고객 정보 보관·공유 최소화…CEO 해임·형사처벌 수위 상향
22일 금융위원회는 기획재정부와 법무부, 안전행정부와 함께 이같은 내용을 골자로 하는 '금융권 개인정보보호 종합대책'을 발표했다.
신제윤 금융위원장은 "이번 같은 고객 정보유출 사고 재발을 근본적으로 차단하기 위해 정보 보유·유통·관리 등을 획기적으로 개선하고 책임과 제재를 대폭 강화했다"고 설명했다.
신 금융위원장은 종합대책 발표 후 기자 간담회에서 최대 관심사인 징벌적 과징금의 범위와 관련해 50억 수준을 거론하면서도 "매출액의 1% 등 금액적 상한선을 두지 않는 방안도 검토 대상이다"고 밝혔다.
먼저 이번 대책의 핵심은 금융사가 앞으로 필요 최소한의 고객 정보만 보관토록 해 만일의 정보 유출시에도 피해를 최소화시키겠다는 것이다. 이를 위해, 현재 금융사의 정보보유 실태를 전면적으로 점검해 꼭 필요한 정보만을 수집·보관토록 했다.
또, 금융사는 개인신용정보 보유 기간을 거래 종료일로부터 5년으로 제한한다. 거래가 종료된 고객의 정보는 현재 고객정보와 분리돼 보관·관리되며 외부 영업목적의 활용은 엄격하게 금지된다.
이번 대책에는 불법 유출된 정보를 활용해 대출모집 등 영업을 하는 경우 강력하게 제재하는 등 불법 유통 정보에 대한 수요를 제거하는 방안도 포함됐다. 대출모집인이 불법 유출 정보를 활용해 영업한 경우 자격을 박탈하고 타 업권의 모집인 등록시 제한을 받는다. 금융회사도 기관제재나 과징금 등 책임을 져야 한다.
정보보호와 관련된 금융사와 임원의 책임도 강화된다. 일정 규모 이상의 금융사에 대해서는 신용정보의 관리·보호인을 임원으로 임명해 권한과 의무가 강화된다. 금융사의 자체 보안이행 점검 프로세스도 강화해야하며 금감원 검사 때 보안규정 준수여부를 점검받는다.
특히, 정보유출 관련 행정제재와 형사처벌 등 사후 제재도 대폭 강화되고 징벌적 과징금제도가 도입된다. 현재 신용정보보호법으로 5년 이하 징역, 5000만원 이하 벌금인 정보유출 관련 형사처벌 수준도 10년 이하 징역 또는 5억원 이하 벌금으로 상향조정된다.
또 개인정보를 유출하거나 이를 불법적으로 활용한 금융사에 대해 사회적 파장 등을 감안해 20억~50억원의 징벌적 과징금을 부과한다.
한편, 정부는 이번 방안의 후속조치로 다음달 초까지 관계부처 합동으로 '금융회사 고객정보 보호 정상화 TF'를 꾸려 세부적인 실행방안을 확정하겠다는 방침이다. 또 추가적 제도개선 재기사항 등에 대한 의견 수렴을 지속적으로 실시해 필요시 개선방안을 마련하겠다는 계획이다.
