정부가 금융회사 CEO책임강화와 징벌적 과징금을 담은 개인정보보호 종합대책을 10일 내놓았다. 이번 대책의 핵심은 재발방지로 주민번호 수집 등 개인정보수집을 최소한 것이 핵심이다.
정부는 이날 금융위원회, 기획재정부, 미래창조과학부, 안전행정부, 방송통위원회, 금융감독원 등이 참석한 가운데 종합 대책을 발표했다. 종합대책은 크게 4가지 기본틀을 토대로 개인정보 수집과 사후책임 강화에 중점을 맞췄다.
신제윤 금융위원장은 “이번 대책은 최근 발생한 카드사 정보유출과 과거 해킹사고에서 드러난 문제점에 대한 근본적이고 종합적 재발발지 방안이다”며 “금융분야 개인정보 보호와 사이버안전을 획기적으로 제고할 수 있는 방안을 강구하는데 중점을 뒀다”고 밝혔다.
이날 내놓은 방안의 첫 번째는 개인정보의 ‘수집-보유-활용-파기’ 등을 단계별로 맞춰 금융회사의 책임성을 강화했다. 구체적인 기술적 보안방안으로는 자율권을 부여하지만 유출사고 발생시 금융회사에 책임을 묻는다는 내용이다.
현재 30~50여개에 이르는 개인정보 수집항목을 필수정보 6~10개 등 최소화 했다.
또 필수정보외에 부가서비스 등과 관련된 추가적 정보수집은 “계약체결에 필수적이지 않다”는 점을 고지하고 목적과 제공처를 설명한 뒤 고객 동의하에 수집하도록 했다.
거래가 종호된 식별정보 등으 3개월 이내에 파기해야 하고 법령상 추가 보관의무가 불가피한 경우를 제외하고는 5년 이내에 전부 파기해야 한다.
두 번째는 금융회사가 책임을 지는 구조로 방행을 바꿨다. CEO 책임을 강화하고 모집인과 제3자에게 제공한 정보에 대해서 금융회사 관리책임을 부과했다.
정보보호 현황과 정책을 매년 CEO와 이사회에서 직접 보고받도록 하고 감독당국에도 제출하도록 했다.
또 정보보호최고책임자(CISO)는 앞으로 IT관련 직위와 겸직을 제한한다.
모집인과 제3자 정보제공시 금융회사 책임을 더욱 강화했다. 정보활용과 파기대장을 직접 작성해 주기적으로 점검하도록 하고 불법정보를 활용하면 모집인뿐마 아니라 CEO도 처벌하도록 했다.
사후첩러도 강화했다. 불법정보 활용하면 관련 매출액에 최고 3%를 부과하도록 했다. 정부유출시에는 법률보다 높은 50억원에 달하는 징벌적 과징금을 부과하기로 했다.
형벌도 금융관련법 최고수준인 10년형으로 법률을 바꾸기로 했다. 신용정보회사가 불법정보 유출시 영업정지하고 3년에내 재위반하면 허가를 취소하기로 했다.
세 번째는 주기적으로 보안 이행 실태를 점검하고 보안전담 기구를 설치해 상시적인 보안체계를 구축하도록 했다.
신용카드 결제정보가 가맹점 단말기와 밴사 등을 거쳐 처리되는 과정에서도 개인정보가 유출되지 않도록 종정할 계획이다.
네 번째는 이미 계열사와 제3자에게 제공된 개인정보에 대해서는 잠재적 피해가 발생할 가능성을 열어두고 대응방안을 강구하기로 했다.
정부는 현재 국회에 계류중인 신용정보법과 전자금융거래법 등을 담아 상반기 내에 국회 통과를 추진한다는 계획이다.
신 위원장은 “이번 대책은 고객정보보호정상화 태스크포스(TF)를 중심으로 앞서 발표한 금융회사 개인정보보호 유출 재발방지대책과 개인정보불법유통과 활용 차단조치 등의 내용을 전문가와 관계부처 기관을 검토 보다 구체화시켰다”고 말했다.
최재영 기자 sometimes@
정부는 이날 금융위원회, 기획재정부, 미래창조과학부, 안전행정부, 방송통위원회, 금융감독원 등이 참석한 가운데 종합 대책을 발표했다. 종합대책은 크게 4가지 기본틀을 토대로 개인정보 수집과 사후책임 강화에 중점을 맞췄다.
신제윤 금융위원장은 “이번 대책은 최근 발생한 카드사 정보유출과 과거 해킹사고에서 드러난 문제점에 대한 근본적이고 종합적 재발발지 방안이다”며 “금융분야 개인정보 보호와 사이버안전을 획기적으로 제고할 수 있는 방안을 강구하는데 중점을 뒀다”고 밝혔다.
이날 내놓은 방안의 첫 번째는 개인정보의 ‘수집-보유-활용-파기’ 등을 단계별로 맞춰 금융회사의 책임성을 강화했다. 구체적인 기술적 보안방안으로는 자율권을 부여하지만 유출사고 발생시 금융회사에 책임을 묻는다는 내용이다.
현재 30~50여개에 이르는 개인정보 수집항목을 필수정보 6~10개 등 최소화 했다.
또 필수정보외에 부가서비스 등과 관련된 추가적 정보수집은 “계약체결에 필수적이지 않다”는 점을 고지하고 목적과 제공처를 설명한 뒤 고객 동의하에 수집하도록 했다.
거래가 종호된 식별정보 등으 3개월 이내에 파기해야 하고 법령상 추가 보관의무가 불가피한 경우를 제외하고는 5년 이내에 전부 파기해야 한다.
두 번째는 금융회사가 책임을 지는 구조로 방행을 바꿨다. CEO 책임을 강화하고 모집인과 제3자에게 제공한 정보에 대해서 금융회사 관리책임을 부과했다.
정보보호 현황과 정책을 매년 CEO와 이사회에서 직접 보고받도록 하고 감독당국에도 제출하도록 했다.
또 정보보호최고책임자(CISO)는 앞으로 IT관련 직위와 겸직을 제한한다.
모집인과 제3자 정보제공시 금융회사 책임을 더욱 강화했다. 정보활용과 파기대장을 직접 작성해 주기적으로 점검하도록 하고 불법정보를 활용하면 모집인뿐마 아니라 CEO도 처벌하도록 했다.
사후첩러도 강화했다. 불법정보 활용하면 관련 매출액에 최고 3%를 부과하도록 했다. 정부유출시에는 법률보다 높은 50억원에 달하는 징벌적 과징금을 부과하기로 했다.
형벌도 금융관련법 최고수준인 10년형으로 법률을 바꾸기로 했다. 신용정보회사가 불법정보 유출시 영업정지하고 3년에내 재위반하면 허가를 취소하기로 했다.
세 번째는 주기적으로 보안 이행 실태를 점검하고 보안전담 기구를 설치해 상시적인 보안체계를 구축하도록 했다.
신용카드 결제정보가 가맹점 단말기와 밴사 등을 거쳐 처리되는 과정에서도 개인정보가 유출되지 않도록 종정할 계획이다.
네 번째는 이미 계열사와 제3자에게 제공된 개인정보에 대해서는 잠재적 피해가 발생할 가능성을 열어두고 대응방안을 강구하기로 했다.
정부는 현재 국회에 계류중인 신용정보법과 전자금융거래법 등을 담아 상반기 내에 국회 통과를 추진한다는 계획이다.
신 위원장은 “이번 대책은 고객정보보호정상화 태스크포스(TF)를 중심으로 앞서 발표한 금융회사 개인정보보호 유출 재발방지대책과 개인정보불법유통과 활용 차단조치 등의 내용을 전문가와 관계부처 기관을 검토 보다 구체화시켰다”고 말했다.
최재영 기자 sometimes@
뉴스웨이 최재영 기자
sometimes@newsway.co.kr
<저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지>
댓글