금융회사가 개인정보를 유출하면 최대 50억 원의 형벌적 과징금을 물릴 수 있게 된다. 불법으로 수집된 개인정보를 영업이나 마케팅에 이용하면 관련 매출의 최대 3%까지 과징금을 부과한다.
또 이름과 주민번호 등 필수정보만 입력하면 금융회사 홈페이지에 가입하거나 금융 거래를 할 수 있게 된다. 마그네틱 카드는 사실상 내년 이후부턴 사용할 수 없게 된다.
정부는 10일 관계부처 합동으로 이 같은 내용을 담은 ‘금융분야 개인정보 유출 재발방지 종합대책’을 발표했다.
이번 대책은 징벌적 과징금 도입을 비롯해 최고경영자(CEO)를 비롯한 금융회사의 관리 책임과 제재를 강화하는데 초점을 맞췄다.
우선 금융회사가 불법 개인정보를 활용하면 관련 매출의 3%까지 징벌적 과징금을 부과한다. 지난 1월에 발표한 방안보다 2%포인트가 높아진 수준으로 과징금 규모가 수백억 원에 이를 수도 있다는 뜻이다. 개인정보를 유출하면 최대 50억 원까지 과징금을 매길 수 있다. 형벌 수준도 10년 이하 징역 등 금융관련법 최고 수준으로 상향된다.
카드사 영업정지 기간이 3개월에서 6개월로 늘어나는 등 행정제재도 세진다. 계열사와 협력사는 물론 모집인 등에 대한 금융회사의 관리 책임도 강화된다. 사고가 나면 금융회사에도 엄정한 책임을 묻게 된다.
개인정보 수집과 보유, 활용, 파기 등도 깐깐해진다. 우선 현재 30∼50여 개에 이르는 수집정보 항목이 이름과 주민번호 주소, 연락처 등 필수정보 6~10개로 줄어든다. 필수정보 외 추가 정보는 ‘계약체결에 필수적이지 않다’는 사실을 알리고, 수집 목적과 제공처 등을 설명한 후 고객 동의로 수집해야 한다.
특히 제삼자에게 개인정보를 제공할 땐 포괄적 동의를 금지하고, 정보이용 목적과 제공업체, 제공기간, 파기계획 등을 구체적으로 명시해야 한다. 거래가 끝나면 필수 정보를 제외한 여타 신상정보 등은 3개월 이내에 파기하고, 보관 정보도 불가피한 경우만 빼고 5년 내 파기해야 한다.
주민등록번호는 최초 거래 시에만 수집하되, 번호 노출이 최소화되는 방식으로 수집하고 암호화해 보관해야 한다. 추가 개인정보를 제공할 땐 필수사항과 선택사항을 구분하고, 필수사항만 동의하면 거래나 서비스를 제공하도록 했다.
가입자는 금융회사의 개인정보 이용과 제공 현황을 언제든지 편리하게 조회할 수 있게 된다. 영업목적 전화에 대한 수신 거부(Do-not-Call)도 가능해진다.
보안성이 낮은 마그네틱 신용카드는 IC카드로 전면 교체된다. 올 하반기부턴 IC결제 우선 승인제가 도입돼 승인시간이 길어지는 등 마그네틱 카드 사용이 불편해진다. 2016년부턴 전 가맹점의 IC단말기 설치가 의무화된다.
이미 유출된 개인정보에 대해선 금융회사가 보유하고 있거나 제3자 등에 제공된 개인정보의 적법성을 철저히 점검하는 등 비상 대응체계를 마련하도록 했다. 아울러 해킹 등 전자적 침해 행위에 대해서도 강력하게 대응키로 했다.
▲ 개인정보 유출·유통 흐름도 |