금융지주회사의 개인정보 공유 개선방안

Abstract

정부는 금융지주그룹 소속 회사들의 경영 효율성을 제고하고 시너지 효과를 높이기 위해 금융지주그룹에 속하는 계열사 간에는 고객의 동의 없이‘영업상 이용 목적’으로 개인정보를 제공할 수 있도록 2002년 4월 27일 금융지주 회사법을 개정하여 제48조의2(이하,“개정 전 48조의2”이라고 함)를 신설 하였다. 또한 정부는 산업 모든 분야의 개인정보를 체계적이고 통합적으로 보호하기 위해 2011년 9월 30일 개인정보보호법을 제정하였다. 그러나 개인정보 유출 사건은 감소하지 않고 지속적으로 발생하였다. 특히, 2014년 1월 전 국민을 경악케 한 카드 3사 개인 정보유출 사건이 발생하였다. 약 1억 580만 건의 개인정보가 카드 3사를 통해 유출되었다. 특히 KB국민은행은 KB국민 카드를 분사할 때 은행 고객 정보를 제공하였다. 그런데 본 사건에서 은행 고객 정보까지 유출되었다. 이 사건 발생 이후 금융위원회는 재발방지 후속 조치로 2014년 5월 28일 금융지주회사법 48조의2를 개정하여 금융지주그룹 내에서 개인정보 자유롭게 제공하는 것을 제한하였다. 그래서 금융지주그룹 소속 회사는‘영업상 이용 목적’으로 다른 계열사에 개인정보를 제공하기 위해서 필수적으로 고객의 사전 동의를 받아야 한다. 또한 동 개정으로 금융지주 그룹 소속회사는 ‘신용위험관리 등 내부 경영 관리를 목적’으로 개인 정보를 제공하는 경우 개인정보를 암호화하여 계열사에 제공하여야 한다. 개정 이후 개인정보보호는 강화되었지만 금융지주그룹 내에서 개인 정보 제공이 자유롭지 못하게 되었다. 동 개정은 몇 가지 문제점이 있다. 첫째, 동 개정은 금융지주회사의 무형자산을 침해한다. 정보화 사회에서 많은 기업들은 개인정보를 수익 창출 기반으로 인식하고 있다. 그런데 동 개정으로 원활한 개인정보 공유를 제한하였다. 금융지주회사의 정보공유가 반드시 수익성 증가, 기업가치의 증대로 이어지는 것은 아니다. 그러나 미국의 금융지주회사의 효과를 분석한 자료에 의하면 독립적인 투자은행에서 발행된 채권에 비해 상업은행에서 발행된 채권이 더 낮은 할인율로 거래되었다. 한국의 경우 금융 지주회사의 증권회사가 비금융지주회사의 증권회사보다 수익예측력이 더 좋았다. 이처럼 금융지주회사의 정보 공유는 시너지를 창출한다. 금융지주 그룹내 계열사간 개인정보공유 건수가 개정 이후 상당히 감소하였다. 금융 지주그룹내 계열사간의 개인정보 제공 건수가 감소한 이유는 ‘영업상 이용 목적’으로 자유롭게 제공하지 못하기 때문이다. 만약 금융지주회사는 ‘영업상 이용 목적’으로 개인정보를 제공하기 위해서 고객에게 사전 별도 동의(Opt-in방식)를 받아야 한다. 그러나 카드 3사 개인정보 유출 이후, 고객들은 금융회사의 개인정보관리를 불신하면서 정보제공을 꺼린다. 금융 위원회에 의하면 2013년 34억 건이었던 지주 정보 공유가 2014년에는 12억 건으로 63%나 급감했다. 둘째, 본 개정은 고객의 합리적인 소비를 저해할 수 있다. 금융지주회사는 각 계열사에 산재되어 있는 정보를 취합하여 고객의 선호, 지출 패턴 등을 정밀하게 분석한 후 고객이 관심 없는 상품과 서비스를 판매하는 무작위 텔레마케팅을 방지할 수 있다. 또한 금융지주회사는 고객이 복함 상품을 구입하면 더 많은 가격 할인과 프리미엄을 제공한다. 그 결과 고객들은 경제적인 소비를 할 수 있는 기회를 얻을 수 있다. 그러나 이 모든 것은 금융지주그룹 내에서 계열사간 ‘영업 이용 목적’으로 개인정보 공유를 원활하게 할 때 가능한 것이다. 셋째, 본 개정은 법 체계상 균형을 잃었다. 개인정보보호법에 의하면 상품 홍보·판매를 권유하는 업무 위탁의 경우, 위탁자는 서면 등의 방법에 따라 위탁하는 업무의 내용과 위탁업체를 고객 에게 알려주면 된다. 굳이 위탁자는 고객의 사전 동의를 받지 않아도 된다. 일반적으로 위탁업체는 대부분 제3자이다. 그러면 제3자를 계열회사보다 더 유리하게 취급하는 이유가 무엇일까, 금융지주회사의 경제적 단일체로 생각 하는 입장에서 본 개정은 모순이다. 이처럼 본 개정은 금융지주회사와 고객의 권리를 침해할 뿐만 아니라 법 체계상으로 문제가 있다. 개인정보보호를 훼손시키지 않으면서 금융지주회사의 원활한 개인정보 공유가 가능한 균형점을 도출할 시점이다. 이를 위하여 아래와 같은 개선방안을 고려해 볼 수 있다. 첫째, 금융지주그룹 소속 회사들이‘영업상 이용 목적’으로 계열사에 정보를 제공하는 경우, 개정 전처럼 고객 동의 없이 정보를 제공하되, GLBA의 방침통지(Policy Disclosure) 관련 규정과 우리 개인정보보보법에 따른 마케팅 업무 위탁 시의 통지 방식을 참고할 수 있다. 개인정보보호법상의 통지 방식을 보면, 금융회사는 재화나 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보 주체에게 알려야 한다(동법 제 26조 제3항). 위와 같이 고객들에게 정보관리 시스템을 투명하게 공지하도록 하고, 나아가 개인정보를 최초 취득한 계열사와 금융지주회사는 정보를 제공 받은 다른 소속 회사들의 정보관리 실태를 감시하도록 할 의무를 부과하는 방안이 일차적으로 바람직한 개선방안이라고 생각된다. 금융지주그룹 소속 회사들에 대한 정보 제공을 외부의 위탁업체에 대한 정보 제공보다 더 강하게 규제하는 것은 금융지주회사 제도의 취지에 부합되지 않기 때문이다. 만일 위 첫째 방안을 채택하는 것이 어렵다면, 금융지주그룹 소속 회사들이‘영업상 이용 목적’으로 계열사에 정보를 제공하는 경우, 미국 GLBA에 규정된 비계열사에의 개인정보 제공 방식인‘Opt-out’방식과 유사한 방식을 고려해 볼 수 있을 것이다. 예컨대, 위 첫 번째 방안에서와 같은 고객에 대한 통지 의무에 추가하여, 이러한 통지의 내용에 관하여 불만이 있는 고객들이 요청하는 경우 사후적으로 정보 공유 대상에서 제외시켜 주는 방법을 고려해 볼 수 있는 것으로 생각된다. 현행 금융지주회사법 제48조의2에 의하면‘영업상 이용 목적’으로 개인정보를 제공하기 위해서는 고객의 사전 동의를 요하는‘Opt-in’방식을 취한다. 이것은 미국의 GLBA보다 훨씬 엄격하고 국내 법상으로는 외부의 위탁업체에 대한 정보제공 규제보다도 더 강한 규제를 가하는 것이다. 위에서 제안한 것과 같은 다소 변형된‘Opt-out’방식을 취하는 경우 개인정보 보호를 훼손시키지 않으면서 금융지주회사의 원활한 개인정보 공유가 가능한 균형점을 찾을 수 있을 것으로 생각된다. 또한 금융위원회는 재발방지 후속조치로 금융지주회사등은 계열사에 정보를 제공할 때 고유식별번호를 암호화하여야 하고 정보이용기간은 1개월 이내로 제한하였다(금융지주회사감독규정 제 24조의 2 제1항 제1호~제3호). 그러나 금융지주그룹내 모든 계열사에서 통용되는 고유번호가 없는 상황에서 암호화는 개인정보 공유를 제한한다. 이용 기간을 1개월로 제한한 것은 1개월 초과 사용할 수 있는 예외 규정이 있으므로 정보 공유를 저해하지 않는다고 할 수 있으나, 현실을 제대로 반영하지 못한 규정이다. 따라서 암호화 규정은 잠시 적용 중단하고 정보이용기간은 연장할 필요가 있다고 생각된다.; A client's credit information within financial transactions carries vital legal implications. However, misuse and abused use of client's personal credit informaion is increasing. The largest-ever data theft came to light in early 2014 when some 83.58 million cases of personal client information were leaked from three major card firms - KB Kookmin Card Co. NH Card and Lotte Card Co. The Financial holding company and its affiliates have been exempt than any other non-financial holding company in Korea to synergy. Financial holding company Act Article48-2(Supply and Management of Personal Credit Information) (1) Notwithstanding Article 4 (1) of the Act on Real Name Financial Transactions and Confidentiality and Articles 32 and 33 of the Use and Protection of Credit Information Act, a financial holding company, etc. may provide information or data related to financial transactions under Article 4 of the Act on Real Name Financial Transactions and Confidentiality (hereinafter referred to as “financial transaction information”) and personal credit information prescribed by Presidential Decree under Article 32 (1) of the Use and Protection of Credit Information Act (hereinafter referred to as “personal credit information”) to the financial holding company, etc. to which the financial holding company, etc. belongs for the purpose of using it in operating the business. (2) Any investment trader or broker under the Financial Investment Ser- vices and Capital Markets Act which is a subsidiary, etc. of a financial holding company may provide information falling under any of the following subparagraphs (hereinafter referred to as “information, on the total amount of securities, etc.”), among information on the money or securities deposited by a depositor who trades, or intends to trade, securities through the relevant investment trader or investment broker, to the financial holding company, etc. for the purpose of utilizing it in the operation of business: 1.The total amount of money deposited; 2.The total amount of securities deposited; 3.The total amount of securities deposited for each type; 4.Other information prescribed and publicly announced by the Financial Services Commission as equivalent to those under subparagraphs 1 through 3. The Financial holding company and its affiliates have been exempt than any other non-financial holding company in Korea. At that time, many people suggested that the Financial holding company Act 48-2 should be revised not to use for the purpose of using it in operating the business. So the Act 48-2 have revised to limit the purpose of using it in operating the business. If the companys notice personal credit information's usage to the clients, they can use it. After the Act 48-2 was revised , many financial holding company have the trouble the sharing. The GLBA financial privacy rule requires financial institutions to provide each consumer with a privacy notice at the time the consumer relationship is established and once a year. The notice is very important because the people should know their personal information usage. The author proposes the improvement of Financial Information Sharing under the Financial holding company Act 48-2. First, the Act's should be revised that both one affiliates and the others affiliates could transfer information of affiliates freely if the Financial holding company notice their usage to the clients- Policy Disclosure of GLBA or business consignment notice. Second, the Financial holding company should follow the Opt-out to transfer information of affiliates to the others affiliates.