금융사, 앞으로 '최소 고객정보'만 보관

[이혜경기자] 앞으로 금융회사는 최소한의 필요정보만을 보관하게 된다. 거래가 끝난 고객정보는 현재 고객정보와 분리해 관리하고, 금융그룹 내에서 공유하는 고객정보 활용도 제한된다. 제3자에 정보 제공시에는 포괄적 동의를 금지하고 정보제공 대상회사를 명시해야 한다. 대출모집영업도 제재한다.

또 개인 신용정보를 유출한 금융회사에는 징벌점 과징금이 부과된다.

신제윤 금융위원장은 22일 이 같은 내용의 '금융회사 고객정보 유출 재발방지 종합대책'을 발표했다.

우선 금융회사는 '필요 최소한'의 정보만을 보관토록 해, 만일의 정보유출시에도 발생가능한 피해를 최소화하겠다는 방침이다.

금융회사의 개인신용정보 보유 기간은 '거래 종료일로부터 5년'으로 제한하는 방안을 추진한다. 거래가 종료된 고객 정보는 현재 고객정보와 분리해 보관·관리하고, 외부 영업목적 활용은 엄격하게 제한하기로 했다.

제3자에 제공되는 정보는 엄격히 제한된다. 제3자에 정보제공시 '포괄적 동의'를 원칙적으로 금지하고, 정보제공 대상 회사를 명시해야 한다.

제3자가 취득한 정보의 활용기간은 당초 활용목적에 필요한 기간을 구체적으로 명시(예:5년 또는 서비스 종료시 등)하고, 마케팅 목적 활용은 원칙적으로 제한된다. 금융지주 그룹 내에서 공유하는 고객정보 활용도 제한된다.

수요측 요인 제고 차원에서 불법유출된 정보를 활용한 대출모집 영업 등도 강력 제재하기로 했다. 대출모집인 등이 불법 유출 정보를 활용해 영업한 경우, 자격을 박탈하고, 타 업권의 모집인 등록을 제한하겠다는 계획이다.

만일 대출모집인이 불법 유출 정보를 활용한 경우, 전속 금융회사에 대해 엄정한 관리자 책임(기관제재, 과징금 등)을 부과하겠다는 구상이다.

정보보호와 관련된 금융회사와 임원 책임도 확대하고, 보안규정 준수 등을 위한 절차도 강화한다. 일정규모 이상의 금융회사에 대해서는 신용정보 관리·보호인을 '임원'으로 임명해 권한과 의무를 강화한다는 계획이다. 금융회사의 자체 보안이행 점검 프로세스도 강화하고, 금감원 검사시 보안규정 준수여부를 철저히 점검하겠다는 각오다.

정보유출관련 행정제재, 형벌 등 사후제재도 대폭 강화하고 징벌적 과징금제도도 도입키로 했다. 개인정보를 유출·활용한 금융회사는 사회적 파장 등을 감안해 대폭 상향된 과징금 부과할 계획이다. 현재 공정거래법에서는 '부당한 공동행위 금지 위반'시 20억원 이하의 과징금을 부과하고 있다.

신용정보법, 전자금융거래법 등의 정보유출 관련 형벌수준은 가급적 금융 관련법 최고 수준으로 대폭 상향하겠다고 밝혔다.

현재 신용정보법에서는 5년이하 징역, 5천만원이하 벌금, 그리고 전자금융거래법에서는 7년이하 징역 또는 5천만원 이하 벌금을 부과하고 있다. 은행법의 경우, 임직원이 업무상 알게 된 비공개정보를 누설하면 10년이하 징역 또는 5억원 이하 벌금을 부과한다.

금융위는 이 같은 방안을 최대한 신속히 추진한다는 방침이다. 2월 초까지 관계부처 합동 '금융회사 고객 정보보호 정상화 T/F'에서 구체적인 세부 실행방안을 확정할 예정이다.