금융회사의 잘못으로 개인정보가 유출돼 손해를 입었다면 최대 세 배까지 배상받을 수 있는 ‘징벌적 손해배상제도’가 도입된다. 개인정보를 불법으로 활용해 영업한 금융회사는 관련 매출의 최대 3%를 과징금으로 내야 한다. 개별 금융협회가 갖고 있는 개인정보는 은행연합회를 중심으로 관리된다.

국회 정무위원회는 12일 전체회의를 열어 이 같은 내용의 신용정보 이용 및 보호에 관한 법률(신용정보법) 개정안을 통과시켰다. 지난해 1월 신용카드 3개사에서 1억여건의 개인정보가 유출된 지 1년 만이다. 개정안은 다음달 임시국회에서 법제사법위원회와 본회의를 거쳐 최종 확정된다.
금융社에 징벌적 배상 책임…개인정보 유출땐 피해액 3배 물어야
○유출 사실만으로 300만원 보상

개정안은 금융회사나 신용정보회사가 고의나 중대 과실로 신용정보를 유출해 금융소비자 피해가 발생했을 경우 피해액의 세 배까지 배상 책임을 지도록 했다. 피해자가 입은 재산상 손해액보다 더 큰 금액을 부과하는 징벌적 손해배상제도다. 고의나 중대 과실이 아니라는 사실은 금융회사가 입증해야 한다.

법원이 정보 유출에 따른 손해액을 정해주는 ‘법정손해배상제도’도 생긴다. 법원은 정보가 유출됐다는 사실만 가지고도 최대 300만원까지 손해액을 인정해줄 수 있다. 소비자가 정보 유출로 인한 피해를 입증하기 어렵다는 점을 감안한 제도다.

만약 개인정보를 불법으로 활용해 영업하면 관련 매출의 3%까지 과징금으로 내야 한다. 금융회사가 정보유출 방지 의무를 다하지 못했을 경우 부과되는 과태료도 현행 최대 600만원에서 5000만원까지 상향 조정된다. 신용정보관리인이 최고경영자(CEO)에게 정보보호 관련 보고 의무를 게을리해도 최대 5000만원의 과태료가 부과된다.

○대출모집인 사고 금융사 책임

개인정보 보관 책임도 강화된다. 금융회사는 거래상 필요에 따라 수집한 학력, 직업, 직위 등의 정보는 거래가 끝나면 즉시 파기해야 한다. 5년이 지나면 원칙적으로 모두 없애야 한다. 영업 등을 위해 제3자에게 개인정보를 제공했을 경우에도 이용기간이 지나면 바로 지워야 하며 금융회사는 이를 확인해야 할 의무가 있다.

대출모집인 등에 대한 관리 책임도 커진다. 모집인에게 정보를 줄 때, 사용할 때, 없앨 때 등 단계별로 내부 통제 방안을 마련해야 한다.

모집인이 정보를 유출하거나 불법정보를 활용하면 금융회사에도 책임이 돌아간다. 책임을 피하려면 정보 제공 절차를 준수하고 모집인 교육을 철저히 해야 한다. 대출모집인이 어떤 정보를 통해 대출상품을 판매했는지도 확인해야 한다.

금융소비자는 명의 도용이 의심되는 경우 일정 시간 신용조회를 차단해 달라고 금융회사에 요청할 수 있도록 했다. 신용등급 하락과 금융사고 피해를 예방하기 위해서다.

은행연합회, 생명보험협회, 손해보험협회, 여신금융협회 등 개별 금융권 협회들이 각각 관리해온 개인 신용정보는 종합신용정보집중기관에서 관리한다. 이 기관은 은행연합회를 중심으로 운영된다. 은행연합회 내부에 둘지, 새로운 기관을 신설할지는 아직 결정되지 않았다. 그동안 은행연합회는 개인 신용정보를 관리하는 업무 비중이 높아 새로운 신용정보집중기관이 생길 경우 타격이 클 것으로 예상됐다. 하지만 은행연합회가 주도권을 갖게 되면서 안도의 한숨을 쉬게 됐다.

박종서 기자 cosmos@hankyung.com