또 사전적 규제보다는 사후적 규제에 중점을 뒀고, 고객의 개인정보를 보호하고 관리하는 최종책임이 금융회사에 있다는 점을 분명히 했다는 게 금융위의 설명이다.
다음은 이번 대책을 둘러싸고 제기된 문제점 등에 대한 금융위의 일문일답이다.
-첫 금융거래시 주민번호의 수집이 필요한 이유?
▶금융실명제가 운영되는 현재로서는 현실적으로 실명을 확인할 수 있는 다른 대안이 없다. 다만 최초 거래 이후에는 신분증, 인증시스템, 여타 정보 등을 통해 신원을 확인하고 주민등록번호 노출을 최소화할 계획이다. 현재 안전행정부를 중심으로 주민번호 대안을 검토 중이다.
-수집항목이 최소 6~10개나 필요한 이유는?
▶공통 필수정보인 이름, 식별번호(주민번호), 연락처, 주소, 직업군, 국적 등 6개 항목은 금융거래시 꼭 필요하거나 법률등에서 수집할 것을 규정하고 있는 사항이다.
-왜 금융회사가 개인정보를 5년이나 보관해야 하는지?
▶금융회사는 거래 종료후 원칙적으로 고객정보를 삭제해야 한다. 다만 상법상 상거래채권 소멸시효(5년) 등을 고려할 때 소멸시효 기간 동안 거래와 관련한 분쟁‧소송 등이 발생할 수 있어 본인확인에 필요한 정보(이름, 연락처 등)와 거래정보(대출‧보험금지급 등)에 한정해 5년간 보관하도록 한 것이다.
-가이드라인만 지키면 면책되는 거 아닌가?
▶정보보호와 소비자 권리를 강화하기 위한 조치는 단순히 가이드라인을 제시하는 수준이 아니라, 법령 및 감독규정에 명확하게 반영하고 시스템을 구축해 제도와 운영 양 측면에서 사전‧사후적으로 정보보호가 실질적으로 이뤄지도록 하는 것이다.
다만, 금융회사가 실제 보안시스템을 구축하는데 있어서는 세부적이고 기술적인 사항에 대해 자율성을 부여했다. 따라서 유출사고가 발생할 경우 금융회사에 엄정하게 책임을 묻겠다.
-관련매출액의 3% 과징금은 적은 것 아닌가?
▶'불법정보 활용 또는 정보유출 관련 매출액'은 직접적 영향을 받는 영업의 매출액뿐만 아니라 마케팅 활용 정도, 정보 보유‧활용 조직 등을 감안해 간접적으로 영향받는 영업부문 매출액도 모두 포함된다.
따라서 수백만건의 개인정보가 불법 활용‧유출되는 경우 해당 금융회사 '개인영업부문 매출'의 대부분이 관련성을 갖게 된다. 이에 따라 해당 금융회사 개인영업부문 전체 매출액이 관련 매출액으로 분류될 가능성도 있다.
-보안전담기구 설립으로 금융회사에 대한 통제만 강화?
▶기존에 있는 기관들의 역할을 통합하고 기능을 보강하는 방향으로 전담기구를 설치하는 것이며, 별도의 감독기구를 만드는 것이 아니다. 또 민간 전문가들로 구성되는 민간기구로서 공무원이 파견되는 기구가 아니다.
기능면에서는 보안관제 서비스 제공 및 보안관련 컨설팅, 전자적 침해사고의 원인분석 및 대응, 전산보안교육 서비스 제공 등 금융회사에 대한 지원 위주다. 간섭이나 통제기능과는 거리가 멀다. 금융회사에 대한 검사‧감독‧제재 기능도 부여되지 않는다.
-피해자보상, 주민번호 대안 등이 빠지고 금융분야에 한정된 반쪽짜리 대책이다?
▶이번 대책은 1월 카드사 정보유출 사고를 계기로 금융분야에서 개인정보 보호 강화와 재발방지를 위한 대책을 우선 마련한 것이다. 총리실 중심으로 구성된 범정부 TF를 통해 통신, 의료, 공공부문 등 사회 전반에 걸친 '개인정보 보호 종합대책'도 상반기내 마련할 예정이다.
-그간 나온 대책들의 재탕, 삼탕에 불과하다?
▶지난 1월 발표한 대책들은 기본방향 중심이었으며, 이번 종합대책을 통해 이미 발표한 기본방향을 일관성있게 구체화시킨 것으로 봐야 한다.
특히 정보의 '수집-보유·활용-파기' 등 전단계에 걸쳐 기존 제도와 관행의 문제가 무엇인지 기존 대책이 제대로 시행되지 않았다면 그 이유는 무엇인지를 검토한 것이다.
금융회사가 확실히 책임져야 하는 부분은 법령에 반영하고, 금융회사가 자체적으로 관리해야 할 부분에 대해서는 자율성을 부여한 것으로 기존 대책의 재탕이라는 지적은 적절치 않다.
-이번 대책은 금융당국의 권한만 늘린 것 아닌가?
▶금융당국의 권한보다는 금융소비자의 권리를 강화한 것이고, 사전적 규제보다는 사후적 규제에 중점을 뒀다.
본인정보 이용현황 조회권, 정보제공 철회권, 연락중지 청구권, 정보보호 요청권, 신용조회 중지 요청권 등 금융소비자의 자기정보결정권을 확실히 보호하는데 많은 노력을 기울였다.
또 고객의 개인정보를 보호하고 관리하는 최종책임이 금융회사에 있다는 점을 분명히 했다.
-법 개정이 되지 않으면 아무 실효성 없는 것 아닌가?
▶신용정보법, 전자금융거래법 등 관련법 개정이 상반기 중 최대한 마무리 되도록 국회 등을 적극적으로 설득할 계획이다. 법 개정이 필요하지 않은 사항은 3월말부터 즉시 시행하고, 고객정보 보호를 위해 필요한 시스템도 최대한 조속히 구축·가동할 계획이다.