계열사 고객정보 활용 1개월로 제한
거래 끝난 고객, 정보삭제 요구 가능
[ 류시훈/박종서 기자 ]
앞으로 금융회사가 수집할 수 있는 필수 고객 정보가 6~10개로 최소화된다. 금융회사가 계열사 고객 정보를 활용할 수 있는 기간은 ‘1개월 이내’로 제한된다. 금융위원회는 13일 국회에서 열린 카드사 정보 유출 관련 국정조사에서 이 같은 내용의 대책을 보고했다.
이날 국정조사에서는 국민·롯데·농협카드의 정보 유출 실태와 재발 방지 대책, 금융당국 책임론에 대한 의원들의 추궁이 이어졌다. 신제윤 금융위원장은 “개인정보가 유출되는 사고가 발생해 국민께 죄송하다”며 “이번 일을 금융시스템의 신뢰성을 높이고 개인정보 보호 체계를 성숙시켜 나가는 계기로 삼겠다”고 말했다.
◆필수 수집 정보 10개로 제한
그동안 금융회사가 고객에게 요구하는 개인정보 항목은 업권과 상품에 따라 30~50여개에 달했다. 불필요한 정보까지 대거 수집하다 보니◆◆◆◆◆ 큰 피해로 이어질 수밖에 없었다. 금융위가 금융회사의 수집 정보 항목을 필수항목과 선택항목으로 구분하겠다고 국회에 보고한 배경이다. 필수항목은 6~10개로 제한된다. 이름 식별번호(주민번호 등) 주소 연락처 직업군 국적 등 6개가 공통 필수항목이다. 또 상품에 따라 3~4개의 필수항목도 수집할 수 있다. 재형저축 가입 때 필요한 연소득 등이 대표적이다.
그러나 신용도와 상환능력 판단에 필요한 소득 재산 연령 등 선택항목은 고객에게 수집 목적을 설명하고 동의를 얻도록 했다. 다만 결혼기념일 등과 같은 불필요한 정보의 수집은 원칙적으로 제한된다.
금융위는 이와 함께 ‘정보보호 요청제도’를 도입, 소비자의 ‘잊힐 권리’도 제도적으로 보장하기로 했다. 이 제도가 도입되면 금융회사는 거래 관계가 끝난 고객이 정보 보호를 요청하면 정보의 내용에 따라 삭제하거나 별도의 보안 조치를 취해야 한다.
◆◆◆◆◆금융지주 그룹 내 계열사 간 고객 정보 제공과 활용도 엄격하게 제한된다. 금융위는 고객 동의 없이 계열사 보유 정보를 외부 영업에 이용하는 것을 원칙적으로 금지하고, 고객 편익 증대 등 필요성이 명백한 경우에만 이사회 승인을 거쳐◆◆◆◆◆ 예외적으로 허용하기로 했다.
그렇다고 하더라도 계열사 정보를 이용할 수 있는 기간은 1개월 이내로 제한된다. 이용 기간이 지나면 해당 정보를 반드시 삭제해야 한다. 분사한 회사는 자사 고객 이외의 정보는 이관받을 수 없다.
신설되는 ‘징벌적 과징금’ 부과 기준도 구체화됐다. 징벌적 과징금은 △불법 개인정보를 영업에 활용한 경우 △고객 동의 없이 제3자에게 제공한 경우 △관리 소홀 등으로 고객 정보를 분실·도난당한 경우에 부과된다.
◆“카드사만 탓하나” 당국 책임론
이날 국정감사에서 의원들은 반복되는 사고에도 개선되지 않는 개인정보 보호 실태를 집중 추궁했다.
김기식 민주당 의원은 인터넷 쇼핑몰 사이트를 직접 띄워 놓고 선택적 동의 사항인 제3자에 대한 정보 제공을 허락하지 않으면 결제가 불가능하다는 점을 시연했다. 그는 위법 행위가 이처럼 만연한데도 과태료 부과는 작년에 겨우 46건에 불과했다고 지적했다.
김 의원은 또 “카드사 홈페이지에 새로운 회사 이름만 게시만 하면 또 다른 제3자에게 정보를 줄 수 있다”며 “당국은 뭘 했느냐”고 목소리를 높였다. 이에 대해 신 위원장은 “송구하다”고 답했다.
김영주 민주당 의원은 “안전행정부가 작년 12월12일 정보보안과 관련해 롯데카드에 합동 점검을 나갔을 때 외부 인력 운용에 문제가 없는지 우선적으로 확인했◆◆◆◆◆야 하는데도 그러지 않았다”며 “그때라도 제대로 했으면 적어도 롯데카드에서는 고객정보가 나가지 않았을 것”이라고 비판했다.
책임론도 재차 거론됐다. 김재경 새누리당 의원은 “금융당국이 지난해 4월 실태 점검을 하기 전에 이미 농협카드에서 정보가 빠져 나갔는데 알지 못했다”며 “책임을 면하기 어렵다”고 강조했다. 강기정 민주당 의원도 “1차적인 책임이 금융당국에 있는데 금융회사만 탓하고 있다”고 지적했다.
류시훈/박종서 기자 bada@hankyunbg.com
관련뉴스