[뉴스핌=노희준 기자] 앞으로 금융회사의 개인정보 수집은 이름, 주민번호 주소 등 필수정보 6~10개로 제한된다. 주민등록번호 역시 금융회사와 최초 거래시에만 수집하고 수집방식도 번호 노출이 최소화되는 키패드 입력방식으로 바뀐다.

또한 금융회사에 대한 정보제공 동의서 양식도 필수사항과 선택사항으로 구분하고 선택사항에 동의하지 않더라도 서비스 제공을 거부하지 못하도록 했다.

[지료=금융위]

우선 금융회사와 계약체결에 필수적인 정보와 선택가능한 정보를 구분해 필요 최소한의 정보만 수집하도록 했다. 이름, 고유식별번호(주민번호 등), 주소, 연락처, 직업군, 국적 등 6가지의 필수정보와 재형저축․펀드 가입 시 연소득 등 업권별, 상품별 필수정보로 구분했다.

선택항목은 수집 목적과 제공처, 선택정보 제공 시 혜택을 설명하고 고객 동의하에 수집하며 계약 체결에 필수적이지 않음을 고지하고, 선택항목의 동의거부에 따른 불이익은 없도록 했다. 사생활 침해 소지가 있는 결혼기념일, 종교, 배우자 및 가족 정보 등의 항목은 원칙적 수집을 금지했다.

◆ 주민번호 계속수집...암호화 보관= 다만, 이번 정부 대책에서도 금융회사의 주민번호 수집·이용이 불가피하다고 봤다. 대신 최초 거래시에만 전자 단말기 직접 입력, 콜센터 활용 등을 통해 주민번호를 수집하고, 이후에는 주민번호 기입 없이 신분증, 인증시스템 등을 통해 신원을 확인키로 했다.

다만, 법령상 규정 준수, 단체계약 체결, 보험금 지급 등의 경우 예외적으로 서식상 기입을 통해 주민번호를 수집을 허용했다. 신분증 사본의 경우도 법령상 특별한 규정이 있어야 신분증 사본 전체를 보관 가능하고, 그 외에는 사본에서 주민번호 뒷자리를 삭제토록 했다.

수집한 주민번호를 보관할 때도 외부망은 물론 내부망에도 암호화해 보관토록 했다. 이는 회사규모, 이용고객 수 등을 고려해 단계적으로 시행될 예정이다. 주민번호를 불법활용하거나 유출한 경우에는 일반 개인정보 유출시보다 과태료 및 과징금도 가중된다.

◆ 금융지주내 정보공유 염격 제한 = 또한 금융지주 내에서 고객 사전동의 없이 계열사 보유정보를 받아 상품 판매 등 외부영업에 이용하는 것이 금지된다. 제공받은 정보의 이용기간도 1개월 이내로 제한하고 이용기간이 지난 경우 영구 파기여부를 고객정보관리인이 확인토록 했다.

지주사는 자회사의 고객정보관리에 대해 주기적인 종합점검을 실시하고 시정조시사항 등을 감독당국에 보고해야 한다. 카드 부분 등이 분사(分社)하는 경우 원칙적으로 자사 고객이 아닌 개인정보는 이관받지 않도록 했다. 

이 경우 개인정보 범위 역시 필수 정보만 이관하도록 할 방침이다. 만약 분사 이전 정보와 긴밀히 연계돼 있는 경우 등 불가피하게 이관받는 경우에도 자사 고객 정보와 분리해 거래종료에 준해 2단계로 엄격히 관리할 계획이다.

◆ 제3자 정보제공 구체화= 포괄적 정보제공 동의를 금지하고 계약 체결에 필수적인 제3자와 선택적 제3자를 구분해 동의를 받도록 했다. 이에 따라 제3자의 사업내용, 연관된 부가서비스 등을 기준으로 개별이나 다수 그룹으로 구분해 별도로 금융회사는 동의를 받아야 한다.

동시에 제3자에 제공되는 정보의 내용, 이용목적, 정보 제공되는 업체명 및 업체 수, 제공기간 및 파기계획 등 구체적으로 적시하도록 했다. 특히 마케팅 등의 목적으로는 원칙적으로 1년간만 제공하고 즉시 파기해야 한다. 파기 및 예외적 보관 등의 계획도 '사용 목적이 다한 경우' 등 불명확한 표현은 금지되고 구체적으로 안내해야 한다.

◆ 정보 제공 동의서 양식 개편= 이런 내용에 맞춰 금융회사의 개인정보 수집·이용·조회·제공 동의서 양식도 개편된다. 필수사항과 선택사항을 별도 페이지로 구분하고, 필수사항에만 동의하면 계약 체결이 가능해진다.

제3자 정보제공의 경우도 정보제공의 대상·목적별로 그룹화해 각각 동의받도록 했고 정보보유기간을 구체적으로 명시토록 했다. 글자 크기, 줄 간격 등도 항목구분 글자 최소 12p, 본문글자 최소 10p 및 줄간격 130% 이상으로 해 읽기 쉽게 개선했다.

◆ 종료 고객 정보 3개월내 즉시 파기...5년 후 모두 파기= 고객정보를 파기하는 경우에도 원칙적으로 필요한 정보(식별정보, 거래정보 등)만 현재 거래중인 고객 정보와 분리해 보관하고 3개월 이내에 즉시 파기토록 했다.

아울러 거래종료 후 5년이 경과한 정보는 원칙적으로 모두 파기토록 했다. 다만, 법률상 의무이행 등을 위해 보관이 불가피한 경우에는 별도 DB 보관하고 업무상 필수인원만 접근가능토록 해 엄격히 보관토록 했다. 정보를 다시 이용하는 경우에도 고객에게 사전통지를 의무화했다.

제3자에 제공된 정보 역시 이용기간 지난 경우 파기하고, 금융회사는 이를 파기 확인서를 받아 확인해야 한다.

이밖에 무차별적 문자메시지 전송을 통한 영업행위는 전면 금지됐다. 기타 전화나 이메일 등 여타 비대면방식 모집 및 권유행위도 소속회사, 목적, 정보획득 경로 등을 사전에 명확히 안내하는 조건에서 제한적인 범위내에서만 허용된다.


[뉴스핌 Newspim] 노희준 기자 (gurazip@newspim.com)