주민등록번호 등 개인 고유식별정보는 해외 이전할 수 없어
개인 민감 정보 처리 위탁할 경우, 정보주체에 개별 고지해야 

[보안뉴스=법률사무소 민후 김경환 대표변호사] 금융위원회가 지난 4월 17일, 그 동안 우리나라 국민의 개인정보와 금융거래 데이터가 해외에 유출될 수 있다는 이유로 막아 왔던 외국계 금융회사의 개인·금융정보의 국외 이전을 허용하는 내용의 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’ 제정안을 입법예고했다.

우리가 정보의 국외 이전이라고 하면, 통상 정보의 해외로의 ‘제공’을 의미하지만 위 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’ 제정안은 ‘제공’이 아닌 ‘위탁’으로 되어 있다.

‘제공’이란 제공받는 사람의 이익이나 목적을 위하여 개인정보 등이 이전되는 것을 의미하는 반면, ‘위탁’이란 제공하는 사람의 이익이나 목적을 위해 개인정보 등이 이전되는 것을 의미하는 점에 차이가 있다.

어쨌든 한-EU FTA(자유무역협정)의 아래 조항 및 한-미 FTA에 따라 진행되는 이번 조치이지만, 자신의 개인·금융정보가 바다 건너로 이전되는 상황에 대하여 이를 바라보는 국민들은 불편해 하고 있으며, 전산설비 위탁에 대하여 국내 IT 기업 역시 매출 감소로 이어질까 걱정하고 있다.

ANNEX 7-D, THE ADDITIONAL COMMITMENT ON FINANCIAL SERVICES

양 당사자는 금융서비스 공급자에 의한 정보의 국경 간 이전의 중요성을 인정한다. 대한민국은 소비자의 민감정보의 보호, 그 민감정보의 무단 재사용의 금지, 그러한 정보의 취급에 관한 금융서비스 공급자의 기록에 접근할 수 있는 금융규제기관의 권한, 기술설비 위치에 대한 요건과 같은 분야를 다루면서 금융정보의 국경 간 이전을 허용하는 접근방법을 채택하는 결과를 가져올 대한민국의 규제제도 수정을 수행하겠다는 의사를 표현했다.

위 FTA 조항을 근거로 제안된 금융위원회의 ‘금융회사의 정보처리 및 전산설비 위탁에 관한 규정’ 제정안의 해외 위탁에 관한 주요 내용을 살펴보면 다음과 같다. 이 규정에 따르면 국내 금융회사도 해외 위탁이 가능하지만, 여기서는 외국계 금융회사의 해외 위탁에 대해서만 살펴보기로 한다.

국내에 있는 외국계 금융회사는 국외에 개인·금융정보를 위탁할 수 있되, 이용자 보호 및 감독가능성 확보를 위해 위탁 금융회사의 본점 및 계열사에 한해 위탁을 허용하고 있다. 다만 법령에서 금지하고 있는 경우, 정보관리 실적이 좋지 않은 경우 등은 해외 위탁이 금지된다.

외국에 개인·금융정보가 존재하는 이상 국내법이 직접 적용되기 곤란한 바 이에 대해서는 계약상의 규율을 하고 있다. 예컨대 외국계 금융회사는 정보처리 위탁계약을 체결할 경우 데이터에 대한 접근통제, 전산사고 등에 따른 이용자 피해에 대한 위·수탁회사 간의 연대 책임, 수탁자에 대한 감독당국의 감독·검사 수용의무, 수탁자의 분쟁해결 과정에서의 재판관할 등을 위탁계약에 반영해야 한다.

외국계 금융회사는 정보처리 업무의 위탁 사실을 위탁계약 체결 예정일로부터 7영업일 이전에 금융감독원장에게 보고해야 하며, 이 때 위탁계약서, 업무위탁 운영기준, 준법감시인의 검토의견 등을 첨부해야 한다.

외국계 금융회사가 국외에 위탁할 수 있는 개인·금융정보는 금융회사의 업무와 관련이 있는 정보(개인정보, 신용정보 등)이되, 다만 주민등록번호 등의 개인고객의 고유식별정보는 해외로 이전해서는 아니 된다.

그리고 건강·성생활 등에 관한 정보, 유전정보, 범죄경력정보 등의 정보주체의 사생활을 현저히 침해할 우려가 있는 개인 민감정보의 처리를 위탁할 경우에는 정보주체에게 개별 고지해야 한다.

외국계 금융회사로부터 정보처리를 위탁받은 자는 정보처리 과정에서 제공받은 정보를 제3자에게 재위탁하거나, 당초 위탁의 범위를 초과하여 다른 목적으로 활용할 수 없다. 다만, 해당 정보 주체의 동의를 얻은 경우는 동의의 범위 내에서 활용할 수 있다.

개인·금융정보의 위탁이 있다 하더라도 개인정보보호법, 금융실명법, 신용정보법 등 모든 관련법상의 보호조치를 이행해야 하며, 외국계 금융회사는 위탁 처리되는 정보의 보호를 위한 안전성 확보조치의 구체적 내용을 홈페이지 등을 통해 공시해야 한다.

더불어 외국계 금융회사는 개인·금융정보뿐만 아니라 정보처리관련 설비를 금융위 승인을 얻어 국외의 본점 또는 계열사에 한해 위탁할 수 있으나, 주요 설비에 대해서는 금융당국이 해외 위탁을 제한할 수 있다.

예컨대 금융이용자의 보호 및 금융감독 목적상 필요한 금융거래 관련 원장, 금융이용자에 대한 서비스와 직접적으로 관련이 있는 업무를 처리하는 설비, 국내 외부기관과 연결되어 있어 해외에 두기 부적합한 전산설비, 해외에 두는 경우 금융이용자에 대한 서비스 품질, 보안성 및 재해복구 시간 등 관련 법령에서 정한 요건을 준수하지 못하게 되는 전산설비 등이 해외 위탁이 제한되는 설비들이다.

금융당국의 몇 가지 감독 규정도 제정되어 있다. 금융감독원장은 당해 금융회사에 대하여 그 내용의 자료보완요구, 변경권고 등 필요한 조치를 취할 수 있으며, 위탁 금융회사 및 해당 업무의 수탁회사는 금융위원회의 자료제출 등 감독 및 검사를 위한 요구에 응해야 한다.

이 제정안은 각계각층의 충분한 의견을 수렴하는 기간을 가진 후 6월 중 금융위원회 의결을 거쳐 시행될 예정이라고 하는데, 아직까지는 환영보다는 우려가 많다.

특히, 400조가 넘는 것으로 추정되는 개인·금융정보의 해외 이전으로 인하여 국내에 진출한 외국계 은행과 거래하는 국내 기업과 개인들의 개인·금융정보가 별 제약 없이 외국으로 넘어가게 되고, 그리고 그곳에서 무분별하게 재처리될 수 있다는 우려가 크다는 것이다.

더불어 외국에서의 개인·금융정보의 유출 및 무분별한 이용에 대하여 국내 소비자들이 이를 통제할 수 없는 바, 정보주체의 개인·금융정보의 구제수단이나 통제수단이 미흡하다는 지적도 있으며, 평상시·비상시의 금융당국의 실효적인 감독권 행사 방안에 대하여 의문을 제기하는 사람도 있다.

다음에서는 이런 우려에 대해 좀더 구체적으로 검토해 보고자 한다.

[글_법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]