[초점] 국회 통과 불발된 신용정보법···개인정보 주도권 쟁점
금융권 "개인정보 활용 보편화···소비자 편의성 높아질 것" 시민단체 "또다른 기업 개인정보 위탁···돈벌이 수단 전락"
[서울파이낸스 박시형 기자] 국회 정무위원회가 150일만에 열렸지만 신용정보법 개정은 시민단체 등의 반발로 결국 제대로 논의되지 못한 채 남겨졌다. 가장 큰 쟁점은 신용정보법 통과 후 '개인정보 주도권'이 개인에게 돌아올 수 있을지 여부다.
금융위원회와 국회 등에 따르면 정무위는 지난 14일 법안심사 1소위원회를 열고 총 47건의 법률안을 상정해 이 중 15건을 심의·의결했다. 하지만 이날 법안소위에서 신용정보법은 논의되지 못했다.
신용정보법은 금융당국이 금융혁신을 위해 시급하게 처리할 필요가 있다고 촉구하는 금융8법 중 하나다.
당초 신용정보법은 여야 이견이 없어 국회 통과에 어려움이 없을 것으로 예상됐다. 특히 개정안을 발의한 쪽이 여당인 더불어민주당 측이라 야당의 반대만 없으면 되는 상황이었다.
그런데 신용정보법 개정에 앞서 국민을 포함한 사회적인 논의가 선행돼야 한다고 주장하는 시민단체의 반발로 개정안 국회통과가 미뤄졌다.
신용정보법에서 가장 큰 쟁점은 소비자의 개인정보에 대한 주도권이 누구에게 돌아가느냐는 문제다.
금융위원회와 기업들은 '본인 동의'를 받아 개인정보를 수집한 뒤, 이를 분석해 필요한 서비스를 제공할 수 있게 돼 소비자의 편의성이 높아질 수 있다고 주장한다.
특히 데이터 이동이 자유로워짐에 따라 금융 소비자의 개인정보 주도권이 강화될 것이라고 강조했다. 소비자가 개인정보를 핀테크 업체 등에 위탁한 뒤 한 번에 관리할 수 있어 오히려 금융사들이 고객 유치를 위해 먼저 찾아온다는 논리다.
금융권의 대출 서비스 이용이 사례로 주로 활용된다. 금융정보가 적은 소비자도 빅데이터 분석을 통해 적정 수준의 대출 금리를 적용받을 수 있게 되고, 다른 금융사와의 금리비교도 할 수 있게 되는 식이다.
현재 유럽연합(EU)은 지난해 5월 유럽 일반개인정보보보규정(GDPR)을 시행하고 가명정보를 도입해 연구, 통계 등 목적에 활용할 수 있도록 하고 있다. 미국은 비식별정보에 대해 민간 자율규제를 원칙으로 개인정보를 활용할 수 있도록 하고 있다.
한 핀테크 기업 관계자는 "개인정보를 활용한 인공지능·빅데이터 분석 등 서비스는 이미 전세계적으로 보편화되고 있다"며 "국내에서도 관련해 수많은 업체들이 서비스를 준비하고 있지만 신용정보법에 막혀 출시를 차일피일 미루고 있는 실정"이라고 말했다.
그는 이어 "신용정보법 개정이 이뤄져야 아마존·이베이·페이팔 등 글로벌 기업들이 국내 소비자들을 대상으로 개인정보를 수집해 상품·서비스를 내놓는 것에 대해 국내 기업들이 대비할 수 있고, 국내를 기반으로 한 해외 진출도 용이할 것"이라고 설명했다.
금융위와 금융권은 또 가명처리된 개인정보를 빅데이터 분석에 활용하기 때문에 개인정보 유출 등 보안 문제에 대해서도 안전하다는 입장이다.
이에 대해 시민단체 측은 신용정보법 개정이 소비자의 신용정보에 대한 관리 통제권을 침해하고 무분별한 상업적 활용을 촉진할 것이라고 우려했다.
마이데이터 산업이 발전하더라도 결국 개인정보를 또다른 기업에 맡기는만큼 주도권이 개인에게 돌아오기보다 기업의 돈벌이에 활용된다는 것이다.
또 금융사들이 대량의 개인정보를 쌓게 되면서 저소득층 등 수익성이 낮은 고객에 대해서는 정보를 제공하지 않는 등 오히려 등급을 나누는 차별적 조치가 가중될 것으로 내다봤다.
이와 함께 개정안이 연구 목적이라는 명분을 앞세우면 '개인 동의'를 받지 않아도 가명정보를 활용할 수 있도록 한 점에 대해서도 문제를 제기했다.
특히 상업적 논리만 앞세워 신용정보법 개정을 얘기할 뿐 금융소비자 권리 보호에 대해서는 전혀 논의되지 않고 있다고 비판했다.
그동안 개인정보 유출 사고가 다수 발행했지만 법원의 처벌 결정은 극히 미미한 수준이다. 최근 대법원은 지난 2014년 발생한 카드사 개인정보 유출 사고 피해 보상 소송에 대해 KB국민카드 측에 1인당 불과 10만원을 배상하라고 판결했다. 함께 사고를 낸 롯데카드, NH농협카드 등 카드 3사에 내려진 처벌은 벌금 1500만원이 전부다.
반면 유럽의 경우 영국항공의 고객 50만명 정보 유출 사고에 대해 GDPR 위반을 적용해 1억8300만파운드(한화 약 2700억원)의 벌금을 부과했다. 미국 연방거래위원회(FTC)는 지난 2016년 페이스북에서 개인정보가 유출되자 50억달러(약 5조8950억원)의 벌금 합의안을 승인했다.
이지은 참여연대 정보인권사업단장은 "해외의 경우 정보유출 사고가 발생할 경우 거액의 과징금을 부과해 기업으로부터 사전적 사고 방지 조치를 하게끔 한다"면서 "국내는 지금도 처벌 수위가 낮아 정보 유출 사고가 발생하면 개인이 온전히 피해를 입어야 하는데 신용정보법이 통과되면 기업들이 보안에 대한 투자를 거의 하지 않게 될 것"이라고 말했다.
이 단장은 이어 "신용정보법 개정이 필요하다는 산업계의 입장에 대해서는 충분히 이해하지만 향후 생태계 전반에 막대한 영향을 미칠 수 있는 만큼 신중히 접근해야 한다"며 "법안 개정에 반대하는 시민사회 등의 입장을 들을 수 있는 공청회를 마련하는 등 사회적 합의 과정을 거쳐야 한다"고 말했다.