정보보안 및 개인정보보호 관련 법률 - 신용정보의 이용 및 보호에 관한 법률, 전자금융거래법

 

 

신용정보의 이용 및 보호에 관한 법률

신용정보의 이용 및 보호에 관한 법률과 시행령은 “신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 도모하며 신용정보의 오용·남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용 질서의 확립에 이바지”하기 위해 2009년 4월 1일 법률 제9617호로 제정 후 2009년 10월 2일부터 시행된 법률이다. 이 법의 제6장 “신용정보 주체의 보호”에서는 신용정보 및 신용정보 주체의 보호를 위한 다양한 조항을 다루고 있다. 우선, “개인신용정보를 타인에게 제공하려는 경우에는 해당 개인으로부터 미리 동의”를 받아야 하고(법 제32조) 개인신용정보 이용 시에는 “상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용”하도록 명시하였다(법 제33조). 또한, “개인식별정보를 신용정보회사 등에 제공하려는 경우에는 해당 개인의 동의를” 받아야 하고 “그 제공받은 목적의 범위에서만 이용”하도록 하고 있다(법 제34조). 특히, “국가기밀과 영업비밀 또는 독창적인 연구개발 정보” 등은 수집·조사하지 못하도록 명시하고 있으며(법 제16조), “신용정보 전산시스템의 안전 보호”를 위하여 “기술적·물리적·관리적 보안대책”을 세우고, 내부자가 “업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀을 업무 목적 외에 누설”하지 못하도록(법 제42조) 규정하고 있다. 

 

 

『제16조(수집·조사 및 처리의 제한) 
① 신용정보회사 등은 다음 각호의 정보를 수집·조사하여서는 아니 된다.
1. 국가의 안보 및 기밀에 관한 정보
2. 기업의 영업비밀 또는 독창적인 연구개발 정보
3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보
4. 확실하지 아니한 개인신용정보
5. 다른 법률에 따라 수집이 금지된 정보
6. 그 밖에 대통령령으로 정하는 정보
② 신용정보회사 등이 개인의 질병에 관한 정보를 수집·조사하거나 타인에게 제공하려면 미리 제32조 제1항에 따른 해당 개인의 동의를 받아야 하며 대통령령으로 정하는 목적으로만 그 정보를 이용하여야 한다.

제19조(신용정보 전산시스템의 안전 보호) 
① 신용정보회사 등은 신용정보 전산시스템(제25조 제6항에 따른 신용정보 공동전산망을 포함한다. 이하 같다)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경·훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 기술적·물리적·관리적 보안대책을 세워야 한다.
② 신용정보제공·이용자가 다른 신용정보제공·이용자 또는 신용조회회사와 서로 이 법에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다.

제42조(업무 목적 외 누설금지 등) 
① 신용정보회사 등과 제17조 제2항에 따라 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자(이하 "신용정보업 관련자"라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀(이하 "개인 비밀"이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다.
② 신용정보회사 등과 신용정보업 관련자가 이 법에 따라 신용정보회사 등에 신용정보를 제공하는 행위는 제1항에 따른 업무 목적 외의 누설이나 이용으로 보지 아니한다.
③ 제1항을 위반하여 누설된 개인 비밀을 취득한 자(그로부터 누설된 개인 비밀을 다시 취득한 자를 포함한다)는 그 개인 비밀이 제1항을 위반하여 누설된 것임을 알게 된 경우 그 개인 비밀을 타인에게 제공하거나 이용하여서는 아니 된다.
④ 신용정보회사 등과 신용정보업 관련자로부터 개인신용정보를 받은 자는 그 개인신용정보를 타인에게 제공하여서는 아니 된다. 다만, 이 법 또는 다른 법률에 따라 제공이 허용되는 경우에는 그러하지 아니하다.』

 

전자금융거래법

전자금융거래법과 시행령은 “전자금융거래의 법률관계를 명확히 하여 전자금융거래의 안전성과 신뢰성을 확보함과 아울러 전자금융업의 건전한 발전을 위한 기반 조성을 함으로써 국민의 금융 편의를 꾀하고 국민경제의 발전에 이바지”하기 위해 2006년 4월 28일 법률 제7929호로 제정 후 2007년 1월 1일부터 시행된 법률이다. 이 법의 제3장 “전자금융거래의 안전성 확보 및 이용자 보호”에서는 안전성 확보 방안과 이용자 보호를 위한 다양한 조항을 다루고 있다. 우선, “금융기관 등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 정보기술 부문 및 전자 금융업무에 관하여 금융위원회가 정하는 기준을 준수”하도록(법 제21조) 명시하고 있으며, “정보기술 부문 보안을 총괄하여 책임질 정보보호 최고책임자를 지정”하고(법 제21조의2) “전자금융 기반 시설에 대한 취약점을 분석·평가하고 그 결과를 금융위원회에 보고”하도록(법 제21조의3) 명시하고 있다. 또한, “전자금융거래의 내용을 추적·검색하거나 그 내용에 오류가 발생할 경우에 이를 확인하거나 정정할 수 있는 기록을 생성하여 5년의 범위 안에서 보존”하도록(법 제22조) 하고, “전자적 침해행위로 인하여 침해사고가 발생한 때에는 금융위원회에 지체 없이 이를 알리도록” 명시하고 있다(법 제21조의5). 특히, “전자적 침해행위 등의 금지” 조항을 별도로 두어서 내부자 혹은 외부자에 의한 “저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위”를 금지하고 있으며(법 제21조의4), “이용자의 인적 사항이나 전자금융거래의 내용과 실적을 알게 된 자는 이용자의 동의를 얻지 아니하고 이를 타인에게 제공·누설하거나 업무상 목적 외에 사용”하지 못하도록 규정하고 있다(법 제26조). 

 

『제21조의4(전자적 침해행위 등의 금지) 누구든지 다음 각호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
1. 접근권한을 가지지 아니하는 자가 전자금융 기반 시설에 접근하거나 접근권한을 가진 자가 그 권한을 넘어 저장된 데이터를 조작·파괴·은닉 또는 유출하는 행위
2. 전자금융 기반 시설에 대하여 데이터를 파괴하거나 전자금융 기반 시설의 운영을 방해할 목적으로 컴퓨터 바이러스 , 논리폭탄 또는 메일폭탄 등의 프로그램을 투입하는 행위
3. 전자금융 기반 시설의 안정적 운영을 방해할 목적으로 일시에 대량의 신호, 고출력 전자기파 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 전자금융 기반 시설에 오류 또는 장애를 발생하게 하는 행위

제26조(전자 금융거래정보의 제공 등) 전자금융거래와 관련한 업무를 수행하면서 다음 각호의 어느 하나에 해당하는 사항을 알게 된 자는 이용자의 동의를 얻지 아니하고 이를 타인에게 제공·누설하거나 업무상 목적 외에 사용하여서는 아니 된다. 다만, 「금융실명거래 및 비밀보장에 관한 법률」 제4조 제1항 단서의 규정에 따른 경우 그 밖에 다른 법률에서 정하는 바에 따른 경우에는 그러하지 아니하다.
1. 이용자의 인적 사항
2. 이용자의 계좌, 접근 매체 및 전자금융거래의 내용과 실적에 관한 정보 또는 자료』