광고
광고
광고
광고

스마트시대 금융동력 '고객 데이터'...핵심은 '개인정보보호' 수준

이유담 기자 | 기사입력 2018/05/29 [10:01]

스마트시대 금융동력 '고객 데이터'...핵심은 '개인정보보호' 수준

이유담 기자 | 입력 : 2018/05/29 [10:01]

[파이낸셜신문=이유담 기자] 스마트 시대 금융 발전 동력으로 평가받는 '데이터' 활용을 위해 개인정보보호 관련 진지한 고민이 요구되고 있다.

 

고객 데이터를 마케팅에 쓰는 데 개인정보보호와 고객확인제도를 어떻게 연결할지, 개인정보 보호 및 관리 측면에서 발생하는 규제비용을 어떻게 안고가야 할지 등 합리적인 고민이 필요한 시점이다. 

 

유럽연합(EU)은 온라인 개인정보보호와 관련 강도 높은 법안이 25일(현지시간)부터 시행했다. EU 회원국 간 개인정보의 자유로운 이동을 보장하고 개인정보의 보호 권리 강화하는 개인정보보호 규범인 일반개인정보보호법(GDPR)을 말한다.

 

GDPR이 시행되자 페이스북과 구글 등 미국 IT기업도 정보보호관련 규정을 바꾸는 등 EU의 요구에 발맞추고 있을 정도로 해당 법은 세계적으로 영향력이 크다. 

 

이 법에 따르면 기업은 개인정보 관련 조직 정비나 정보처리 시스템 강화, 리스크관리 강화 등 개인정보 수집‧유지‧접근을 최소화하고 보호하는 방향으로 조직시스템을 갖춰야 한다. 

 

한편 GDPR이 유럽 지역에 지점을 갖고 있거나 유럽 역내에 거주하는 재외국인에게 영업하는 해외 기업에 적용된다는 점을 봤을 때 국내 은행들도 해외진출을 유럽으로 삼을 경우 주의해야 한다. 

 

국내 은행들은 아직까지는 동남아시아 진출이 주를 이뤄 유럽이나 EU 시민에 대한 익스포저가 적겠지만, 유럽 지역에 지점을 갖고 있거나 유럽 역내에 거주하는 재외국인에게 영업하는 은행은 적용될 소지가 있기 때문이다. 

 

국제금융센터 관계자는 "GDPR은 적용되는 개인과 이들 개인의 정보를 보관‧처리하는 기업 범위는 EU에 국한되지 않는다"면서 "국내 은행권은 GDPR의 국내 적용 여부를 점검하고 고객정보 파악과 규정준수를 위한 프로토콜 구축, 리스크관리 강화 등 보완대책을 강구해야 한다"고 밝혔다. 

 

▲ 국내 은행권은 유럽연합(EU)가 25일부터 시행한 일반개인정보보호법(GDPR)의 국내 적용 여부를 점검하고 고객정보 파악과 규정준수 보완대책을 강구해야 한다고 국제금융센터는 밝혔다. 

 

GDPR에 따르면 은행 동의없이 정보처리기업은 정보 이전이 금지되며 양쪽 모두 공공기관 정보처리나 민감정보 처리가 주업무일 경우에는 정보보호관리자를 임명해야 한다. 

 

또 범죄나 민감정보 처리 시 관련 기록을 문서화하고 해당 개인에게 관련 정보와 관련해 고지해야 할 의무가 있다. 특히 기업은 정보주체의 정보동의 과정에서 모호하고 암묵적 방식이 아니라 적극적인 동의과정을 삼아야 한다. 동의란 체크박스처럼 특별히 동의하지 않아도 동의되는 형태는 금지한다. 

 

기업은 정보처리 과정에서 리스크가 크다고 판단될 경우 정보보호에 미치는 영향을 평가하는 한편 개인정보 유출 시에는 해당국 감독기관에 72시간 내로 보고하고 영향이 미치는 개인에게도 같은 사실을 통지해야 한다. 

 

특히 개인이 기업이 갖고 있는 개인정보를 통제할 수 있는 권리도 강화하고 있다. 개인이 본인의 정보열람이나 정보처리현황 파악에 대해 요구하면 기업은 한 달 내로 관련 정보를 제공한다. 아울러 개인은 본인정보를 고치거나 삭제토록 요청할 수 있고 정보수집 목적이 특별히 없거나 불법으로 개인정보를 다룬 기업은 이를 따라야 한다. 

 

이와 함께 본인정보를 갖고 있는 기업에 대해 정보처리 제한을 요청하거나 거부할 수도 있는데 이때 기업은 해당 정보를 보관할 수는 있으나 처리 목적은 엄격히 제한된다. 또 개인은 자동화된 정보처리를 통해 개인정보를 유출하는 프로파일링도 거부할 수 있는 한편 정보처리업자 등 제3자로의 개인정보 이전을 신청할 수도 있다. 

 

GDPR은 규정하는 개인정보 보호수준이 제3국이나 국제기구 등 역외에서도 유지되도록 '정보의 역외 이전'에 대해 엄격하게 적용 중이다. EU 시민이나 거주민의 개인정보를 역외로 이전하려면 제3국이 EU와 상응하는 수준의 정보보호 체계를 갖추고 보장할 여력이 있어야 한다는 것.

 

GDPR 규정을 위반한 기업은 심할 경우 직전 회계연도의 전 세계 연간 매출액의 4% 또는 2천만 유로(253억 원) 중 큰 금액을 과징금으로 내게 된다. 

 

국내의 경우 GDP를 제쳐두고라도 해외 주요국보다 개인정보보호 규제수준이 높다는 점에서 금융혁신으로 가려면 관련 법안에 대해 재검토가 필요한 상황이라고 전문가들은 말한다. 

 

금융계 관계자는 "해외의 개인정보보호 관련 법규에 대해 당국은 어떻게 받아들이고 검토할지에 대해 대안을 제시해야 할 것"이라며 "은행의 경우 대고객 정보관리 측면에서 발생한 규제비용을 어떻게 안고갈지 이에 대한 합리적 고민을 협회 차원에서 모색해볼 필요가 있다"고 강조했다. 

 

정부가 추진했던 '개인정보 비식별조치 가이드라인'은 모호한 규정으로 시민단체의 반발을 사 거부돼왔고, 지난 3월 말 금융위원회가 제안한 '금융분야 데이터 활용 종합방안'도 국회에서 신용정보법 개정이 선행돼야 한다. 

 

금융위가 제시한 종합방안은 개별 신원이 완벽히 삭제된 익명 정보나 개인을 특정하기 어려운 가명 정보 등의 형태로 제공·거래되도록 하는 조치를 의무화한다.

 

이와 함께 정보 주체인 소비자의 대응권도 강화한다. 데이터 처리에 따른 자동화된 '프로파일링(알고리즘 신용평가, 보험료 자동산정 등)'에 대한 설명 요구 및 이의 제기 권리를 강화하고, 본인 정보를 다른 회사나 본인에게 제공하도록 요구하는 권리인 '개인신용정보 이동권'도 더했다.

 

최종구 금융위원장은 "금융은 데이터 주도 혁신이 용이한 산업 분야이지만, 규제 위주의 접근과 금융회사의 보신적 관행으로 혁신 요구에 부응하지 못했다"고 지적하며 금융분야를 빅데이터 테스트분야로 삼았다. 

 

국회 4차산업혁명특별위원회(특위)도 개인정보보호와 활용에 관한 내용을 '특별권고안'으로 별도 채택하는 등 권고안 이행을 강화하기 위해 나섰다.  

닉네임 패스워드 도배방지 숫자 입력
내용
기사 내용과 관련이 없는 글, 욕설을 사용하는 등 타인의 명예를 훼손하는 글은 관리자에 의해 예고 없이 임의 삭제될 수 있으므로 주의하시기 바랍니다.
 
데이터, 개인정보보호, 신용정보법 관련기사목록
광고
광고