신용정보의 이용 및 보호에 관한 법률 시행령 개정 권고

Ⅰ.검토 배경 본인신용정보관리업의 근거 등을 규정한 「신용정보의 이용 및 보호에 관 한 법률」(이하 “신용정보법”이라 함)은 2020. 2. 4. 개정 공포되었으며, 본인 신용정보관리업이 통합하여 신용정보주체에게 제공할 수 있는 신용정보의 범위등을규정한신용정보법시행령은 2020. 8. 4.개정공포되었다. 그런데 신용정보법 시행령 제2조 제22항 및 제23항에 따른 별표 1에는 본인신용정보관리업이 통합, 제공할 수 있는 신용정보에 "주문내역정보"를 포함하고 있다. 이에 대해서 개인이 전자상거래 등을 이용한 기록인 주문내 역정보는 신용정보법에서 규정하는 신용정보의 범주에 포함된다고 보기 어 려울뿐더러, 개인의 내밀한 사적 영역을 과도하게 드러냄으로써 사생활이 침해될가능성이있다는주장이제기되고있다. 국가인권위원회(이하 “인권위”라 한다)는신용정보법시행령 별표 1의내 용이 「국가인권위원회법」 제19조 제1호에 따른 "인권에 관한 법령의 개선이 필요한 사항"에 해당된다고 판단하여, 본인신용정보관리업의 신용정보 통합, 제공 범위에 주문내역정보가 포함되는 것이 적절한지 여부에 대해 검토하 였다. Ⅱ.검토 기준 「대한민국헌법」 제17조와 「세계인권선언」 제12조, 「시민적 및 정치적 권 리에 관한 국제규약」 제17조를 판단 기준으로 하고, 유럽연합 「개인정보보 호 규정」(EU General Data Protection Regulation; GDPR) 제20조 등을 참 고기준으로하였다. Ⅲ.신용정보법 시행령에 대한 검토 1.본인신용정보관리업이통합,제공할수있는신용정보에 "주문내역정보" 가 포함되는 것이 적절한지 여부 신용정보법 시행령은 주문내역정보가 정확히 어떤 것을 말하는지에 대해 서 별도의 언급을 하고 있지는 않으나, 일반적으로는 개인(정보주체)이 전 자상거래 등을 이용하면서 어떠한 상품을 언제, 어느 업체에서, 어느 정도 의 수량과 품목을, 얼마의 금액으로 주문하고 결제하며 배송받았는지 여부 를종합적으로나타내는정보라고정의할수있다. 검토하건대, 신용정보법은 제1조에서 스스로 규정하는 바와 같이 "신용정 보 관련 산업의 건전한 육성, 신용정보의 효율적 이용과 체계적 관리 도모" 를 위한 법률로 새김이 타당하고, 신용정보법에서 정의하고 있는 용어나 법 률의 적용범위 등도 이 범주에서 해석, 적용함이 바람직하다고 판단된다. 따라서 신용정보법이 정하는 신용정보의 범위는 어디까지나 같은 법 제2조 제1호에서 정의하는 바와 같이 "금융거래 등 상거래에서 거래 상대방의 신 용을 판단할때 필요한 정보"의범주안에서정하는 것이 타당하다할 것이 다. 2020. 8. 4. 개정되기이전의신용정보법시행령제2조제1항제2호에서도 신용정보주체의 거래내용을 판단할 수 있는 정보로서 "대출, 보증, 담보제 공, 당좌거래(가계당좌거래를 포함한다), 신용카드, 할부금융, 시설대여와 금 융거래 등 상거래와 관련하여 그 거래의 종류, 기간, 금액 및 한도에 관한 사항"이라고 규정하고 있었던 것또한 금융거래등 상거래에서거래 상대방 의 신용을 판단할 때 필요한 정보의 범주 안에서 정의한 것으로 볼 수 있 다. 그런데 2020. 2. 4. 신용정보법이 개정되면서, 같은 법 제2조 제1호의3 마 목에서 금융거래 등 상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보로서 신용정보주체의 거래내용을 판단할 수 있는 정보에 "「상법」 제46 조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보" 가 새롭게 반영되었다. 신용정보법의 개정이유는 “현재 대통령령에서 규정 하고 있는 신용정보 등의 주요 개념을 법률에서 직접 규정하고, 기술의 발 전과 금융환경 변화 등에 맞추어 신용정보 등의 개념을 체계적으로 정비 함”이라고만 되어 있고, "상행위에따른 상거래정보"를추가한이유는 따로 설명하지않고있다. 신용정보법의목적과적용범위등을근거로하여판단할때,신용정보의 범위는 어디까지나 같은 법 제2조 제1호에서 정의하는 바와 같이 "금융거래 등 상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보"의 범주 안에 서 정하는것이 타당함은앞서 살펴본 바와 같다. 따라서 같은 조 1호의2의 특정 신용정보주체를 식별할 수 있는 정보, 1호의3의 신용정보주체의 거래 내용을 판단할 수 있는 정보, 1호의4의 신용정보주체의 신용도를 판단할 수 있는 정보, 1호의5의 신용정보주체의 신용거래능력을 판단할 수 있는 정보, 1호의6의 그 외에 신용정보주체의 신용을 판단할 때 필요한 정보 역시도 어디까지나 "거래 상대방의 신용을 판단할 때 필요한 정보"의 범주 안에서 새길 필요가 있음은 다언을 요하지 않을것이다. 특히 같은 조 제1호의3 마 목의 "「상법」 제46조에 따른 상행위"는 오히려 금융거래는 물론이고 상인간 혹은 상인과의 재산의 매매, 임대차 등까지 망라하는 광범위한 개념이므로 이를 "신용정보주체의 거래내용을 판단할 수 있는 정보"의 하위 범주에 포 함하는것자체가적절하지않다고판단된다. 이상과 같은 신용정보법의 입법 목적과 취지, 적용범위, 신용정보의 개념 과 범주, 신용정보법 개정의 부적절성 등을 고려하였을 때, 신용정보법 제2 조 제9호의2에서 본인신용정보관리업이 통합, 제공할 수 있는 신용정보의 구체적 범위를 신용정보법 시행령에 위임하더라도 그 범위를 합리적이고 적절한 영역으로 제한해야 마땅한데도 불구하고, 같은 시행령 별표 1에 개 인이 전자상거래 등을 이용하면서 생성된 주문일시, 주문품목과 내역 등이 내포되는 "주문내역정보"까지 포함시키는 것은 본인신용정보관리업이 통합, 제공할 수 있는 신용정보의 포섭 한계를 벗어난 것으로 부당하다고 판단하 지않을수없다. 2.주문내역정보로인하여정보주체의사생활이노출될가능성이있는지여 부 우리나라 국민들의 전자상거래 활용 빈도는 지속적으로 증가하고 있다. 정보통신정책연구원의 조사에 따르면 조사대상자의 약 64%가 온라인 쇼핑, TV 홈쇼핑 등의 전자상거래를 이용한 경험이 있고, 특히 온라인 쇼핑 거래 를 한 경험은 약 85%에 달하는 것으로 나타났다. 통계청의 조사에 따르면 2020. 9.현재온라인쇼핑거래액은 14조 7,208억원에달하고있다. 오늘날 전자상거래는 단순한 물품의 구입과 배달은 물론이거니와 청소, 세탁 등 서비스 제공 영역으로까지 확대되고 있다. 또한 여행, 숙박, 레저의 이용, 영화·드라마 등 콘텐츠 구매 등도 전자상거래를 통해 활발히 이루어 지고 있다. 개인이 국내 전자상거래를 벗어나 해외로부터 구매하거나 또는 판매하는 빈도도 늘어나고 있으며 전자상거래를 통해 타인에게 선물을 하 는 경우도 적지 않다. 즉 전자상거래는 이제 국민 개개인의 일상생활과 떼 려야뗄수없는밀접한관계를형성하고있다. 이러한 상황에서, 만일 개인이 전자상거래를 이용하는 과정에서 생성된 주문내역정보가 특정한 기업 등에 의해 수집·집적되고 이용될 경우에는 그 방대하고 상세한 정보로부터 개인의 일거수일투족, 성향·취향이나 정체성, 다른 사람과의 관계, 일상사의 변화 등 내밀한 사적 영역이 정보주체 본인 의 의사에 반하여 분석, 활용되거나 노출될 가능성을 부인하기 어렵다. 이 미 21대 국회에서 주문내역정보는 신용도 평가에 필요한 정보라기보다는 개인의 사적 영역에 속하는 개인정보로서 그 활용에 신중을 기해야 한다는 지적이 제기된 바 있고, 다수의 시민사회단체들도 시행령상에 포함된 다른 정보들도 문제가 있지만 특히 주문내역정보를 통해 개인의 사생활이 노출 될가능성이있음을비판하고있다. 더 나아가, 우리나라는 개인정보의 활용 확대와 관련한 정책을 시행함에 있어 다른 주요 선진국에 비해 개인정보 처리 환경의 특수성이 있음을 면 밀히 고려할 필요가 있다. 우리나라는 전국민 개인식별번호인 주민등록번호 제도가 운영되고 있으며 거의 모든 경제, 사회 활동에서 다른 개인정보 항 목과 결합하여 신원확인이나 본인인증 수단으로 활용되고 있다. 따라서 전 자상거래에서의 주문내역정보와 같은 상세한 개인정보를 대량으로 수집, 이 용, 제공할 수 있도록 허용하는 것은 기존의 주민등록번호 등과 결합되어 사생활 노출이나 개인정보 침해의 위험성이 더욱 증대될 수 있음을 신중히 고려하여야한다. 앞서인권위는 2019. 7. 22.「개인정보보호법일부개정법률안」에대한의 견표명 결정에서, 우리나라에 주민등록번호 제도가 존재하는 점, 이미 대량 으로 유출되어 암암리에 거래·활용되는 개인정보 데이터베이스가 많은 점, 개인정보 침해·유출 사고에 비해 감독기관의 행정벌이나 민·형사 재판을 통 한 배상과 제재가 미국, 유럽 등 선진국의 수준에 비해 상대적으로 가벼운 점 등을 고려하여 개인정보 활용 확대와 보호 완화에 신중을 기할 필요가 있음을지적한바있다. 금융위원회는 이러한 제반 논란을 감안하여 신용정보법 시행령에 따른 주문내역정보를 품목, 수량 등으로 상세히나타내지 않고 "범주화"하여 제공 하는 방안을 검토 중이라고 밝혔다. 그러나 이 경우에도 범주화를 어떤 범 위로 설정하느냐에 따라 사생활 노출 가능성이 열려있고, 예를 들어 "숙박", "성인용품" 등과 같이 주문범주 그 자체만으로도 내밀한 사생활이 노출될 위험성을완전히해소하기어렵다고사료된다. 이상의 논의를 종합하면, 본인신용정보관리업이 통합, 제공할 수 있는 신 용정보에 주문내역정보가 포함되면 특정 개인의 내밀한 사생활이 원치 않 게노출될위험성이상존한다고판단된다. 3.소결 신용정보법 시행령 제2조 제22항 및 제23항, 같은 시행령 별표 1에서 본 인신용정보관리업이 통합, 제공할 수 있는 신용정보의 범주에 "주문내역정 보"를 포함하는 것은 신용정보법이 정하는 신용정보의 개념과 범주를 지나 치게 확장하는 것으로서 적절하지 않고, 정보주체의 내밀한 사적 영역이 원 치 않게 노출될 위험성이 있다는 문제점이 있다. 한편 주문내역정보에 이른 바 "범주화"를 적용하더라도 위에서 지적한 문제점이 해소되기는 어려울 것 으로사료된다. 이로 인하여 「대한민국헌법」 및 「시민적 및 정치적 권리에 관한 국제규 약」 등 국제인권기준이 보호하는 사생활의 비밀과 자유, 개인정보자기결정 권이 예기치 않게 제약될 가능성이 있다 판단되므로, 이의 개선을 위해서는 신용정보법 시행령 별표 1 중에서 "5. 법 제2조 제9호의2 마목에 따른 신용 정보"의 항목 중 "주문내역정보"를 삭제함으로써 신용정보법 시행령에서 신 용정보의적용범위가과도히확장되지않도록할필요가있다. Ⅳ.결론 이상과 같은 이유로 「국가인권위원회법」 제19조 제1호 및 제25조 제1항 에따라주문과같이권고하기로결정한다.