brunch
매거진 금융보안담당자의 검토일기

개인신용정보 정보주체 이외 수집/출처 통지의무 검토

법은 어렵도다..

by bit
Aug 28. 2025

대한민국 사회인이라면 아래와 같은 안내를 받은적이 반드시 있을 것이다.


개인정보 이용내역 메일인데, 밑에 조금 더 내려보면 수집 출처 및 처리 목적 안내가 있다.


스크린샷 2025-08-28 154232.png


메일내용에도 기재가 되어있지만, 개인정보보호법에 따라 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 수집 출처와 처리 목적을 정보주체에게 알려야한다.


쉽게말해 내 개인정보를 내가 아닌 다른 곳으로 부터 제공받아 처리할때 나에게 관련내용을 알려야 한다는 것이다. 특정규모 이상의 개인정보, 민감정보, 고유식별정보를 처리하는 경우엔 내가 요구하지않아도 알려야하는데, 일부 특수한 경우는 알리지 않아도 된다. (특수한 경우는 나머지 조항을 참고하자)


개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다. <개정 2023. 3. 14.>

1. 개인정보의 수집 출처

2. 개인정보의 처리 목적

3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>


개인정보보호법 시행령 제15조의2(개인정보 수집 출처 등 통지 대상ㆍ방법ㆍ절차) ① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. 이 경우 다음 각 호에 규정된 정보주체의 수는 전년도 말 기준 직전 3개월 간 일일평균을 기준으로 산정한다. <개정 2023. 9. 12.>

1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)를 처리하는 자

2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자



자 이제부터 의문이다. 금융회사에서 대출을 받거나 한도를 조회하게 되면 내 신용도를 조회하게 된다. 보통은 NICE, KCB점수를 알게되는데, 이때 금융회사에서 내 개인(신용)정보를 신용평가회사에 제공하고 있다.


그럼 NICE, KCB같은 신용평가회사도
수집/출처통지 해야겠네요?


헌데 여태 관련 통지, 안내를 받아본 적이 없다. 금융회사로부터 내 개인신용정보를 제공받았고, 정보주체 이외 수집에 해당하니 통지해야하는것 아닌가?라는 의문에서 검토를 시작하게 되었다.


우선 신용정보법은 개인정보보호법과의 관계에서 신용정보에 관한 특별법으로 적용되기때문에 신용정보법을 먼저 들여다보았으나, 정보주체 외 수집출처 통지의무에 대한 조항은 찾을 수 없었다.


다만, 과거 2017년에 신용정보법을 개정하는 과정에서 관련내용이 추가되는듯 했으나, 실제로 반영되진 못했었다. (신용정보법 재입법 예고 링크)


스크린샷 2025-08-28 161721.png <2017 신용정보법 일부개정법률안 / 출처: 금융위원회>


현행 신용정보법에 관련내용이 없다면 일반법인 개인정보보호법을 준수해야하니, 개인정보보호법 관련 해설서와 가이드를 찾아봤다.


스크린샷 2025-08-28 160449.png <개인정보 보호 법령 및 지침, 고시 해설서(2020.12)>
스크린샷 2025-08-28 160655.png 금융분야 개인신용정보 보호 가이드라인(2025.5.)


예상대로 신용정보법엔 규정하지 않으니 개인정보보호법을 따르라고 되어있다. 하지만 여기서 용어를 잘 봐야한다.


개인정보 수집 출처 고지에 대해서는


그렇다. 개인신용정보가 아닌 개인정보다. 차이는 정말 애매하지만, 개인정보 + 신용정보이다.


1. 이름, 연락처? 개인정보

2. 이름, 연락처, 소득? 개인신용정보


그래서 이름은 개인정보야? 아니면 개인신용정보야?


항목만 딱 놓고 파단할 수 없다. 종합적인 상황을 보고 판단해야한다.

점점 미궁으로 빠져간다.. 그럼 개인정보였다가 개인신용정보로 바뀔수도 있겠네? 라는 생각이 들면서 가이드를 좀더 찾아봤다.


스크린샷 2025-08-28 162657.png <ISMS-P 인증기준 안내서(2023.11.23)>


ISMS-P 안내서에는 개인정보보호법에 따라 수집한 개인정보만 통지하도록 안내하고 있다. 이 말은, 신용정보법에 따라 수집한 개인신용정보는 통지의무가 없다 이야기로 해석된다.


하지만 위에서 말했듯 종합적인 상황에 따라 신용판단에 활용되지 않은 개인신용정보 외의 개인정보는 개인정보보호법을 준수해야한다.

법은 심오하고 너무 어렵다.


검토 끝.

keyword
bit 소속 금융보안담당자 프로필

<금융보안 프로세스 A to Z - 금융회사 보안 담당자가 알려주는 기초에서 실전까지> 저자

구독자 105
매거진의 이전글위탁규정엔 우리회사 없는데 보고해야돼 ?