1492.html
2. 강기정 의원실 보도자료, 『5년간 개인정보유출 1억 9,283만건, 카드사 개인정보 유출 통지문에 피해자 구제절차 누락, 강기정 위원장, 신용정보유출사태 국조특위 촉구』2014. 1. 26. http://www.kanggijung.com/bbs/board.php?bo_table=ok_05&wr_id=1050(%EC%B2%A8%EB%B6%80%EC%9E%90%EB%A3%8C)
3. 금융위원회, 『금융회사 고객정보 유출 재발방지 대책』, 2014. 1. 22.
4. 개인정보보호법 제6조 (다른 법률과의 관계) 개인정보 보호에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
5. 개인정보보호위원회,「금융지주회사의 고객정보 이용제도 개선에 대한 권고」,2014. 1. 13.
6. 국가인권위원회, 「정보인권보고서」, 2013
7. 국가인권위원회, 「정보인권보고서」, 2013
| | | |  |  | |
