보험개인정보보호법제개선방안 2014. 8 김경환 강민규 이해랑
머리말 올해초카드 3사의개인정보유출사태가발표된이후 우리나라의최대수출품목은국민의개인정보! 라는우스갯소리가등장하였다. 인터넷포털이나금융기관으로부터유출된개인정보가국내는물론이고국외까지널리퍼져있는현실을개탄하는자조섞인농담이다. 사실, 2000년대들어수많은개인정보유출사고를경험하였음에도불구하고, 우리나라의개인정보보호수준은아직미약한것으로판단된다. 이번카드 3사의개인정보대량유출사태를계기로기존의개인정보보호체계및관행을바꿀수있는전환점으로삼아야할필요가있다. 그러나다른한편으로는, 개인정보를단순히보호의대상으로만생각해서도안된다. 개인정보의활용에대해서도깊은고민을해야할때이다. 개인정보의보호와활용은 동전의양면 과도같기때문이다. 최근해외에서는빅데이터의활용사례가증가하는등개인정보도사회적자산의하나로서적극적으로활용하고자하는추세가나타나고있다. 우리나라보험산업에있어서도개인정보를적절히활용한다면보험범죄의예방, 정보비대칭성의해소등을통해사회적부를증대시킬수있을것으로기대된다. 이보고서는이러한관점에서보험개인정보관계법령간의비교 검토를통해서개선과제를도출하고, 보험개인정보의활용과보호가조화를이룰수있는접점을모색하고있다는점에서시의성이있다고하겠다. 이보고서가향후보험개인정보보호법제에관한정책상논의과정에기여할수있기를바란다. 마지막으로이보고서에수록된내용은연구자들개인의의견이며, 우리원의공식의견이아님을밝혀둔다. 2014 년 8 월 보험연구원원장강호
목차 요약 / 1 Ⅰ. 서론 / 15 1. 연구의배경및목적 / 15 2. 연구의범위및구성 / 18 Ⅱ. 보험개인정보의개념및분류 / 20 1. 개인정보의개념 / 20 2. 개인정보의분류 / 29 3. 보험개인정보의개념과분류 / 32 Ⅲ. 보험개인정보적용법률의비교 분석및문제점 / 36 1. 보험개인정보의적용법률 / 36 2. 보험개인정보적용법률의비교 검토 / 48 3. 보험개인정보보호법제및운영상문제점 / 97 Ⅳ. 제외국의입법례및활용실태 / 119 1. 각국의개인정보보호법률체계 / 119 2. 보험개인정보의수집및제공 / 124 3. 보험개인정보의활용현황 / 135 Ⅴ. 보험개인정보법제개선방안 / 148 1. 보험개인정보적용법률불명확및중첩적용의해소 / 148 2. 보험개인정보의실질적보호기능강화 / 163 3. 보험개인정보의활용성제고 / 175 참고문헌 / 183
표차례 < 표 Ⅱ-1> 우리나라개인정보법제상개인정보의정의 / 24 < 표 Ⅱ-2> 개인정보보호위원회의개인정보분류표 / 31 < 표 Ⅱ-3> 보험개인정보의내용상 ( 수집목적상 ) 분류및수집항목 / 35 < 표 Ⅲ-1> 개인정보보호법상동의예외사유 / 39 < 표 Ⅲ-2> 신용정보법상동의예외사유 / 43 < 표 Ⅲ-3> 정보통신망법상고지사항 / 44 < 표 Ⅲ-4> 정보통신망법상동의예외사유 / 45 < 표 Ⅲ-5> 보험개인정보적용법률간적용순위 / 52 < 표 Ⅲ-6> 개인정보법률상 수집 관련규정 / 58 < 표 Ⅲ-7> 개인정보법률상 이용 관련규정 / 63 < 표 Ⅲ-8> 개인정보법률상 제3자제공 관련규정 / 70 < 표 Ⅲ-9> 개인정보법률상 고유식별정보및주민등록번호 관련규정 / 78 < 표 Ⅲ-10> 개인정보법률상 민감정보 관련규정 / 85 < 표 Ⅲ-11> 개인정보법률상 위탁 관련규정 / 91 < 표 Ⅲ-12> 개인정보법률상 파기 관련규정 / 96 < 표 Ⅲ-13> 개인정보법률상개인정보수집시통지사항 / 103 < 표 Ⅲ-14> 최근 3개년보험사기적발현황 / 116 < 표 Ⅳ-1> 미국의개인정보법률체계 / 120 < 표 Ⅳ-2> 미국과영국의개인정보수집및제공시동의절차비교 / 133 < 표 Ⅴ-1> 일반법과특별법간보충적용원칙적용사례 / 153 < 표 Ⅴ-2> 보충적용원칙의적용기준예시 / 154 < 표 Ⅴ-3> 사전동의수집제도의합리화방안 / 174 < 표 Ⅴ-4> 보험개인정보제공목적별보호규제차등화방안 / 180
그림차례 < 그림 Ⅲ-1> 우리나라의개인정보법체계 / 37 < 그림 Ⅲ-2> 법률적용의불명확성 : 모자이크법 / 104 < 그림 Ⅲ-3> 보험분야표준개인정보처리동의서양식 / 113 < 그림 Ⅴ-1> 보험개발원의 Do Not Call 서비스 / 170 < 그림 Ⅴ-2> 보험계약자와보험회사간의정보교환의무 / 176
A Study on the Improvement of Information Privacy Laws in Insurance This paper studies the protection and using plans of the insurance personal information based on information privacy laws. The term "insurance personal information" means the insurance information by which the individual in question can be identified. We examine insurance personal information that insurance companies are collecting and managing. Especially this paper compares and analyzes the laws applied to insurance personal information. Here we point out problems due to ambiguity and redundancy of law application and conclude that the cause of problems is from either many applicable laws or ignorance of insurance features. Also we examine the legal framework of information privacy laws in the United States, the United Kingdom, France, and Japan and explore the practical use of insurance personal information in each country. Finally, we suggest the following improvement plans to solve the problems; - to make a guideline for consistent interpretation and management of insurance personal information, to reestablish a legal framework of information privacy laws, and to integrate laws applied to insurance personal information - to improve insurance information privacy protective function effectively; strengthening guarantee of Personal Information Control Right, enhancing responsibility of insurance companies on the personal information protection, and rationalizing consent
obtaining system. - to make a legal reason on the pooling of each companies insurance personal information for the purpose of insurance underwriting and the protection of insurance fraud.
요약 Ⅰ. 서론 우리나라개인정보법제는개인정보보호에치중한나머지정보의활용을지나치게억제하는측면이존재함을부정할수없음. 특히, 2014년 1월 8일검찰의발표이후한동안우리나라를들썩이게한카드 3사의개인정보대량유출사태는기존의개인정보보호수준을한단계높여놓는강력한전환점이될것으로판단됨. 그러나개인정보도사회적자산의하나로서활용가치가존재하는바, 이제는개인정보의보호와더불어개인정보의활용에대해서도깊은고민을해야할때인것으로사료됨. 이에본보고서에서는보험분야에적용되는개인정보보호법률들의비교 분석을통해개인정보법제의다기화및중첩적용에대한문제점및해소방안을살펴보고, 이와더불어실질적인보험정보주체의보호강화방안및보험산업의특성반영방안을같이검토해보고자함. Ⅱ. 보험개인정보의개념및분류 개인정보란 개인 과 정보 라는명사가결합된복합명사로서 낱낱의사람으로서의개인에관한자료 ( 데이터, 기록 ) 라고폭넓게해석할수있음. 개인정보보호법이나정보통신망법에따르면개인정보는살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함 ) 로정의됨.
2 조사보고서 2014-8 보험개인정보 란개인정보의범주에포함되는것으로서, 보험정보중개인정보 또는 개인을식별할수있는보험정보 를의미하는것으로해석됨. 여기서보험정보는 보험거래및그부수업무와관련된정보 로폭넓게정의할수있을것임. 보험회사가보유하고있는보험개인정보는보험거래관련정보, 금융거래관련정보, 인터넷회원관련정보, 모집종사자관련정보, 마케팅관련정보, 보안관리관련정보, 직원인사관리관련정보등으로대별됨. Ⅲ. 보험개인정보적용법률의비교 분석및문제점 1. 보험개인정보의적용법률 2011년이전까지는개인정보에관한일반법이제정되지않은상태에서, 부처별및분야별필요성에따라개별개인정보법률이제정되어왔음. 2011년개인정보법률의일반법인개인정보보호법이제정됨에따라현재우리나라개인정보법체계는다음의그림과같이나타낼수있음. 한편, 보험개인정보에적용될수있는주된법률로는개인정보보호법, 신용정보법, 정보통신망법, 보험업법, 전자금융거래법등이있음. < 요약표 1> 우리나라의개인정보법체계 규제대상 ( 분야 ) 규제법률 기본법 개인정보보호법 공공부문 공공기관 개인정보보호법 신용정보집중기관 신용정보의이용및보호에관한법률 금융기관 금융실명거래및비밀보장에관한법률 사적부문 정보통신서비스제공자정보통신망이용촉진등에관한법률통신사업자통신비밀보호법 의료기관 의료법
요약 3 2. 보험개인정보적용법률의비교 검토 ( 관계법령간의적용순위 ) 개인정보보호법과특별법인개별법들간에중복또는충돌이발생하는경우, 특별법우선의원칙에따라개별법이우선적용되고, 개별법에서정하지않은사항에한하여개인정보보호법이적용됨. 특별법에해당하는개별법률간중복또는충돌이발생하는경우어느법을우선적용할것인가는개별법률의입법목적및대상, 다른법률과의관계규정등을종합적으로고려하여해석할수밖에없음. 보험개인정보에대해서는다음과같이그적용순서가결정될것임. < 요약표 2> 보험개인정보적용법률간적용순위 구분 오프라인보험 온라인보험 법률간적용순위 보험업법등개별법 > 신용정보법 > 개인정보보호법 보험업법등개별법 > 신용정보법 > 정보통신망법 > 개인정보보호법 ( 수집 ) 보험개인정보를정보주체로부터직접수집하는경우, 우선적용되는신용정보법에따라동의절차를생략할수있다는의견과개인정보보호법이보충적용되므로동의를수령해야한다는의견이모두가능함. 현재보험회사는후자에따라필수정보와선택정보모두에대하여정보주체로부터의동의를수령하고있는실정임. 한편, 보험개인정보를정보주체이외로부터수집하는경우에는, 보험개인정보를수집하는자는별도의동의를얻을필요가없음. - 그러나정보주체의요구가있으면개인정보보호법에따라수집출처등을정보주체에게고지하여야하고, 신용정보집중기관으로부터수집하는경우에는수집하는자가수집동의를수령해야함.
4 조사보고서 2014-8 ( 이용 ) 보험회사는신용정보법에따라수집목적범위내에서개인정보를이 용해야할것이고, 동목적외로사용하기위해서는정보주체로부터별도동 의를얻거나각법에열거된예외적허용사유에해당하여야할것임. ( 제3자제공 ) 보험회사는신용정보법에따라목적내 외를구분하지아니하고정보주체의동의가있으면보험개인정보를제3자에게제공할수있고목적외제공이라하여별도의동의를얻을필요는없는것으로판단됨. 다만, 신용정보법상의동의예외사유에해당하는경우에는정보주체에대한고지의무를준수하여야함. ( 고유식별정보 / 개인식별정보의처리 ) 신용정보법은개인식별정보의수집에대한별도규정을두고있지아니하므로, 개인식별정보 ( 고유식별정보 ) 를수집할경우 보험개인정보의수집 과동일하게해석하여야할것임. 제3자제공의경우에는신용정보법에따라제공에관한동의를얻으면족하나, 고유식별정보를제3자에게제공하는경우와수집목적외제공의경우에는별도동의를얻어야할것으로해석됨. ( 주민등록번호의처리 ) 신용정보법은주민등록번호를개인식별정보에포함하여규정하고있을뿐, 주민등록번호처리에관한별도규정을두고있지아니한반면, 개인정보보호법과정보통신망법은법정사유에해당하는경우를제외하고는주민등록번호를수집 이용할수없도록제한하고있음. 보험개인정보의경우에도법령에서허용하는경우외에는주민등록번호의처리가제한됨. ( 민감정보의처리 ) 특별법인신용정보법에서신용정보회사등이질병정보외 의민감정보를수집하는것을금지하고있으므로, 보험회사는질병정보외의 민감정보는개인의동의를받더라도처리할수없는것으로해석됨.
요약 5 ( 위탁 ) 보험회사가자신의영업을위하여보험개인정보의처리를위탁하는경우정보주체로부터의동의는필요없는것으로해석됨. 다만, 정보통신망법및개인정보보호법의위탁절차 ( 위탁내용의주기적통보, 수탁자의관리 감독등 ) 는준수하여야할것임. ( 파기 ) 신용정보법은신용정보의파기에관한일반규정이없어불이익정보 (5년이내삭제 ) 나폐업 ( 지체없이폐기 ) 이외의경우에관하여명확한기준을제시하지못하고있음. 신용정보법에열거된파기사유이외의경우에는정보통신망법내지개인정보보호법에기재된파기규정이보충적으로적용되어야할것으로보임. 3. 보험개인정보보호법제및운영상문제점 가. 적용법률의불명확및중첩적용 현행개인정보법제하에서는보험사가동일한보험계약자와보험계약을체 결함에있어서도거래경로나수집정보유형에따라다양한법률이적용됨. 개인정보보호법은개인정보보호를위한일반법으로서본연의역할을수행하지못함으로써일반법과개별법간의규율범위에있어혼란을초래함. 보충성의원칙은일반법과특별법간의관계를명확히함으로써법률간해석기준을제시하는역할을하나우리나라의개인정보법률들에있어서는오히려불명확성을가중시키고있는것으로판단됨. 보험개인정보의적용법체계상문제되는것중의하나는다수의관련법률들이짜깁기되어모자이크법의형태로적용된다는것임.
6 조사보고서 2014-8 또한규제의취지가상이한다수의법률들이보험개인정보에중첩적으로적 용된결과개인정보처리방침의게시, 개인정보보호책임자의선임등여러부 문에서중복되는규제가반복적으로적용되는현상이나타남. 나. 정보주체의보호미약 ( 개인정보의부당한수집 ) 보험회사의개인정보취득경로를살펴보면, 정상 적인보험거래과정이외에마케팅, 업무제휴또는대리점등록과정에서다 소불건전한우려가있는방법으로개인정보를수집하고있는실정임. ( 사전동의제도의남용가능성 ) 현재우리나라의개인정보법제는사전동의제도를가장중요하고핵심적인자기정보통제권의보장방법으로제시함. 그러나실무상포괄적동의등에의해얻어진사전동의는 정보활용의면죄부 처럼활용됨으로써소비자보호를심각하게훼손시키고있음. ( 자기정보통제권보장미흡 ) 우리나라의경우법제상으로는자기정보통제권 이충실히반영되어있으나, 수집동의권을제외하고는정보주체가실제로자 신의권리를주장할수있는여건이조성되어있지못한실정임. ( 수집동의절차의복잡성 ) 최근의금융소비자보호추세에맞춰개인정보보호프로세스를강화하고있지만, 이로인하여동의항목의과다및동의절차의복잡화등에따른설명미흡과생략으로오히려고객의권익보호기회가상실되는결과를초래하고있는것으로평가됨.
요약 7 다. 보험산업의특성미반영 ( 엄격한동의주의적용곤란 ) 보험거래의경우는정보주체가계약당사자가아닌경우가다수존재하므로현실적으로동의수령이용이하지않음. 따라서사전동의를엄격히요구할경우보험회사간정보공유가불가피한보험의특성에도불구하고보험정보의수집및제공이극히제한되어보험산업전반의위축을초래할가능성존재함. ( 언더라이팅에의활용제한 ) 보험회사는적절한언더라이팅업무를수행하기위해서는보험계약자등의소득정보, 건강정보, 신용정보등이필요함. 특히, 보험사기의가능성을차단하기위해서는보험사기적발자명단, 보험청약거절자명단, 보험인수유의자명단의공유가필요하나, 우리나라의일반정서상현재수용이곤란할것으로사료됨. Ⅳ. 제외국의입법례및활용실태 1. 각국의보험개인정보관련법률 미국에있어보험개인정보의수집및제공에직접적으로연관된법률은 GLB 법, FCRA, HIPPA, NAIC 모델법, NCOLI 모델법등임. GLB법은금융기관간정보공유에대한합리적제한의필요성에따라금융거래시발생하는개인정보에대한최소한의보호기준을제시함. NAIC표준모델법은정보보호를위해비공개개인정보를개인금융정보와개인건강정보로구분하여, 개인금융정보는 opt-out제도로운영하고개인건강정보는 opt-in제도로운영함.
8 조사보고서 2014-8 NCOIL 모델법은 NAIC 에비하여보험회사의부담을경감하고 GLB 법제 5 장의프라이버시보호관련조항의주별채택을목적으로공표됨. 영국의데이터보호법은제3자정보제공에대하여정보주체에게 opt-in 권리를부여하고있으며, 보험정보도동법률의적용대상임. 이외에금융및보험개인정보와관련한개별법률로는소비자신용법, 의료기록접근법등이있으며, 이들역시 opt-in 제도를채택하고있음. 프랑스는정보처리법이모든개인정보의수집과활용에적용됨. 보험업의경우정보처리법제 17 조에근거한 간략화규범 의제 16 호에서 개인데이터의자동처리에관하여언급됨. 일본의보험개인정보는금융분야의일부로다루어지고있으며, 개인정보보 호에관한법률 에의거하여제정된개인정보보호지침에따라관리됨. 2. 보험개인정보의활용현황 가. 미국 의료정보국 (MIB) 은 1902년생명보험회사들이공동으로출자하여피보험자의의료정보교환을목적으로설립된비영리의료정보교환시스템임. 계약자의도덕적위험방지, 보험사기방지및정확한언더라이팅을위한보험기록과병력기록을조회해볼수있음. ISO(Insurance Service Office) 는보험회사등에데이터제공 분석및이에 기초한의사결정을지원하는기업인동시에권고요율단체임.
요약 9 ISO의클레임서치는보험사기인지 방지및리스크평가를위한정보데이터베이스이며, 이는보험회사는물론경찰에서도조회가가능함. ISO는자동차및재산손해와관련하여 A-PLUS라는최대데이터베이스를구축하고, 이를통하여언더라이터들에게정보를제공하고있음. 나. 영국 보험사기방지국 (IFB) 은 1995년영국보험자협회 (ABI) 의산하기구로설립되었으며, 범죄및사기방지조치에대한조정기구임. IFB는보험사기전과자등의인물정보 (black list) 를등록하여조회할수있도록하는보험사기자등록시스템을운영하고있음. 보험데이터서비스 (IDSL) 는최근 5개년클레임자료를보유하고있는보험금청구 인수정보교환시스템 (CUE) 과모든자동차클레임을등록하여기존자료들과비교함으로써사기성청구를가려내고있는자동차보험사기대책및도난등록시스템 (MIFTR) 을운영 관리하고있음. 자동차보험자기구 (MIB) 는무보험차방지를위해자동차보험의가입정보를 제공하는활동과함께자동차보험데이터베이스 (MID) 를운영하고있음. 경찰은물론운전자, 차량면허국등도 MID 데이터베이스를사용함. 다. 프랑스 보험사기방지국 (ALFA) 은보험회사에의보험사기관련정보제공, 수사당국과의네트워크구축수행등을목적으로하여운영되고있음. ALFA에서는보험사기의의문이있고사기를의도하였거나사기로보고된사실이있는보험금청구자에대한데이터베이스를구축하고있음.
10 조사보고서 2014-8 보험도난품수색 식별경제이익단체 (ARGOS) 는도난차 도난품의수색, 회 수및동일성확인업무를위하여설립된단체로보험회사및경찰에게도난 차량 도난품의데이터베이스, 도난차량수색및방범정보를제공함. 라. 일본 일본에서보험과관련한개인정보를처리하는기관으로는손해보험요율산출기구, 손해보험협회및생명보험협회가있음. 손해보험요율산출기구는 자동차손해배상보장법 과관련하여손해액산정, 요율산출, 보장사업조사등을위한정보를집중하고있음. 손해보험협회는보험계약체결및보험금지급에필요한보험계약내용, 사고상황, 보험금청구내용관련정보등을집중하고있음. 생명보험협회는생명보험공동센터 (Life Insurance Network Center) 를통해생명보험정보의등록및조회제도를운영하고있음. Ⅴ. 보험개인정보법제개선방안 1. 보험개인정보적용법률불명확및중첩적용의해소 가. 보험개인정보의해석원칙및처리기준마련 정책당국은보험회사가개인정보를취급함에있어적용법규의혼란으로인해불법을초래하지않도록유도하는차원에서다수법률간의상호중복 충돌 누락요소를분석하여합리적인해석및적용기준을제시할필요가있음. 보험분야가이드라인 은보험업감독규정등에법적근거를두어강제력을부여할뿐만아니라준수에따른책임성을명확히할필요가있음.
요약 11 보충성의원칙을적용함에있어서도특별법의특성을반영하여야할것임. 선순위법률규정의취지가후순위법률상의요건이나절차를요하지아니하거나특별법의특성을반영할필요가있다고인정되는경우에는후순위법률을보충적으로적용하지아니할수있어야할것임. 나. 개인정보법률간체계재정비 우리나라개인정보법률간의정합성부족문제의해결방법은기본적으로개인정보보호법과신용정보법및정보통신망법간의중첩규정들을일반법-특별법의법률관계의법리에따라정비하는것이라고할수있음. 더불어인터넷이기본인프라로정착된현실을고려할때, 정보통신서비스를이용하는경우는이제정보통신망법을통해특수하게규율할것이아니라개인정보보호법이나신용정보법을통해규율하는것이필요함. 다. 보험개인정보의적용법률일원화 국회에서논의되고있는개인정보법률의통합작업이성사될경우, 동통합법률내에보험산업의특성을반영한특별규정을포함시킬필요가있음. 다만, 통합작업이이루어지지못할경우에는보험개인정보에관해우선하여적용되는보험분야의기본법을만들필요가있음. - 구체적으로는, 1 금융회사에공통적으로적용되는개인정보기본법을제정하는방법이나, 2 보험산업의근거법률인보험업법을보험개인정보를규율하는기본법으로재정립하는방법이있음.
12 조사보고서 2014-8 2. 보험개인정보의실질적보호기능강화 가. 자기정보통제권보장강화 자기정보통제권과관련한우리나라의현실은정보주체가자기정보통제권을행사할수있는실질적인기회를전혀보장받지못하고있다는것임. 따라서개인정보처리자가개인정보를제공 조회할때마다정보주체에게그내용을통지하도록하는통지제도의도입을의무화할필요가있음. 또한보험회사등으로하여금보험조회망의이용현황을정기적으로공시하도록하고, 보험소비자가자기정보의이용 제공현황을언제든지파악할수있도록하는개별확인제도의도입도필요함. 한편, 최근정부는카드유출사태이후각업권별로두낫콜시스템을확대도입할것을요구하고있는바, 이에대한대비도필요함. 나. 보험회사등의개인정보보호의무강화 업무제휴를통한개인정보수집시보험회사의책임강화 보험회사가업무제휴를통해개인정보를제공받는경우보험회사에관리 감독의무를부과하고, 개인정보를제공받은사실을통보하도록하는제도를도입하는등적극적으로개인정보를보호할필요가있음. 다른사업을영위하는모집종사자의보험마케팅시개인정보이용제한 대량의고객을보유한회사가보험대리점으로등록할경우타사업을통해취득한개인정보를보험마케팅에이용하는행위를원칙적으로제한할필요가있음. 보험모집인의비밀준수의무및개인정보누설금지의무신설
요약 13 보험모집종사자들이업무상알게된비밀의준수의무나개인정보의누설 금지의무를보험업법상에신설하여보험고객정보보호의식을제고함. 다. 사전동의수집제도의합리화 보험개인정보를정보주체로부터수집하는경우, 신용정보법에따라동의절차를생략할수있다는의견 ( 제1안 ) 과개인정보보호법이보충적용되어동의를수령해야한다는의견 ( 제2안 ) 이모두가능한바, 본고에서는제2안에서처럼수집시원칙적으로정보주체의동의를받도록하되, 제1안처럼신용정보법의취지를반영하여보호에문제가없는범위에서는동의없이도수집할수있도록하자는의견 ( 제3안 ) 을제시함. 3. 보험개인정보의활용성제고 가. 공동이용근거및개인정보보호규제차등화방안마련 보험산업의경우에는보험회사상호간에보험개인정보의공동이용이필수적이라고판단되므로, 이를위한법적근거를명확히할필요가있음. 여기서보험개인정보의공동이용을위해서필요한법적근거는 동의예외조항 과관련된것이라고할수있음. 동의예외조항은인적예외조항과목적별예외조항으로구분될수있음. 먼저, 보험산업에있어서는인적예외조항이필요한바, 보험계약은사전에계약상의이해관계자가확정되지못하는경우가많고, 실제적으로정보주체의동의를수령하는것이곤란한경우가발생하기때문임. 보험정보의활용목적별로동의예외조항을마련할필요도존재하는바, 보험요율산출및보험통계작성, 중복보험 ( 계약및사고 ) 확인, 보험범죄의
14 조사보고서 2014-8 예방및적발을위한경우등이그것임. 지금까지논의한정보주체로부터의동의수집과정보주체로의통지사항을 정보제공목적별로요약하여다음의표와같이제시할수있음. < 요약표 3> 보험개인정보제공목적별개인정보보호규제차등화방안 공동이용제3자제공연간이용내제공목적동의통지동의통지역통보보험범죄방지 할인할증등보험요율산출 중복보험확인 보험인수심사 보험마케팅에의활용 나. 언더라이팅에의활용근거마련 보험회사는보험사기적발자명단, 보험청약거절자명단, 보험인수유의자명단의공유를통해서적정한언더라이팅업무를수행할필요가있음. 그러나동정보들은보험계약의체결에부정적영향을미치는정보로서, 현재우리나라의정서상활용에대한사회적수용가능성이낮을것이기때문에활용에대한명확한법적근거를마련하여야할것임. 미국 ISO, 영국범죄 사기방지국, 프랑스보험사기방지국에서는보험범죄의방지를위하여보험범죄자 ( 적발자 ) 명단을공유하고있음.
Ⅰ. 서론 1. 연구의배경및목적 인간은사회적동물로서개인이타인의정보를습득 이용하는것은공동체생활에꼭필요한요소이며, 동시에그개인의권리이기도함. 각개인이타인으로부터완전히벗어나혼자서살아간다는것은쉽지않은일이며, 대부분의사람들은사회공동체의일원으로서상호간에의존하며살아감. 이과정에서각개인들은타인의정보를습득하게되며, 또한이러한정보를이용하여일정한관계를유지해나가게되기때문임. 그러나타인의정보중에는정보주체인타인의인격적침해를야기할수있는정보도있고, 그타인이알려지는것을원하지않는정보도있을것이므로개인의이러한권리는무한정허용될수있는것은아님. 따라서사회는그타인에게자신의정보를공개할것인지의여부를결정할수있는권리를부여하고있는바, 이것을프라이버시권또는자기정보통제권 ( 개인정보자기결정권 ) 이라고함. 20세기후반들어컴퓨터나통신기기등정보처리기술의비약적인발전으로인하여인류사회는산업사회 (Industrial Society) 에서정보사회 (Information Society) 로변모하고있으나, 이러한정보사회의도래는개인정보에대한대량적처리를가능하게한반면, 개인의통제권은상대적으로보호되지못함으로써많은문제점들을야기시키고있음.
16 조사보고서 2014-8 이에 1973년스웨덴을필두로대부분의국가가개인정보법률들을제정하기에이르렀음. 우리나라의경우에도 1994년 공공기관의개인정보보호에관한법률 을시작으로 신용정보의이용및보호에관한법률, 정보통신망이용촉진및정보보호등에관한법률 등다수의분야별개인정보법이제정되어시행되었음. 이러한개인정보법률들은정보사회에있어개인정보의활용과보호의균형을유지토록함으로써궁극적으로는사회적이익의증대를목적으로할필요가있으나, 우리나라의개인정보법률들은정보의종류를불문하고개인정보보호에만치중한나머지정보의활용을지나치게억제하는측면도존재함을부정할수없음. 특히, 2014년 1월 8일검찰의발표이후한동안우리나라를들썩이게한카드 3사의개인정보대량유출사태는기존의개인정보보호수준을한단계높여놓는강력한전환점이될것으로판단됨. - 2000년대들어몇차례개인정보유출사고를경험하였으나, 이번카드사사태이후범정부차원에서발표한종합대책은기존의대책과는차원과강도를달리하고있는것으로평가되기때문임. 이에개인적으로는최근의카드 3사개인정보유출에따라개인정보보호수준이한단계높아진 2014년을 개인정보보호 3.0시대 라고평가할수도있을것이라고판단됨. - 우리나라에개인정보관련법이처음으로도입된 1995년을 개인정보보호 1.0시대, 개인정보보호에관한일반법인 개인정보보호법 이제정된 2011년을 개인정보보호 2.0시대 라고할수있을것임. 그러나개인정보보호 3.0 시대가단순히보호만을강조해서는안되며, 보호와 더불어활용에대해서도깊은고민을해야할때인것으로사료됨.
서론 17 개인정보도사회적자산의하나로서활용가치가존재하기때문임. 보험산업에있어서도보험개인정보는관련법제의불명확성으로활용과보호의어느쪽도만족시키지못하고있는실정임. 보험산업의경우에는보험의단체성, 대수의법칙, 정보의비대칭성등으로인하여보험정보의활용가능성이다른산업보다크나, 동의주의의엄격한적용으로인하여제도적으로많은제약이존재함. - 보험거래의경우는거래당사자와정보주체가일치하지않는경우가많은이유로모든정보주체로부터의동의수령이곤란하고, 개별할인 할증제도의운영이나보험사기방지, 중복보험확인등건전한보험제도의운영을위해서는정보의공동이용제도가전제되어야한다는특성을가짐. 따라서프라이버시권의보호라는대명제하에보험정보의이용이필요이상으로제한되거나금지된다면, 건전한보험제도의운영에상당한어려움을야기시킬것이고종국적으로는사회적손실로귀결될수도있을것임. - 그러나다른한편으로는보험정보가마케팅에지나치게노출되어있어보험소비자의불만이증가하고있는것또한현실임. 더불어최근국회에서도심도깊게논의되고있는바와같이, 실무상에있어서는개인정보법률의다기화로인한문제도심각한것으로판단됨. 따라서보험산업의발전과보험소비자의보호를동시에도모한다는관점에서보험정보의건전한활용과프라이버시권이적절하게조화를이룰수있도록그접점을찾아내는것이중요한시점이라하겠음. 이에본보고서에서는보험분야에적용되는개인정보보호법률들의비교 분석을통해개인정보법제의다기화및중첩적용에대한문제점및해소방안을살펴보고, 이와더불어실질적인보험정보주체의보호강화방안및보험산업의특성반영방안을같이검토해보고자함.
18 조사보고서 2014-8 2. 연구의범위및구성 본연구의주제는 보험개인정보보호법제개선방안 으로서 보험분야의개인정보보호및활용방안 을 개인정보법제의비교 분석 을중심으로살펴보고자함. 여기서일반적으로 개인정보보호 라함은개인정보보호정책의수립 ( 기본계획, 지침, 국제협력등 ), 개인정보의처리 ( 수집, 이용, 제공, 위탁, 파기등 ), 개인정보의관리 ( 안전조치의무, 처리방침, 책임자지정, 영향평가, 유출통지등 ), 정보주체의권리보장 ( 열람, 정정, 삭제, 손해배상책임등 ), 분쟁의처리등으로그범위가매우폭넓음. 본연구의목표는개인정보의보호와활용의접점을모색하는데에있으므로이와관련된분야인 개인정보의처리 와 정보주체의권리보장 을중심으로논의해보고자함. - 또한 개인정보보호법 상개인정보의처리란 개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 를말하므로 ( 제 2조제2호 ), 본연구에서는그범위를개인정보의처리중에서도 수집, 이용, 제공, 위탁, 파기 로제한하여논하고자함. 본연구는보험분야의개인정보보호및활용방안을제시함에있어논리적일관성을갖출수있도록다음과같이논의를전개하고자함. 먼저, 서론에이어제2장 ( 보험개인정보의개념및분류 ) 에서는일반적인개인정보의개념적특성과그종류의분석을통해, 보험개인정보의개념과보완점을도출해보고, 현재보험회사에서수집 관리하고있는개인정보의현황을살펴봄. 제3장 ( 보험개인정보적용법률의비교 분석및문제점 ) 은크게 3개의절로구성함.
서론 19 - 제1절 ( 보험개인정보의적용법률 ) 에서는우리나라개인정보법제의현황및체계와각보험개인정보법률의연혁및특징을살펴본후, - 제2절 ( 보험개인정보적용법률의비교 검토 ) 에서는보험개인정보관계법령간의비교 검토를통해서현체제하에서의법적용원칙, 법적용에따른애로사항및개선과제를살펴봄. - 그리고제3절 ( 보험개인정보보호법제및운영상문제점 ) 에서는보험개인정보법제에서가장문제가되는적용법률다기화에따른법률불명확과중첩적용문제, 보험산업의특성미반영문제를제기함. 제4장 ( 제외국의입법례및운영실태 ) 에서는미국 영국 프랑스 일본을중심으로각국의개인정보보호법률체계와보험개인정보의활용현황을살펴봄. 마지막으로, 제5장 ( 보험개인정보법제개선방안 ) 에서는제3장에서제기한문제점들의개선방안을제시함. -제1절에서는보험개인정보적용법률의불명확및중첩적용의해소방안을 1단계 ( 보험개인정보의해석원칙및처리기준마련 ), 2단계 ( 개인정보법률간체계재정비 ) 및 3단계 ( 적용법률일원화 ) 로구분하여단계별로제시함. -제2절에서는보험개인정보의실질적보호기능강화방안으로자기정보통제권보장강화, 보험회사등의개인정보보호의무강화및사전동의수집제도의합리화를제시함. -제3절에서는보험개인정보의활용성제고방안으로보험개인정보의공동이용근거및언더라이팅에의활용근거마련을제시함.
Ⅱ. 보험개인정보의개념및분류 1. 개인정보의개념 인간은사회적동물이므로사람들이타인에관한정보를수집 이용하는것을당연한것으로받아들여왔음. 국가나조직은그구성원들을관리하고유지시키기위해서관련정보를확보할필요가있으며, 개인적거래에있어서도각개인은타인에대한정보를기반으로거래관계를형성 유지하고있기때문임. 이러한타인에관한정보에대해서 19세기후반부터프라이버시권보호라는법익개념하에법적간섭이시작되었고, 20세기후반에는대부분의국가가개인정보법을제정함으로써본격적으로타인에대한정보인개인정보를보호하고그처리를규제하게되었음. 최근에는컴퓨터및디지털기술의급속한발달과인터넷, SNS 등의혁명적확산으로개인정보보호가인류의주요한관심사의하나로대두됨에따라개인정보법제도규제를강화해가고있는실정임. 여기서개인정보법제의보호대상으로서의개인정보의개념을명확히할필요가있는것임. 개인정보에포함되느냐의여부에따라해당정보의수집, 이용및제공에대해개인정보법제의규제를받느냐의여부가결정되기때문임. 이하에서는우리나라를비롯하여해외선진제국에서의개인정보정의를
보험개인정보의개념및분류 21 요약하고그특징을간략하게살펴보고자함. 먼저, 사전적 ( 辭典的 ) 측면에서볼때개인정보란 개인 과 정보 라는명사가결합된복합명사로서이두명사에대한개념분석을통해그단어가의미하고자하는뜻을찾아낼수있을것임. 먼저, 정보 ( 情報 ) 는유럽과미국에서 information, data, record 등으로표현되는것으로자료, 데이터또는기록등을대표하는일반적인용어로해석하여도무리가없을것으로판단됨. 1) 한편, 개인 ( 個人 ) 은 국가나사회, 단체등을구성하는낱낱의사람 2) 을의미하는명사이지만 정보 라는명사앞에서이를구체화하는형용사와같은역할을하고있으므로, 개인에관한 이나 사적 ( 私的 ) 인 이라는의미로해석될수있음. 3) - 여기서공적인정보와대립되는개념인 사적인 이라는의미와 개인에관한 이라는의미로구분하여설명하는경우도있으나 4), 사적 ( 私的 ) 이라는사전적의미도 개인에관계된또는그런것 으로서의뜻을가지므로양자를굳이구분할필요는없을것으로판단됨. - 더불어 개인 은 낱낱의사람 으로서그개념상법인과단체등을제외한자연인 ( 自然人 ) 만을의미하는것으로해석됨. 5) 1) 우리나라의각종법률에서도 정보 를이와유사한개념으로규정하고있음. - 공공기관의정보공개에관한법률 제2조제1호 : 정보 란공공기관이직무상작성또는취득하여관리하고있는문서 ( 전자문서를포함한다. 이하같다 ) 도면 사진 필름 테이프 슬라이드및그밖에이에준하는매체등에기록된사항을말한다. - 국가정보화기본법 제3조제1호 : 정보 란특정목적을위하여광 ( 光 ) 또는전자적방식으로처리되어부호, 문자, 음성, 음향및영상등으로표현된모든종류의자료또는지식을말한다. 2) 국립국어원표준국어대사전 (http://stdweb2.korean.go.kr/main.jsp) 3) 유럽과미국에서도개인정보라는용어에는개인적인, 일신상의, 사사로운등을의미하는 personal, individual 또는 private라는단어를사용하고있음. 4) 권건보 (2005), pp.9~12. 5) 우리나라의각종법률에서도 법인또는개인 ( 개인정보보호법 제75조, 보험업법 제2조 제208조등 ) 이나 단체또는개인 ( 가사소송법제8조등 ) 이라는용어를사용하
22 조사보고서 2014-8 결론적으로 개인정보 란사전적측면에서는 낱낱의사람으로서의개인 에관한자료 ( 데이터, 기록 ) 라고폭넓게해석할수있음. 그러나이러한개인정보의개념은법적보호대상이라는측면에서볼때너무광범위하므로그규제대상을보다구체화 명확화할필요가있음. 물론같은개인정보라할지라도그사용목적이나사용주체또는처리방법이상이할경우보호의범위도상이해질수있고보호의필요성에도주관적인관점이작용하므로법적보호의대상으로서의개인정보를가능한한넓게설정해놓을필요도있음. 그러나 개인에관한정보 라해서모든개인정보가다법적보호의필요성을갖는다고는할수없을것이며, 이러한측면에서각국의개인정보법률들은개인정보의개념을보다구체적으로정의하고있음. 먼저, 미국, 영국, 일본등선진제국의개인정보관련법률상개인정보의개념을살펴보면, 일반적으로개인정보는 생존하는자연인인개인에관한정보로서, 그개인을특정할수있는모든정보 라는큰틀의범주내에서정의되고있음을알수있음. 경제협력개발기구 (OECD) 의 1980년 프라이버시보호및개인정보의국가간유통에대한가이드라인에관한이사회권고 6) 에서는 식별된또는식별될수있는개인 ( 데이터주체 ) 에관한모든정보 라고정의함. 유럽연합 (EU) 의 1995년 개인정보처리에있어서개인정보의보호및동정보의자유로운이동에관한유럽의회및이사회의지침 7) 제2조는개인 고있어, 법상으로도 개인 이란용어에는법인과단체등이포함되지않는것으로해석됨. 6) Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Annex to the Recommendation of the Council of 23rd September 1980, OECD, pt.1.cl.(1)(b). 7) EU Directive 95/46/EC on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data, OJ 1995 L281/31.
보험개인정보의개념및분류 23 정보를 신체 정신 심리 경제 문화 사회적특성등의요소에의하여직접또는간접적으로식별되거나식별될수있는자연인에관한모든정보 라고정의함. 미국의연방프라이버시법 (Privacy Act 1974) 은정보라는용어대신기록 (record) 이라는용어를사용하여 행정기관이보유하는개인 8) 에관한정보나이를수집또는집합한것으로서교육정보, 재무거래, 병력및전과또는취업경력등뿐만아니라개인의성명또는신분번호, 기호나지문, 성문 ( 聲紋 ) 또는사진등개인에게배정된신분의식별을위한특기사항을포함하는것 으로정의함 - 아동온라인프라이버시보호법 (Children's Online Privacy Protection Act 1998) 은개인정보 (personal information) 를 개별적으로식별가능한개인에관한정보 로정의하면서여기에는성명, 주소, 이메일주소, 전화번호, 사회보장번호등이포함된다고규정함. 영국의데이터보호법 (Data Protection Act 1998) 은개인데이터 (personal data) 를 당해데이터및데이터관리자가보유하고있거나보유할가능성이있는데이터나기타의정보로부터신원을확인할수있는생존하는개인에관한데이터 로정의하고, 여기에는개인에대하여표현된의견이나데이터관리자의모든지시사항, 그사람과관계있는모든타인에관한의견도포함되는것으로규정함. 일본의 개인정보보호에관한법률 은개인정보를 생존하는개인에관한정보로해당정보에포함된이름, 생년월일, 기타기술등에의해특정개인을식별할수있는것 ( 다른정보와쉽게조회비교할수있으며특정개인을식별할수있는것을포함 ) 으로정의함. 8) 동법은개인 (individual) 을 미합중국시민또는적법하게영주를허가받은외국인을말한다. 고규정하고있음.
24 조사보고서 2014-8 우리나라는 개인정보보호법 ( 이하 개인정보보호법 이라함 ), 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라함 ), 전자서명법 등에서개인정보를거의유사하게정의하고있으며 (< 표 Ⅱ-1> 참조 ), 가장최근에제정된개인정보관련기본법인개인정보보호법상의정의를일반적으로개인정보로받아들이고있음. 이에따르면개인정보는 살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 로정의됨. 다시말해서개인정보는생존하는자연인의내면적사실, 신체나재산상의특질, 사회적지위나속성에관하여식별되거나또는식별할수있는정보의총체를일컫는것으로이해할수있는것임. 9) < 표 Ⅱ-1> 우리나라개인정보법제상개인정보의정의 근거 개인정보보호법 ( 제 2 조제 1 호 ) 정보통신망법 ( 제 2 조제 6 호 ) 전자서명법 ( 제 2 조제 13 호 ) 헌법재판소판결 ( 헌재 2005.5.26. 99 헌마 513 등 ) 정의 개인정보 란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다 개인정보 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다 개인정보 라함은생존하고있는개인에관한정보로서성명 주민등록번호등에의하여당해개인을알아볼수있는부호 문자 음성 음향 영상및생체특성등에관한정보 ( 당해정보만으로는특정개인을알아볼수없는경우에도다른정보와용이하게결합하여알아볼수있는것을포함한다 ) 를말한다 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있다 9) 총무처 (1994), p.31.
보험개인정보의개념및분류 25 이러한개인정보의정의를다시분해하면, 개인정보보호법상개인정보는다음과같은세가지의개념적요소를가진다고할수있으며, 이의분석을통하여개인정보의개념을보다구체적으로파악할수있을것임. 첫째, 개인정보는 개인에관한 정보임. 둘째, 개인정보는 살아있는 개인에관한정보임. 셋째, 개인정보는개인을 알아볼수있는 정보임. 가. 개인에관한 정보 개인정보는, 전술한바와같이, 국가나사회, 단체등을구성하는낱낱의사람으로서의 개인 에관한정보임. 이러한측면에서개인정보의주체는자연인만해당되며, 법인및단체에관한정보는개인정보의범위에서제외된다고보는것이일반적임. - 법인또는단체에관한정보는그정보가비밀에해당되는경우, 부정경쟁방지및영업비밀보호에관한법률 또는 산업기술의유출방지및보호에관한법률 등에의하여보호받을수있을것임. 그러나법인또는단체의정보라하더라도그구성원개개인의인적사항과관계된정보라면당연히그한도내에서개인정보가될수있음. 개인정보는개인에 관한 정보이어야하며, 이러한측면에서개인정보는 관련성 과 임의성 이라는특성을가지는것으로해석되어짐. 10) 먼저, 개인정보는특정개인에대한사실, 판단, 평가등그개인과관련성을지닌정보여야함. - 특정개인과 관련성 을지니는정보에는, 일반적으로특정개인의정체성을구별하거나밝혀낼수있는정보 ( 성명, 주민등록번호, 생일, 주소, 10) 행정안전부 (2011), pp.7~8 참조
26 조사보고서 2014-8 바이오정보등 ) 나특정개인의과거 현재의상황이나상태를나타낼수있는정보 ( 교육상황, 재정상황, 진료및건강상태등 ) 가이에해당할수있음. 더불어개인정보보호법상개인정보의종류, 형태, 성격, 형식등에대해서는특별한제한을두고있지않으므로, 개인에관한정보에해당하는한모든종류및모든형태의정보가개인정보가될수있는바, 이를임의성이라고함. - 예를들어, 특정개인의신장, 체중, 나이등객관적사실에관한정보에서부터, 직장에서직원에대한근무평가나금융기관에서개인의신용도평가등그사람에대한제3자의의견 평가와같은주관적정보도개인정보에해당됨. 나. 살아있는 개인에관한정보 국내 외의대부분의개인정보법률들은생존하는자연인을전제로개인정보의개념을정의하고있어, 이미사망하였거나실종선고등에의해사망한것으로간주되는자에관한정보는개인정보로보지않고있음. 다만, 사자 ( 死者 ) 의정보가생존하는유족의개인정보와연결되는경우라면유족의개인정보에포함되어보호받을수있을것으로판단됨. 외국인의경우에도개인정보가생존하는개인을전제로하고있으므로상호주의의원칙이적용되는한개인정보에포함시키는것이원칙임. 사자 ( 死者 ) 의정보가원칙적으로배제되는이유는개인정보의보호법익이라 고할수있는프라이버시권 ( 사생활의비밀과자유 ) 이 인격권 으로서권리의 주체와분리할수없는인격적이익을그내용으로하기때문임. 11) 11) 행정안전부 (2011), p.7.
보험개인정보의개념및분류 27 즉, 사망자의정보는상속이불가능하고그정보에대해권리를행사할주체가존재하지않게되므로, 보호대상이되는개인정보의주체를생존하는개인에한정하는것임. 다만, 정보통신망에의하여처리 보관되는사자 ( 死者 ) 의 비밀 에대해서는정보통신망법에의하여보호받을수있음. 12) - 이와더불어사자 ( 死者 ) 의정보가허위의사실일경우에는형법에따라 사자의명예훼손 의죄 ( 제308조 13) ) 를구성할수있음. 다. 개인을 알아볼수있는 정보 법적보호의대상이되는개인정보는개인에관한정보가운데서도그개인을알아볼수있는사항으로한정될필요가있음. 개인에관한정보라고하더라도특정개인의식별가능성이전혀없는경우까지법적보호의대상으로삼게된다면정보의자유나알권리를지나치게위축시키게될개연성이커지기때문임. 따라서개인정보에의해당여부를결정짓는가장중요한요소가특정개인을식별할수있는지의여부, 즉식별성이있는지의여부라고할수있음. 여기서 개인을알아볼수있는정보 란협의 ( 俠義 ) 로는개인에관한정보자 체만으로바로당해개인을구분하거나구별할수있는정보 ( 식별정보또는 12) 대법원은 정보통신망이용촉진및정보보호등에관한법률제49조는 누구든지정보통신망에의하여처리 보관또는전송되는타인의정보를훼손하거나타인의비밀을침해 도용또는누설하여서는아니된다. 고규정하고, 제62조제6호에서는 제49조의규정을위반하여타인의정보를훼손하거나타인의비밀을침해 도용또는누설한자 를 5년이하의징역또는 5천만원이하의벌금에처하도록하고있는바, 여기에서말하는 타인 에는생존하는개인뿐만아니라이미사망한자도포함된다. 고판시하였음 ( 대법원 2007. 6. 14. 선고 2007도2162 판결 ). 13) 제308조 ( 사자의명예훼손 ) 공연히허위의사실을적시하여사자의명예를훼손한자는 2년이하의징역이나금고또는 500만원이하의벌금에처한다.
28 조사보고서 2014-8 직접식별정보 ) 를의미한다고할수있음. 예를들어, 신원정보 ( 성명, 주민등록번호, 본적, 주소등 ), 학교 직장 단체등소속된곳에서특정개인을구분할수있는정보 ( 성명, 학번, 사번등 ), 기업의고객중에서특정개인을구분할수있는정보 ( 성명, ID 등고객관리정보, 결제정보, 재화 용역공급을위한주소지및연락처 ) 등이이에해당함. 14) 이에더하여, 개인에관한정보자체만으로는특정개인을식별하기곤란하지만, 다른정보와결합할경우특정개인을식별할수있는정보 ( 식별가능정보또는간접식별정보 ) 도개인정보로분류됨. 개인정보보호법도개인정보의개념에 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것 을포함시키고있음. - 예컨대, 성명이나주민등록번호가기록되지않은파일이라도생년월일이기록되어있어생년월일순으로검색한후그결과를주민등록번호와성명이기록되어있는파일과대조하여쉽게정보주체를식별할수있는경우는식별가능성이있는것으로판단함. 15) EU 개인정보보호지침제26조는어떤사람이식별가능한상태인지여부를판단하기위해서는개인정보처리자또는임의의다른사람이그사람을식별하기위하여 합리적으로 사용할가능성이있는모든수단을고려해야할것을요구하고있음. 한편, 식별정보나식별가능정보에포함되지않는정보는 비식별정보 로서 개인의프라이버시를침해할가능성이없어보호대상에서제외하고있음. 그러나이러한비식별정보또한최근의사회 환경변화와정보통신기술 14) 행정안전부 (2011), p.8. 15) 황인호 (2001), p.73.
보험개인정보의개념및분류 29 등의발달로인하여식별가능정보로의편입가능성이높아지고있다는 점 16) 에서논란의대상이되고있으며, 이에따라개인정보에준하는보호 의무를수행할필요성이점증하고있음. 2. 개인정보의분류 개인정보는다양한분류기준에따라여러유형으로구분되기도하지만, 일반적으로는그관리주체, 개인정보의성격및내용에따라분류되고있음. 17) 개인정보를분류하는이유는개인정보를유형별로구체화함으로써어떤정보가 개인정보 의범주에포함되는지의여부를파악할수있도록할뿐만아니라, 개인정보의유형별로법을구분하여적용함으로써차별적규율이가능하도록하기위함이라고할수있음. 개인정보는그관리주체에따라공공부문의개인정보와민간부문의개인정보로구분될수있음. 공공부문의개인정보는수집단계에서부터각종행정법규의정확한법적근거에의하여야하는정보인데비하여, 민간부문의개인정보는원칙적으로당사자간의계약에의하여수집 관리되는정보임. 16) 전통적으로식별성이없는것으로이해되는정보들이정보통신기술의발전으로인하여개인을식별하는용도로용이하게사용될수있음을보여주는사례들이나타나고있음. 예를들어, 미국의유명인터넷서비스회사인 AOL은 2006. 8. 3. 온라인행동과관련된연구에사용할수있도록 65만명의 AOL 검색엔진이용자들의 2천만건의검색기록을온라인상에공개했음. AOL은그와같은검색기록을공개하기에앞서사용자를식별할수있는정보를삭제했으나, 연구에사용되는것을돕기위하여각이용자에게별도의일련번호를붙여공개하였음. 하지만, 4417749라는번호가붙여진이용자가 Georgia 주 Lilburn에거주하는 62세의미망인인 Thelma Arnold 라는사실이밝혀졌음 ( A Face Is Exposed for AOL Searcher No. 4417749, 2006. 8. 9; 장주봉 (2012), pp.51~52. 에서재인용 ). 17) 권건보 (2001, pp.19~20), 김성태 (2007, pp.23~40), 김연수 (2001, pp.34~35), 황인호 (2001, pp.77~81) 참조
30 조사보고서 2014-8 공공행정은공공복리의증진을위하여공익적관점에서법적근거를요하 는반면, 민간을규율하는법원리는사적자치의원칙에따름. 개인정보는그성격에따른분류로서, 그식별성을기준으로직접식별개인정보와간접식별개인정보, 그보호정도를기준으로절대적개인정보와상대적개인정보등으로구분될수있음. 직접식별개인정보는그정보자체에의해특정인의신원을식별할수있는정보 ( 식별정보 ) 이며, 간접식별개인정보는그정보만으로는특정인의신원을식별할수없지만다른정보와결합함으로써특정인을식별할수있는정보 ( 식별가능정보 ) 를말함. 절대적개인정보는그공개를절대적으로제한하여가장강력한보호가요구되는것으로서 DNA정보, 건강정보등과같은민감정보 (sensitive information) 를말하며, 상대적개인정보는법령이나계약또는행정기관의직권에의해공개나사용이가능한정보를말함. 개인정보의내용적분류는시대와장소에따라가변적인것이라고할수있으며, 현재우리나라의개인정보보호위원회는개인정보를그내용에따라 < 표 Ⅱ-2> 와같이분류하고있음. 동분류는 Weible(1993) 의분류 18) 에기초하되, 최근에등장하기시작한몇가지개인정보유형 ( 통신정보, 위치정보, 신체정보 ) 을추가한형태라고할수있음. 18) Weible, R.J.(1993), pp.166~168.
보험개인정보의개념및분류 31 < 표 Ⅱ-2> 개인정보보호위원회의개인정보분류표 유형구분 일반정보 가족정보 교육및훈련정보 병역정보 부동산정보 소득정보 기타수익정보 신용정보 고용정보 법적정보 의료정보 조직정보 통신정보 위치정보 신체정보 습관및취미정보 개인정보항목 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 가족구성원이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 학교출석사항, 최종학력, 학교성적, 기술자격증및전문면허증, 이수한훈련프로그램, 동아리활동, 상벌사항 군번및계급, 제대유형, 주특기, 근무부대 소유주택, 토지, 자동차, 기타소유차량, 상점및건물등 현재봉급액, 봉급경력, 보너스및수수료, 기타소득의원천, 이자소득, 사업소득 보험 ( 건강, 생명등 ) 가입현황, 회사의판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 대부잔액및지불상황, 저당, 신용카드, 지불연기및미납의수, 임금압류통보에대한기록 현재의고용주, 회사주소, 상급자의이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격테스트결과, 직무태도 전과기록, 자동차교통위반기록, 파산및담보기록, 구속기록, 이혼기록, 납세기록 가족병력기록, 과거의의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트등각종신체테스트정보 노조가입, 종교단체가입, 정당가입, 클럽회원 전자우편 (e-mail), 전화통화내용, 로그파일 (log file), 쿠키 (cookies) GPS 나휴대폰에의한개인의위치정보 지문, 홍채, DNA, 신장, 가슴둘레등 흡연, 음주량, 선호하는스포츠및오락, 여가활동, 비디오대여기록, 도박성향 자료 : 개인정보보호위원회인터넷홈페이지 (http://www.pipc.go.kr/)
32 조사보고서 2014-8 3. 보험개인정보의개념과분류 가. 보험개인정보의개념 보험개인정보 란넓게는앞에서검토한개인정보의범주에포함되는것으로서, 문구상으로는 보험정보중개인정보 또는 개인을식별할수있는보험정보 를의미하는것으로해석됨. 보험정보의주체는단체 ( 법인등을포함 ) 와개인으로구분되므로단체가정보주체가아닌대부분의보험정보는곧보험개인정보에해당됨. - 보험정보는계약자가개인인 개인계약보험정보 와계약자가단체인 단체계약보험정보 로구분가능하며, 여기서개인계약보험정보는당연히개인정보에해당됨. -한편, 단체계약보험정보중에서도피보험자나보험수익자또는피해자가개인인경우가존재하는바, 이경우에는단체계약보험정보임과동시에개인정보가되므로개인정보로서보호할필요가있음. 따라서보험개인정보와보험정보의개념은거의유사한것으로이해될수있으며, 이러한측면에서보험정보의개념이중요해짐. 보험업법상보험의정의에서유추적용해볼때, 보험정보란 사람의생사에관하여약정한급여의제공을약속하거나우연한사고로인하여발생하는손해의보상을약속한거래에관한정보 를의미함. 이는간략하게보험거래정보로정의될수있으며, 보험거래정보는다시보험계약정보와보험사고정보 ( 보험금지급정보포함 ) 로대별할수있음. - 보험계약정보는위험단체에의가입내역으로서보험의목적, 보험기간, 보험조건, 보험계약자, 피보험자등에관한정보를의미함. - 보험사고정보는담보위험의발생과그에따른보험금지급내역으로서사고일시, 사고원인, 사고금액, 피해자, 보험금지급내역, 보험수익자
보험개인정보의개념및분류 33 등에관한정보를말함. 상기의보험거래정보는순수한보험정보로서협의 ( 狹義 ) 의보험정보라고 할수있음. 그러나실제로보험회사가보험거래와그부수업무를수행하는과정에서는이보다많은종류의개인정보를처리하고있음. 보험고객정보 ( 가망자정보, 기존구매자정보, 우수고객정보, 제휴업체제공고객정보등 ), 할인 할증정보 ( 교통법규위반정보등 ), 신용정보 ( 보험계약대출정보, 카드발급정보등 ), 보험계약과관련된인터넷회원정보등이그예임. 이러한정보들은보험거래와 관련된 정보로서순수한보험정보와동일한규제를받을필요가있으며, 이를위해서광의의보험개인정보의개념이필요함. 따라서광의의보험개인정보는 보험거래및그부수업무와관련하여보험회사가보유하고있는개인정보 로폭넓게해석할수있을것임. - 금융투자상품관련개인정보는보험거래와직 간접적으로관련된정보라고할지라도, 타업종의금융투자상품과일관성있는규제를유지하기위해서는보험정보로보지않는것이바람직함. - 대출정보등신용정보또한신용정보집중기관에의해일률적으로집중 관리되고있으므로보험정보에서제외할필요가있음. 나. 보험개인정보의분류및수집현황 전술한 개인정보의분류 를참고하여보험개인정보를분류한다면먼저, 보험개인정보도그관리주체에따라공공부문의개인정보와민간부문의개인정보로구분할수있음. 공공부문의개인정보는행정법규인 금융위원회의설치등에관한법률,
34 조사보고서 2014-8 특정금융거래정보의보고및이용등에관한법률 및 보험업법 상의소관업무에근거하여금융위원회 ( 금융정보분석원 ), 금융감독원및보험요율산출기관 ( 보험개발원 ) 이수집 이용하는보험개인정보가이에해당함. 민간부문의개인정보는 신용정보의이용및보호에관한법률 ( 이하 신용정보법 이라함 ), 정보통신망법등에의거하여소비자로부터직접보험개인정보를수집하는보험회사와보험회사로부터신용정보를집중하여관리 활용하는신용집중기관인보험협회가수집 이용하는보험개인정보를의미함. 보험개인정보는또한그성격에따라개인식별정보, 민감정보및일반보험개인정보로구분할수있음. 보험회사가수집하는개인식별정보로는성명, 주민등록번호, 주소, 성별, 직업, 전화번호, 휴대전화번호, 전자우편주소등을꼽을수있음. - 보험회사의경우보험거래는실명으로이루어져야하며, 보험금지급을위해서개인식별정보가필수적으로필요함. 보험회사의경우신용정보법에의거민감정보의수집이금지되며, 질병정보만을정보주체의별도의동의를얻어수집 이용할수있을뿐임. 보험개인정보의내용상의분류는수집방법상또는수집목적상의분류로이해될수있음. 보험회사가보유하고있는개인정보를분류하면 < 표 Ⅱ-3> 과같이보험거래관련정보, 금융거래관련정보, 인터넷회원관련정보, 모집종사자관련정보, 마케팅관련정보, 보안관리관련정보, 직원의인사관리관련정보등으로대별할수있음. 이중보험거래관련정보는순수한보험개인정보에해당하며, 그외에는직원의인사관리관련정보를제외하고는모두보험거래에부수된업무에해당될수있으므로, 그범위내에서는광의의보험개인정보에포함되는것으로해석됨.
보험개인정보의개념및분류 35 < 표 Ⅱ-3> 보험개인정보의내용상 ( 수집목적상 ) 분류및수집항목 내용구분보험거래관련정보금융거래관련정보기타정보 세부내역보험계약체결전사전조회보험계약정보보험금지급정보보험계약체결보험대상자의질병정보소득, 재산등의재정정보보험금지급및관리정보보험금 가불금지급보험계약및사고정보채권결손처분관리정보부가서비스관련정보인터넷회원관련정보 ( 보험거래관련 ) 마케팅정보 ( 보험거래관련 ) 전자금융거래회원가입 대출계약및대출금지급 금융투자상품거래정보 보안관리관련정보 모집종사자관련정보 인터넷회원관련정보마케팅정보보험사직원관련정보 대출계약정보신용평가정보신용능력정보채무불이행정보 개인식별정보투자상품거래관련정보투자목적판단에필요한정보 전자금융거래의내용추적및검색관련정보보안정책수립용통계정보 신용거래정보신용능력정보기타모집종사자관련정보
Ⅲ. 보험개인정보적용법률의비교 분석및문제점 1. 보험개인정보의적용법률 가. 우리나라의개인정보법제현황및체계 전술한바와같이, 20세기후반들어각국은개인정보보호에관심을가지기시작하였으며, 1973년스웨덴을필두로대부분의국가가개인정보보호관련법을제정하기에이름. 우리나라의경우에도 1994년 공공기관의개인정보보호에관한법률 을시작으로신용정보법, 정보통신망법등다수의분야별개인정보법률들을제정 시행하여왔음. 이외에도 보험업법, 금융실명거래및비밀보장에관한법률 ( 이하 금융실명법 이라함 ), 전자금융거래법, 자동차손해배상보장법, 특정금융거래정보의보고및이용등에관한법률, 위치정보의보호및이용등에관한법률, 의료법, 통신비밀보호법 등다수의법률에개인정보보호와관련된규정들이존재하고있음. 2011년이전까지는개인정보에관한일반법이제정되지않은상태에서, 부처별및분야별필요성에따라각기이에상응하는개별개인정보법률이제정되어왔다고할수있음. 이와같은분야별접근방식 (sectoral approach) 하에서는개별법이제정되어있지않은분야의경우개인정보처리행위를규제할수없는법률의사
보험개인정보적용법률의비교 분석및문제점 37 각지대가발생하는문제점이지속적으로제기되어왔음. 이에개인정보법률의기본법이라할수있는개인정보보호법이 2011년 3월 29일제정되어 2011년 9월 30일부터시행되고있음. 현재우리나라의개인정보법제의기본체계는다음의 < 그림 Ⅲ-1> 과같이나타낼수있음. < 그림 Ⅲ-1> 우리나라의개인정보법체계 규제대상 ( 분야 ) 규제법률 기본법 개인정보보호법 공공부문 공공기관 개인정보보호법 신용정보집중기관 신용정보의이용및보호에관한법률 금융기관 금융실명거래및비밀보장에관한법률 사적부문 정보통신서비스제공자정보통신망이용촉진등에관한법률통신사업자통신비밀보호법 의료기관 의료법 나. 보험개인정보관련법률개요 보험개인정보에적용될수있는주된법률로는개인정보보호법, 신용정보법, 정보통신망법, 보험업법등을꼽을수있음. 이하에서는보험개인정보에적용되는주된법률을중심으로입법목적과개인정보의수집 이용 제공을대상으로그주요내용을살펴봄.
38 조사보고서 2014-8 1) 개인정보보호법 가 ) 입법배경및구성 개인정보보호법의제정은분야별접근방식하에서는규제의사각지대가발생하는문제점이지속적으로제기됨에따라, 1990년대이후꾸준하게논의되어온개인정보보호기본법제정에대한노력의결실이라고할수있음. 이에더불어 2000년이후크고작은개인정보의유출및오 남용사건들이끊임없이발생함에따라사회전반의개인정보보호에대한요구가높아진점이반영된결과임. 개인정보보호법은개인정보보호위원회의설치, 단계별개인정보보호조치마련, 개인정보의처리제한강화, 개인정보영향평가제도 개인정보유출통지제도 집단분쟁조정제도및단체소송제도의도입등을주요내용으로하고있음. 적용범위는정보통신망법과신용정보법등다른법률에특별한규정이있는경우를제외하고는이법을적용받도록규정하고있음. 나 ) 개인정보의수집 개인정보처리자는원칙적으로정보주체의동의를얻어그수집목적의범위내에서필요한최소한의개인정보만을수집하여야함 ( 법제15조제1항, 제16 조제1항 ). 다만, 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우등법에서인정하는경우 (< 표 Ⅲ-1> 참조 ) 에는동의를생략할수있음.
보험개인정보적용법률의비교 분석및문제점 39 민감정보와고유식별정보는원칙적으로처리가금지되는개인정보이지만별도의동의를받거나법령에서처리를요구하거나허용하는경우에는처리가가능함 ( 법제23조, 제24조 ). 최근에는주민등록번호의수집에대하여동의주의를배제함으로써사실상주민등록번호를수집할수없도록법을개정 (2014.8. 시행 ) 하였음. < 표 Ⅲ-1> 개인정보보호법상동의예외사유 구분 수집 제공 동의예외사유 1 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 2 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 3 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 4 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 5 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우. 이경우개인정보처리자의정당한이익과상당한관련이있고합리적인범위를초과하지아니하는경우에한한다. 1 수집의 1 2 4 에따라개인정보를수집한목적범위에서개인정보를제공하는경우 2 다른법률에특별한규정이있는경우 3 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7 범죄의수사와공소의제기및유지를위하여필요한경우 8 법원의재판업무수행을위하여필요한경우 9 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우
40 조사보고서 2014-8 다 ) 개인정보의이용및제공 개인정보처리자는개인정보를그수집목적의범위내에서이용할수있으며, 수집 이용목적을변경하는경우에는동의를받아야함 ( 제15조제2항 ). 또한개인정보처리자는원칙적으로정보주체의동의를받지않고는개인정보를제3자에게제공할수없음 ( 법제17조 ). 여기서개인정보의제3자제공이란개인정보처리자이외의제3자에게개인정보의지배 관리권이이전되는것을말함. 19) -즉, 개인정보수기문서를전달하거나데이터베이스파일을전달하는경우뿐만아니라데이터베이스시스템에대한접속권한을허용하여열람복사를가능하게하는경우등도제3자제공에모두포함됨. 라 ) 개인정보의파기 개인정보처리자는보유기간의경과, 개인정보처리목적의달성등개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야함. 다만, 다른법령에따라보존하여야하는경우에는그러하지아니하며, 개인정보처리자가개인정보를파기할때에는복구또는재생되지아니하도록조치하여야함 ( 제21조 ). 2) 신용정보의이용및보호에관한법률 가 ) 입법목적및구성 신용정보법은그제명에서알수있듯이신용정보의효율적인활용과개인신 용정보의보호라는두가지목적을달성하기위해제정된것임. 19) 행정안전부 (2011), p.91.
보험개인정보적용법률의비교 분석및문제점 41 1995년에제정된신용정보법은기존에신용정보의보호를위하여제정되었던단편적법률들과신용정보의이용에관하여제정된금융기관협약및관련정부지침을집대성한, 국내신용정보의유통과관리에관한체계를관장하는법률임. 신용정보법의주요내용은 1 신용정보법에서사용되는용어에관한개념정의부분, 2 신용정보회사에대한규제부분, 3 신용정보의유통에관한부분, 4 신용정보의보호에관한부분으로대별됨. 신용정보법은원칙적으로신용정보제공 이용자, 신용정보회사, 신용정보집중기관사이에서각자의업무와관련하여신용정보를유통하는경우만을인정하고있음. 신용정보법은이중신용정보집중기관을중심으로한신용정보의유통을특히 신용정보의집중관리및활용 이라는개념으로정의하고있음. 나 ) 신용정보의수집및조사 신용정보법은신용정보를수집 조사할수있는자를신용정보회사, 신용정보집중기관, 신용정보제공 이용자 ( 이하 신용정보회사등 이라함 ) 으로한정하고있음 ( 법제15조 ). 신용정보회사등이신용정보를수집 조사하는경우에는수집 조사의목적을명확하게하고그목적달성에필요한범위에서합리적이고공정한수단을사용하여야함. 신용정보법은 1 국가의안보및기밀에관한정보, 2 기업의영업비밀또는독창적인연구개발정보, 3 개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보, 4 확실하지아니한개인신용정보, 5 다른법률에따라수집이금지된정보등의수집과조사를금지하고있음 ( 법제16조 ).
42 조사보고서 2014-8 다 ) 신용정보의제공및제공목적 신용정보제공 이용자는신용정보주체인개인의서면동의가없는경우에는신용정보회사등에게개인신용정보를제공하지못함 ( 법제32조 ). 개인신용정보제공시에는제공대상자, 이용목적, 제공할신용정보의내용등을명기한동의서에의하여당해개인으로부터서면에의한동의를얻어야함 ( 시행령제28조 ). 법인의신용정보에관하여는이를제공함에있어서신용정보주체인법인의동의를받을필요가없음. 개인신용정보는해당신용정보주체가신청한금융거래등상거래관계의설정및유지여부등을판단하기위한목적으로만이용하여야함 ( 법제33조 ). 동제한은정보주체가다른목적에의이용에동의한경우, 정보주체가직접제공한신용정보를제공받은목적으로이용하는경우, 신용정보회사및신용정보집중기관상호간의제공 이용의경우등법정예외사항에해당하는경우에는적용되지않음. 라 ) 신용정보의집중관리 신용정보의집중관리는일정한시설및인력요건을갖춘비영리기관으로서금융위원회에등록한신용정보집중기관에의하여이루어짐. 신용정보집중기관은집중관리 활용되는신용정보및교환대상자의범위에따라종합신용정보집중기관과개별신용정보집중기관으로구분됨 ( 법제25조 ). 신용정보법상신용정보집중기관은 1 신용정보집중기관에신용정보를제공한신용정보제공 이용자, 2 신용정보회사, 3 다른신용정보집중기관상호간에서만신용정보를교환하고활용할수있음.
보험개인정보적용법률의비교 분석및문제점 43 < 표 Ⅲ-2> 신용정보법상동의예외사유 구분 목적외이용 제공 동의예외사유 1 개인이직접제공한개인신용정보 ( 그개인과의상거래에서생긴신용정보를포함한다 ) 를제공받은목적으로이용하는경우 ( 상품과서비스를소개하거나그구매를권유할목적으로이용하는경우는제외한다 ) 2 제공시의 1 부터 9 까지에해당하는경우 1 신용정보회사가다른신용정보회사또는신용정보집중기관과서로집중관리 활용하기위하여제공하는경우 2 계약의이행에필요한경우로서제 17 조제 2 항에따라신용정보의처리를위탁하기위하여제공하는경우 3 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우 4 채권추심 ( 추심채권을추심하는경우만해당한다 ), 인가 허가의목적, 기업의신용도판단, 유가증권의양수등대통령령으로정하는목적으로사용하는자에게제공하는경우 5 법원의제출명령또는법관이발부한영장에따라제공하는경우 6 범죄때문에피해자의생명이나신체에심각한위험발생이예상되는등긴급한상황에서제 5 호에따른법관의영장을발부받을시간적여유가없는경우로서검사또는사법경찰관의요구에따라제공하는경우 7 조세에관한법률에따른질문 검사또는조사를위하여관할관서의장이서면으로요구하거나조세에관한법률에따라제출의무가있는과세자료의제공을요구함에따라제공하는경우 8 국제협약등에따라외국의금융감독기구에금융회사가가지고있는개인신용정보를제공하는경우 9 그밖에다른법률에따라제공하는경우 3) 정보통신망이용촉진및정보보호등에관한법률 가 ) 입법목적및구성 정보통신망법은기존의 전산망보급확장과이용촉진에관한법률 에개인정보보호규정을추가하는형식으로전면개정하여 2001년 1월 16일부터시행한법률임. 정보통신망법은정보통신망 20) 상에서의개인정보보호에관한법률로서,
44 조사보고서 2014-8 보호대상인개인정보의정의및보호관련규정은개인정보보호법과거의동일함. 정보통신망법도신용정보법과유사하게정보통신망의이용촉진과개인정보의보호라는두가지목적을위해제정된것이라할수있음. 정보통신망법에서의개인정보보호에관한조문은크게 1 정보통신서비스제공자에게적용되는조항인수집제한 ( 제23조 ) 과이용제한 ( 제24조 ), 2 정보통신서비스를이용하는자의권리에대한규정 ( 제30조내지 32조 ) 및 3 비밀등의보호 ( 제49조 ) 등으로나누어볼수있음. 나 ) 개인정보의수집 이용및제공 정보통신서비스제공자는이용자의개인정보를이용하려고수집하거나제 3 자에게제공하려는경우에는일정한고지사항을이용자에게알리고동의를 받아야함 ( 제 22 조, 제 24 조의 2). < 표 Ⅲ-3> 정보통신망법상고지사항 수집시 1 개인정보의수집 이용목적 2 수집하는개인정보의항목 3 개인정보의보유 이용기간 제공시 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 20) 정보통신망 이란 전기통신사업법 제 2 조제 2 호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제를말한다 ( 정보통신망법제 2 조제 1 항제 1 호 ).
보험개인정보적용법률의비교 분석및문제점 45 정보통신서비스제공자는사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집하여서는아니됨 ( 제23조 ). 다만, 이용자의동의를받거나다른법률에따라특별히수집대상개인정보로허용된경우에는수집이가능함. 주민등록번호의경우에는아래의예외사유외에는이용자의동의를받은경우에도수집 이용할수없음 ( 제23조의2). 본인확인기관으로지정받은경우 법령에서이용자의주민등록번호수집 이용을허용하는경우 영업상목적을위하여이용자의주민등록번호수집 이용이불가피한정보통신서비스제공자로서방송통신위원회가고시하는경우 정보통신서비스제공자는수집한개인정보를수집목적이외의목적으로이 용할수없음 ( 제 24 조 ). < 표 Ⅲ-4> 정보통신망법상동의예외사유 구분 수집 제공 동의예외사유 1 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적인사유로통상적인동의를받는것이뚜렷하게곤란한경우 2 정보통신서비스의제공에따른요금정산을위하여필요한경우 3 이법또는다른법률에특별한규정이있는경우 1 정보통신서비스의제공에따른요금정산을위하여필요한경우 2 이법또는다른법률에특별한규정이있는경우
46 조사보고서 2014-8 4) 전자금융거래법 전자금융거래법의목적은전자금융거래의법률관계를명확히하여전자금융거래의안정성과신뢰성을확보하기위함임. 동법은전자금융거래가확산되고새로운전자지급결제수단이등장함에따라비대면성 비서면성등의전자적특성을반영하여전자금융거래의기본요소와절차를정하고금융사고발생시책임관계를명확히하고자재정경제부가 2002년처음발의하고 2007년 1월부터시행되었음. 전자금융거래법은총 7개장 51개조로구성되어있음. 총칙 ( 제1장 ), 전자금융거래당사자의권리와의무 ( 제2장 ), 전자금융거래의안전성확보및이용자보호 ( 제3장 ), 전자금융업의허가와등록및업무 ( 제 4장 ), 전자금융업무의감독 ( 제5장 ), 보칙 ( 제6장 ) 과벌칙 ( 제7장 ) 이그것임. 전자금융거래법은다른법률에특별한규정이있는경우를제외하고는모든전자금융거래에적용됨 ( 제3조 ). 다만, 결제중계시스템을이용하는전자금융거래와한국은행이운영하는지급결제제도를이용하는전자금융거래의경우에는적용하지아니함. 동법은주로지급거래와관련된전자적방식에대한내용만을담고있고개인정보보호관련규정은거의찾아볼수없음. 동법제3장은전자금융거래의안전성확보및이용자보호에관한부분으로서, 안전성확보의무, 전자금융거래기록의생성및보존, 전자지급수단의발행과이용한도, 약관의명시와통지, 약관의제정및변경, 전자금융거래정보의제공, 이의제기와분쟁처리에관해규정하고있음. -특히, 동법제 21조 ( 전자금융감독규정제 3장 ) 에서는정보기술부문및전자금융업무전반에걸쳐적용되는세부적인안전성확보조치사항을규정함.
보험개인정보적용법률의비교 분석및문제점 47 5) 보험업법 보험업법및동법시행령은보험모집시의준수사항과보험요율산출기관 ( 보 험개발원 ) 을통한보험정보공동이용에대해규정하고있음. 동법제96조및시행령제43조는전화 우편 컴퓨터통신등의통신수단을이용한보험모집시의준수사항을규정하고있음. 이에따르면통신수단을이용하여모집을하기위해서는다른사람의평온한생활을침해하는방법으로모집을하여서는안되며, 통신수단을이용한모집에대해동의를하거나해당보험회사나보험중개사와계약실적이있는자, 해당보험회사등에대한자신의개인정보제공및활용에대해동의한자만을대상으로행할수있음. 그리고특히전화를통한모집의경우에는그내용을녹음하는등의증거자료를확보 유지하도록의무를부과하고있음. 보험정보와관련하여보험계약자의정보보호에관한일반적규정은없으나, 교통법규위반에관한개인정보와질병에관한통계이용시의개인정보보호와관련한사항을규정하고있음 ( 제176조 ). 보험업감독규정에서는보험개발원이보유하고있는개인정보의취급자 이용절차및방법등에관한세부기준을규정하고있음 ( 제9-5조 ). - 이에따르면보험개발원의장은보유하고있는개인정보를이용하는자에대하여아이디및비밀번호를부여하여실제사용자를확인할수있어야하여야하고, 이용자별접속내역을관리하고사용통계를작성하여야함.
48 조사보고서 2014-8 2. 보험개인정보적용법률의비교 검토 21) 가. 보험개인정보관계법령간의적용순위 2011년 9월 30일부터개인정보보호에관한일반법인개인정보보호법이시행되었으나, 동법은신용정보법, 정보통신망법등기존개인정보관련개별법령과중첩되거나새롭게적용되는내용을다수포함하고있어실무에서는동법률들간적용순위나해석기준에있어혼란을야기시키고있음. 이에본보고서에서는이러한실무상혼란을방지할수있도록이들간의관계를살펴보고자함. 먼저, 보험개인정보관련법률간적용순위와관련된법적용의일반원칙으로는특별법우선의원칙과신법우선의원칙이있음. 특별법우선의원칙이란어떤사항에관하여특별법이있으면그특별법이적용되고특별법이없는경우에한하여일반법이적용된다는원칙임. - 특별법이란법제정취지를반영하여특정의사람 사물 행위또는지역등에국한하여적용되는법률을말함. - 원래특별법은정의 ( 正義 ) 또는형평 ( 衡平 ) 의관념에입각하여일반법중에서특수한사항을골라내어그것을특별히취급하려고하는취지에서나온것임. 21) 2014 년 1 월카드 3 사의개인정보유출사태이후정부와국회에서는개인정보보호를강화하는차원에서관련법률의개정작업을강력하게추진함에따라, 2014 년 5 월현재정보통신망법과신용정보법의개정안이발의된부분도있고개정안발의작업이추진되고있는부분도존재함. 물론동개정안들에는보고서의본절에서문제점으로지적한부분에대한개선방안이포함되어있기도함. 한편, 개인정보보호법의경우에는 2014 년 3 월 24 일이미일부규정이개정되어시행된부분도존재함. 그러나본보고서에서는현행개인정보법제의문제점을보다명확히제시하고자하는취지에따라 2014 년 2 월말현재 유효한개인정보법률들을기준으로비교 검토작업을수행하였음.
보험개인정보적용법률의비교 분석및문제점 49 - 그러므로특별법은일반법에우선하는것이원칙이며, 일반법은특별법에규정이없는경우에만보충적으로적용됨. 신법우선의원칙이란같은문제에대하여구법 ( 舊法 ) 과신법 ( 新法 ) 이서로어긋나는경우에신법을우선적으로적용한다는원칙임. - 신법우선의원칙은동등한법률간에적용되는원칙이므로, 일반법과특별법이충돌하는경우특별법우선의원칙이적용되고, 신법우선의원칙은적용되지아니함. 개인정보보호법은개인정보보호에관한일반원칙및기준을정하고있고다른법령에서특별히정하고있는사항이있으면그에따르도록규정 ( 법제 6조 ) 하고있으므로보험개인정보의처리에관한일반법에해당함. 개인정보보호법이외에신용정보법, 정보통신망법, 보험업법, 전자금융거래법, 전자상거래소비자보호법등의개별법이보험개인정보에관한특별법에해당함. 따라서특별법인개별법들과일반법인개인정보보호법이중복또는충돌하는경우특별법우선의원칙에따라상기개별법들이우선적용되고, 개별법들에서정하지않은사항에한하여개인정보보호법이적용되는것임. - 이는개인정보보호법이최근제정되어일부특별법에비하여신법이라고할지라도마찬가지임. 특별법에해당하는개별법률간중복또는충돌이발생하는경우어느법률을우선적용할것인가는개별법률의입법목적및대상, 다른법률과의관계규정등을종합적으로고려하여해석할수밖에없음. 안전행정부등의 금융분야개인정보보호가이드라인 ( 이하 금융분야가이드라인 이라고함 ) 은다음과같이관계법률간의적용순서를설명하고있음. 22)
50 조사보고서 2014-8 - 개인신용정보 에는신용정보법을우선적용하고신용정보법에규정되어있지않은사항은개인정보보호법을적용하되, 전자금융거래법, 금융실명법등개별법에서특별히정하고있는사항에대해서는해당법률을적용함. - 개인신용정보를제외한개인정보 에대해서는금융실명법, 은행법등개별법률에서특별히정하는사항을우선적용하고특별히정하지않은사항에대하여는개인정보보호법을적용함. - 신용정보중기업 법인에관한정보 는신용정보법을우선적용하되신용정보법미적용업종은개별법률을적용함. 금융분야가이드라인과재정경제부의유권해석 ( 보험계약정보및보험금지급정보등보험정보는신용정보법상의신용정보에포함됨 ) 23) 을종합하여보면, - 보험개인정보에대해서는신용정보와마찬가지로신용정보법이우선적용되고, 전자금융거래법등개별법에서특별하게정하고있는사항에관하여는해당법률이다음으로적용되며, 마지막으로상기개별법이정하고있지아니한사항에관하여는개인정보보호법이적용되는것으로해석됨. 한편, 금융분야가이드라인은정보통신망법의적용을배제하고있으나, 통신망을통하여신용정보를처리하는온라인보험에관해서는정보통신망법도적용해야한다는의견이있음. 24) 방송통신위원회는 정보통신서비스제공자를위한개인정보보호법령해설서 에서영리목적으로정보통신망을통해정보를제공또는매개한다면업종과상관없이정보통신망법의적용대상자인정보통신서비스제공자의지위에있으므로, 22) 안전행정부 금융위원회 금융감독원 (2013), p.12. 23) 2002.9.27. 재경부질의회신 ( 은행 41207-404) 24) 방송통신위원회 한국인터넷진흥원 (2012), pp.13~18.
보험개인정보적용법률의비교 분석및문제점 51 - 은행등금융기관이웹사이트를통해금융거래서비스를제공하면서신용정보를처리하는경우신용정보법이우선적용되나신용정보법에규정되지않은사항은정보통신망법이적용되어야한다고설시 ( 說示 ) 하고있음. 전자상거래등에서의소비자보호에관한법률 제11조 ( 소비자에관한정보의이용등 ) 제1항은 사업자는전자상거래또는통신판매를위하여소비자에관한정보를수집하거나이용 ( 제3자에게제공하는경우를포함한다. 이하같다 ) 할때는 정보통신망이용촉진및정보보호등에관한법률 등관계규정에따라이를공정하게수집하거나이용하여야한다. 고규정하고있는점에비추어전자거래의방식으로상행위를하는온라인보험과같은경우정보통신망법이일부적용된다고해석될여지도있음. 따라서온라인보험에관하여는정보통신망법도적용해야한다는의견을고려하면보험개인정보관계법령은다음과같은순서로적용되어야할것으로판단됨. 개인정보보호법은개인정보에관한일반법이므로개별법이정하지않은사항에관하여가장후순위로보충적용됨. 정보통신망법제5조 ( 다른법률과의관계 ) 는 정보통신망이용촉진및정보보호등에관하여는다른법률에서특별히규정된경우외에는이법으로정하는바에따른다. 라고규정하고있는반면, 신용정보법은위와같은규정이없으므로신용정보에관하여는신용정보법이정보통신망법에우선하여적용되어야할것으로보임. 신용정보법은금융거래등상거래에있어서거래상대방의신용을판단할때필요한정보를규율대상으로하고있으므로, 보험업법등개별법에서규정하고있는개인정보규정들보다그적용범위가넓음. - 따라서개별법내에서는보험업법등관계규정이특별법으로서신용정보법에우선하여적용되어야할것으로판단됨.
52 조사보고서 2014-8 따라서보험개인정보에관하여일반보험 ( 오프라인보험 ) 의경우에는보험업법 신용정보법 개인정보보호법순으로적용하고, 온라인보험의경우에는보험업법 신용정보법 정보통신망법 개인정보보호법순으로적용되어야할것으로판단됨. < 표 Ⅲ-5> 보험개인정보적용법률간적용순위 구분 오프라인보험 온라인보험 법률간적용순위 보험업법등개별법 신용정보법 개인정보보호법 보험업법등개별법 신용정보법 정보통신망법 개인정보보호법 나. 보험개인정보의수집 1) 정보주체로부터직접수집하는경우 가 ) 개인정보법률규정 신용정보법은정보주체로부터직접개인정보를수집하는경우정보주체의동의가필요한지의여부에관하여규정을두고있지아니함. 다만, 신용정보법은개인의 질병정보 에한하여보험회사가개인의동의를받아그정보가필요한보험의계약및보험금지급업무와관련하여이용하는것을허용하고있음. 정보통신망법은개인정보수집시이용자에게개인정보의수집목적등을알리고동의를받아야한다고규정하고있음 ( 제22조 ). 다만, 동법은 1 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적인사유로통상적인동의를받는것이뚜렷하게곤란한경우, 2 정보통신서비스의제공에따른요금정산을
보험개인정보적용법률의비교 분석및문제점 53 위하여필요한경우, 3 이법또는다른법률에특별한규정이있는경우에는정보주체의동의없이도개인정보를수집 이용할수있도록하고있음. - 이중 1항은이용자가요구하는정보통신서비스를제공하는과정에서과금정보, 통화사실기록, 접속로그등같이정보통신서비스제공과정에서불가피하게발생하는정보로서실시간으로생성 수집되지만매번고지 동의받는것이현저히어려운경우가많아그예외를인정한것임. 25) - 상기예외사유들은보험계약의체결및이행과정등에서발생하는보험개인정보의처리와는무관한것으로보이므로온라인보험의경우에도이를적용하기는어려울것으로판단됨. 한편, 사업자는동의를얻기전에이용자에게미리 1 개인정보의수집 이용목적, 2 수집하는개인정보의항목, 3 개인정보의보유 이용기간을알려주어야함. 개인정보보호법역시개인정보수집시정보주체에게개인정보의수집목적등을알리고동의를받아야한다고규정하고있음 ( 제15조 ). 다만, 동법은 정보주체와의계약의체결및이행을위하여불가피하게필요한경우, 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 등에대하여는정보주체의동의없이도개인정보를수집 이용할수있도록하고있음. 25) 방송통신위원회 한국인터넷진흥원 (2012), pp.29~30.
54 조사보고서 2014-8 - 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 에해당하는지의여부는정보수집의목적별또는대상수집정보별로구분하여판단할필요가있음. 개인정보처리자가정보주체의동의를받을때에는정보주체와의계약체결등을위하여정보주체의동의없이처리할수있는개인정보와정보주체의동의가필요한개인정보를구분하여야하며, 이경우동의없이처리할수있는개인정보라는입증책임은개인정보처리자가부담함 ( 제22조제2항 ). 개인정보처리자는동의를얻기전에정보주체에게미리 1 개인정보의수집 이용목적, 2 수집하는개인정보의항목, 3 개인정보의보유 이용기간, 4 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용을알려주어야함. - 개인정보보호법상의고지사항은정보통신망법상의 미리알려주어야할사항 에위 4항을추가한것임. 금융분야가이드라인은개인 ( 신용 ) 정보의수집에관하여신용정보법제 15 조 및제 16 조, 개인정보보호법제 15 조에따라야함을명시하고, 개인정보보호법 에따라개인정보수집시정보주체의동의를받아야함을원칙으로함. 26)27) 나 ) 적용기준검토 보험개인정보를정보주체로부터직접수집하는경우정보주체의동의가필요한지의여부에관하여, 우선적용되는신용정보법에따라동의절차를생략할수있다는의견과개인정보보호법이보충적용되므로동의를수령해야한다는의견이모두가능함. 26) 안전행정부 금융위원회 금융감독원 (2013), pp.16~18. 27) 금융분야가이드라인은정보통신망법의적용은고려하고있지않음.
보험개인정보적용법률의비교 분석및문제점 55 특별법인신용정보법에는개인정보를정보주체로부터직접수집하는경우정보주체로부터별도의동의를받을것을명시하고있지않고질병정보에한하여동의를얻을것을명시하고있는점에비추어신용정보법은신용거래에있어질병이외의개인정보를수집하는경우에는동의를생략하여절차를간소화하고자하는취지이고, 신용거래는기본적인개인정보의제공없이는성립할수없고신용정보주체의청약등에는이미신용거래를위하여필요한개인정보를제공하겠다는묵시적동의를내포하고있으며, 실제로개인정보보호법이시행되기전에는동의를수령하지않았던점등에비추어개인정보보호법이시행된이후에도신용정보법을우선적용하여동의절차를생략할수있다는의견 (1안) 이법논리상가능함. 그러나기존입법상의공백을메우고자새로이입법된개인정보보호법의취지등을고려할때, 개인정보보호법을보충적으로적용하여수집시원칙적으로정보주체의동의를받도록함으로써개인정보를보호해야한다는의견 (2안) 이지배적임. 금융분야가이드라인은금융분야에서도개인정보수집시개인정보보호법에따라정보주체의동의를받아야한다고해석하고있으므로 2안의의견인것으로보임. - 이에따라현재보험회사도필수정보와선택정보모두에대하여정보주체로부터의동의를수령하고있는실정임. 2) 정보주체이외로부터수집하는경우 가 ) 개인정보법률규정 신용정보법은개인신용정보를정보주체이외로부터수집하는경우는, 신용 조회회사또는신용정보집중기관으로부터간접적으로수집하는경우에대 해서만규정하고있음.( 제 32 조 )
56 조사보고서 2014-8 이경우개인신용정보를수집하는자 ( 제공받는자 ) 가해당개인으로부터동의를받아야하며, 신용조회회사또는신용정보집중기관은신용정보를제공받는자가동의를받았는지를확인하여야함. 신용조회회사또는신용정보집중기관이외로부터신용정보를수집하는경우는이전수집자가제3자제공동의를받았을것이므로추가적동의는받지않는것으로해석됨. 개인정보보호법은정보제공자가개인정보보호법제15조에의하여정보주체의동의를얻거나법령에서허용하여수집한개인정보임을전제로, 개인정보처리자가정보주체이외로부터수집한개인정보를처리하는때에는정보주체의요구가있으면수집출처등을정보주체에게고지하여야한다고규정하고있음 ( 제20조 ). 정보통신망법에는정보주체이외로부터의수집에관하여는별도의규정을 두고있지아니하므로, 신용정보법과유사하게, 정보의수집자가정보주체로 부터별도의수집동의를받거나고지할필요는없는것으로판단됨. 금융분야가이드라인은개인정보보호법제15조에의하여정보주체의동의를얻거나법령에서허용하여수집한개인정보임을전제로, 금융기관은정보주체가아닌제3자로부터수집하는경우적법하게수집된정보인지를확인하고부정수집된정보인것을알면서도취득하여서는안된다고해석하고있음. 28) 28) 안전행정부 금융위원회 금융감독원 (2013), p.19.
보험개인정보적용법률의비교 분석및문제점 57 나 ) 적용기준검토 보험개인정보를정보주체이외로부터수집하는경우에는보험개인정보를제공하는자가정보주체로부터제3자제공동의를받거나법령에근거하여제공하는것임을전제로, 보험개인정보를수집하는자는별도의동의를얻을필요가없음. 그러나보험개인정보를신용정보집중기관으로부터수집하는경우에는수집하는자가수집동의를수령해야하고, 정보주체의요구가있으면개인정보보호법에따라수집출처등을정보주체에게고지하여야하는것으로해석됨. 한편, 보험회사는자동차손해배상보장법, 보험업법등일부특별법에수집근거조항이있는경우에는정보주체의동의없이도관련개인정보를수집할수있음. 보험회사등이의료기관으로부터자동차보험진료수가를청구받으면그의료기관에대하여관계진료기록의열람을청구할수있고, 보험금지급청구를받은경우에는경찰청등교통사고조사기관에교통사고관련조사기록의열람을청구할수있음 ( 자동차손해배상보장법제14조 ). 보험요율산출기관 ( 보험개발원 ) 은보험회사에게교통법규위반에관한개인정보또는질병에관한통계를제공하여순보험료산출에이용하게할수있음. 또한보험개발원은보험업법또는다른법률에따라제공받아보유하는개인정보를순보험료산출에필요한경우, 보험계약체결 유지및보험금지급업무에필요한경우, 보험계약의이전에필요한경우등에한하여타인에게제공할수있음 ( 보험업법제176조 ). -다만, 상기규정들은보험요율산출기관이개인정보를제3자에게제공할수있는근거규정인것에는이견이없으나, 보험회사가정보주체의동의없이수집 이용할수있는근거규정이될수있는지의여부는다
58 조사보고서 2014-8 르게해석될여지가있으므로, 이와같은해석상혼란이없도록위규 정을보다명확하게개선할필요가있음. 정보주체로부터수집 구분신용정보법정보통신망법개인정보보호법비고 동의여부 규정없음단, 질병정보는동의수령 동의수령 1수집목적고지사항규정없음 2수집항목 3보유기간 동의예외사유 규정없음 < 표 Ⅲ-6> 개인정보법률상 수집 관련규정 ⅰ 계약이행필요 ⅱ 요금정산 ⅲ 타법규정 동의수령 ( 필수, 선택구분 ) 123 + 4 거부시불이익내용 ⅰ 법률규정 ⅱ 공공기관소관업무 ⅲ 계약이행필요 ⅳ 급박한필요 ⅴ 처리자의정당한이익 의견대립 1. 신용정보법우선적용의견 동의, 고지생략 - 절차간소화취지 - 묵시적동의 - 필수적항목 2. 타법보충적용의견 동의, 고지 (4 가지 ) 수령 - 입법공백보충취지 정보주체이외로부터수집 신용조회회사등 기타 수집자의동의고지 ( 신용등급하락가능성 ) 규정없음 ( 동의, 고지 ) 규정없음 ( 동의, 고지 ) 정보주체요구시통지 1 수집출처 2 처리목적 3 정지요구권여부 - 다. 보험개인정보의이용 1) 개인정보법률규정 가 ) 수집목적내이용 신용정보법은신용정보주체가신청한상거래관계의설정및유지여부등을 판단하기위한목적으로만이용해야한다고규정 ( 제 33 조 ) 하고있음.
보험개인정보적용법률의비교 분석및문제점 59 개인정보보호법 ( 제 15 조 ) 및정보통신망법 ( 제 24 조 ) 도수집목적내에서만 사용해야함을원칙으로하고있음. 금융감독원은보험회사들이보험계약의체결, 해지, 취소및보험금지급여부를결정하기위한목적이신용정보법제24조제1항 ( 현행 33조 ) 의 상거래관계의설정및유지여부등을판단하기위한목적 에포함된다고해석한바있음. 29) 따라서보험회사는정보주체의동의가없더라도보험계약의체결, 해지, 취소, 보험금지급등을결정하기위한목적으로해당보험정보를이용할수있을것임. 나 ) 수집목적외이용 신용정보법은신용정보주체가다른목적에의이용에동의하였거나, 동법에열거된예외사유에해당하는경우에는동의없이도목적외로이용할수있도록허용하였음 ( 제33조 ). 신용정보주체가다른목적에의이용에동의한경우 - 다른목적이란상거래관계의설정및유지여부등을판단하기위한목적이외의모든목적을뜻함. 개인이직접제공한개인신용정보를제공받은목적으로이용하는경우 - 개인으로부터직접수집한개인신용정보의경우에는상거래관계의설정및유지여부등을판단하기위한목적외의목적으로이용이가능함. 다만, 이경우에도제공받은목적으로만이용하여야함. - 그러나상품및서비스를소개하거나그구매를권유할목적으로이용하기위해서는해당개인의동의를얻어야함. 29) 2003. 2. 14. 자금감원질의회신 ( 문서번호신용정 1113-00081)
60 조사보고서 2014-8 신용정보법제32조제4항각호사유에해당하는경우 - 신용정보회사가다른신용정보회사또는신용정보집중기관과서로집중관리 활용하기위하여제공하는경우 - 계약의이행에필요한경우로서신용정보의처리를위탁하기위하여제공하는경우 - 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우 - 채권추심 ( 추심채권을추심하는경우만해당 ), 인가 허가의목적, 기업의신용도판단, 유가증권의양수등의목적으로사용하는자에게제공하는경우 - 법원의제출명령또는법관이발부한영장에따라제공하는경우 - 범죄때문에피해자의생명이나신체에심각한위험발생이예상되는등긴급한상황에서법관의영장을발부받을시간적여유가없는경우로서검사또는사법경찰관의요구에따라제공하는경우 - 조세에관한법률에따른질문 검사또는조사를위하여관할관서의장이서면으로요구하거나조세에관한법률에따라제출의무가있는과세자료의제공을요구함에따라제공하는경우 - 국제협약등에따라외국의금융감독기구에금융회사가가지고있는개인신용정보를제공하는경우 - 그밖에다른법률에따라제공하는경우 개인정보보호법은정보주체가수집목적외이용에동의를하였거나, 동법에열거된예외사유에해당하는경우에는동의없이도수집목적외로이용할수있도록허용하고있음 ( 제18조 ). 정보주체로부터별도의동의를받은경우 - 정보수집시동의를받았다고하더라도수집목적외로이용하기위해서는재차별도의동의를얻어야함.
보험개인정보적용법률의비교 분석및문제점 61 동법에열거된아래의사유에해당하는경우에는별도동의없이도수집목적외이용이허용되나, 제5호부터제9호까지의경우는공공기관의경우에한정하여적용됨. - 다른법률에특별한규정이있는경우 ( 제2호 ) - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 ( 제3호 ) - 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 ( 제4호 ) - 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 ( 제5호 ) -조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 ( 제6호 ) - 범죄의수사와공소의제기및유지를위하여필요한경우 ( 제7호 ) - 법원의재판업무수행을위하여필요한경우 ( 제8호 ) -형( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 ( 제9호 ) 신용정보법은정보수집목적을 상거래관계의설정및유지여부등을판단하기위한목적 으로한정하고있어신용정보법상목적외이용은상기목적이외의모든이용을목적외이용이라고할것이나, 개인정보보호법은신용정보법과달리그수집목적의범위를별도로규정하고있지않아 정보수집전정보주체에게알린수집의목적 이외의이용이개인정보보호법상목적외이용이라할것임. 정보통신망법은신용정보법등과는달리목적외이용에관한별도의조항을 두고있지아니하나이용자의별도동의를얻는경우수집목적외이용이가 능할것으로해석됨.
62 조사보고서 2014-8 정보통신망법제24조는 정보통신서비스제공자는이용자로부터동의받은목적이나동법제22조제2항각호에서정한목적과다른목적으로이용하여서는아니된다 고규정하여목적외이용을금지하고있음. 그러나제24조의해석상본래수집목적과다른목적으로이용할필요가있어이용자로부터재차동의를받은경우이역시 이용자의동의를받은목적 에포섭되므로목적외이용이가능한것으로판단됨. 또한제22조제2항제3호에따라 이법또는다른법률에특별한규정이있는경우 에는동의없이도정보수집 이용이가능하므로, 신용정보법제33조내지개인정보보호법제18조제2항각호에서열거하고있는사유에해당하는경우에는동의없이도정보이용이가능하다고해석됨. 금융분야가이드라인은, 개인신용정보는신용정보법제32조, 제33조, 제34조에따라이용할수있고, 그밖의개인정보는개인정보보호법제15조및제18 조에따라이용가능하다고해석하고있음. 30) 금융분야가이드라인은목적외이용에관하여개인신용정보는신용정보법제33조각호의사유에해당하는경우, 그밖의개인정보는개인정보보호법제18조각호의사유에해당하는경우에허용된다고이분법적으로구분하고있음. 31) 2) 적용기준검토 특별법인신용정보법에따라보험회사는수집의목적 ( 보험계약의체결및 이행등 ) 범위내에서개인정보를이용해야할것이고, 동목적외로이용하 30) 안전행정부 금융위원회 금융감독원 (2013), pp.20~21. 31) 보험개인정보 ( 유권해석상개인신용정보에포함 ) 가신용정보법제33조각호의사유에해당하는경우뿐만아니라개인정보보호법제18조각호의사유에해당하는경우에도수집목적외로이용을할수있는지여부에관하여명확한기준을제시하지않고있음.
보험개인정보적용법률의비교 분석및문제점 63 기위해서는정보주체로부터별도동의를얻거나, 각법에열거된예외적허 용사유에해당하여야할것임. 다만, 관계법령에열거된예외사유중일부가상이하므로신용정보법내지정보통신망법에규정되어있지아니한사유가정보통신망법내지개인정보보호법에명시되어있는경우에는이를보충적으로적용할수있는지의여부가문제될수있음. 신용정보법은 다른법률에따라제공하는경우, 정보통신망법은 이법또는다른법률에특별한규정이있는경우 에는동의없이도목적외이용을할수있도록타법예외규정을두고있고달리다른법률에따른활용을제한하고있지않은점등에비추어정보통신망법내지개인정보보호법의예외사유를보충적으로적용할수있을것으로해석됨. 구분신용정보법정보통신망법개인정보보호법비고 원칙 예외 ( 목적외이용 ) 상거래관계의설정이용자로부터동의받은수집목적의범위내유지여부등의판단목적으로만이용 ( 24) 에서이용 ( 15) 목적 ( 33) - 신용정보법 ⅰ 타목적이용동의 ⅱ 직접제공받은목적 ⅲ 제 3 자제공동의면제사유 ( 324) 집중관리활용목적 계약이행불가피 법원제출명령등 < 표 Ⅲ-7> 개인정보법률상 이용 관련규정 1 타목적동의 2 수집동의면제사유 ⅰ 계약이행에불가피 ⅱ 요금정산 ⅰ 타목적이용동의 ⅱ 법령상의무준수 ⅲ 통계작성, 학술연구 ⅳ 공공기관소관업무수행에불가피 ⅴ 급박한필요 ⅵ 정당한이익달성 상규정되지않은예외사유가보충적용되는지의여부불분명
64 조사보고서 2014-8 라. 보험개인정보의제 3 자제공 1) 개인정보법률규정 신용정보법은개인신용정보를타인에게제공하려는경우원칙적으로정보주체로부터미리동의를받아야하고 ( 제32조제1항 ), 신용정보법제32조제4 항각호에열거된예외사유에해당할경우에한하여동의없이도제3자제공이가능하다고규정하고있음. 정보주체로부터미리동의를받을법적의무는정보를제공받는제3자가아니라정보를제공하는제공 이용자에게있음. -다만, 신용조회회사또는신용정보집중기관으로부터개인신용정보를제공받는경우에는제공받으려는자가해당개인에게개인신용정보의조회시신용등급이하락할수있음을고지 32) 하며제공동의를받아야하고, 제공하는자 ( 신용조회회사또는신용정보집중기관 ) 는제공받으려는자가동의를받았는지를확인하여야함. 신용정보회사등이개인신용정보를제공하는경우로서아래의어느하나에해당하는경우상기동의절차없이도제공이허용됨 ( 제32조제4항 ). - 신용정보회사가다른신용정보회사또는신용정보집중기관과서로집중관리 활용하기위하여제공하는경우 - 계약의이행에필요한경우로서신용정보의처리를위탁하기위하여제공하는경우 - 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우 32) 다만, 다음의어느하나에해당하는경우에는인터넷홈페이지게재, 사무실 점포등에서의비치 열람등의방법으로대신할수있음. ⅰ) 신용정보회사등의고의또는과실없이신용정보주체의주소또는거소등을알수없는경우, ⅱ) 신용정보의특성, 제공대상자, 제공경위및제공목적등을고려하여공시하는것이적정하다고금융위원회가인정하여고시하는경우 ( 신용정보법시행령제 28 조제 10 항 ).
보험개인정보적용법률의비교 분석및문제점 65 - 채권추심 ( 추심채권을추심하는경우만해당한다 ), 인가 허가의목적, 기업의신용도판단, 유가증권의양수등의목적으로사용하는자에게제공하는경우 - 법원의제출명령또는법관이발부한영장에따라제공하는경우 - 범죄때문에피해자의생명이나신체에심각한위험발생이예상되는등긴급한상황에서법관의영장을발부받을시간적여유가없는경우로서검사또는사법경찰관의요구에따라제공하는경우 - 조세에관한법률에따른질문 검사또는조사를위하여관할관서의장이서면으로요구하거나조세에관한법률에따라제출의무가있는과세자료의제공을요구함에따라제공하는경우 - 국제협약등에따라외국의금융감독기구에금융회사가가지고있는개인신용정보를제공하는경우 - 그밖에다른법률에따라제공하는경우 상기예외사유에해당하여동의없이제3자에게개인정보를제공하는경우, 정보제공자또는정보를제공받는자는정보주체에게이러한제공사실을알려야함. 특히, 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우에는금융위원회의승인을받아야함. 신용정보회사등이위와같이개인신용정보를제공하는경우, 개인신용정보를제공받는자의신원과이용목적을확인하여야함. 정보통신망법은명시된예외사유에해당하는경우를제외하고는이용자의개인정보를제3자에게제공하기위해서는이용자의동의를받아야한다고규정하고있음 ( 제24조의2). 다만, 정보통신망법에명시된예외사유인 정보통신서비스의제공에따른요금정산을위하여필요한경우 ( 제22조제2항제2호 ) 는보험개인정보처리와는무관한것으로보이고, 이법또는다른법률에특별한규정이있
66 조사보고서 2014-8 는경우 ( 제 22 조제 2 항제 3 호 ) 는일반적인타법적용예외사항이므로정보 통신망법상제 3 자제공예외사유의규정은보험회사에대해서는특별히 적용할실익이없는것으로판단됨. 개인정보보호법은개인정보를타인에게제공하려는경우정보주체에게미리동의를받아야함이원칙이고, 목적외용도로제공하려는경우에는정보주체또는제3자의이익을부당하게침해할염려가있는경우를제외하고별도의동의를받도록규정하고있음 ( 제17조제1항제1호 ). 다만, 수집목적내제공의경우 ( 제15조 1항제2호 제3호 제5호 ) 로서아래와같이개인정보보호법에열거된예외사유에해당하는경우에는동의없이도제3자제공이가능함 ( 제17조제1항제2호 ). - 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 - 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 한편, 개인정보처리자는다음의경우에는수집목적외의용도로개인정보를제공할수있으나 ( 제18조제2항 ), 정보주체또는제3자의이익을부당하게침해할우려가있는경우는제외함. - 정보주체로부터별도의동의를받은경우 ( 제1호 ) - 다른법률에특별한규정이있는경우 ( 제2호 ) - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 ( 제3호 )
보험개인정보적용법률의비교 분석및문제점 67 - 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 ( 제4호 ) - 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 ( 제5호 ) -조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 ( 제6호 ) - 범죄의수사와공소의제기및유지를위하여필요한경우 ( 제7호 ) - 법원의재판업무수행을위하여필요한경우 ( 제8호 ) -형( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 ( 제9호 ) 개인정보보호법은수집목적외제공사유중별도동의를수령한경우만고지의무를부과 ( 제18조제3항 ) 하고있을뿐, 신용정보법과달리동의없는제3자제공의경우정보주체에대한고지의무규정이부재함. 금융분야가이드라인은개인신용정보는신용정보법제32조 ( 개인신용정보의제공 활용에대한동의 ), 제34조 ( 개인식별정보의제공 이용 ) 에따라제공할수있으며, 그밖의개인정보는개인정보보호법제17조 ( 개인정보의제공 ), 제18조 ( 개인정보의이용 제공제한 ) 에따라제공이가능하다는적용원칙을밝히고있음. 33) 개인신용정보를타인에게제공하는경우정보주체에게미리동의를받아야함이원칙이고, 신용정보법에서정하고있는예외사유에해당하는경우에는동의없이고지만으로제공가능함. 그밖의개인정보를타인에게제공하는경우정보주체의동의를받아야하고, 목적외제공의경우에는별도동의까지받아야함. 다만개인정보 33) 위가이드라인은보험개인정보 ( 개인신용정보 ) 에관하여도개인정보보호법제 17 조, 제 18 조를적용하여동의없이제 3 자에게제공이가능한지의여부는명확하게규정하고있지아니함.
68 조사보고서 2014-8 보호법제 17 조, 제 18 조에서정하고있는예외사유에해당하는경우동의 없이제공가능함. 2) 적용기준검토 신용정보법에따라목적외또는목적내를구분하지아니하고정보주체의동의가있으면보험개인정보를제3자에게제공하는것이가능하고목적외제공이라하여앞서의제공동의와별도의동의를얻을필요는없는것으로판단됨. 신용정보법이개인정보보호법에우선하여적용되며, 신용정보법에는제3 자제공에관하여목적내제공인지목적외제공인지구분하고있지아니하고, 목적외제공이라하여별도의동의를요하지않음. - 신용정보법은동의를받기에앞서제공받는자, 제공받는자의이용목적등을알리도록하고있으므로, 정보주체가이용목적등을알면서도제3자제공에동의하였다면목적외제공에대한동의까지내포하고있다고볼수있음. - 개인정보보호법을적용하여목적외제공이라하여동의를반복하는것은절차만번거롭게할뿐개인정보보호측면에서도큰실익이없는것으로보임. 금용분야가이드라인도개인신용정보의제공에관하여는신용정보법에따라정보주체에게미리동의를받아야한다고해석하고있을뿐, 수집목적외제공이라고하여개인정보보호법을적용하여별도동의받을것을명시하지아니하고있음. 신용정보법제 32 조제 4 항각호의사유에해당하는경우에는동의없이보험 개인정보를타인에게제공할수있을것이나, 이경우에도정보주체에대한 고지의무는준수하여야함.
보험개인정보적용법률의비교 분석및문제점 69 다만, 관계법령에열거된동의없이제공할수있는사유중일부가상이하므로신용정보법내지정보통신망법에규정되어있지아니한사유가정보통신망법내지개인정보보호법에는명시되어있는경우이를보충적으로적용할수있는지의여부가문제될수있음. - 신용정보법은 다른법률에따라제공하는경우, 정보통신망법은 이법또는다른법률에특별한규정이있는경우 에는동의없이도제3자에게제공할수있도록타법예외규정을두고있고다른법률에따른활용을제한하고있지않은점등에비추어동규정들에따라정보통신망법내지개인정보보호법의사유도보충적으로적용할수있을것으로해석됨. 동의없는제3자제공에관하여그사유에따라적용되는법률, 절차가상이한문제가있으므로법적정비가필요한것으로판단됨. - 신용정보법은동의없는제3자제공의경우정보주체에대한고지의무를규정하고있음에반하여개인정보보호법은이와같은절차를두고있지아니함. - 개인정보보호법은목적외제공의경우개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의안전성확보를위하여필요한조치를마련하도록요청할의무를규정하고있음에반하여신용정보법은이와같은절차를두고있지아니함. - 신용정보법과개인정보보호법상동의없이제3자에게정보를제공할수있는사유가일부상이하여그해당사유에따라서적용절차가다른문제점이있으므로, 이에대한법적정비가필요한것으로보임. - 법제의통일성을위하여신용정보법에개인정보보호법의목적외제공에관한사유및절차를추가규정하거나, 보험업법에신용정보법및개인정보보호법의목적외제공에관한규정을통합하여규정하는것도그개선방안중하나일것임.
70 조사보고서 2014-8 구분신용정보법정보통신망법개인정보보호법비고 원칙 - 제공자동의수령 ( 321) 고지 a. 제공받는자 b. 이용목적 c. 제공항목 d. 이용기간 - 수집자동의수령 ( 322) 조회회사, 집중기관 고지 : 신용하락가능성 예외 - 사전동의예외 ( 324) a. 집중관리활용목적 b. 계약이행목적위탁 c. 채권추심목적 d. 법원의제출명령등 목적외제공 - 목적외제공금지만규정 ( 432) < 표 Ⅲ-8> 개인정보법률상 제 3 자제공 관련규정 - 사전동의 ( 24 의 2 1) - 고지 a. 제공받는자 b. 이용목적 c. 제공항목 d. 이용기간 - 사전동의예외 ( 222ⅱ,ⅲ) a. 요금정산 b. 타법규정 - 목적외제공금지만규정 ( 24 의 22) - 사전동의 ( 171ⅰ) - 고지 ( 172) a. 제공받는자 b. 이용목적 c. 제공항목 d. 이용기간 e. 불이익내용 - 사전동의예외 : 수집목적범위내제공 ( 171ⅱ) a. 법령상의무준수 b. 공공기관소관업무수행 c. 급박한필요 - 목적외제공금지 ( 182) - 수집목적외제공사유 ( 182) a. 별도동의 b. 타법규정 c. 급박한필요 d. 통계작성, 학술연구 e. 공공기관소관업무등 - 사전동의시개인정보보호법상의고지사항보충적용여부 - 타법상예외사유및목적외제공사유보충적용여부 마. 고유식별정보 ( 개인식별정보 ) 의처리 1) 개인정보법률규정 신용정보법은신용정보제공 이용자가개인식별정보를신용정보회사등에게제공하려는경우원칙적으로해당개인의동의를받아야하고, 해당개인이동의한목적또는직접제공받은경우에는그제공받은목적의범위내에서만이용되어야한다고규정하고있음 ( 제34조 ). 신용정보법은개인식별정보의이용 제공에관하여는규정하고있으나수집에관하여는별도의규정을두고있지아니함.
보험개인정보적용법률의비교 분석및문제점 71 동법시행령제29조에서개인식별정보란생존하는개인의성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적등개인을식별할수있는정보라고정의하고있음. - 신용정보법의개인식별정보는개인정보보호법의개인정보 ( 생존하고있는개인에대한식별정보 ) 와유사한개념인것으로판단됨. - 참고적으로, 다수의개인정보법률상산재해있는용어인개인정보, 개인신용정보, 개인식별정보, 고유식별정보등과의관계를정리하면다음과같음. 주민등록번호 개인정보보호법의고유식별정보 ( 주민등록번호, 외국인등록번호, 여권번호, 운전면허번호 ) 개인정보보호법및정보통신망법의개인정보 = 신용정보법의개인식별정보 ( 일체의개인을식별할수있는정보 ) 신용정보법의개인신용정보 ( 개인식별정보및신용거래정보등 ) 개인식별정보가신용정보법에따라개인신용정보를제공받기위하여신용정보주체를특정할목적으로제공 이용되는경우에는동의를받지않고이용 제공할수있음. -다만, 이경우개인식별정보를제공받은자는제공요구에따르기위한목적외의용도로그정보를이용 제공하여서는아니됨. 또한개인식별정보가아래와같이제32조제4항제4호부터제9호까지의규정에따라제공 이용되는경우에는정보주체의동의를요하지아니하고, 동의 제공받은목적외로도활용할수있음. - 채권추심, 인가 허가의목적, 기업의신용도판단, 유가증권의양수등의목적으로사용하는자에게제공하는경우 - 법원의제출명령또는법관이발부한영장에따라제공하는경우 - 범죄때문에피해자의생명이나신체에심각한위험발생이예상되는등긴급한상황에서법관의영장을발부받을시간적여유가없는경우로서검사또는사법경찰관의요구에따라제공하는경우
72 조사보고서 2014-8 - 조세에관한법률에따른질문 검사또는조사를위하여관할관서의장이서면으로요구하거나조세에관한법률에따라제출의무가있는과세자료의제공을요구함에따라제공하는경우 - 국제협약등에따라외국의금융감독기구에금융회사가가지고있는개인신용정보를제공하는경우 - 그밖에다른법률에따라제공하는경우 개인정보보호법은개인정보처리에대한동의이외의별도동의를받거나법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우가아니면고유식별정보를처리할수없다고규정하고있음.( 제24조 ) 동법시행령제19조는고유식별정보의범위를주민등록번호, 여권번호, 운전면허의면허번호및외국인등록번호로명시하고있음. 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 란법률, 시행령, 시행규칙등에서구체적으로고유식별정보의종류를열거하고그처리를요구하거나허용하고있는것을뜻함. 34) - 금융실명거래법제3조및동법시행령제3조에따라금융회사등이실명으로금융거래를하는지의여부를확인하기위하여성명, 주민등록번호 ( 여권번호, 외국인등록번호 ) 등을수집 이용하는경우는정보주체의동의를필요로하지않음. - 그러나단지법령에서단순히신원 연령확인의무만규정하고있다면 35) 이는고유식별정보의처리를구체적으로요구 허용할것으로보기어려우므로, 정보주체의동의를받거나고유식별정보를사용하지않는수단을이용하여야할것임. 34) 행정안전부 (2011), pp.149~150. 35) 청소년보호법제17조제1항에서청소년유해매체물의판매상대방연령확인, 정보통신망법제44조의5 제1항에서게시판이용자의본인확인등
보험개인정보적용법률의비교 분석및문제점 73 정보통신망법은주민등록번호이외에는개인식별정보나고유식별정보의처리에관하여별도로규정하고있지아니함. 방송통신위원회는정보통신서비스제공자가주민등록번호를수집 이용하는경우에는정보통신망법의해당규정 ( 제23조의2) 에따르되, 주민등록번호이외의고유식별정보인여권번호, 운전면허번호, 외국인등록번호를처리하는경우에는개인정보보호법에규정된절차를준수하여야한다고설명하고있음. 36) 보험업법시행령은보험회사등이타인을위한보험계약체결등을위하여민감정보중건강정보, 고유식별정보를처리할수있다고규정하고있음 ( 제 102조제5항 ). 동시행령조항은신설된개인정보보호법이정보주체의동의를얻거나법령에서허용하는경우가아니면민감정보나고유식별정보를처리할수없도록규정함에따라보험회사등의처리근거규정을마련하기위하여일괄제정된것임. 이에따라보험회사는아래와같은사유에해당하는경우에는개인정보보호법제24조제1항제2호 ( 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 ) 에근거하여정보주체의동의없이도고유식별정보를처리할수있음. - 타인을위한보험계약의체결, 유지 관리, 보험금의지급등에관한사무 : 피보험자에관한건강정보또는고유식별정보 -제3자에게배상할책임을이행하기위한사무 : 제3자에관한건강정보또는고유식별정보 - 보험수익자지정또는변경에관한사무 : 보험수익자에관한고유식별정보 36) 방송통신위원회 한국인터넷진흥원 (2012), pp.67~68.
74 조사보고서 2014-8 - 단체보험계약의체결, 유지 관리, 보험금지급등에관한사무 : 피보험 자에관한건강정보또는고유식별정보 금융분야가이드라인은신용정보법에신용정보 ( 고유식별정보등포함 ) 의구체적인수집절차에대한명시적인규정이없으므로고유식별정보의수집에관하여는개인정보보호법제24조 ( 고유식별정보의처리제한 ) 제1항을적용하고, 이용및제공은신용정보법제32조 ( 개인신용정보의제공 활용에대한동의 ) 제33조 ( 개인신용정보의이용 ) 제34조 ( 개인식별정보의제공 이용 ) 를적용하고, 고유식별정보를수집목적과다른용도로이용하는경우에는개인정보보호법제24조에따라다른법령에서허용하거나정보주체의별도동의가있는경우에만처리가능하다고해석함. 37) 2) 적용기준검토 신용정보법은고유식별정보의처리에관해서는별도의규정을두고있지않은대신개인식별정보의이용 제공에대해규정하고있으며, 이경우신용정보법의개인식별정보가개인정보보호법의고유식별정보보다그범위가넓은것으로판단됨. 신용정보법상개인식별정보는 생존하는개인의성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적등개인을식별할수있는정보 임에반하여, 개인정보보호법상고유식별정보는상기개인식별정보중일부인 주민등록번호, 여권번호, 운전면허의면허번호, 외국인등록번호 에한함. 37) 안전행정부 금융위원회 금융감독원 (2013), pp.25~26.
보험개인정보적용법률의비교 분석및문제점 75 신용정보법은개인식별정보의수집에대해서는별도의규정을두고있지않으므로개인식별정보 ( 고유식별정보 ) 의수집에관해서는 나. 보험개인정보의수집 과동일하게취급하여야할것임. 한편, 신용정보법은개인신용정보나개인식별정보 ( 개인신용정보에포함됨 ) 를타인에게제공하는경우에는원칙적으로해당개인의동의를받도록하고있음 ( 제32조제1항, 제34조제1항 ). 다만, 동의없이타인에게제공할수있는사유에관하여, 개인신용정보에관하여는신용정보법제32조제4항제1호내지제9호 38) 의사유를모두허용하는반면, 개인식별정보의경우에는그중제4호내지제9호의사유만제한적으로허용하고있음 ( 제34조제4항 ). 38) 1. 신용정보회사가다른신용정보회사또는신용정보집중기관과서로집중관리 활용하기위하여제공하는경우 2. 계약의이행에필요한경우로서제 17 조제 2 항에따라신용정보의처리를위탁하기위하여제공하는경우 3. 영업양도 분할 합병등의이유로권리 의무의전부또는일부를이전하면서그와관련된개인신용정보를제공하는경우 4. 채권추심 ( 추심채권을추심하는경우만해당한다 ), 인가 허가의목적, 기업의신용도판단, 유가증권의양수등대통령령으로정하는목적으로사용하는자에게제공하는경우 5. 법원의제출명령또는법관이발부한영장에따라제공하는경우 6. 범죄때문에피해자의생명이나신체에심각한위험발생이예상되는등긴급한상황에서제 5 호에따른법관의영장을발부받을시간적여유가없는경우로서검사또는사법경찰관의요구에따라제공하는경우. 이경우개인신용정보를제공받은검사는지체없이법관에게영장을청구하여야하고, 사법경찰관은검사에게신청하여검사의청구로영장을청구하여야하며, 개인신용정보를제공받은때부터 36 시간이내에영장을발부받지못하면지체없이제공받은개인신용정보를폐기하여야한다. 7. 조세에관한법률에따른질문 검사또는조사를위하여관할관서의장이서면으로요구하거나조세에관한법률에따라제출의무가있는과세자료의제공을요구함에따라제공하는경우 8. 국제협약등에따라외국의금융감독기구에금융회사가가지고있는개인신용정보를제공하는경우 9. 그밖에다른법률에따라제공하는경우
76 조사보고서 2014-8 신용정보법은개인식별정보의타인제공에관하여제공동의만을규정하고있으나 39), 개인정보보호법은고유식별정보를타인에게제공하기위해서는제공동의이외에별도의동의를요하고있어, 보험회사등의개인식별정보및고유식별정보의제3자제공기준을명확히할필요가있음. 신용정보법이특별법이기는하나신용정보법에서고유식별정보의제3자제공시별도동의를받는것을제한하고있지아니하고, 신설된개인정보보호법이개인식별정보중고유식별정보를분리하여강하게보호하고자하는취지등에비추어개인정보보호법을보충적으로적용함이타당할것으로판단됨. 따라서개인식별정보의제3자제공의경우신용정보법에따라제공에관한동의를얻으면족하나, 고유식별정보를제3자에게제공하는경우에는개인정보보호법을보충적으로적용하여제공동의이외에별도의동의를얻어야할것이고, 수집목적외제공인경우그수집목적외제공에관하여도별도동의를얻어야할것으로해석됨. 다만, 신용정보법제32조 4항제4호내지제9호에기재된사유, 개인정보보호법제24조제1항제2호 40) 및보험업법시행령제102조제5항각호 41) 에기재된사유에해당하는경우개인식별정보 ( 고유식별정보포함 ) 를정보주체의동의없이제3자에게제공할수있다고판단됨. 39) 신용정보법은개인신용정보의제공동의 ( 제32조제1항 ) 와개인식별정보의제공동의 ( 제 34조제1항 ) 를각각규정하고있으므로양자의동의를각각수령하여야하는것으로해석할수도있음. 40) 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 41) 1. 상법 제639조에따른타인을위한보험계약의체결, 유지 관리, 보험금의지급등에관한사무 : 피보험자에관한건강정보또는고유식별정보 2. 상법 제719조 ( 상법 제726조에서준용하는재보험계약을포함한다 ) 및제726조의2에따라제3자에게배상할책임을이행하기위한사무 : 제3자에관한건강정보또는고유식별정보 3. 상법 제733조에따른보험수익자지정또는변경에관한사무 : 보험수익자에관한고유식별정보 4. 상법 제735조의3에따른단체보험계약의체결, 유지 관리, 보험금지급등에관한사무 : 피보험자에관한건강정보또는고유식별정보
보험개인정보적용법률의비교 분석및문제점 77 보험개인정보의제3자제공에관하여한정하여보더라도정보의종류, 제공목적등에따라적용되는법률이달라지며, 적용절차가복잡하고반복적인동의를요하는등비효율적문제가있는것으로보임. 이에신용정보법이나보험업법등개별법에통일적으로규정하고그동의등절차도보다간명하게개선할필요가있다고판단됨. 보험업법시행령제102조는상위법인보험업법상위임근거규정이없어 42) 입법체계상문제가있는것으로보이므로근거규정신설등이필요함. 상기시행령조항은개인식별정보중고유식별정보만을명시하고있어동조항및개인정보보호법제24조제1항제2호 ( 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 ) 에따라동의없이제3자에게제공할수있는개인정보의범위가다르게해석될여지가있음. - 상기시행령조항이고유식별정보만을명시하고있으므로그이외의개인정보를제3자에게제공하기위해서는정보주체의동의가필요하다는주장, 동시행령조항의입법목적등에비추어고유식별정보뿐만아니라개인식별정보도정보주체동의없이제3자제공이가능하다는주장이가능할것으로판단됨. - 고유식별정보를개인식별정보에비하여보다강하게보호하고있는관계규정의입법태도에비추어볼때고유식별정보를동의없이처리할수있도록허용하고있는이상개인식별정보도동의없이처리할수있다고보는것이목적론적해석에부합하며, 동시행령에서열거한제3자를위한보험, 배상책임보험, 단체보험등의피보험자, 보험수익자, 피해자등은보험계약당사자가아닌제3자이므로보험회사가 100% 동의를받기어려운실무상의문제등을고려하면후자의해석이타당하다고판단됨. 42) 정부가민감정보및고유식별정보처리근거마련을위하여 2012.1.6. 자로보험업법시행령제 102 조를포함한 210 개대통령령을일괄개정하는과정에서보험업법상의근거규정이없는시행령조항이탄생하게되었음.
78 조사보고서 2014-8 - 이와같이해석상혼란이있으므로보험업법시행령상의 고유식별정보 를 개인식별정보 ( 주민등록번호등고유식별정보포함 ) 로변경하거나, 신용정보법내지보험업법에동시행령규정사유에해당하는경우정보주체의동의없이개인정보 ( 주민등록번호등고유식별정보포함 ) 를활용할수있는법적근거를신설하는등법적정비가필요한것으로보임. 구분신용정보법정보통신망법개인정보보호법금융가이드라인 주민등록번호 고유식별정보 1) 개인식별정보 2) < 표 Ⅲ-9> 개인정보법률상 고유식별정보및주민등록번호 관련규정 별도규정없음 별도규정없음 < 원칙 >( 34) - 수집관련규정 X - 제공시동의필요 - 동의목적만이용 < 예외 > 동의면제, 목적외제공 이용 a. 신용정보주체를특정할목적 b. 324ⅳ~ⅸ 의사유 < 원칙 >( 23 의 2) 수집 이용금지 < 예외 > a. 본인확인기관지정 b. 법령에서허용 c. 영업목적상불가피 별도규정없음 별도규정없음 < 원칙 >( 24 의 2) 처리금지 < 예외 > a. 법령에서구체적으로요구 허용 b. 급박한생명등의이익을위해명백히필요하다고인정 c. 안행부령 ( 미정 ) < 원칙 >( 24) 처리금지 < 예외 > a. ( 별도 ) 동의, 고지 b. 법령에서구체적으로요구 허용 별도규정없음 고유식별정보, 주민등록번호의처리 < 수집 > - 개인정보법 21 및 24 적용 < 이용 제공 > - 신용정보법 32, 33, 34 적용 < 목적외이용 > - 개인정보법 21 및 24 적용 주 : 1) 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 2) 개인식별정보 : 생존하는개인의성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적등개인을식별할수있는정보
보험개인정보적용법률의비교 분석및문제점 79 바. 주민등록번호의처리 1) 개인정보법률규정 신용정보법은주민등록번호를개인식별정보에포함하여규정하고있을뿐, 주민등록번호처리에관한별도의규정을두고있지아니한반면, 정보통신망법은법정사유에해당하는경우를제외하고는주민등록번호를수집 이용할수없도록제한하고있음 ( 제23조의2 제1항 ). 정보통신서비스제공자는본인확인기관으로지정받은경우, 법령에서이용자의주민등록번호수집 이용을허용하는경우, 영업상목적을위하여이용자의주민등록번호수집 이용이불가피하여방송통신위원회가고시하는경우에는예외적으로주민등록번호를수집 이용할수있음. 예외적으로주민등록번호를수집 이용할수있는경우에도주민등록번호를사용하지아니하고본인을확인할수있는대체수단 ( 아이핀, 휴대폰인증, 공인인증서인증등 ) 을제공하여야함 ( 제23조의2 제2항 ). 개인정보보호법역시법정사유에해당하는경우를제외하고는주민등록번호를처리할수없도록제한하고있음.( 제24조의2) 43) 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우, 정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우, 위사유에준하여주민등록번호처리가불가피한경우로서안전행정부령으로정하는경우 44) 에는예외적으로주민등록번호를처리할수있음. 다만, 위경우에도정보주체가인터넷홈페이지를통하여회원으로가입하는단계에서는주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야함. 43) 동규정은 2013. 8. 6. 신설되었고, 2014. 8. 7. 부터시행될예정임. 44) 2014.5월현재규정된사항없음.
80 조사보고서 2014-8 2) 적용기준검토 신용정보법은주민등록번호처리에관한별도의규정을두고있지아니한반면, 정보통신망법과개인정보보호법은법정사유에해당하는경우를제외하고는주민등록번호를수집 이용할수없도록제한하고있는바, 보험개인정보의경우에도법령에서허용하는경우외에는주민등록번호의처리가제한되는것으로해석됨. 보험회사등은온라인보험의경우에는정보통신망법제23조의2 제1항제2 호에따라 법령에서이용자의주민등록번호수집 이용을허용하는경우, 오프라인보험의경우개인정보보호법제24조제1항제1호에따라 법령에서구체적으로주민등록번호의처리를요구하거나허용하는경우 에해당할때에는주민등록번호를수집할수있음. 보험업법시행령제102조는동규정에열거된사유에해당하는경우주민등록번호등고유식별정보를처리할수있다고명시하고있으므로동사유에해당하는경우주민등록번호를처리할수있을것으로해석됨. -다만, 보험업법시행령제102조에는고유식별정보등을처리할수있는사유가한정적으로열거되어있으므로보험회사등이주민등록번호를처리할수있는포괄적인법적근거가되기에는한계가있음. 한편, 신용정보법제34조및동법시행령제29조, 동법제2조제1호가목및동법시행령제2조제1호또한보험회사가주민등록번호를처리할수있는포괄적인법적근거가될수있다고해석됨. 신용정보법제34조및동법시행령제29조는주민등록번호를포함한개인식별정보를제공 이용할수있도록규정하고있고, 동법제2조제1호가목및동법시행령제2조제1항제1호의정의조항에서개인신용정보에 생존하는개인의주민등록번호 명시적으로열거하고있으므로, 이는위
보험개인정보적용법률의비교 분석및문제점 81 정보통신망법내지개인정보보호법의 법령에서주민등록번호수집 이용 ( 처리 ) 을허용 하는경우에해당한다고해석될수있음. 다만, 이와같은복잡한해석에의하는것보다보험업법등에보험회사등이주민등록번호처리를할수있는명확한근거규정을신설하는것이실무상혼란을줄일수있는방안일것임. 사. 민감정보의처리 1) 개인정보법률규정 신용정보법은신용정보회사등에대하여개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보의수집 제공을금지하고, 개인의질병정보에한하여보험회사가개인의동의를받아처리 ( 수집 조사, 이용, 제3자제공등 ) 하는것을허용하고있음 ( 제16조 ). 신용정보법은신용정보회사등이국가의안보및기밀에관한정보, 기업의영업비밀또는독창적인연구개발정보, 개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보, 확실하지아니한개인신용정보, 다른법률에따라수집이금지된정보등을수집 조사 제공하는것을제한하고있음. - 동신용정보법규정상의 개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보 에개인정보보호법상민감정보 ( 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보등 ) 가포함되는것으로해석됨. 개인의질병정보는당해개인의동의를받았다고하더라도그정보가필요한보험의계약및보험금지급업무를위한목적으로만이용되어야함 ( 시행령제13조 ).
82 조사보고서 2014-8 이에따라질병정보이외의정보인 개인의정치적사상, 종교적신념, 그 밖에신용정보와관계없는사생활에관한정보 등은개인의동의가있다 고하더라도수집 조사가금지되는것으로해석됨. 정보통신망법은원칙적으로 사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보 를수집할수없도록하고있으나, 이용자의동의가있거나다른법률에서허용하는경우에한하여예외적으로수집을허용함 ( 제23조제1항 ). 개인정보보호법또한개인정보처리자로하여금 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보인유전정보및범죄경력정보등 ( 이하 민감정보 라함 ) 을원칙적으로처리할수없도록하고있으나, 정보주체의별도동의가있거나법령에서민감정보의처리를요구하거나허용하는경우에한하여예외적으로처리를허용함 ( 제23조 ). 민감정보의처리를위하여신용정보법이나정보통신망법은개인또는이용자의 동의 를요하나, 개인정보보호법은다른개인정보의처리에대한동의와 별도의동의 를받을것을명시하고있음. - 그러나신용정보법이나정보통신망법상의동의또한 별도동의 로해석하는것이법체계상또는정보주체의보호상타당할것으로사료됨. 보험업법은전술한바와같이시행령제 102 조에서보험회사등이타인을위 한보험계약체결등을위하여민감정보중건강정보, 고유식별정보를처리 할수있다고규정하고있음. 45) 45) 자세한설명은 마. 고유식별정보 ( 개인식별정보 ) 의처리 참조
보험개인정보적용법률의비교 분석및문제점 83 금융분야가이드라인은신용정보법제16조에따라개인의정치적사상등신용정보와관계없는사생활에관한정보의수집 조사가금지되므로이에해당하는정보는정보주체의동의를받아도수집해서는안되며, 신용정보법제32조부터제34조까지의규정에따라민감정보를이용 제공하여야한다고규정함. 46) 2) 적용기준검토 신용정보법상 개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보, 정보통신망법상 사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보, 개인정보보호법상 사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보 는조금씩표현이달리명시되고있을뿐모두 사생활을침해할우려가있는정보, 즉민감정보에해당한다고판단됨. 특별법인신용정보법에서신용정보회사등이질병정보이외의민감정보를수집하는것을금지하고있으므로, 보험회사등은질병정보이외의민감정보는개인의동의를받더라도처리 ( 수집, 이용, 제3자제공등 ) 할수없는것으로보임. 다만, 민감정보와비민감정보의구분이불분명하여실무상혼란이발생할여지가있으므로시행령내지시행규칙등에서처리가금지되는민감정보, 동의를받아수집할수있는질병정보의범위를구체적으로명시할필요가있음. 또한실무상진단, 치료, 기왕증등의정보까지상기질병정보에포함시켜처리하고있는점에비추어 질병정보 를 건강정보 로용어를변경하는것이적절할것으로판단됨. 46) 안전행정부 금융위원회 금융감독원 (2013), pp.26~27.
84 조사보고서 2014-8 - 보험업법시행령제 102 조는 건강에관한정보 ( 건강정보 ) 라는용어를 사용하고있는데이는위신용정보법의질병정보와동일한개념이라 고판단됨. 한편, 금융분야가이드라인에따르면보험회사는민감정보의처리시원칙적으로해당개인의동의를받아야하며, 해당규정이정하고있는예외사유에포함되는경우에는동의없이도제공이가능한것으로해석됨. 그러나신용정보법관련규정의해석상질병정보이외의민감정보는수집 조사할수없을뿐만아니라이용하거나제3자에게제공할수도없다고판단되며, 이는개인의동의를받거나신용정보법제32조부터제34조까지의규정에의하더라도마찬가지임. - 신용정보법은신용정보회사등이질병정보이외의민감정보를수집 조사하는것을금지하고있으므로수집 조사를전제로한이용및제 3자제공역시금지된다고해석하는것이논리에부합함. - 이에따라신용정보법제16조제2항은질병정보의처리 ( 수집, 조사, 이용, 제3자제공 ) 에관하여규정하고있음에반하여, 동법제16조제1항은질병정보이외의민감정보등의수집 조사를금지하고있을뿐별도로이용 제공에관하여규정하고있지아니하고있는것으로보임. - 따라서상기가이드라인이신용정보회사등은질병정보이외의민감정보는개인의동의를받더라도수집해서는안된다고설명하고있음에도불구하고, 민감정보가포함된개인신용정보를신용정보법제32조내지제34조에따라해당개인의동의를받아이용 제공할수있고예외사유에포함되는경우에는동의없이도제3자에게제공할수있다고설명하는것은모순된해석이라고판단됨.
보험개인정보적용법률의비교 분석및문제점 85 구분신용정보법정보통신망법개인정보보호법보험업법 수집금지 예외 1. 국가의안보및기밀에관한정보 2. 기업의영업비밀또는독창적인연구개발정보 3. 개인의정치적사상, 종교적신념, 그밖에신용정보와관계없는사생활에관한정보 4. 확실하지아니한개인신용정보 5. 다른법률에따라수집이금지된정보 - 사전동의를받은질병에관한정보 ( 162) < 표 Ⅲ-10> 개인정보법률상 민감정보 관련규정 사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보 ( 231) ⅰ) 사전동의 ⅱ) 다른법률에따라수집이허용된경우 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보 ( 유전정보, 범죄경력자료 )( 23) ⅰ) 별도동의 ⅱ) 법령에서요구하거나허용하는경우 - 건강에관한정보처리가능 ( 영 102) a. 순보험요율의산출 검증및제공 b. 보험관련정보의수집 제공및통계의작성 c. 보험전산망운영업무 d. 중복보험계약확인, 크로스보더보험계약확인 e. 상호협정수행업무 f. 제 3 자의보험금지급보장사무 g. 차량수리비실태점검사무 h. 타인을위한보험계약사무 i. 제 3 자배상책임보험사무 j. 보험수익자지정 변경사무 k. 단체보험계약사무 아. 보험개인정보의위탁 1) 개인정보법률규정 신용정보법은신용정보회사등으로하여금그업무범위에서의뢰인의동의를받아다른신용정보회사등에신용정보의 수집 조사 를위탁할수있도록하고 ( 제17조제1항 ), 수집된신용정보의처리 는일정한금액이상의자본금등일정한요건을갖춘자에게위탁할수있다고규정하고있음 ( 제17조제2항 ).
86 조사보고서 2014-8 여기서계약이행에필요한경우로서제17조제2항에따라신용정보의처리를위탁하기위하여제공하는경우에는정보주체로부터의동의를면제받음 ( 제32조제4항제2호 ). 신용정보회사등과제17조제2항에따라신용정보의처리를위탁받은자의임직원이거나임직원이었던자는업무상알게된타인의신용정보및사생활등개인적비밀을업무목적외에누설하거나이용하여서는안됨 ( 제42조제1항 ). 제17조제2항에따라신용정보의처리를위탁받은자가이법을위반하여신용정보주체에게피해를입힌경우에는위탁자는수탁자와연대하여손해배상책임을짐 ( 제43조제4항 ). 신용정보의처리를위탁하는경우그업무의내용및수탁자등을점포 사무소안의보기쉬운장소에두거나인터넷홈페이지에게재하여신용정보주체가열람할수있도록공시하여야함 ( 시행령제27조 ). 정보통신망법은정보통신서비스제공자등으로하여금이용자의동의를받아제3자에게개인정보의취급 ( 수집, 이용, 제공, 관리, 파기등 ) 을위탁할수있도록규정하고있음 ( 제25조제1항 ). 정보통신서비스제공자는동의를받기전에이용자에게수탁자와위탁하는업무의내용에대하여알려야함. 정보통신서비스제공자등은정보통신서비스의제공에관한계약을이행하기위하여필요한경우로서수탁자, 위탁하는업무의내용을개인정보취급방침에따라공개하거나전자우편등으로이용자에게알린경우에는상기고지절차와동의절차를거치지아니할수있음 ( 제25조제2항 ). 정보통신서비스제공자등은수탁자를관리 감독하여야하며 ( 제25조제4 항 ), 수탁자가개인정보취급위탁을받은업무와관련하여이용자에게손해를발생시키면그수탁자를손해배상책임에있어서정보통신서비스제공자등의소속직원으로봄 ( 제25조제5항 ).
보험개인정보적용법률의비교 분석및문제점 87 정보통신서비스제공자는개인정보취급위탁내역을주기적으로이용자에 게통지하여야함 ( 제 30 조의 2). 개인정보보호법은개인정보처리업무를위탁하는경우동법에서명시하고있는내용이포함된문서에의하여야하고, 수탁자와위탁업무의내용을정보주체가언제든지확인할수있도록대통령령으로정하는방법에따라공개하여야한다고규정하고있음 ( 제26조 ). 개인정보보호법은정보통신망법과달리개인정보처리업무위탁시정보주체의동의를요건으로규정하고있지아니함. 개인정보처리업무위탁시문서에기재하여야할사항은위탁업무수행목적외개인정보의처리금지에관한사항, 개인정보의기술적 관리적보호조치에관한사항, 그밖에개인정보의안전한관리를위하여대통령령으로정한사항임. - 여기서 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 이라함은위탁업무의목적및범위, 재위탁제한에관한사항, 개인정보에대한접근제한등안전성확보조치에관한사항, 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항을말함 ( 시행령제28조제1항 ). 법상 대통령령으로정하는공개방법 이란개인정보처리업무를위탁하는위탁자가위탁자의인터넷홈페이지에위탁하는업무의내용과수탁자를지속적으로게재하는방법을말함 ( 시행령제28조제2항 ). 재화또는서비스를홍보하거나판매를권유하는업무를위탁하는경우는정보주체에게서면, 전자우편, 팩스, 전화, 문자전송또는이에상당하는방법으로수탁자와위탁하는업무의내용을알려주어야하고, 과실없이이를알릴수없는경우동내용을인터넷홈페이지에 30일이상게재하여야함 ( 시행령제28조제4항, 제5항 ). 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유
88 조사보고서 2014-8 출 변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등수탁자가개인정보를안전하게처리하는지를감독하여야함 ( 제26조제4항 ). 수탁자가위탁받은업무와관련하여개인정보를처리하는과정에서발생한손해배상책임에대하여는수탁자를개인정보처리자의소속직원으로봄 ( 제26조제6항 ). 금융분야가이드라인은개인신용정보수집 조사의위탁에관해서는신용정보법제17조가적용되고그밖의개인정보처리업무의위탁은개인정보보호법제26조가적용된다고해석함. 개인신용정보의수집 조사를위탁하는경우신용정보회사등은신용정보법에따라그업무범위에서의뢰인의동의를받아야함. - 위동의는위탁자체에대한동의를말하며이를위하여개인정보를수탁자에게제공하는것은동의없이가능함. 수집된신용정보의처리를위탁하는경우수탁자의자격, 절차, 공시등과관련해서는신용정보법및동법시행령에서정한사항을준수하여야함. 신용정보이외의개인정보처리를위탁하는경우개인정보보호법제26조에서정한사항이포함된문서에의하여야하고, 동법에따라위탁사항등을공개하여야함. 그러나동가이드라인은신용정보처리위탁의경우에도개인정보보호법등을보충적으로적용하여동법에서정한요건및절차도준수해야하는지의여부등에관하여는언급하지않고있음. 2) 적용기준검토 보험회사가자신의영업을위하여보험개인정보의처리를위탁하는경우신 용정보법상의뢰인의동의는필요없는것으로해석됨.
보험개인정보적용법률의비교 분석및문제점 89 신용정보법제17조제1항은신용정보의수집 조사업무를위탁하는경우정보주체가아닌 의뢰인 의동의를얻어야한다고규정하고있는데, 이는신용정보회사가신용정보의수집 조사업무를의뢰받아재위탁하는경우를전제로한다고해석됨. - 따라서보험회사가제3자로부터의뢰받은업무가아니라자신의영업을위하여신용정보를수집 조사를위탁하는경우에는동의를요하지아니한것으로판단됨. 또한신용정보의처리를위탁하기위하여제공하는경우에는제32조제4 항제2호 47) 에따라정보주체로부터의동의가면제됨. 온라인보험에서이용자의개인정보처리를위탁하는경우신용정보법에서정한절차이외에도정보통신망법및개인정보보호법의위탁절차도준수하여야할것으로해석됨. 따라서보험회사는정보통신망법에따라수탁자를관리 감독하여야하며, 이용자에게손해발생시수탁자를소속직원으로간주하고, 개인정보의위탁내역을주기적으로통보하여야함. - 방송통신위원회등은정보통신서비스제공자가이용자의개인정보처리위탁하는경우정보통신망법의고지및동의절차를이행하고, 문서에의한위탁등개인정보보호법의위탁업무처리절차도준수할것을권고하고있음. 48) 그러나정보통신망법에의하여이용자의개인정보처리를위탁하는경우에도이용자의동의를요하지는않는것으로해석됨. 47) 계약의이행에필요한경우로서제17조제2항에따라신용정보의처리를위탁하기위하여제공하는경우. 48) 방송통신위원회 한국인터넷진흥원 (2012), pp.52~55.
90 조사보고서 2014-8 오프라인보험에서이용자의개인정보처리를위탁하는경우신용정보법에서정한절차이외에도개인정보보호법의위탁절차도준수하여야할것으로해석됨. 다만, 이경우에도개인정보보호법은개인정보처리위탁시정보주체의동의를요건으로규정하고있지아니하므로정보주체의동의를요하지아니함. 각법이정의하고있는개인정보의 처리 내지 취급 의행위태양이다르고, 그위탁절차등도다소상이하여그해석및적용이매우혼란스러우므로입법에의한개선이필요한것으로보임. 신용정보법에서정의하는 신용정보처리 와개인정보보호법에서정의하는 개인정보처리, 정보통신망법의 개인정보취급 은아래와같이구체적인행위태양에차이가있음. - 신용정보법상의 신용정보처리 : 컴퓨터를이용하여신용정보를입력 저장 가공 편집 검색 삭제또는출력하는행위, 신용정보를배달 우송또는전송등의방법으로타인에게제공하는행위, 그밖에가목또는나목과비슷한행위 ( 신용정보법제2조제13호 ) - 개인정보보호법상의 개인정보처리 : 개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 ( 개인정보보호법제2조제2호 ) - 정보통신망법상의 개인정보취급 : 개인정보의수집 보관 처리 이용 제공 관리 파기등행위 ( 정보통신망법제25조제1항 )
보험개인정보적용법률의비교 분석및문제점 91 구분신용정보법정보통신망법개인정보보호법가이드라인 사전동의 예외 공시 의무 신용정보의수집 조 - 개인정보의취급위탁 : 이 사위탁 : 의뢰인의동의 고지 ( 171) 용자의동의 고지 ( 251) - 수집된신용정보의처리를위탁하기위하여제공하는경우 : 동의 ( 고지 ) 면제 ( 172, 32 4ⅱ) - 신용정보활용체제의공시 : 신용정보의처리를위탁하는경우그업무의내용및수탁자 ( 영 27 2) 계약을이행하기위하여필요한경우로서개인정보취급방침에따라공개하거나전자우편등으로알린경우 : 고지 동의면제 ( 252) - 개인정보취급방침의공개 : 개인정보취급위탁을하는업무의내용및수탁자 ( 27 의 2) - 개인정보이용내역 ( 위탁포함 ) 의주기적통지 ( 30 의 2) 개인정보처리업무위탁시다음의사항이포함된문서로하여야함.( 261) a. 위탁업무수행목적외개인정보의처리금지에관한사항 b. 개인정보의기술적 관리적보호조치관련사항 - 개인정보처리방침의공개 : 개인정보처리의위탁에관한사항 ( 301ⅳ) - 수탁자와위탁업무의내용을인터넷을통해지속적으로게재 ( 262) 위탁자와수탁자의연 - 수탁자에대한관리 - 수탁자교육, 안전성감독 대손해배상책임 ( 43 4) 감독의무 ( 254) - 손해배상책임에 등 ( 264) 있어 - 손해배상책임에있어수 수탁자를소속직원으로봄 ( 255) 탁자를소속직원으로봄 ( 266) 기타 - < 표 Ⅲ-11> 개인정보법률상 위탁 관련규정 영리목적의광고성정보재화 서비스홍보나판매전송의위탁시, 관리 권유업무위탁시 : 정보주감독의무및소속직원간체에게서면등으로통지하주 ( 50의3) 거나인터넨홈페이지에 30 일이상게재 ( 영 28) - 개인신용정보수집 조사의위탁 : 신용정보법제 17 조적용 - 그밖의개인정보처리업무의위탁 : 개인정보보호법제 26 조적용 위와같이신용정보법상의 처리 에관한행위태양과개인정보보호법상의 처리 행위태양이상이하므로, 신용정보법상의 처리 에해당하지않으나정보통신망법상의 취급 내지개인정보보호법상의 처리 에해당하는경우에는정보통신망법내지개인정보보호법이적용되어야함.
92 조사보고서 2014-8 또한신용정보법상의 처리 에해당하는경우라고할지라도, 신용정보법에서정하고있지아니한정보통신망법내지개인정보보호법의위탁절차 ( 위탁업무수행목적등이기재된문서에의한위탁, 수탁자등공개, 홍보내지판매권유를업무로하는위탁시고지등 ) 규정들이보충적으로적용되어야할것으로보임. 자. 보험개인정보의파기 1) 개인정보법률규정 신용정보법은신용정보주체에게불이익을줄수있는신용정보는그불이익을초래하게된사유가해소된날부터최장 5년이내에삭제하여야하고 ( 제 18조제2항 ), 폐업하려는경우에는금융위원회가정하여고시하는바에따라보유정보를처분하거나폐기하여야한다고규정하고있음 ( 제21조 ). 여기서신용정보주체에게불이익을줄수있는신용정보 ( 불이익정보 ) 는아래와같음 ( 시행령제15조제4항 ). -연체, 부도, 대위변제및대지급과관련된정보 - 신용질서문란행위와관련된정보 - 법원의파산선고 면책 복권결정및회생 개인회생의결정과관련된정보 - 체납관련정보 - 신용정보중체납관련정보 - 그밖에위정보와유사한형태의불이익정보로서금융위원회가정하여고시하는신용정보 ( 채무재조정약정정보, 신용회복지원확정정보 ) 신용정보의활용기간및보존기간은 3년이상 5년이내의범위에서금융위원회가정하여고시하고, 신용정보의삭제방법, 기준및절차등에관하여필요한세부사항도금융위원회가정하여고시함 ( 시행령제15조제5 항및제6항 ).
보험개인정보적용법률의비교 분석및문제점 93 정보통신망법은파기사유에해당하는경우개인정보를지체없이파기해야하지만다른법률에따라보존하여야하는경우에는그러하지아니하다고규정하고있음 ( 제29조제1항 ). 정보통신망법상의파기사유는개인정보수집 이용 제공등의목적을달성한경우, 개인정보의보유및이용기간이종료된경우, 사업을폐업한경우등임.( 제29조제1항 ) 이이외에도이용자가동의를철회하면지체없이수집된개인정보를파기하여야함 ( 제30조제3항 ). 또한정보통신망법은정보통신서비스제공자등으로하여금이용자가정보통신서비스를일정기간동안이용하지아니하는경우에는이용자의개인정보를해당기간경과후즉시파기하거나다른이용자의개인정보와분리하여별도로저장 관리하도록하고있음 ( 제29조제2항 ). - 정보통신서비스를이용하지않는일정기간이란통상적으로는 3년을말하지만, 다른법령에서별도의기간을정하고있는경우는해당법령에서정한기간이되고, 이용자의요청에따라기간을달리정한경우는달리정한기간이해당기간이됨 ( 시행령제16조제1항 ). -한편, 정보통신서비스제공자등은상기기간만료 30일전까지개인정보가파기되거나분리되어저장 관리되는사실과기간만료일및해당개인정보의항목을전자우편 서면 모사전송 전화또는이와유사한방법중어느하나의방법으로이용자에게알려야함 ( 시행령제 16조제4항 ). 개인정보보호법은보유기간경과, 개인정보처리목적달성등그개인정보 가불필요하게되었을때는지체없이파기하여야하나, 다른법령에따라보 존하여야하는경우에는그러하지아니하다고규정하고있음 ( 제 21 조 ).
94 조사보고서 2014-8 신용정보법제20조제2항 49), 보헙업법시행령제42조의3 제3항 50), 상법제33조 51) 등과같이다른법령에보존기한이명시된경우에는이를준수하여야함. 52) 개인정보처리자가개인정보를파기할때에는복구또는재생되지아니하도록조치하여야함. 개인정보처리자가다른법령에따라개인정보를파기하지아니하고보존하여야하는경우 ( 제21조제1항단서 ) 에는해당개인정보또는개인정보파일을다른개인정보와분리해서저장 관리하여야함. 금융분야가이드라인은개인 ( 신용 ) 정보의파기에대하여는신용정보법제18 조및개인정보보호법제21조에따라야한다고해석함. 보유기간의경과, 개인정보처리목적달성등으로불필요하게되었을때지체없이 (5일이내 ) 파기하여야함. 법령상보존기한이명시된경우 ( 신용정보법제18조, 제21조사유등 ) : 보존기한이경과된후지체없이파기하여야함. 49) 제20조 ( 신용정보관리책임의명확화및업무처리기록의보존 ) 2 신용정보회사등은다음각호의사항에대한기록을 3년간보존하여야한다. 1. 의뢰인의주소와성명또는정보제공 교환기관의주소와이름 2. 의뢰받은업무내용및의뢰받은날짜 3. 의뢰받은업무의처리내용또는제공한신용정보의내용과제공한날짜 4. 그밖에대통령령으로정하는사항 50) 제42조의3( 적합성원칙의확인내용등 ) 3 보험회사및보험의모집에종사하는자는법제95조의3제1 항에따라확인받은내용을보험계약체결이후종료일부터 2년간유지 관리하여야한다. 51) 제33조 ( 상업장부등의보존 ) 1상인은 10년간상업장부와영업에관한중요서류를보존하여야한다. 다만, 전표또는이와유사한서류는 5년간이를보존하여야한다. 2 전항의기간은상업장부에있어서는그폐쇄한날로부터기산한다. 3제1항의장부와서류는마이크로필름기타의전산정보처리조직에의하여이를보존할수있다. 4제3항의규정에의하여장부와서류를보존하는경우그보존방법기타필요한사항은대통령령으로정한다. 52) 방송통신위원회 한국인터넷진흥원 (2012), p.82.
보험개인정보적용법률의비교 분석및문제점 95 법령상보존기한이불분명하나정보주체의동의가있는경우 : 당초정보주체가동의한보유기간이경과하면파기하여야하고, 기간을정하지아니하였다면당초보유목적달성후지체없이파기하여야함. 법령상보존기한이불분명하고정보주체의동의도없는경우 : 당초보유목적달성후지체없이파기하여야함. 계약완료등으로개인정보가불필요하게되었으나법령상잔여보유기간이남아있는경우, 수집목적은달성하였으나향후분쟁대응, 금융소비자보호, 금융감독당국의검사 수감등을위하여불가피하게개인정보의보존이필요한경우에는다른개인정보와분리하여저장 관리하고상품소개등다른업무상목적으로이용할수없음. 2) 적용기준검토 신용정보법은신용정보의파기에관한일반규정이없어, 신용정보주체에게불이익을줄수있는정보이외의정보나폐업이외의경우에관하여보존및파기에관한명확한기준을제시하지못하고있음. 신용정보법에열거된파기사유이외의경우에는정보통신망법내지개인정보보호법에기재된파기규정이보충적으로적용되어야할것으로보임. 다만, 정보통신망법내지개인정보보호법도그파기사유를 보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때 등으로포괄적으로규정하고있고, 구체적인보존내지파기기준은각자의개인정보처리방침에서자유롭게정하도록맡기고있어정보보관자마다그파기기준이제각각인문제점이있음. 따라서하위규정등에서보험개인정보의종류, 수집목적, 보관필요성등에따라구체적인보존및파기기준을정할필요가있음.
96 조사보고서 2014-8 < 표 Ⅲ-12> 개인정보법률상 파기 관련규정 구분 즉시파기 일정기간후파기 신용정보법정보통신망법개인정보보호법가이드라인 - 폐업시 : 금융감독원소속직원의입회하에처분 폐기 ( 21) - 불이익정보 : 3~5 년내폐기 ( 182) a. 연체, 부도등관련정보 b. 신용질서문란행위관련정보 c. 법원의파산선고등관련정보 d. 체납관련정보 e. 채무재조정약정정보 f. 신용회복지원확정정보 - 지체없이파기 ( 291) a. 개인정보수집 이용 제공등의목적을달성한경우 b. 개인정보의보유및이용기간이종료된경우 c. 사업을폐업한경우 d. 이용자의동의철회 ( 303) -3년이상 ( 별도로기간을정한경우제외 ) 정보통신서비스를이용하지않을경우 : 기간경과후즉시파기또는분리보관 ( 29 2) 기간만료 30일전까지개인정보항목, 만료일, 파기사실등통지 ( 영 164) - 지체없이파기 : 보유기간의경과, 개인정보의처리목적달성등개인정보가불필요하게되었을때 ( 211) - 다른법령에따라보존하여야하는경우 ( 211 但 ) 해당개인정보또는개인정보파일을다른개인정보와분리하여서저장 관리 - 처리목적달성등으로불필요하게되었을때 : 지체없이 (5 일이내 ) 파기 - 법령상보존기한명시 : 기한경과후지체없이파기 - 법령상보존기한이불분명하나정보주체의동의가있는경우 : 당초정보주체가동의한보유기간경과시파기, 기간미지정시당초보유목적달성후지체없이파기 - 법령상보존기한이불분명하고정보주체의동의도없는경우 : 당초보유목적달성후지체없이파기 - 계약완료등으로개인정보가불필요하게되었으나법령상잔여보유기간이남아있는경우, 수집목적은달성하였으나향후분쟁대응 금융소비자보호등을위하여불가피하게개인정보의보존이필요한경우 : 개인정보와분리하여저장 관리
보험개인정보적용법률의비교 분석및문제점 97 3. 보험개인정보보호법제및운영상문제점 가. 적용법률의불명확및중첩적용 1) 동일보험거래에대해다수의적용법률존재 가 ) 보험정보에대해서는기본적으로신용정보법적용 금융회사의개인정보보호및관리는주로신용정보의집중 활용체계를근간으로하여이루어져오고있으며, 보험정보또한보험정보가신용정보에포함된다는재정경제부의유권해석에따라현재보험회사가보유하고있는보험개인정보에대해신용정보법을적용하고있음. 개인정보보호법제정이전에는개인신용정보가아닌개인금융정보에대해서는금융실명법이나정보통신망법이적용되는일부의경우를제외하고는특별히적용되는법률이없었으므로, 금융및보험산업에있어서는이들정보를규율하는법으로신용정보법을선택한것으로판단됨. 그러나신용정보법은기본적으로신용정보의공유및활용을촉진하기위한법으로서보험제도의운영과는기본목적이상이할뿐만아니라보험개인정보가신용정보에포섭되는지의여부에대해서도이견이존재함. 나 ) 온라인보험계약등에대해서는정보통신망법보충적용 보험회사가정보통신망등온라인을통하여보험계약을체결할경우에는신용정보법을적용하여야하는지또는정보통신서비스제공자로서정보통신망법이적용되는지에대하여의견이대립되고있는상황임. 방송통신위원회는해설서등을통해동일한보험계약의경우라도보험계약의체결이정보통신망등을이용한온라인계약의경우에는정보통신망
98 조사보고서 2014-8 법이적용되는것으로해석함. - 정보통신망법은개인정보보호법제정이전에는온라인을이용하여정보통신서비스를제공하는정보통신서비스제공자뿐아니라여행업, 호텔업, 백화점, 대형마트등정보통신서비스제공자가아닌사업자들중개인정보를많이다루는사업자, 즉소위 준용사업자 에대해서까지적용범위를확대함으로써온라인 오프라인의대부분의영역에적용되고있었음. 이에대하여금융위원회는해석을달리하고있으나, 현실적으로정보통신망법의적용을막을수없어, 중간에서보험회사는혼란만더욱가중되는실정임. 그러나최근에는온라인이용의보편화및일반법인개인정보보호법의제정으로정보통신망법에서개인정보보호조항을삭제하여야한다는의견이호소력을얻어가고있는실정임. 2012년한국인터넷진흥원실태조사결과, 기업들이사업운영시온라인적방법과오프라인적방법을동시에동원하여개인정보를수집하는경우가평균 72.7% 에달하고있어온라인적방법에대해별도의규제를하는것이무의미한것으로판단되기때문임. 또한기업들이사업운영시온라인적방법과오프라인적방법을동시에동원하여개인정보를수집하는경우, 온라인고객용 DB와오프라인고객용 DB를따로따로법적용하여야하는가의문제도발생하고있고, 기업들입장에서는두 DB를따로따로관리하여야하는가의문제도발생하고있음. 53) 53) 김경환 b(2014), p. 31.
보험개인정보적용법률의비교 분석및문제점 99 다 ) 개인정보보호법의제정 전술한바와같이개인정보보호법제정이전에도보험회사에적용되는개인 정보보호법제는영업형태에따라신용정보법과정보통신망법이중첩적으로 적용되었음. 이에더하여 2011년개인정보보호법이제정된이후에는개인정보보호법상의보충적용원칙에따라보험회사에적용되는개인정보보호규정은신용정보법과정보통신망법외에개인정보보호법으로확대되어그중첩성이보다심화된것으로평가됨. 개인정보보호법제6조에서는 개인정보보호에관하여는 정보통신망이용촉진및정보보호등에관한법률, 신용정보의이용및보호에관한법률 등다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다. 라고하여그적용범위를다소모호하게규정하고있는바, 동규정은신용정보법과정보통신망법을전부적용배제하는것이라고해석하기에는무리가있고, 신용정보법과정보통신망법에특별한규정이없는경우에만개인정보보호법의해당규정이적용되는것으로해석해야하기때문임. 라 ) 보험개인정보관련법률의다기화 이에따라현행법체계하에서는보험회사가동일한보험계약자와보험계약을체결함에있어서도거래경로나수집정보의유형에따라다음과같이다양한법률이적용됨. 최우선적용법률인보험업법을제외하더라도, ⅰ) 오프라인으로수집한보험정보에는신용정보법이적용되고, ⅱ) 오프라인으로수집한정보중
100 조사보고서 2014-8 신용정보가아닌개인정보는개인정보보호법이적용되며, ⅲ) 온라인으로수집한보험정보에는신용정보법외에정보통신망법이적용되며 54), 이에더하여 ⅳ) 거래경로를불문하고신용정보법이나정보통신망법에규정되지않은사항에대해서는개인정보보호법이보충적용됨. 그런데실무상같은고객과같은보험거래를하면서그수집경로가온라인인지오프라인인지, 수집하는정보가신용정보에해당하는지아닌지, 그리고신용정보법이나정보통신망법에규정이있는지없는지에따라모두달리구분하여보관, 관리하는것은상당히어려우며, 무엇보다이러한경우마다규율을달리하여야하는당위성이인정될수있는지에대해서도의문의여지가없지않음. 55) 2) 개인정보법률간정합성부재로인한혼란존재 개인정보보호법은개인정보보호를위한일반법의제정이라는입법취지를가지고있었음에도현재본연의역할을수행하지못함으로써일반법과개별법간의규율범위에있어혼란을초래하고있는것으로판단됨. 신용정보법과정보통신망법이개별법임에도불구하고일반법인개인정보보호법과유사한법률체계를가지고있어 ( 준기본법의형태 ) 기본적으로일반법과개별법이충돌할수밖에없는구조이기때문임. - 다시말하면, 일반법인개인정보보호법의제정이전에개별법에해당하는신용정보법이나정보통신망법이이미존재하고있어, 개인정보보호법제정시에입법체계의정합성을갖추기위한정비작업이선행되어야했으나, 이에대한충분한고려가부족했던것으로판단됨. - 이에따라, 개별법의조항중에는개인정보보호법의기본취지에부합되도록개정또는삭제될필요가있는경우가적지않았는데도, 개인정 54) 일정한경우에는전자금융거래법도중복적용되는것으로판단됨. 55) 박재현 (2014), p.8.
보험개인정보적용법률의비교 분석및문제점 101 보보호법이시행된지 3년이다된현재까지도그러한입법적정비작업이제대로이루어지지못하고있는실정임. 또한개별법보다늦게제정된개인정보보호법이통상적인일반법과개별법간의규율범위를벗어나지나치게강하고세밀하게규율되고있는것도혼란을가중시킨요인중의하나라는의견이있음. 56) - 그에의하면, 일반법에따라기본적인규율범위가정해지고, 각영역별로일반법의규율보다더강하게또는약하게규율할필요성이있을때마다개별법에서그에맞게규율의강도를달리하는것이통상적인데비해, 개인정보보호법은개인정보에관한전체적인규제를빠짐없이포섭하려다보니종래의개별법에서규율하는수준보다대체적으로더강하게규율하거나, 또는종래개별법에서는없던규제가새로포함되는경우가상당부분생기게되었다는것임. 3) 개인정보보호법상보충적용기준미비 개인정보보호법제6조는 개인정보보호에관하여는 정보통신망이용촉진및정보보호등에관한법률, 신용정보의이용및보호에관한법률 등다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다 고규정하고있음. 앞에서도여러번언급한바와같이, 이규정은다른법률에개인정보에관한특별규정이있으면그규정을적용하고그렇지아니한경우에개인정보보호법을보충적으로적용한다는것을명시하여양자는일반법과특별법의관계에있음을밝히고있는것임. 56) 박재현 (2014), p. 8.
102 조사보고서 2014-8 이러한보충성의원칙은일응일반법과특별법간의관계를명확히함으로써법률간해석기준을제시하고있는듯이보이나, 우리나라의개인정보법률들에있어서는법률별특성차이나산업별규제목적차이를간과하게함으로써오히려불명확성을가중시키고있는것으로판단됨. 신용정보법은신용정보의효율적이용과체계적관리의도모가, 정보통신망법은정보통신망이용의촉진이주된목적인반면개인정보보호법은개인정보의보호 57) 가주된목적인바, 각법률들은각각제정취지가상이하여규제차이가존재하는것이현실임. 그러나개인정보보호법은이러한제정취지를간과하고각특별법에서규정하지않은사항에대해서는개인정보보호법을무조건적으로보충적용토록함에따라산업별특성을무시하고회사나소비자에게혼란을야기시키고있는것으로보임. 보다쉬운이해를위하여 < 표 Ⅲ-13> 에서는보충적용원칙의불합리한사례를실제보험회사의경험을토대로하여논의해보고자함. 58) - 개인정보수집시회사는정보주체로부터의동의수령과더불어일정한사항을통지하여야하나, 이통지사항이개인정보보호법과정보통신망법에차이가있음. - A생명보험회사는인터넷보험계약거래를함에있어정보통신망법제 22조의규정에따라 3가지사항을통지하였으나, 2011년안행부는 A생보사가개인정보보호법제15조의규정에따르지않았다는 ( 제15조제2 항제4호누락 ) 이유로제재를부과하였음. - 이는정보통신망법에규정되지않은사항은개인정보보호법이적용된다는보충성의원칙을적용함에따른결과임. 57) 개인정보보호법은최초에개인정보의이용및보호에관한법률로발의되었으나, 국회논의과정에서법제정목적중이용부분을삭제하고보호에관한법률로제정됨. 58) 본사례는연구자들이 2013년 11월보험회사방문면담을통해보험회사실무자들로부터수집한내용임.
보험개인정보적용법률의비교 분석및문제점 103 < 표 Ⅲ-13> 개인정보법률상개인정보수집시통지사항 개인정보보호법신용정보법정보통신망법 제 15 조 ( 개인정보의수집 이용 ) 2 개인정보처리자는제 1 항제 1 호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다 1. 개인정보의수집 이용목적 2. 수집하려는개인정보의항목 3. 개인정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 관련규정없음 제 22 조 ( 개인정보의수집 이용동의등 ) 1 정보통신서비스제공자는이용자의개인정보를이용하려고수집하는경우에는다음각호의모든사항을이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항을변경하려는경우에도또한같다 1. 개인정보의수집 이용목적 2. 수집하는개인정보의항목 3. 개인정보의보유 이용기간 한편, 이와같은문제점을보완하기위하여행정안전부, 금융위원회등이금융분야가이드라인을제시하였으나, 동가이드라인은금융및보험산업의특성을반영하고있지않을뿐만아니라법령간유사규정의최대공약수만을나열한것에불과하여실효성에의문이제기되고있는실정임. 동가이드라인역시타법률에관련규정이없을경우모두개인정보보호법이적용된다는무조건적인보충성의원칙을적용하고있기때문인것으로판단됨. 4) 개인정보법률간실제적용규정의복잡성 : 모자이크법 보험개인정보의적용법체계에있어가장문제되는것중의하나는다수의관련법률들이짜깁기되어모자이크법의형태로적용된다는것임. 이로인하여적용법률간관계가복잡하게얽히게되어, 보험소비자는물론이고보험회사의개인정보담당직원들조차정확한관련적용규정을자신할수없게되기도함.
104 조사보고서 2014-8 따라서종국에는모든실무자들은혹시있을지도모를제재를회피하기위해서라도모든개인정보법률중가장강한규제를모두선택하여적용하게되는모순을유도하게됨. 모자이크법의사례는개인정보보호법과신용정보법및정보통신망법간의관계를나타낸 < 그림 Ⅲ-2> 를통해살펴볼수있음. - 개인정보보호법과신용정보법및정보통신망법은그제정취지에따라그규정내용이다소상이하며, 이중개인정보보호법은가장폭넓고강한규제를가지고있는일반법으로서신용정보법이나정보통신망법에대한보충적기능을담당함. - 이에더불어이들법률간적용순위는, 온라인을통한보험계약의경우, 신용정보법이먼저적용되고신용정보법에규정이없을경우는정보통신망법과개인정보보호법의순서로보충적용이되므로, 최종적으로실제적용되는규정은그림하단과같이 3가지의법률이짜깁기되어이루어진형태를취하게되는것임. < 그림 Ⅲ-1> 법률적용의불명확성 : 모자이크법
보험개인정보적용법률의비교 분석및문제점 105 5) 적용법률의다기화에따른중복규제 전술한바와같이규제의취지가상이한다수의법률이보험개인정보에중첩적으로적용된결과개인정보처리방침의게시, 개인정보보호책임자의선임등여러부문에서중복되는규제가반복적으로적용되는현상이나타남. 신용정보법에따라신용정보활용체계를공시하였음에도유사한내용의개인정보처리방침 ( 개인정보보호법 ) 이나개인정보취급방침 ( 정보통신망법 ) 을다시공시하도록한것이나, 신용정보법에따라신용정보보호 관리인을선임하였음에도개인정보보호책임자 ( 개인정보보호법 ) 나개인정보관리책임자 ( 정보통신망법 ) 를또다시선임토록하고있는것등은사회적비용만증대시키는불필요한규제의중복이라고할수있음. - 이들은명칭부터차이를보이고있을뿐만아니라, 개인정보처리방침등의경우에는공개대상도차이를보이고, 개인정보보호책임자의경우는자격요건도상이하여일관적운영을곤란하게하고있음. 개인정보와관련한제재규정의내용또한상충되어형평성의원칙에서어긋난다는점이지적되고있음. - 정보통신망법위반시과징금과형벌을부과하지만개인정보보호법은과징금대신과태료를부과하고있음. - 신용정보법에는개인정보유출과관련한과징금및벌칙조항이없으나, 정보통신망법은과징금 1억원또는 2년이하의징역, 1천만원이하벌금을부과하며, 개인정보보호법은 2년이하징역과 1천만원이하의벌금을규정하고있음. 소비자의입장에서도보험회사의홈페이지에개인정보처리방침과신용정보활용체계를동시에공시할경우, 비슷한공시가같이있음으로해서왜두공시가존재하는것인지, 소비자가봐야할공시는무엇인지등에대하여혼란만을초래할뿐실제적인도움은되지못하는실정임.
106 조사보고서 2014-8 이에따라개인정보법제상의중복규제는법의실효성을낮추고기업의비 용을증가시키는주요원인이되고있음. 특히, 정보통신망법의경우에는일부규정을제외하고는개인정보보호법과거의유사한규제체계를갖고있어개인정보법중가장시급히정비되어야할것으로지적되고있음. 더불어정보통신망법은규제대상을정보통신서비스제공자 59) 로하고, 보호대상을정보통신서비스이용자의개인정보로규정하고있는바, 인터넷의보급과이용이보편화된요즘 정보통신서비스제공자 는사실상개인정보보호법의적용대상인 개인정보처리자 와대부분중첩되는것으로해석됨. 또한현행개인정보보호법제에의하면개인정보보호관련부처가개인정보보호위원회, 안전행정부, 금융위원회, 방송통신위원회등으로분산되고있어업무의통일성과효율성을기하기어려울뿐만아니라행정기관별역할과권한범위가명확하지않아보험회사나보험소비자모두에게혼란을야기시키고있는실정임. 개인정보보호에관한정책결정기능, 집행기능, 분쟁조정기능, 감독기능등이여러행정기관에분산되어있는것은업무상중복을초래하고효율적인법집행을어렵게하고있으며, 특히행정각부에서는다른부처의개인정보보호관련업무에대해독립적인지위에서감독기능을제대로수행하기어려움. - 보험회사의경우안전행정부, 금융위원회및방송통신위원회간에법률적용에대한의견이상충되고있을뿐만아니라각기관에서각각임점검사를실시함에따라규제리스크에직면하고있는상황임. 59) 정보통신서비스제공자 란 전기통신사업법 제 2 조제 8 호에따른전기통신사업자와영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자를말함 ( 법제 2 조제 1 항제 3 호 ).
보험개인정보적용법률의비교 분석및문제점 107 보험소비자는또한분쟁조정기관의다기화등으로인하여피해구제의절차에관하여혼란을겪고있는것이현실임. - 보험개인정보의적용법률이다기화됨에따라정부의소관부처도다기화될수밖에없고, 따라서각부처별로이해관계가상이할수도있기때문에개인정보의침해가있을경우보험소비자는안정행정부나방송통신위원회또는금융위원회 ( 금융감독원 ) 중어느기관에침해신고를해야할지고민해야될수도있음. - 더불어분쟁이조정으로까지이어질경우분쟁조정기관도개인정보분쟁조정위원회와금융분쟁조정위원회그리고한국소비자원의분쟁조정위원회로분리되어있어소비자에게혼선을야기시킬수있음. 조정기관별로조정결과가상이할수있기때문임. 나. 정보주체의보호미약 1) 개인정보의과도한수집및무단제공관행 최근의카드 3사개인정보유출사태의문제점으로정부가가장먼저지적한것이금융기관의과도한개인정보수집관행임. 금융위원회 (2014.3.10) 에따르면금융회사등이영업에필수적이지않은정보까지, 적게는 20여개에서많게는 50여개까지, 수집하여장기간보유하고있는것으로나타남. - 이렇듯불필요하게과다수집된개인정보에대한관리소홀로개인정보가노출될경우불법이용등으로인한피해확산이우려되는실정임. 한편, 생명보험협회와손해보험협회는신용정보법에의한개별신용정보집중기관으로서금융감독원의검사결과금융위원회의승인범위를초과하여보험정보를집중 관리하고있는것으로밝혀져집중적인비난과우려를받았음.
108 조사보고서 2014-8 - 2002년12월금융감독위원회 ( 현재의금융위원회 ) 는생 손보협회에대해보험정보 25개항목을집중할수있도록승인하였으나 60), 2012년금융감독원의검사결과생보협회는 188개항목 (125개항목 61) 초과 ), 손보협회는 27개항목 (10개항목초과 ) 을집중관리 활용한사실이확인됨. 보험회사의개인정보취득경로를살펴보면, 보험회사의경우주로아웃바운드마케팅이나푸시마케팅에의존하는바, 정상적인보험거래과정이외에마케팅이나업무제휴또는대리점등록과정에서다소불법적소지가있는방법으로개인정보를수집하고있는실정이며, 이러한개인정보들이텔레마케팅등에무분별하게이용되면서소비자의개인정보를침해할가능성이높아지고있음. 보험상품의판매에있어서는보험설계사등보험모집종사자가소비자에게일대일로접근하여보험계약의체결을권유하는적극적이고공격적인마케팅이행해지게되는바, 이러한마케팅과정에서보험모집종사자들은보험계약자등의주민등록번호, 계좌정보, 건강정보등의중요한개인정보를획득하게됨. 또한보험회사가대량의개인정보를얻을수있는방법으로는 ⅰ) 카드사, 백화점, 홈쇼핑업체, 인터넷포털등과업무제휴를맺어해당업체가보유한또는향후보유할개인정보데이터베이스를넘겨받거나, ⅱ) 인터넷쇼핑몰과 TV홈쇼핑을겸영하고있는통신판매업체나카드사등을보험대리점으로등록시켜해당업체가보유한고객정보를이용하는방법등이있음. 62) 60) 금융감독위원회, 시장 41254-102호, 2002.12.18. 61) 진단정보 ( 기왕력, 혈압, 맥박등 66개항목 ), 계약인수거절정보 ( 인수거절사유, 부담보부위등 9개항목 ), 보험금지급관련병원 의사정보 5개항목등 62) 한국정보보호진흥원 (2007), pp. 7~12.
보험개인정보적용법률의비교 분석및문제점 109 또한금융감독원이생명보험협회, 손해보험협회, 22개생명보험회사및 11개손해보험회사등에대해 보험계약정보이용 관리실태 에대한검사를실시한바, 개인정보제공 조회시의동의수령및확인업무가불철저한것으로나타남. 63) ( 개인신용정보무동의조회 ) 생 손보사및손해사정법인직원들이계약인수및보험금지급심사등의과정에서정보주체의사전동의없이보험계약정보를무단조회함 ( 생보사 4,696건, 손보사 3,568건 ). ( 개인신용정보조회관련점검의무미이행 ) 4개손보사는소속직원등이조회한정보에대하여정보주체의동의를득하였는지여부를점검하지않은것으로나타나제재를받았으며, 생명보험의경우는조회기록관리및적정성점검의무가생보협회에부여되어있어생보협회에대하여과태료를부과함. ( 검사자료허위제출에의한검사업무방해 ) A손보및 A자동차손해사정법인은개인신용정보조회동의서를허위로작성 제출함으로써금융감독원의검사업무를방해한사실이밝혀짐. ( 개인신용정보제공 활용에대한동의여부확인업무불철저등 ) 보험협회의경우보험회사에정보제공시정보주체의조회동의사실에대한진위여부점검을하지않았고, 내부직원이신원확인없이외부의뢰인에게정보를제공하고관련기록을보존하지않았으며, 정보조회의적정성을점검하지않음. 2) 사전동의제도의남용가능성 현재우리나라의모든개인정보법률들은사전동의제도를가장중요하고핵 심적인자기정보통제권의보장방법으로제시하고있음. 63) 금융감독원 (2012) 참조
110 조사보고서 2014-8 이에따라대부분의기업들은정보주체로부터사전에수집 이용및제공 동의를받으면보호문제가해결되는것으로인식하고있음. 그러나실제상사전동의의수령절차가적절하게행해지지않는등사전동의제도의오 남용으로인한정보주체의피해가능성이상존함. 현행사전동의제도의가장큰문제점은소비자가사전동의를일부라도거절할경우에는주된거래를전혀할수없도록차단하기때문에소비자는실제적으로사전동의를불가피하게강요당한다는것임. 또한소비자가개인정보의수집 제공등에자발적으로동의한경우에도동의규정이불명확 광범위하여 ( 포괄적동의수령 ) 오 남용의가능성이존재함. -제3자제공의경우에는목적도불분명한 포괄적동의 등으로인해본인이잘모르는수백개의제휴사등 ( 제3자 ) 에신상정보가제공되어스팸광고에의노출위험이증가하고있으며유출시피해규모의예상도어려움. 이렇듯불가피하게또는포괄적동의등에의해얻어진사전동의는 정보활용의면죄부 처럼활용됨으로써소비자보호를심각하게훼손시키고있는실정임. 3) 실질적인자기정보통제권보장미흡 자기정보통제권은 개인이자신에관한정보의흐름을파악하여통제할수 있는권리 64) 로간단히정의할수있는바, 이는자신에관한정보의생성과 유통, 소멸등에주도적으로관여할법적지위를보장하는것임. 64) 권건보 (2005), p.94.
보험개인정보적용법률의비교 분석및문제점 111 자기정보통제권은그내용에따라크게수집통제권 ( 수집동의권 ), 보유통 제권 ( 열람청구권, 정정청구권, 삭제 차단청구권 ) 및이용 제공통제권 ( 중단청구권, 추가적동의권 ) 등으로구분됨. 65) 우리나라의경우법제상으로는이러한자기정보통제권이충실히반영되어있으나, 수집동의권을제외하고는정보주체가실제로자신의권리를주장할수있는여건이조성되어있지못한실정임. 그러나실제로는이러한수집동의권조차도, 전술한바와같이, 정보의과도한수집및포괄적동의의강요등으로정보주체의권리가실질적으로보장되지못하고있음. 정보주체의입장에서본인의정보이용 제공상황을잘알지못하거나알기어렵고, 설혹안다고하더라도정보보호를요청할규정및절차가미비한상황이기때문임. 그나마보험권의경우에는보험요율산출기관인보험개발원에서 Do Not Call 제도를도입하여운영하고는있으나, 보험개발원이보유 하고있는 자동차보험계약정보 에대하여한정적으로만실시하고있다는한계점을가지고있음. 보험개발원은자사가보유한자동차보험계약정보가마케팅목적으로이용되고있는지의여부를확인하는등소비자의본인정보보호강화를위하여 2013년 4월부터 보험정보고객센터 를설치하여관련민원을유선으로일괄접수 처리하였으며, 2013년 10월부터는인터넷을통해서도접수 확인할수있는서비스를수행하고있음. 65) 권건보 (2005), pp.116~122 참조
112 조사보고서 2014-8 4) 수집동의수령여부및절차의불합리성 현재보험정보를포함한모든신용정보의경우실무상개인정보수집시동의수령을의무화하고있으나필수정보에대해서는여전히동의수령의법적근거및그실효성에대해이견이존재하고있는실정임. 개인정보보호법은개인정보처리자가개인정보를수집할경우에는정보주체의동의를받도록명시적으로규정 ( 제15조제1항제1호 ) 하고있는반면, 신용정보법은질병정보의경우를제외하고개인신용정보의수집시의동의수령에관한규정이존재하지않음. 신용정보나금융거래정보의경우에는반드시익명성을필요로하고있어신용거래시개인정보의수집동의를추가적으로수령하는것은무의미하기때문에별도의수집동의를받지않았던것으로사료됨. 이에따라개인정보보호법제정이전에는신용정보의수집시수집동의를수령하지않았으나, 개인정보보호법의시행이후에는보충성의원칙에따라신용정보의경우에도개인정보보호법제15조의규정이적용되어동의를수령하도록함에따라신용거래를복잡하게한측면이존재하는것도사실임. 66) 최근의금융소비자보호추세에맞춰개인정보보호프로세스를강화하고있지만, 이로인하여동의항목의과다및동의절차의복잡화등에따른설명미흡과생략으로오히려고객의권익보호기회가상실되는결과를초래하고있는것으로평가됨. 현재보험모집종사자는보험가입과정상보험개인정보처리에있어정보주체로부터총 10페이지에걸친동의서양식에따라최대 28개항목에대해사전동의를받고있음. 66) 물론신용정보의경우도선택정보의수집시에는동의수령의필요성이존재함.
보험개인정보 적용 법률의 비교 분석 및 문제점 113 보험소비자는 동의 내용이 너무 많아 어떤 내용인지 제대로 파악하지 못 한 채 모집종사자가 짚어주는 서류에 동의체크와 자필서명을 하고 있음. 개인정보 보호 효과도 의문스러울 뿐만 아니라, 오히려 나중에 보험회사 가 책임을 지지 않기 위해 자필서명만 받아가는 것 아니냐는 민원이 발생 하는 실정임. <그림 Ⅲ-2> 보험분야 표준개인정보처리동의서 양식 다. 보험산업의 특성 미반영 1) 엄격한 동의주의 적용 시 정보공유를 통한 보험제도운영에 차질 금융거래를 포함한 대부분의 일반적 거래에서는 계약당사자가 개인정보의 정보주체가 되지만, 보험의 경우는 정보주체가 계약당사자가 아닌 경우(공 동피보험자, 보험수익자, 피해자 등)가 다수 존재하게 됨. 피보험자가 여럿 있고(공동피보험자) 그 중의 한 명이 보험회사와 보험계 약을 체결하는 경우, 타인을 위한 보험계약 등에서처럼 보험금을 수령하
114 조사보고서 2014-8 는자 ( 생명보험의경우는보험수익자 ) 가보험계약자가아닌경우, 배상책 임보험에있어서피보험자가제 3 자 ( 피해자 ) 인경우등임. 이러한경우는보험회사가정보주체와직접대면하지않는경우가많아현실적으로동의수령이용이하지않음. 최근에는보험금을온라인으로송금하거나, 치료를받은병원에보험회사가직접보험금을지급하는경우가늘어나고있어동의수령을받지못하는경우가증가하고있는실정임. 따라서보험계약및사고정보의공유시사전동의를엄격히요구할경우보험회사간정보공유가불가피한보험의특성에도불구하고보험정보의수집및제공이극히제한되어보험산업전반의위축을초래할가능성이존재함. 더불어, 보험회사자체내의경우도보험계약정보나보험금지급정보의이해당사자 ( 보험계약자, 피보험자, 보험수익자, 상속인등 ) 간제공에대하여분쟁이증가하고있으며, 법적으로도애매한부분이존재하는것이현실임. 부연하여설명하자면, 보험계약및사고정보활용에있어정보주체의동의를전제로하는경우에는정보주체의동의가없는계약및사고정보는집적및활용이불가능하게됨에따라, 대수의법칙에의한보험요율산출, 할인 할증제도, 보험사기방지등에필요한정보누락이발생하여관련제도의운영을차단하는심각한문제를야기시킬수있음. 보험요율산출및할인할증제도의운영곤란 - 보험계약자가계약자료에는동의하였으나피해자등의사고자료미동의시보험금과소계상으로산출요율의정확성이결여됨. - 보험계약및사고자료의활용에동의하지않은계약자의개별적용요율 ( 할인 할증률포함 ) 의제시가곤란하며, 일부가입자의경우보험
보험개인정보적용법률의비교 분석및문제점 115 료경감을목적으로사고사실은폐등개인정보의조작제공가능성으로도덕적위험의발생이증가함. - 사고자료의활용동의가없는경우와무사고를구분할수없어적용요율산출의오류발생및무사고가입자의부담이증대됨. - 정보제공에동의하지아니한기간에대하여보험회사는과거사고유무등보험이력을개별요청하거나직접확인하여야함에따라사무처리시간지연및민원폭증등으로정상적인위험보장활동에막대한지장을초래하고, 이는다시사무처리비용의증가로이어져결국보험료에전가되어보험가입자의부담이크게가중되므로불필요한사회 경제적손실이발생함. 중복보험의예방을통한실손보상원칙구현곤란 - 중복보험 (double insurance) 이란보험계약자가동일한보험의목적 ( 피보험이익 ) 과동일한보험사고에공통된보험기간에대해서수인의보험자와개별로, 동시에또는순차로수개의보험계약이체결한경우에그보험금의총액이보험가액을초과한경우를말함. - 이러한중복보험을확인하기위해서는전체보험회사가보유하고있는계약및사고정보의집중을통하여동일한보험인지의여부를비교하는것이필요한바, 중복보험의확인에있어서보험계약자등의동의를전제로할경우동의를수령하지못한보험계약에대해서는초과보험여부를확인할수없어선의의보험계약자에게불이익이발생하거나보험금중복지급이발생할수있음. - 이경우보험의도박화와도덕적위험을방지하기위한보험의기본원칙인실손보상의원칙을훼손시키게되며, 그피해는보험회사는물론이고전체보험계약자에게영향을미치게됨. 보험사기방지업무의위축또는실효성결여 - 보험사기는보험의부정적인특성인도덕적해이와역선택이표면화되는현상으로보험산업뿐아니라사회전반적인시스템에대한효율
116 조사보고서 2014-8 성을저해하는범죄행위로서, 이로인한문제의심각성이이제우리사회에서도그위험수위를넘고있음. < 표 Ⅲ-14> 에서보듯이, 2013년도보험사기적발규모는 5,190억원 (77,112명) 으로지속적으로증가하고있는추세임. - 보험사기는보험과공제는물론이고국민건강보험등공영보험까지연계되어있다는측면에서, 실효성있는보험사기조사및적발을위해서는관련분야와의정보공유가필수적임. - 현재보험사기관련정보는일부보험종목별사고정보를제외하고는보험권내에서도통합관리가되지않고있으며, 특히공제의경우는각회사별로별도로집적되어연계가되지않고있는실정임. - 이는우리나라의개인정보법제상보험정보와공제정보간상호교류가곤란할뿐아니라, 개인정보보호추세에따라실무상의접근도어렵기때문임. - 보험사기의대표적인유형이다수보험계약에의한고액보험금청구와위장사고, 기왕증불고지등임을고려할때, 보험계약및사고정보의동의를거부하면적발이거의불가능하여보험사기업무의위축또는실효성의결여가우려됨. < 표 Ⅲ-14> 최근 3개년보험사기적발현황 ( 단위 : 천원, 명 ) 구분 11년 12년 13년 증감률 생명보험 64,958 63,403 74,347 17.3 보장성 62,905 58,386 73,106 25.2 적발 손해보험 358,695 389,931 444,613 14.0 금액 자동차 240,835 273,755 282,140 3.1 장기손보 102,893 103,534 145,090 40.1 계 423,653 453,335 518,960 14.5 생명보험 4,266 4,900 4,128 15.8 보장성 4,152 4,757 4,047 14.9 적발 손해보험 68,067 78,281 72,984 6.8 인원 자동차 54,144 60,821 56,617 6.9 장기손보 13,584 16,414 15,549 5.3 계 72,333 83,181 77,112 7.3 자료 : 금융감독원 (2014), p.2.
보험개인정보적용법률의비교 분석및문제점 117 2) 언더라이팅에의보험개인정보활용제한 보험은위험단체의구성을전제로함. 따라서보험계약은보험회사와보험계약자 1인간에체결되지만, 보험은위험단체가있어야만존재할수있기때문에보험계약자전체의이익에부합되도록체결되고해석되어야함. 이과정에서보험회사는보험계약자등의위험을파악 선택하고적절한위험집단으로분류하는작업이필요하며, 이러한과정을언더라이팅 (underwriting) 이라고함. 이러한언더라이팅은보험계약자전체의이익으로귀결될뿐만아니라종국적으로는사회전체의부를증대시키는긍정적역할을하게됨. 보험회사는적절한언더라이팅업무를수행하기위해보험계약자등의소득정보, 건강및의료정보, 신용정보등이필요하며, 특히보험사기의가능성을차단하기위해서는보험사기적발자명단, 보험청약거절자명단 ( 보험가입부적격자등 ), 보험인수유의자명단 ( 다수보험금지급대상자등 ) 의공유가필요하나, 우리나라의일반정서상수용이쉽지않을것으로사료됨. 소득정보등신용정보의경우보험사고의발생률과상관관계가인정 67) 되고있지만보험회사가보험계약자등에게소득수준이나신용등급에대해문의하거나증빙서류제출을요구하는데는한계가존재함. 건강및의료정보의경우 의료법 제21조는의료인이나의료기관종사자는환자가아닌다른사람에게환자에관한기록을열람하게하거나그사본을내주는등내용을확인할수있게하여서는안되지만, 가족이나대리인등의경우에는예외적으로확인할수있도록규정하고있음. - 그러나보험회사가보험청약자의과거병력등을확인하기위하여청약자등의동의를얻어건강보험공단으로부터의료기록을열람하고자 67) 박준국 (2006), pp.26~38. 참조
118 조사보고서 2014-8 하는경우에도건강보험공단의내부지침에따라열람이거부당했던경험이있음. 보험사기적발자명단이나, 보험청약거절자명단, 보험인수유의자명단의경우에도보험범죄의예방이나보험제도의건전한운영을위해반드시활용될필요가있으나현실적으로이용이곤란함.
Ⅳ. 제외국의입법례및활용실태 1. 각국의개인정보보호법률체계 가. 미국 미국의개인정보보호법률체계는분야별보호법제의형식을지니고있음. 미국의개인정보보호는구체적이고개별적인영역에서각각별도로정보를보호하며, 특정유형의정보조사및사용기관을규율하는다양한법률들이연방이나주차원에서제정되고있음. 68) - 공공부문은 연방프라이버시법 (Privacy Act of 1974) 이기본법의역할을함. - 민간부분은금융, 전자통신, 의료정보등각분야에서필요성이제기될때해당사안에맞는개별법제정으로개인정보를보호함. 이러한법체계는프라이버시보호에비일관적이며예측이불가능하다는한계를가지고있으나, 혁신과경쟁이자유롭다는측면에서소비자비용부담의증가가능성을축소시킬수있는장점도지니고있음. 69) 현재미국의법률체계를보면규제는정부의입법, 집행, 평가에기반을두되, 그기능은민간에서수행하도록하는자율적개인정보보호체계로평가받고있음. 68) Henry H. Perrit Jr.(1996), p.88. 69) Options for Promoting Privacy on the National Information Infrastructure(Draft for Public Comment, http://aspe.hhs.gov/datacncl/privacy/promotingprivacy.shtml)
120 조사보고서 2014-8 보호대상 공공부문 금융부분 통신부문 의료정보 - Privacy Act of 1974 주요법률 - Freedom of Information Act, 1974 - Computer Matching and Privacy Protection Act of 1988 - E-government Act of 2002 - Gramm-Leach-Bliley Act(1999) - Fair and Accurate Credit Transaction Act of 2003 - Identity Theft Red Flags and Address Discrepancies Under the Fair and Accurate Credit Transactions Act of 2003; Final Rule - Cable Communication Policy Act(1984) - Electronic Communication Privacy Act(1986) - Communications Assistance for Law Enforcement Act(1994) - Telecommunication Act(1996) - Telephone Records and Privacy Protection Act of 2006 - Health Insurance Portability and Accountability Act of 1996 - Genetic Information Nondiscrimination Act of 2003 저자서명 - Electronic Signature in Global and National Commerce Act of 2000 기반시설보호 기타 - Computer Fraud and Abuse Act(186) - Former Vice President Protection Act of 2008 - Driver's Privacy Protection Act, 1994 - Children's Online Privacy Protection Act of 2003 자료 : 한국정보보호진흥원 (2009), p. 28~29. < 표 Ⅳ-1> 미국의개인정보법률체계 미국의개인정보보호법률들은개인정보에대한보호보다는활용에비중을두고있는것으로판단됨. 미국의개인정보보호와관련한개별법률들은개인정보의수집, 처리, 삭제의과정에서일관적으로개인정보를보호하는성격을지니고있지는않음. 단, 개인정보활용에관해서정보사용자, 활용하고자하는정보의유형, 정보활용이허용되는상황등을구체적으로정해놓고그이외의경우에는정보활용을금하는형태의규제방식을취하고있는것으로보임.
제외국의입법례및활용실태 121 나. 유럽 유럽각국의개인정보보호법률은유럽연합 (EU) 에서의개인정보보호관련법규의영향을받음. 현재유럽연합에서개인정보보호에관한구체적입법근거인규범은유럽연합기본권헌장 (The Charter of Fundamental Rights of the European Union) 제8조, 유럽연합조약 (The Treaty on European Union: TEU) 제6조및제39조등임. 70) 유럽의개인정보보호법률역시미국과마찬가지로정보활용에대해서구체적인정보사용자, 활용가능한정보유형, 정보활용이허용되는상황을정해놓고있음. 유럽연합의기본법률들의하위에는개인정보보호에관한각종지침과규칙, 결정등이채택되어있음. 개인정보의처리및자유로운유통에관한개인보호지침 (Directive 95/46/EC), 공동체조직및기관에의한개인정보처리와그정보의자유로운이동에관련된개인의보호에관한규칙 (Regulation (EC) No. 45/2001) 등이있음. 최근 2012년 1월에는 개인정보의처리에관한개인의보호및동개인정보의자유로운유통에관한규칙 과 범죄의예방, 조사, 수사혹은소추의목적또는형벌집행의목적을권한있는기관에의한개인정보의처리및그러한개인정보의자유로운유통에관한지침 이발표됨. 71) 유럽연합에서는금융및보험산업에직접적으로관련된법률은존재하지않지 만, 위에서언급한다양한법률과규칙들이금융및보험산업에적용되고있음. 70) 한국정보보호진흥원 (2009), pp.53~54. 71) 동규칙안은최종적으로 2014년발효를목표로하고있음.
122 조사보고서 2014-8 유럽의국가들은대부분개인정보보호를일관적으로총괄하는일반법이존재하며, 이일반법들이금융및보험산업에적용되고있음. 영국에서는 데이터보호법(The Data Protection Act 1998) 이개인정보보호를위한일반법이며, 이는 1995년유럽공동체 (EC) 의개인정보보호지침에따라개정된법임. 72) - 그외의부문 ( 정보공개, 전자통신분야, 신용정보, 형사기록, 의료정보등 ) 에서는보호해야하는대상에따라각각개별법을제정하여시행하고있음. 프랑스는 정보처리 축적및자유에관한법률 ( 이하 정보처리법 이라함 ) 이 1978년에제정되었으며, 이법률이프랑스개인정보보호의일반법이라할수있음. 73) - 정보처리법은공정하고적법한수집 처리, 수집목적의특징, 정보의정확성 안전성, 민감정보의수집제한, 처리에대한본인동의, 안전보호관리의무, 본인접근권등의개인정보취급에관하여규정하고있으며, 공공부문은물론민간부문모두에적용됨. 독일의개인정보보호법제는공공부문과개별부문을동시에규율하는일반법인연방개인정보보호법과개별법의역할을하는개인정보관련특별법으로구성되어있음. 74) 스웨덴역시개인정보보호와관련한일반법인 1998년 개인정보법(Personuppgiftslag; Personal Data Act) 이존재함. 75) - 그러나동법을대신하거나동법과함께특정활동에있어개인정보처리에적용되는특수한법률과규칙이존재함. 76) 72) 생명보험협회 (2004), 영국편 p.14-1. 73) 생명보험협회 (2004), 프랑스편 pp.14-1~14-3. 74) 양용석 (2010), p.20. 75) 개인정보보호위원회 (2012), p.91. 76) 1973년신용정보법 (Kreditupplysningslag; the Credit Information Act, SFS 1976:1173), 1974년채권회수법 (Inkassolag; the Debt Recovery Act, SFS 1974:182), 1998년건강관리
제외국의입법례및활용실태 123 - 스웨덴은공공부분과민간부문통합형입법주의인동시에수많은영역 별개별법을통해개인정보보호법제를구축하고있음. 다. 일본 일본은 1988년공공부문에대한개인정보보호법이제정되었으나민간부문에대한개인정보보호법은존재하지않았음. 민간부문에서는할부판매법 (1961년법률제159호 ), 대금업의규제등에관한법률 (1983년법률제23호 ) 등부분영역에서의개별법이존재하였고, 그외의민간부문은정부지침이나민간자율단체의가이드라인이개인정보보호법률의역할을대신함. 그러나 2003년기존의개인정보보호법제정비를통하여민간부문과공공부문에적용되는 5개의법률을공포하고 2005년 4월이를전면시행함. 77) 5개의법률중민간부문과공공부문에적용되는법은 개인정보의보호에관한법률 로이는민간부분에서개인정보보호를위한일반법이라할수있음. 나머지 4개의법률은 행정기관이보유하는개인정보의보호에관한법률, 독립행정법인등이보유하는개인정보의보호에관한법률, 정보공개 개인정보심사회설치법, 행정기관이보유하는개인정보의보호에관한법률등의시행에따른관계법률의정비등에관한법률 로모두공공부문에적용되는법률임. 등록법 (The Health Care Register Act of 1998, SFS 1998:622) 등 77) 김상미 (2012), pp.32~34.
124 조사보고서 2014-8 2. 보험개인정보의수집및제공 가. 각국의보험개인정보수집및제공에관한법률 1) 미국 보험개인정보수집및제공과관련하여서는다양한개인정보보호법률들이적용되고있음. 금융서비스현대화법 (GLB법 ), 공정신용보고법 (FCRA), 의료보험의상호운용성과설명책임관한법률 (HIPPA), 전미보험감독관협의회표준모델법 (NAIC 표준모델법 ), 전미보험입법자협의회의금융정보프라이버시보호모델법 (NCOIL 모델법 ) 등이그것임. GLB법 (Gramm-Leach-Billey Financial Services Modernization Act of 1999) 은연방법으로서금융기관간정보공유에대한합리적제한의필요성에따라금융기관과개인의거래시발생하는개인정보를보호하는최소한의기준을제시함. 개인정보보호를위한최소한의기준은개인정보보호방침의고지 (disclosure of privacy policy), 공개여부결정권한및설명 (opt-out), 개인정보를공개하지않을의무 (duty not to disclose), 계좌정보의보호 (protest account access information), 안전기준의제정 (safeguard standard) 등임. 78) 특히회사와관련이없는제3자 (non-affiliated third party) 에대한고객정보제공은고객의사전동의가없을경우에는불가능함. - 보험회사가비공개개인정보를타인에게제공하는경우에는 privacy notice와 opt-out 제도로보호할수있으나보험요율산출기관및보험보증기금, 주보험감독청등에의제공에는적용되지않음. 79) 78) 김성태 (2007), pp.93~95.
제외국의입법례및활용실태 125 FCRA(Fair Credit Reporting Act) 는금융기관이소비자신용정보회사의신용보고및신용평점이용시발생하는소비자신용정보문제를해결하기위하여제정된법률임. 80) 이법에서는소비자에게불리한신용정보는그유지기간을법적으로제한하고있으며, 소비자들이매년 1회씩신용평가정보를제공받을수있는소비자신용정보접근권을명시하고있음. 81) GLB Act와 FCRA는모두 opt-out권리를명시하고있으나개인정보가활용되는항목에따라두법의 opt-out 권리행사에는차이가있음. 82) 예를들면, 개인정보중에개인거래내역항목에대하여 FCRA가이정보들을제3자및관련기관과공유하는것을개인이막을수없으나 GLB Act는이정보들에대하여제3자제공및판매를 opt-out 권리를이용하여막을수있음. HIPPA(Health Insurance Portability and Accountability Act) 는미국의연방보건성이 1996년발표한연방규정의지침서및국가표준법안으로건강보험의컴퓨터연결과관련된보험정보의집중과활용을규제함. 83) 의료기관종사자, 데이터취급자, 보험사업자는환자에게정보의사용및공개방법을공지해야하며, 환자들의정보접근권을보장해야함. - 환자가서면으로권한을위임한환자이외의자는법집행시, 법원의명령등사업또는행정절차집행시, 미성년자의친권자인때와같은극히예외적인경우에만개인정보에접근할수있음. 84) 79) 한국개발연구원 (2013), p.4. 80) 이상경 (2012), pp.202~203. 81) 동법은 2008년에효력이상실될예정이었으나 2003년공정 정확한신용거래법 (Fiar and Accurate Credit Transaction Act of 2003, FACTA) 의제정으로그실효성을유지하게됨. 82) Privacy Rights Clearinghouse(2001), Fact Sheet 24a: Financial privacy: How to Read Your opt-out Notices, https://www.privacyrights.org/financial-privacy-how-read-your- opt-out-notices. 83) 김성태 (2007), p.91.
126 조사보고서 2014-8 NAIC표준모델법 (The NAIC Standard Insurance Information and Privacy Protection Model Act 85) ) 은보험정보의수집, 사용, 공개에대한기준을설정하여보험정보활용의투명성을확보하기위하여제정됨. NAIC표준모델법은정보보호를위해, 비공개 (non-public) 개인정보를개인금융정보와개인건강정보로구분하여제공요건을달리규정함. - 개인금융정보 (personal financial information) 는 opt-out제도로운영하며정보보호정책을정보제공이전과연1회정보주체에게통지함 (privacy notice). 86) - 개인건강정보 (personal health information) 는 opt-in제도로운영함. 개인금융정보와개인건강정보모두 opt-out제도및 opt-in제도와관계없이타인에게정보제공이가능한예외사항을규정함. - 개인금융정보를보험요율산출기관, 보증보험기금, 금융기관의평가대행기관, 허가받은기관의산업표준규정평가인, 기관의변호사 회계사 감사, 주보험감독청등에제공하는경우 - 개인건강정보는개인식별정보를포함하는질병 건강에관한정보를의미하며보험기능의수행을위해필요한경우동의여부와상관없이제공가능함. 즉, 손해사정, 보험사기조사, 언더라이팅 ( 요율산출 ), 손해방지, 재보험, 리스크관리, 데이터베이스보안, 합병, 감독당국의승인하에추가된기능이있는경우에는동의여부에관계없이타인에게정보제공이가능함. 84) 김선정 (2003), p.37. 85) http://www.naic.org/store/free/mdl-670.pdf 86) privacy notice 제도는정보제공전정보주체에게개인정보보호정책 ( 정보수집, 처리, 제공, 도호등에관한사항 ) 을통지하는제도임. opt-out제도는원칙적으로는정보제공이가능하지만정보주체의명시적인정보제공거부의사표시가있을때에는정보를제공할수없는제도이고, opt-in제도는사전에정보주체의명시적인정보제공에대한의사표시가있을경우에만정보제공이기능한제도임.
제외국의입법례및활용실태 127 NCOIL모델법 (Financial information Privacy Protection Model Act 87) ) 은 NAIC 에비하여보험사업자부담을경감하고 GLB Act 제5장의프라이버시보호관련조항의주별채택을목적으로전미보험입법자협의회 (The National Conference of Insurance Legislators, NCOIL) 에의해공표됨. 이법은개인의거부의사표시가없으면마케팅목적을제외한모든사업적목적을위하여개인의건강정보를공개할수있도록하였으며, 보험자가오직마케팅목적으로개인의의료정보를공개하고자할때에는 opt-in 제도가적용됨. 소비자정의에보험의수급자와신청인을포함한 NAIC모델법과달리보험계약자와신청인만을소비자개념에포함시킴. - 소비자개념을축소시킨덕분에보험자는사업주가가입한건강플랜에포함된수많은종업원에게일일이보험자의프라이버시방침과정보공개동의서를송부하지않아도되고보험자는요율산출기관에종업원의동의없이치료기록을보낼수있음. 2) 유럽 유럽각국은개인정보의수집 제공 활용에대하여엄격한동의규정을포 함하고있으나보험사기및법적문제와관련한예외규정을두어소비자들에 게이익이되는경우에는보험개인정보를활용할수있도록하고있음. 88) EU 의개인데이터의자동처리에관한보호협정, EC 의개인데이터보호지침 등은정보의수집에있어서개인의동의에대하여언급하고있으며, 스팸메 일발송등에대하여 opt-in 제도를채택하도록하고있음. 89) 87) http://www.ncoil.org/other/financial_information_privacy_pr.htm 88) 함인선 (2012), pp.12~16. 89) 이은영 (2008), p.28.
128 조사보고서 2014-8 영국의데이터보호법 (Data Pretection Act 1998) 은정보주체의정보접근권을명시하고있으며, 제3자정보제공에대하여정보주체에게 opt-in 권리를부여하고있는바, 보험정보도동법률의적용대상임. 정보처리에있어정보주체의동의가중요한사항이지만동의수령이절대적이지는않으며일정한경우예외를인정함. - Part Ⅳ. exemption에서는관계법률에의해공개된정보 ( 제34조 ) 를정보공개금지규정의예외사항으로규정함. -법(Act) schedule 3의 3. 은정보주체의동의없이정보처리가가능한경우를명시함. 90) - 보험정보처리의경우, 법 (Act) schedule 3의 paragraph 10에의거해제정된 The Data Protection(Processing of Sensitive Personal Data) Order 2000에서예외를규정함. 91) 이외에금융및보험개인정보와관련한개별법률로는소비자신용법 (Consumer Credit Act 2006), 의료기록접근법 (Access to Medical Report Act 1988) 등이있으며, 이법들역시제3자정보제공에대한 opt-in 제도를채택하고있음. 프랑스는금융및보험개인정보에관련한법률이별도로제정되어있지않고, 정보처리법이모든개인정보의수집과활용에적용됨. 92) 프랑스는보험사기방지기관의데이터베이스등록, 범죄조사를위한개인정보수집등의경우를개인정보집중에대한통지의무의예외로인정하고있고, 데이터의등록은 5년이후제거할것을명시하고있으며, 정보주 90) 정보주체또는다른사람의이익 (vital interest) 을보호하기위해, 동의수령이불가능하거나기대할수없는합리적인이유가있는경우및정보주체가비합리적인이유로동의를하지않는경우동의없이정보처리가가능함을명시하고있음. 91) 보험사업을운영할목적에필요한경우및데이터처리인이정보주체로부터명시적인동의를얻기어려운경우에는동의없이정보처리가가능함을명시하고있음. 92) 생명보험협회 (2004), 프랑스편, pp.14-14~14-27.
제외국의입법례및활용실태 129 체의사전동의가없는제3자정보제공은불가능함. 보험업의경우정보처리법제17조에근거한 간략화규범 의제16호 93) 에서개인데이터의자동처리에관하여언급됨. - 동규정에따라데이터처리는계약체결및관리 94), 계약이행 95), 통계작성및시장조사 96) 와관련하여열거된업무이외의업무를수행할수없음. - 보험과관련하여처리대상이되는데이터는정보처리법제27조에따라사전통지가적용되는한데이터처리와관련하여각종보장의합법성을존중하며, 보장관련내용으로는신원 97), 군복무상황 98), 경제 재무상황 99), 청약에필요한데이터 100), 가족상황 101), 교육 102), 여가 103) 등이있음. 93) 간략화한규범 의제16호는보험회사, capitalization회사, 재보험회사, 어시스턴트회사및이들중개자에의한계약의체결 관리 실행시개인데이터자동처리에관한 1981년 1월 20일자의결제81-004호임. 94) 리스크에맞는계약을제안하기위해청약자 (dmandeur) 별로구체적으로필요한사항조사, 리스크의검토 (eamen) 와검사 (contrôle), 요율설정 (tarification), 보험증서와계산서류 (documents comtables) 의발행, 보험료또는부금의징수, 경우에따라공동보험회사간배분, 중개자에대한위탁, 리스크관리 (surveillance) 및필요한기타기술적업무 (opératons techniques) 의기능 95) 보상금 (indemnités) 과급부금 (prestations) 의결정및지급, 간사보험회사 (apériteur) 가필요한경우공동보험회사로부터이를징수하는등필요한기술적임무, 계약에서정하는규정의이행및구성권 (recours) 의행사의기능 96) 통계작성 (élaboration), 해당회사의자체활동에대해서만관련성이있는시장조사및판매촉진사업 (promotion) 실시를목적으로자사고객으로부터샘플을추출 (élablissement de sélections), 현행법령및행정규칙 (dispositions légales, réglementaires et administraives) 의이행의기능 97) identitié: 성명, 성별, 주소, 전화번호, 생년월일 장소, 국적 98) 군복무기간중일정보장의중단또는일정보험료나부금의지급중단을초래한경우 99) 직업상특징, 연수, 일반경비, 은행또는우편예금계좌번호 100) 고객번호, 계약번호, 보험사고관련서류번호, 지불방법, 보험료 부금및부가보험료 (accessories), 수수료, 세금, 채권 (créances en cours), 모집인 (apporeur) 공동보험회사및재보험회사의조회할연락처, 보험금 (sinistre) 보상금 연금 (capitaux rentes) 보험금 (valeures assurées) 보장금 (garanties souscrites) 의성질, 리스크경력 (antécédents du risque) 및중복보험 (assurances cumulatives) 등 101) 혼인상황및부부재산제 (régime matrimonial), 비속자, 존속자및피부양자 102) 현재의교육수준및내용 103) 운동 야외활동, 스포츠, 수렵, 오락
130 조사보고서 2014-8 - 데이터보존기간이정해져있으며, 계약을인수하지않았다는것을증명하기위해필요한사항을제외하고청약서 (proposition) 또는계약서에서명을하지않은경우수집된데이터를보존해서는안됨. - 데이터의제공자를열거하고있으며, 그열거된제공자만이각각의범위내에서각종보장에따른데이터의제공처가될수있음. 104) 3) 일본 일본의보험개인정보는금융분야의일부로다루어지고있으며, 개인정보의일종으로취급하여 개인정보보호에관한법률 및동법시행령에의거하여제정된개인정보보호지침에따라관리되고있음. 105) 금융및신용기관의개인정보보호규제및가이드라인설정책임은금융청과경제산업성에있음. 금융분야의개인정보취득을위해서는개인이합리적으로예상할수있는이용목적을명시해야함. 106) 104) 계약체결, 관리및이행에관한담당책임자 (personnels chargés), 계약의모집인 (agent, 브로커등 ) 및그직원, 계약자, 피보험자, 보험금수령인, 필요한경우사고에관한책임을부담하거나보충적급부를제공하는보험회사, 필요한경우공동보험회사, 재보험회사, 계약의관리또는사기방지대책을담당하는전문기관, 필요한경우변호사, 전문가, 의사, 공증인, 보험금지급 (réglement des sinistres) 에사회보장제도 (régimes sociaux) 가연관된경우또는해당보험회사가사회보장제도를보충하는보장을제공하는경우사회보장금고 (caisses de séurité sociale), 필요한경우사고가해자 (responsable), 피해자및이들의대리인, 필요한경우계약에관련된권리의이전또는대위수익자, 필요한경우관련법원, 보험감독관 (direction des assurances), 국제국 (direction générale des impôts) 및데이터수령권한을가진모든공적부서, 회계감사및감사 (audits) 105) 맹수석 (2010), pp. 301~303. 106) 가이드라인은예로서, 예금 여신판단및관리 보험금지급 제휴사의금융상품및서비스의판매와권유 제휴사의보험모집등으로이용목적을구체화하고있으며, 처리지침은보험계약청약시인수심사 부대서비스제공 상품및서비스안내, 보험계약유지관리, 보험금청구시보험사고조사 보험금지급등으로규정
제외국의입법례및활용실태 131 - 특정한이용목적을초과하여개인정보를취득 이용하는것은원칙적으로금지되나, 법상예외사유를인정하고있음. 107) 개인정보를제3자에게제공하기위해서는사전동의가필요함 ( 금융개인정보의경우는제공대상, 제공목적등을명시 ). -다만, ⅰ) 상기의 이용목적초과인정사유 에해당하는경우, ⅱ) 제공항목, 제공수단등을본인에게통지하거나보인이쉽게알수있는상태로조치할경우는사전동의를받지않아도됨. 개인정보를특정인과공동이용하는경우, 그공동이용자를제3자로취급하지않으므로별도의동의없이정보제공이가능함 ( 보호법제23조제4항제3호및가이드라인제13조제6항 ). -단, 이용취지, 데이터항목, 공동이용자범위, 이용목적, 해당정보의관리 책임자이름또는명칭을본인에게통지하거나 (opt-out과무관 ) 본인이쉽게알수있는상태로공표해야함. 보험요율산출기구의개인정보보호지침 - 개인정보의취득범위는요율산출기관이업무상필요한범위내에서개인정보의취득이모두가능 108) 하기때문에특별법인 보험요율산출기구에관한법률 에서정한업무범위내에서개인정보취득이모두가능함. - 개인정보의이용목적등을정보주체에게공지하면, 보험사업의건전한운영에이바지하기위하여보험회사및협동조합등간에개인정보를공동이용할경우개인정보를제 3자에게제공할수있음을규정함. 109) 107) 1 법령에근거하는경우, 2 사람의생명 신체또는재산의보호를위해필요한경우로서본인의동의를얻는것이곤란한경우, 3 공중위생의향상또는아동의건전한육성의추진을위해특히필요가있는경우로서본인의동의를얻는것이곤란한경우, 4 국가기관, 지방공공단체또는그위탁을받은자가법령에정한사무수행에협력할필요가있는경우로서본인의동의수령에의해해당사무수행에지장이초래될우려가있는경우 108) 지침제4조 109) 지침제5조개인정보제3자제공특례에관한지침
132 조사보고서 2014-8 - 보험업의적절한업무운영에필요한경우, 상속에의한권리 의무의이전등의수행에필요한경우, 원천징수사무등의수행상필요한경우등에는민감정보의취득 이용및제3자제공이가능함. 110) 보험협회의개인정보보호지침 - 생명보험협회에서개인정보를이용하는업무는보험설계사의교육 시험 등록, 생명보험사업의건전한발전에필요한활동등열거된업무에한정되며, 민감정보및제3자개인정보제공은특례근거가없어취급이불가함. - 손해보험협회의개인정보이용업무는손해보험대리점, 손해사정사, 감정인의시험및연수, 손해보험대리점등의종업원과관련한개인정보를적절한감독에공동이용하는경우, 보험계약체결및보험금청구의부정행위를배제하기위한개인정보공동이용제도운영의경우등으로열거하고있으며민감정보및제3자개인정보제공에대한특례도지침에포함되어있음. 4) 미국과유럽의동의절차비교 미국과유럽의보험개인정보보호와관련한법률들중개인정보수집및제공과관련하여정보주체의동의절차에대하여살펴보고자함. 미국과영국의동의절차는크게 opt-in제도와 opt-out제도로구분됨. - opt-in은고객동의방식에서의이용허가이며, opt-out은고객동의방식에서의이용거부임. 미국의경우 NAIC 표준모델법과 NCOIL 모델법에서는각각건강정보활용및마케팅목적의개인정보활용에만 opt-in방식이적용되고, 그외의정보들에대해서는 opt-out 방식이적용되고있음. 111) 110) 지침제6조민감정보취급특례에관한지침 111) Privacy Rights Clearinghouse(2001), Fact Sheet 24a: Financial privacy: How to Read
제외국의입법례및활용실태 133 유럽의경우에는개인의기본권이침해받지않는한도내의개인정보이 용과기존고객에대한이메일및팩스를이용한영업에만 opt-out 이적용 되고, 그외의정보에대해서는모두 opt-in 방식이적용되고있음. 112) < 표 Ⅳ-2> 미국과영국의개인정보수집및제공시동의절차비교 동의방식미국영국 opt-in opt-out 동의불필요 건강정보의활용 마케팅목적의개인정보활용 민감정보 이메일, 팩스등을이용한마케팅 ( 기존고객의경우제외 ) 금융기관과제3자간금융거래정보 개인의기본권을침해하지않는한공유도내합법적이용 ( 영업목적포함 ) 금융계열사간신용정보및금융거 이메일, 팩스등을이용한영업 ( 기래정보오정보공유존고객 ) 금융그룹내계열사간, 금융기관과마케팅협약체결회사간금융거래 금융범죄의예방및적발정보공유 무보험자동차의방지 금융계열사간신용정보공유 도난자동차의수색및회수 금융범죄의예방및적발 자료 : 이은영 (2008), p.28. 을참조하여보완함. 나. 각국의개인정보보호법률소관부처 미국의경우개별법체계이며, 각법률상보험개인정보보호담당기관이존재하지않음. 개인정보침해는주로개인정보주체들의소송에의하여해결이됨. 민간부문에서연방거래위원회 (Federal Trade Commission) 가개인정보보호와관련한기구이지만연방거래위원회의존재목적이자유롭고공정한 Your opt-out Notices, https://www.privacyrights.org/financial- privacy-how-read-youropt-out-notices. 112) 이은영 (2008), p. 26.
134 조사보고서 2014-8 거래의확보이므로개인정보보호에특화된기관은아님. 113) - 이에대하여개인정보보호를목적으로하는기구가필요하며현재의연방거래위원회의개인정보보호의역할은매우미약하다는평가가존재함. 유럽의경우일반법이존재하는만큼개인정보보호에있어강력하고독립된개인정보보호기구가존재함. EU의경우 EU개인정보보호지침에따라유럽집행위원회 (The Commission), 개인정보보호작업반 (Working Part on Protection of Individuals sith regard to the Processing of Personal Data), 정보보호위원회 (The Committee), 유럽이사회 (The Council), 유럽의회 (the European Parliament) 등이개인정보보호를위한조직임. 114) - 이조직들은완전한독립성을지닐것을법적으로요구받고있으며, 개인정보보호위반의통지, 시정명령, 권리구제등의다양한역할이법적으로명시되어있음. 영국은정보보호청 (Information Commissioner's Office) 115), 프랑스는국가정보자유위원회 (Commission Nationale de l'informatigue et des Libertés, CNIL), 스웨덴은정보조사원 (Datainspecktione; Data Inspection Board) 등강력하고독립된개인정보보호기관이존재함. 116) - 이기관들은법적으로독립성을인정받으며개인정보보호법률위반의통지, 시정, 관련자료제출은물론정보주체들의피해구제및교육등개인정보보호를위한다양한분야에서그역할을수행하고있음. 113) 김재광 (2005), p.142. 114) 생명보험협회 (2007), EU편, p.1-1; 김재광 (2005), pp.136~138. 115) 1984년데이터보호법에의하여데이터보호등록청이었으나이후 1998년데이터보호청에서 2001년정보보호청장으로변모함. 116) 전은정 김학범 염흥열 (2012), pp.61~62.
제외국의입법례및활용실태 135 3. 보험개인정보의활용현황 117) 보험개인정보의활용은주로보험사기방지와보험요율산출을목적으로이용됨. 미국의경우이러한목적외에보험인수를위한심사나보험회사의부수 적인업무를돕기위하여보험개인정보가활용되기도함. 각국의보험개인정보의활용현황을살펴보면, 정보주체들의정보를집적한 보험회사들이정보를직접활용하는것은물론제 3 의기관들이정보를집적 하고활용하는것을알수있음. 가. 미국 1) 의료정보국 (Medical Information Bureau, MIB) 118) MIB는 1902년생명보험회사들이공동으로출자하여피보험자의의료정보교환을목적으로설립된비영리의료정보교환시스템임. 계약자의도덕적위험방지, 보험사기방지및정확한언더라이팅을위한보험기록과병력기록을조회해볼수있음. 현재는미국, 캐나다에소재하는 470여개의보험회사가가입하고있으며, 주로생명보험회사및건강보험회사가회원사로가입하고있음. 119) MIB 는회원사를통한정보수집으로거대한개인건강정보데이터베이스를 구축하고있음. 120) 117) 본절의내용은해당기관의인터넷홈페이지와보험개발원, 손해보험협회, 생명보험협회의내부출장조사자료를주로참조하여작성하였음. 118) http://www.mib.com/ 119) 유주선 (2013), p.6. 120) 김성태 (2007), pp.97~100.
136 조사보고서 2014-8 MIB가가지고있는정보파일은구체적으로의료정보코드 230종류 ( 병명, 수술여부, 시기등 ), 비의료정보코드 5종류 ( 무모한운전경력, 위험한스포츠, 항공기조종등 ), 개인식별정보 ( 이름, 생년월일, 출신지, 직업 ) 등으로구성되어있음. MIB의회원인생보사는피보험자가보험가입시생보사에제출한고지서나진단서에서얻은피보험자의정보들중언더라이팅평가과정에영향을미치는요인인 230여개의코드화된정보를 MIB에온라인으로보고해야함. MIB는거대한데이터베이스를통하여회원사들에게보험계약자들의개인건강정보를제공하고있음. 생보사는 MIB로부터입수한정보와청약자의고지내용과의일치여부를살펴볼수있으며, 일치하지않는경우 MIB에추가협조를구하거나자체적으로정밀조사를할수있음. 보험사는의사, 의료서비스기관, 병원, 의료관련시설, 전문클리닉, 이전에청약한경험이있는보험사, 소비자신용조사기관, 자동차운전기록등에대한정보제공동의를 MIB에요청하는데이방식은 opt-in 방식임. MIB의정보수집및제공과관련하여개인정보보호의문제가야기되어왔으며, 이에대한대책으로소비자들에게정보활용공지및정보수정요청권을부여하고있음. MIB는보험사가청약과정에서청약자에게 MIB의기능에대해서면으로설명함. 등록정보의정확성유지를위하여 MIB는연 1회무료로소비자에게기록을공개함. 공개되는정보는 MIB의자체보유정보, MIB에그정보를제공한회원사명, 공개요구전 12개월이전에당해정보를수취한회원사이름임.
제외국의입법례및활용실태 137 모든소비자는보유정보의내용을알권리, 부정확한정보에대한수정권 을가진다는전제하에수정요구권과반론권등을공평하게인정하며공유 제도가운용되고있음. MIB에서의개인정보취급의법률적근거는공정신용보고법 (FCRA) 과 NAIC모델법임. 121) 공정신용보고법 (FCRA) 제604조는소비자정보교환의예외적사유에해당될경우소비자신용정보기관 (consumer reporting agency) 이보험가입시언더라이팅과관련하여정보를활용하고자하는자에게는소비자의신용정보를제공할수있다고명시하고있음. NAIC모델법제13조는개인정보공개의제한및공개조건에대한규정으로, 동조는생보사가본인에대해보험업무를수행할수있도록하는경우사전동의없이정보를이용할수있다는동의예외규정을두고있음. NAIC모델법은 1) 보험회사, 모집조직, 보험지원조직이업무상필요하거나보험사기의심이있는개인으로부터보호받기위한공시, 2) 보험계약자개인을보호하기위한공시, 3) 정부기관에대한공시등의유형에대하여예외규정에의한공시유형으로정해놓고있음. 2) ISO(Insurance Service Office) 122) ISO는 1971년설립된단체로보험회사등에게데이터제공, 데이터분석, 이에기초한의사결정을지원하는기업인동시에권고요율단체로서통계데이터의집적과감독청보고, 순손해보험요율의권고, 표준보험약관등을판매하고있음. 121) 송윤아 (2012), pp.10~12.; 김성태 (2007), p.91. 122) http://www.iso.com/
138 조사보고서 2014-8 ISO가제공하고있는구체적인서비스분야는보험사기방지, 언더라이팅, 보험회사의운영지원등의세부목적에따라데이터및통계 / 계리 / 표준약관및인수규정 / 컨설팅 / 보험금지급 / 특정리스크정보제공 / 기술지원등으로구분할수있음. ISO는보험회사들로부터보험소비자들의보험관련정보를수집하여보험회사, 보험감독행정, 기타많은조직에정보를제공함. ISO가수집하는정보는보험회사가수집한상세한수입보험료및지급보험금에관한정보로이를분석및가공하여각기관에정보를제공하고있음. 고객의보험료와보험금데이터를집적하여통계처리하고각종통계데이터를감독자에게보고함. ISO의클레임서치는보험사기인지 방지및리스크평가를위한정보데이터베이스이며, 이는보험회사는물론경찰에서도조회가가능함. 보험금지급서비스와관련하여 ISO는참여보험회사에의해개별보험금지급정보를수집하고자동차보험과재산보험의손해이력검색이가능하도록함. ISO 클레임서치는사회보장번호를기반으로하여개인의보험금청구정보를데이터베이스화하고있으며개인의범죄이력도조회가가능하도록하고있음. ISO 클레임서치가입수하는공적정보는공적기록, 범죄기록, 경찰기록, 자동차기록, 의료기록등임. 123) 123) 공적기록은사회보장번호, 생년월일, 납세상황, 자동차등록 운전면허정보, 전화번호, 소유부동산데이터등이며, 범죄기록은형사재판기록, 민사재판기록, 성범죄자등록데이터, 수감기록등임. 경찰기록은경찰사고 사건기록, 화재기록, 운전자이력, 자동차등록이력, 기상기록등을포함하고, 자동차기록은운전면허정보, 위반이력, 운전조건정보, 주별특별규칙등을포함하고있음. 마지막으로의료기록은렌트겐보고서와의료비청구기록이포함된 7 백만건이상의의료기관이보유하는의료정보등임.
제외국의입법례및활용실태 139 ISO 클레임서치를통하여보험회사는보험금청구데이터와관련하여공통기본항목, 검색키워드데이터송신후의매칭데이터, 추가적인상세정보를획득할수있음. 124) - 정보를송신한보험회사가중복청구, 중복보험, 사기가의심되는보험금청구패턴을발견할경우인수보험회사로부터더상세한정보제공을요구할수있음. - 임의로데이터항목에대한추가가가능하며, 검색하는데이터베이스종류에대응하여더많은항목에대한검색이가능함. 125) ISO는자동차및재산손해인수심사와관련하여 A-PLUS Property와 A-PLUS Automobile이라는최대데이터베이스를구축하고, 이를통하여언더라이터들에게정보를제공하고있음. A-Plus Property는보험청약자와재무소재지등으로부터청약자와사업의과거사고이력, 리스크소재지와관련한다른사람의사고력을조사하고, 보험회사에정보를제공함. A-Plus Automobile은청약자와차량의정보에서부터청약자와차량의과거사고이력, 동일차량에관한다른사람과의사업사고력을조사하고이를언더라이터와대리점에게보고함. ISO 의데이터베이스들은중요한개인정보를취급하고있기때문에개인정보 보호문제가야기될가능성이있으며, 이에따라 ISO 의개별적인프라이버시 보호방침을두고있음. 124) 보험회사가획득하는공통기본항목은보험회사명 사무소코드, 청구번호, 사고일, 증권번호이며, 데이터베이스구분에따른검색키워드는보험종류, 담보종목, 사고의종류, 보험금청구자 피보험자병, 보험금청구자 피보험자주소, 사고발생장소등임. 125) 추가데이터에는사회보장번호 / 납세자번호, 구성명 / 가명 구주소 구우편번호 생년월일 직업, 전화번호 여권번호, 자동차등록번호 운전면허번호, 지급준비금 지급보험금, 소송관계정보, 조정 / 판결액, 산재보험에관한취업불능기간정보, 도난동산의종류, 서비스제공자 ( 사고관계자이외 ) 등의정보가포함됨.
140 조사보고서 2014-8 승인된주체만보험개인정보에접근하고이용할수있으며, 보험개인정보이용자는개인정보보호법률과규정에따라정보에접근하고, 이를이용해야함. 보험개인정보는외부손상및파괴로부터안전을강구해야하며각시스템은데이터베이스정보의접근 이용에대한감시절차를구축하여야함. ISO에게개인정보를제공한개인들은자신의정보의수집및사용범위를선택할수있음. ISO 에서개인정보취급과관련한활동은 GLB 법, NAIC 모델법, 소비자의금 융 건강정보프라이버시규칙, HIPPA 프라이버시규칙, 공정신용정보보호 법에의하여규제됨. 나. 영국 1) 보험사기방지국 (Insurance Fraud Bureau, IFB) 126) 1995년영국보험자협회 (Association of British Insurers, ABI) 의산하기구로설립되었으며, 범죄및사기방지조치에대한조정기구이고, 여러컴퓨터자료들을취합하여회원사및외부의문의에대해응답해주는단일조사기관임. 주요업무는각기관사기조사담당자의리스트관리, 보험사들에보험금청구사기관련정보제공, 보험사기의예방또는감지에의이용을안내한안내서를포함한대외자료의작성및배포, 경찰및기타유관기관의협조방안모색, 보험사기예방관련캠페인전개등임. IFB 의보관정보에는사기성사건에연루된제 3 자들에대한데이터는물론 경찰과다른기관에서전달받은제보의상세내용등이포함되어있고, 데이 126) http://www.insurancefraudbureau.org/
제외국의입법례및활용실태 141 터베이스에경보시스템이연결되어의심스러운클레임에대한정보입수시보험사들에게경고할수있음. 보험사들은보험사기유의자에대한방대한양의데이터를보유하고있어 IFB는지능형데이터베이스를개발하여이정보를더욱효과적으로사용하고있음. 이러한정보보호와관련하여 IFB는정보보호등록청과협의후보험사기관련데이터의사용과보유에대한행동강령을마련하여주요정보를처리하고있으며제보에의한정보는 3달후파기하는것을전제로함. 2012년 9월부터는보험사기전과자등의인물정보 (black list) 를등록하여조회할수있도록하는보험사기자등록시스템 (Insurance Fraud Register System) 을운영하고있음. - 인물정보의등록기준은유죄판결을받은사기전과자외에자체적등록기준에합치하는사기행위자의정보도등록할수있도록되어있으며, 각보험사는 IFR 시스템을통해특정인물의과거사기행위여부를검색하고, 보험사기외에보험금지급및보험계약인수를위한목적에도이용가능함. 2) 보험데이터서비스 (Insurance Database Services Limited, IDSL) 127) 1994년설립되었으며보험회사가가지고있는자동차사고, 상해, 산재등의정보를종합적으로보유하고있는비영리기관임. 보험데이터서비스는 보험금청구 인수정보교환시스템 (The Claims & Underwriting Exchange, CUE) 을통해보험회사간정보를교환하고있으며, 2006년에는영국보험자협회 (ABI) 로부터 자동차보험사기대책및도난등록시스템 (MIAFTR) 을이관받아운영하고있음. 128) 127) http://www.insurancedatabases.co.uk/ 128) 손해보험협회내부자료참조
142 조사보고서 2014-8 CUE는가계성및자동차보험관련자료를이용한지능형데이터베이스로, 현재 CUE 이용기관은총 81개이며이중보험회사가 58개임. CUE는보험사기와의전쟁에서중요한도구가되고있으며, 2012년현재약 3천 8백만건에대한클레임정보를가지고있음. CUE의데이터베이스는생명및손해보험사기에관한사실적정보를포함하고있으며, 이는구체적으로사기성사건 ( 렌트카회사, 클레임처리업체, 의사, 변호사등 ) 에연루된제3자들에대한데이터는물론경찰과다른기구에서전달받은 제보 의상세내용등도포함하고있음. 데이터베이스는경보시스템과연결되어의심스러운클레임에대한정보입수시보험사들에게경고할수있게되며, 이에대한자료를보험회사가모두공유할수있음. MIAFTR(Motor Insurance Anti-Fraud and Theft Register) 는 1987년부터실시된자동차보험사기대책및도난등록제도로서자동차보험사기의억제, 적발등을위한정보교환제도임. 보험데이터서비스는회원보험회사에차량도난및차랑도난전손처리사고의정보제공을의뢰함. 회원보험회사에서이정보를수시송신하고보험금청구사안발생시해당사안을 MIAFTR 에집적된데이터와함께조회하여보험금의중복청구등사기행위를미연에방지하는목적으로활용함. 보험데이터서비스에집적되는개인정보는영국의개인정보보호관계법령에명시되어있으며 1988년데이터보호법의적용대상으로되어있으나데이터가범죄방지혹은수사, 범죄자의체포혹은기소, 공소, 혹은징수또는유사한내용의부과에필요한경우에서는데이터보호원칙 ( 제4조 ), 데이터접근권 ( 제7조 ) 은적용되지않음 ( 제29조 ).
제외국의입법례및활용실태 143 3) 자동차보험자기구 (Motor Insurers' Bureau, MIB) 129) 자동차보험자기구 (MIB) 는무보험차방지를위하여자동차보험의가입정보를제공하는등의활동과함께영국의자동차보험자의사무국, 보상기관, 정보센터로서공동활동을하고있음. 도로교통법 (Road Traffic Act 1988) 은영국에서자동차보험을영위하는모든보험회사는의무적으로 MIB 회원으로가입하도록규정함 ( 제145조 ). MIB는회사내부의자동차보험정보센터 (Motor Insurers' Information Centre, MIIC) 에서자동차보험데이터베이스시스템 (Motor Insurance Database, MID) 을관리운영하고있음. MIIC가관리하는 MID의데이터베이스에는영국국내자동차보험이등록되어있는자동차의상세한데이터가축적되어있음. MID는영국에서자동차보험에부보된 3,400만대이상의등록자동차에관한상세한보험증권데이터를보유하고있음. MID에서차량, 보험정보의등록에있어서자가용자동차보험의경우가입된보험회사에서 MID 등록이자동으로이루어지고있음. 단, 자동차딜러, 택시회사등상업목적의보험계약자는 MID에자동차정보의상세한등록을자기스스로하도록되어있음. 중대조직범죄, 경찰법에의하여경찰은물론운전자, 차량면허국등도 MID 데이터베이스를많이사용하고있음. MIB의데이터베이스운영은 1998년데이터보호법에근거하고있음. 데이터보호법 (Data Protection Act 1988) 준수와개인정보보호법제관할기관인정보커미셔너오피스와의협정에따라 MIIC와 MIB 데이터관리자로서 MID 데이터베이스에등록된데이터의 1차적책임을지고있음. 129) http://www.mib.org.uk/
144 조사보고서 2014-8 다. 프랑스 1) 보험사기방지국 (ALFA) 130) ALFA는보험사기로부터보험기업과보험계약자의보호, 보험사기와관련하여보험기업에의정보제공, 수사당국과의연대, 연구, 연수및조사네트워크구축수행을목적으로하여 1989년 1월부터설치되어운영되고있음. 퇴직경찰관등을고용한각종보험사기조사활동과정부당국과의연계활동, 보험사들간의정보교환등의활동을하고있음. 보험사로부터보험범죄에대한조사요청이있을시직접조사를한뒤법원제출용보고서를작성하고이를보험사로회신하는절차를거쳐보험사기를적발하고있음. 보험사상호간에보험금지급청구와관련된사람들의신원정보, 보험범죄적발미수건에대한상세한정보교환등보험사기와관련된각종정보교환을할수있도록함. ALFA에서는보험사기의의문이있고사기를의도하였거나사기로보고된사실이있으며, 이러한보험금청구에관여한사람에대한데이터베이스를구축하고있음. 이때교환되는정보가개인정보이기때문에이정보들은접속코드를받은범죄방지담당자만파일을참조할수있으며, 관련자정보는 5년까지만저장할수있음. 이데이터베이스는보험기업의사기대책담당반이접근할수있으며코드에의해조회가가능한것으로매년 300명의신규데이터가등록됨. 130) http://www.alfa.asso.fr/
제외국의입법례및활용실태 145 ALFA의정보관련법적근거는데이터처리법제16조에의거함. ALFA가작성하는보험사기범의데이터베이스는개인정보를취급하는것이고이는데이터처리법제16조에따라정보처리및자유에관한국가위원회 (CNIL) 시스템에신고를하고있음. 단, 이데이터베이스는범죄수사를위한것이고개인정보수집시의정보제공자에게통지의무의적용제외 ( 제27조 ) 로되어 ALFA는시스템인가외에데이터베이스에개인정보를등록하고있는것을대상자에게통지하지않음. 2) 보험도난품수색 식별경제이익단체 (ARGOS) 131) ARGOS는도난차, 도난품의수색, 회수및동일성확인업무를위하여설립된단체로보험기업및경찰관계자들에게도난차량, 도난품의데이터베이스, 도난차량수색및일반소비자에대한방범정보를제공함. ARGOS는도난차량및도난귀중품의데이터베이스를작성하고, 각지에서조사원및보험회사가접속가능하며, 경찰도이정보를수사에이용함. ARGOS는중고차구매등과관련하여도난예방책과도난품판별방법에대하여일반소비자들에게도정보를제공하고있음. 도난차량의데이터베이스에등록되는정보는차종, 형식번호, 차량식별번호, 차량등록번호등특정정보와발견시외관상의특징등임. 도난귀중품의데이터베이스는보험자의조사를위한귀중품정보파일로미술품, 장식품, 오디오기기, 사진, 비디오, 컴퓨터기기등의공업제품, 운송중상업, 공업제품등이사진으로등록되어있음. 131) http://www.gieargos.org/
146 조사보고서 2014-8 ARGOS 의데이터베이스는데이터처리법제 16 조에의거정보처리및자유에 관한국가위원회 (CNIL) 시스템에보고되고있으며, 데이터처리법제 27 조에 의해개인정보수집시정보의제공자에게소정의통지를하고있음. 라. 일본 1) 손해보험요율산출기구 (Non-life Insurance Rating Organization) 132) 일본손해보험요율산출기구는자동차손해배상보장법과관련하여손해액산정, 자동차손해배상책임보험요율산출, 보장사업조사등을위한정보를집중하고있음. 개인정보를취급한업무범위는동기구가 업무상필요한범위내 로손해보험요율산출기구의개인정보보호지침제4조에포괄적으로규정하고있음. 2) 손해보험협회 (The General Insurance Association of Japan) 133) 일본손해보험협회는자동차 화재 상해보험등의보험계약체결및보험금지급에필요한보험계약내용, 사고상황, 보험금청구내용관련정보등을집중하고있음. 보험계약자, 피보험자등의정보주체의동의하에업계간보험정보교환항목을보험계약서및상품약관내명시하고이에대하여소비자들로부터동의를득하고있음. 132) http://www.giroj.or.jp/ 133) http://www.sonpo.or.jp/
제외국의입법례및활용실태 147 3) 생명보험협회 (The Life Insurance Association of Japan) 134) 생명보험협회는생명보험공동센터 (Life Insurance Network Center) 를통해생명보험정보의등록및조회시스템을운영하고있음. 동협회에등록된정보는동일피보험자에대하여보험계약등의청약이있거나보험금등의지급청구시협회를통해생명보험회사, 전국공제농업협동조합연합회, 전국노동자공제생활협동조합연합회, 일본생활협동조합연합회등에제공되며, 동생명보험회사등은보험계약의인수또는보험금등의지급판단시참고용으로이용함. 134) http://www.seiho.or.jp/
Ⅴ. 보험개인정보법제개선방안 1. 보험개인정보적용법률불명확및중첩적용의해소 가. 개요 보험개인정보적용법률불명확및중첩적용의근본적인원인은 적용법률의다기화 이므로, 이러한문제점을해소하기위해서는 적용법률의일원화 가궁극적인목표가되어야할것임. 그러나동해소방안은산업별특성의반영및사회각계의의견조율등의과정을거쳐야하는관계로장기간의시간이소요될것으로예상됨. 따라서법률개정및제도개선에소요되는기간등을고려하여 1 2 3단계과제로구분하여단계적으로추진해나가는것이현실적인것으로사료됨. 이에따라본보고서에서는 1 현행개인정보법제의유지를통해서도가능한 1단계방안 ( 보험개인정보의해석원칙및처리기준마련 ) 과 2 현행개인정보법률간중복규제조항을합리적으로조정하는 2단계방안 ( 개인정보법률간체계재정비 ), 그리고 3 궁극적목표인보험의특성을반영한적용법률일원화방안 (3단계) 으로구분하여구체적인단계별개선방안을제시해보고자함. 한편, 올해초카드 3 사의개인정보유출사태이후국회를중심으로각개인 정보법률의통합화논의가진행중에있으므로, 개정방안마련시이를적절 히반영할필요가있음.
보험개인정보법제개선방안 149 2000년이후연이어개인정보유출사고가발생하고있음에도불구하고개인정보처리기관등은개인정보를제대로관리하지못하고있는바, 이는산재된개인정보보호관련법규상의문제에주로기인하는것으로이를해결하기위해서는통합법과개인정보를전담하는관리기구가있어야한다는논의가대두되고있는것임. -즉, 기존의정보통신, 금융, 교육, 의료분야관련법령에산재되어있던개인정보보호규정들을개인정보보호법으로통합하고, 각분야의특성을고려해특칙으로제정하는게바람직하다는것으로개인정보보호위원회와법률전문가등을중심으로개선의견이제기되고있음. 그러나관련부처들은개인정보보호관련법통합이각분야별전문성을해칠수있다는우려를제기하며, 현행체제하에서비효율성을축소하는쪽이오히려현실적이라는입장임. - 개인정보는거의모든부처가관련된쟁점이라단일법으로통합할경우대외환경변화에따른특수성을반영한입법이어려워진다는것임. - 더불어, 통합논의도중요하지만이를실현하기위해서는제도적으로시간이오래걸릴수도있는만큼현실적인재정비방안을마련해보는것도중요하다는의견도제시되고있음. 나. 보험개인정보의해석원칙및처리기준마련 1) 보험분야의개인정보법률간해석기준및가이드라인의마련 앞에서계속언급한것처럼, 동일한소비자와동일한보험거래를수행함에있어서도보험정보의수집경로와수집정보의유형에따라서그적용법률이다양하게나뉘는것이현재의개인정보보호관련법체계의현실임. 현행개인정보보호법이나신용정보법및정보통신망법은법률이나시행령, 시행규칙에서정보보호에관한일반원칙만을선언한수준이고사용된
150 조사보고서 2014-8 용어들도 필요최소한, 법령에서구체적으로요구하는경우, 불가피하게필요한경우 등과같이추상적이고판단하는사람에따라결론이달라질수있는용어들이많아보험회사나보험소비자의입장에서는모호한점이너무나많다는것이일반적인의견임. 135) 또한개인정보법률의기본법 ( 일반법 ) 인개인정보보호법이 2011년 3월 29일제정되어시행되고있으나, 그이전에시행되고있었던다수의법률들이체계적으로정비되지않음에따라적용법률이다기화되고중첩되어법적용에있어혼란을야기하고있음. 이에정책당국은보험회사가개인정보를취급함에있어그적용법규의혼란으로인해부지불식중에불법행위를초래하는일이발생하지않도록유도하는차원에서다수법률간의상호중복 충돌 누락요소를분석하고합리적인해석및적용기준을제시할필요가있음. -특히, 법령단계에서규정하기곤란한구체적이고기술적인기준들을지침등의형태로명확하게제시할필요가있음. 안전행정부등이 2013년 7월 금융분야개인정보보호가이드라인 을마련하였으나이는금융전분야의개인정보보호를대상으로하고있어보험업의현황및특성이반영되지않아보험개인정보를처리함에있어동가이드라인만으로는다소어려움이있는것으로판단됨. 현행 금융분야가이드라인 은금융기관종사자의개인정보보호업무에대한이해를증진시키고명확한기준을제시한다는차원에서의 참고용자료 에불과한실정임. 135) 박재현 (2014), p.15.
보험개인정보법제개선방안 151 더불어 금융분야가이드라인 은금융분야의특성이나개인정보법률들간의규제목적차이를반영하지않고, 단순한비교분석을통해개인정보보호법의보충성의원칙을적용함에따라법률들중가장강한규제들만을모아정리한기준에불과한것이되었음. 이에실무에서는동가이드라인이실질적인역할을수행하고있지못한것으로평가됨. 동가이드라인에따라업무를집행한경우에도타법률에위배될경우책임을면할수없기때문임. 따라서향후제정될 보험분야가이드라인 은보험업감독규정등에법적근거를두어강제력을부여할뿐만아니라 136), 준수에따른책임성을명확히하여실무자들이믿고따를수있도록할필요가있음. 개인정보보호법과의관계에서도단순한보충성의원칙을따를것이아니라, 보험업의특성을반영하여차별성을부여하는등실용성도제고하여야할것임. 일본의경우 개인정보보호에관한법률 제36조제1항에근거하여금융청이 금융분야개인정보보호에관한가이드라인 의설정책임을부담하고있을뿐만아니라, 손해보험요율산출기구나보험협회또한동법제37 조제1항에따라금융분야의개인정보보호인정단체로지정받고 개인정보보호자율지침 을제정하여회원사로하여금준수토록하고있음. 2) 보충적용기준의명확화 보충성의원칙은 어떤사항에관하여특별법이있으면그특별법이적용되 고특별법이없는경우에한하여일반법이적용된다는원칙 인특별법우선 의원칙에서나타난것임. 136) 현행 금융분야가이드라인 도개인정보보호법제 12 조 ( 개인정보보호지침 ) 제 2 항에근거하여제정되었으나, 강제력을가진법규범의하나로인정받고있지못한실정임.
152 조사보고서 2014-8 개인정보보호법은제6조에서신용정보법과정보통신망법이개인정보보호법의특별법임을명시하고있어이들법률과개인정보보호법간에는보충성의원칙이적용됨. 보충성의원칙을적용함에있어서도특별법의특성을반영하여야할것인바, 이는일반법의보충적용시에도개별법률의입법취지, 다른법률과의관계등을종합적으로고려하여해석할필요가있기때문임. 그러나현행법적용실태를살펴보면, 개인정보보호법을보충적용함에있어법률별특성차이나산업별규제목적차이를간과하고단순하게무조건적인보충적용의원칙을견지함으로써법적용상불합리한결과를초래할뿐만아니라, 개인정보처리자나소비자모두에게혼란을야기시키고있는실정임. 여기서는 단순한보충적용 과 특성을반영한보충적용 과의차이점을파악하기위하여 < 표 Ⅴ-1> 을이용하여일반법과특별법간보충적용원칙의사례를논리적으로살펴보고자함. 일반법과특별법내에상호연관성있는규정 1 2 3이있다고가정할때, 표에서처럼 5가지의사례가논의될수있으며, 여기서일반법과특별법내에명시적규정이모두존재하는경우 (1, 3) 는문제가되지않음. 그러나특별법상전부나일부의규정이없는경우는보충성의원칙에따라일반법의내용이보충적으로적용되어야하는바, 사례 2 4 5 의경우단순히무조건적인보충적용을하는 보충적용 (1) 의경우와산업이나법률제정취지의특성을반영하여보충적용을하는 보충적용 (2) 의경우는결과가상이하게나타날수있음. - 예를들어, 사례 2의경우처럼특별법의경우에도모두 A A A가적용되는경우는문제가되지않음. - 그러나사례 4의경우처럼상호연관된규정중 규정3 이없는경우, 단순한보충적용의경우에는 BBA 가적용되어야하나, 이경우상호
보험개인정보법제개선방안 153 연관된규정들간에정합성이문제될여지가큼. 일반법은관련규정들이 AAA 의경향을취하고있는반면, 특별법은 BB 로서다른성향을보이는만큼단순한보충적용으로 BBA 로적용된다면특별법의관련규정간이질성을보일가능성이있기때문임. 즉, 이경우특별법은전체적으로 B 의원칙을고수하고있음에도불구하고규정3에는보충적용의원칙에따라 A 의원칙이적용됨에따라관련규정간충돌의문제를야기할수도있다는것임. 그러므로이경우에는특별법의취지나특성을반영하여 BBB 또는 BB- 로해석될수있도록가능성을열어둘필요가있는것임. < 표 Ⅴ-1> 일반법과특별법간보충적용원칙적용사례 1 2 3 4 5 구분 규정1 규정2 규정3 보충적용 (1) 보충적용 (2) 일반법 A A A 특별법 A A A 일반법 A A A 특별법 A A - AAA AAA, AA- 일반법 A A A 특별법 B B B 일반법 A A A 특별법 B B - BBA BBB, BB- 일반법 A A A 특별법 - - - AAA AAA, BBB, - - - 결론적으로관계법령간에충돌하는경우가아니라선순위법률에서규정하지아니하는사항을후순위법률이규정하고있는경우에는선순위법률의입법공백으로보아후순위법률을보충적으로적용함을원칙으로함. 선순위법률및해당규정의취지가후순위법률에기재된요건이나절차를요하지아니하거나특별법의특성을반영할필요가있다고인정되는경우 ( 입법공백으로볼수없는경우 ) 에는후순위법률을보충적으로적용하지아니할수있어야할것임.
154 조사보고서 2014-8 < 표 Ⅴ-2> 보충적용원칙의적용기준예시 충돌 선순위법률에규정부재 관계법률관계 입법공백절차 요건등간소화, 특성반영 적용방법선순위법률적용선순위법률적용후후순위법률보충적용선순위법률적용 ( 후순위법률보충적용 ) 다. 개인정보법률간체계재정비 1) 중첩규정의합리적조정 개인정보보호법의제정으로우리나라의개인정보법체계가일반법-특별법의체계를비로소갖추었다고할수있기때문에, 동법의제정은개인정보법체계에있어획기적인변화를가져온중요한사건이라고할수있음. 그럼에도불구하고우리나라의개인정보보호법은타법률과의정합성에있어서는여전히문제가남아있다는지적이있음. 137) - 이는개인정보보호법의규정과여타개인정보법률에동일한규정이중복적으로규정되어있거나개인정보보호법의입법취지에반한규정이중첩적으로규정되어있어서, 개인정보보호법제6조의명시적규정내용에도불구하고양법률사이의관계설정이애매하거나불명확한해석을불러올여지를여전히가지고있기때문이라는것임. 제3장에서설명한, 정보주체로부터의개인정보수집과관련한규정을예로들자면, 신용정보법은질병정보이외에는개인정보의수집동의에관한규정을두고있지않은반면, 정보통신망법은사전동의를받을것을규정하고있으며, 개인정보보호법은이에더하여필수정보와선택정보를구분하여사전동의를받도록요구하고있음. 137) 김민호 (2011), pp.11~12. 참조
보험개인정보법제개선방안 155 - 일반법인개인정보보호법이특별법보다더구체적으로규정하고있으며, 고지사항과동의예외사유의경우에도개인정보보호법이더세밀한규정을가지고있는것으로판단됨. - 또한현업에서의적용실무를보더라도금융분야가이드라인에서설명하고있는것과동일하게, 고지사항을포함하여모든규정에개인정보보호법이보충적용되는것을알수있음. - 그렇다면여기서신용정보법과정보통신망법의해당규정은왜존재하는지에대하여의구심을갖지않을수없음. 실질적으로사문화된규정이기때문이며, 특히, 개인정보보호법제정이후신용정보법과정보통신망법관련규정의개정작업이있었음에도이러한사항들이반영되지않는것은우리나라개인정보법체계의정합성에문제점이있음을나타내는것이라고할수있음. 이와같은정합성부족문제의해결방법은기본적으로개인정보보호법과신용정보법및정보통신망법간의중첩규정들을일반법-특별법의법률관계의법리에따라정비하는것이라고할수있음. 각분야별개별법과개인정보보호법을정밀하게비교 검토하여불필요한유사 중복사항을제거하고, 제재수준일원화등을통해법률간정합성을제고하는방향으로추진하는것이바람직함. 138) 무엇보다도, 관련규정들이개별산업에대한특별한입법취지없이단순하게중첩규정된경우나차이가나는부분이단순한절차상의미비에해당하는경우에는일반법이외의개별법상의규정은모두삭제하는방향으로정비할필요가있음. -다만, 개별법상개인정보보호관련규정체계의확보를위하여존치가불가피한경우에는일반법과동일하되, 일반법개정시동일한개정작업을수반토록하여규정차이가발생하지않도록하여야할것임. 138) 배대헌 (2014), p.15.
156 조사보고서 2014-8 그러나규정차이가특정산업의특성을반영하기위하여필요성이인정되는경우에는중첩조항들을유지하여야할것이지만, 이경우에는적용에있어현재와같은혼란을최소화하기위하여개별법상에그취지를명확히규정할필요가있음. 한편, 주민등록번호의원칙적처리금지조항등과같이정보주체의개인정보보호를위하여국민적합의를거쳐특별히마련된조항으로서타법률에도강제적으로적용되는것이필요하다고인정된규정의경우에는동조항을강행규정화하는방안을적극적으로고려할필요가있음. 2) 정보통신망법의적용배제 개인정보보호법제정이전에는신용정보법과정보통신망법이금융분야와정보통신분야의기본법으로서의역할을수행해왔음. 동법률들은개인정보보호에관한일반법인개인정보보호법과거의유사한규정체계를가지고있어현재에도 준일반법 으로대우받고있음. 그러나개인정보보호법제정이후에는, 일반법인개인정보보호법과의체계정비가이루어지지않음에따라, 신용정보법과정보통신망법은개인정보보호법제의다기화와그로인한적용법률의혼선을야기하고있는주범으로지목받고있는실정이며, 특히정보통신망법의경우는더욱그러함. 신용정보법의경우에는신용정보를취급하고있는금융기관만으로그적용범위를한정할수있으나, 정보통신망법의경우에는거의모든개인정보를대상으로함으로써개인정보보호법의관련규정들과대부분중첩되는현상이나타나고있기때문임. 더불어정보통신망법은신용정보를취급하고있는금융기관이정보통신서비스를이용할경우에도적용됨에따라신용정보법과의중첩현상도나타나고있음.
보험개인정보법제개선방안 157 이에새롭게개인정보보호법이제정된현재의시점에서는정보통신망법의성격과위상에대한재검토가필요하다는의견이대두되고있음. 139) 본격적인정보사회의단계로접어든오늘날대다수의개인은일상적으로정보통신서비스를이용할수밖에없고, 그에따라자신에관한일체의정보가인터넷기타정보통신망을통해처리되는상황을피해가기어렵게되었으며, 오늘날정보통신기술에의한개인정보침해가주로문제되고있는상황에서정보통신망에서의개인정보보호문제를굳이특별법에의해규율할필요가있는지의문이라는것임. 우리나라의 2013년가구인터넷보급률은 79.8% 140) 로인터넷이사회전반의기본적인프라로정착된현실을고려할때정보통신서비스를이용한활동이라고하여별도의영역으로취급하고특별법인정보통신망법을우선적용하여야한다는논지는더이상인정받기곤란함. 따라서정보통신서비스를이용하는경우이제는정보통신망법이아닌개인정보보호법이나신용정보법을통해규율함으로써중복규제에대한우려를해소하는것이필요함. 이를위해서는정보통신망법내개인정보보호관련규정을모두삭제하는것이바람직하나, 전문적인정보통신서비스제공자 141) 에대한규제업무의특성상관련규정이필요하다고인정될경우에는정보통신서비스제공자 ( 기간통신사업자, 별정통신사업자, 부가통신사업자 ) 142) 로만그규제대상을제한할수도있을것임. 139) 권건보, 토론자료 ( 개인정보보호법제정을위한입법토론회, 2014.2.3) 참조 140) 인터넷보급률은가구내에서인터넷접속이가능한가구의비율 (%) 이며, 이동통신망을통한무선인터넷 ( 이동전화무선인터넷 ) 접속은제외함 ( 자료 : e-나라지표 ; http://www.index.go.kr/). 141) 정보통신서비스제공자 란 전기통신사업법 제2조제8호에따른전기통신사업자와영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자를말한다.( 정보통신망법제2조제3호 ) 142) 방송통신위원회 한국인터넷진흥원 (2012), p.10. 참조
158 조사보고서 2014-8 라. 보험개인정보의적용법률일원화 1) 최근통합법제정논의 143) ( 통합법제정의견 ) 현행개인정보보호법제는개인정보보호법을일반법으로하고정보통신망법, 신용정보법, 전자금융거래법등개별법을특별법으로취하는일반법-특별법체계이기때문에규제인식및집행상혼선이발생하므로, 하나의통합법을통하여통일적으로법적용을하면규제가단순화 일원화되어, 분리감독체제시우려될수있는규제의분화현상이발생하지않을것이라는측면에서통합법의제정을주장하는의견이대두되고있음. 144) 통합법제정시모든국민은개인정보와관련하여하나의법률만준수하면되므로중복규제는없어지고, 규제도불공평하지않으며, 법적용상의혼란이나피해구제의난점도발생하지않을것이고, 통합법으로인하여각주무기관사이의규제정도나전문성등이비교가능할것인바, 각주무기관사이의선의의경쟁이유도되어개인정보보호의발전에기여할것이라는판단에기초한것임. 이러한통합법제정논의에대하여, 법통합의필요성은인정하지만주무부처와관련하여서는현행부처가계속소관업무를유지하여야한다는의견 ( 일법률공동소관 ) 과조직도통합하여야한다는의견으로나뉘고있음. ( 주무부처통합의견 ) 개인정보법률이단일법으로정비가이루어져도주무부처가다수존재하면법개정의어려움이증가하고상황변화에신속한대응이곤란하다는등의문제가그대로남아있게되므로, 개인정보보호 143) 국회의원진선미등, 개인정보보호법제정을위한입법토론회, 2014.2.3; 국회의원강은희, 개인정보보호법통합이답이다!, 제4회지식한국정책토론회, 2014.3.21; 국회입법조사처, 금융기관의신용정보관리와보호를위한법률적대책, 정책토론회, 2014.3.20. 참조 144) 김경환b(2014), pp.27~45. 참조
보험개인정보법제개선방안 159 정책및규제책무의이행기관은독립적으로통합된기능이부여되어야체계적인개인정보보호가가능하다는측면에서주무부처의통합이필요하다는의견임. ( 조직현행유지의견 ) 한편, 주무부서의통합에반대하는의견은, 지금의틀을깨고하나의기관이개인정보와관련한입법및집행을전담하는것은, 그간에정착된우리나라행정실정에맞지않을뿐만아니라오히려막대한행정비용과사업자의대혼란을가져올수있으며, 그간에쌓아온사업자에대한주무기관의전문성을무용하게만들수있으므로, 각주무기관은기존대로유지 운영되는것이바람직하다는의견임. - 개인정보에대한행정은피해자의신고로이루어지는것보다는지속적인단속을통하여이루어지는경우가많은데, 하나의통합감독기구가다양한업종에산재해있는수백만개의사업자를단속하는것이쉽지않아보이고, 통합감독기구가개인정보단속을위하여인원을늘릴수밖에없는데, 기존의금융위원회 방송통신위원회 안전행정부의관련인원보다더늘어날확률이매우크며, 특히기존주무기관의그간에쌓인노하우나전문성을살리지못하여비효율성을가져올수있다는것임. ( 현법률체계유지의견 ) 한편, 모든개인정보에적용되는단일법을만들어기본원칙과함께각종특수분야의규정을모두포괄하여규정하는것은법률간부정합을해결하고분야별규제일관성문제를해소할수있으나, 다른측면의혼선을야기할우려가있으므로, 각분야별개별법과개인정보보호법을정밀하게비교검토하여불필요한유사 중복사항을제거하고, 제재수준일원화등을통해법률간정합성을제고하는방향으로추진하는것이바람직하다는의견도존재함. 145) 개인정보는거의모든부처가관련되는쟁점이기때문에단일법으로통합 145) 동의견은결론적으로보험개인정보적용법률불명확및중첩적용의해소를위한 2 단계해결방안 ( 개인정보법률간체계재정비 ) 과맥을같이함.
160 조사보고서 2014-8 할경우모든부처및상임위가공동소관이되는바, 이로인하여대외환경변화에따른법령적시개정과각분야별특수성을반영한입법이곤란해질수있기때문이라고함. - 신용정보법의적용을받는사업자의경우, 개인정보에관한사항은통합단일법을따르고기타법인및단체정보에대한사항은신용정보법에따라야하므로법체계에따른혼란은여전할것임. - 이와더불어규율대상이늘어나고복잡해짐에따라하나의법률에서규정하는사항도분법화되는경향을고려할때, 개인정보에관한모든사항을하나의법률에통합해서규율할수있을지도의문임. 또한, 현행개인정보법제인일반법-특별법체계는산업별특성반영, 행정효율성, 국제적트랜드반영등에있어장점을지니고있음을부각시킴. 2) 보험개인정보적용법률일원화방안 가 ) 개인정보법률통합시 : 보험관련통합특별규정신설 현재국회를중심으로논의되고있는개인정보법률의통합작업이완료되더라도, 보험개인정보에대해적용법률을일원화하는효과를가져오기위해서는동통합법률내에보험산업의특성을반영한특별규정을포함시킬필요가있음. 그러나개인정보법률의통합에관한최근논의는기본법 ( 개인정보보호법 ) 과준기본법 ( 신용정보법및정보통신망법 ) 간의정합성제고차원에서의통합문제라고할수있으므로, 개인정보법률을통합한다고해서모든산업의특별규정까지동법률에모두반영한다는것은현실적으로쉽지않을것으로판단됨. 따라서통합법내에특별규정을마련하지못한경우에는, 차선책으로보험산업의특성을반영한통합적개인정보보호규정들을보험업법내에신
보험개인정보법제개선방안 161 설함으로써보험개인정보적용법률을실질적으로일원화하는방안을모색할필요가있음. - 프랑스의경우는기본법인정보처리법에근거한 간략화규범 에서보험에관한특별규정을두고있으며, 미국의경우는 NAIC 표준모델법이나 NCOIL 모델법을반영한주보험법이여타법률에우선적용되는형태를취하고있음. 나 ) 현개인정보법제의유지시 : 보험분야의기본법제정 개인정보법률간의통합작업이이루어지지못하고현행일반법-특별법체계가유지될경우에는, 보험회사의업무와관련된개인정보에관해개인정보보호법이나다른법률에우선하여적용되는보험분야의기본법을제정함으로써적용법률의중첩으로인한혼란을제거할필요가있음. 구체적으로는, ⅰ) 금융회사에공통적으로적용되는개인정보에관한기본법을별도로제정하거나, 현재금융기관개인정보보호의준기본법이라고할수있는신용정보법을금융기관개인정보보호의기본법으로개편하여보험회사가업무상취급하는개인정보에관한일반법으로만드는방법이나, ⅱ) 보험산업의근거법률인보험업법에보험산업의특성을감안한개인정보보호관련규정을신설함으로써보험개인정보를규율하는기본법으로재정립하는방법이있음. - 금융위원회의유권해석등에따라사실상금융권의기본법으로적용되던신용정보법은금융업무중여신업무에만주로적용되는법률이기때문에동법만으로모든금융업무를규율하기에는한계가존재함. 따라서모든금융회사의업무전반에적용될수있는 금융분야의개인정보보호법률 을새로이제정하거나신용정보법을금융분야의기본법이될수있도록총체적으로개편할필요가있는것임. 한편, 보험회사의입장에서는보험산업의특성을반영하고있는보
162 조사보고서 2014-8 험업법을보험개인정보의보호를위한기본법률로재정립하는것이가장바람직할수있음. 그러나금융분야기본법을만드는작업은순탄하지않을것으로사료됨. - 최근카드 3사의개인정보유출사태이후국회와금융위원회가신용정보법을금융분야의기본법화하기위해개정작업을준비하고있으나각산업별특성을담아내지못하는것으로평가받고있기때문임. -특히, 보험산업의측면에서보건데, 보험정보가신용정보에편입되기위해서는기존신용정보의개념을확대 정의할필요가있으며 146), 정보주체가금융거래당사자가아닌경우가많은이유로동의예외사유의확대가필요하고, 건전한보험제도의운영을위한정보의공동이용제도가전제되어야하나, 현재의개정작업에서는이러한보험의특성이전혀반영되고있지않을뿐만아니라, 단순히신용정보집중기관만을일원화하고자하고있어 147) 보험산업내의반발만을불러일으키고있는실정임. 여기서보험개인정보에대한규제를보험업법으로일원화하기위해서는보험업법내에보험개인정보의이용및보호에관한총괄적규정의신설이수반되어야함. 동총괄규정에는보험개인정보의정의및범위가재정립되어야하고, 보험산업의특성이반영된보험회사의정보이용범위, 개인정보보호절차및방법, 보험업법우선적용규정등이포함되어야할것임. 이경우보험개인정보의보호는보험업법을기본법으로하고, 개인정보보호법과신용정보법은보험업법을보충하는형태가될것임. 146) 신용정보란 상거래에있어거래상대방의신용을판단할때필요한정보 ( 신용정보법제2조제1호 ) 로정의되므로, 보험계약정보나보험사고정보가현행신용정보의정의에포섭되기가쉽지않음. 보험계약정보의경우특정인소유의자동차파손시의보상을위한자동차자차보험계약이나, 특정인의사망시유족에게사망보험금이지급되는생명보험계약은특정인의신용도와큰연관성이없기때문임. 보험사고정보의경우도소유자동차수리내역이나감기등의치료내역또한정보주체의신용을판단할때필요한정보라고하기어려운것이사실임. 147) 김영도 (2014), pp.22~33. 참조
보험개인정보법제개선방안 163 2. 보험개인정보의실질적보호기능강화 가. 2014 년 3 월정부종합대책의주요내용 148) 최근발생한카드사정보유출과과거해킹사고등에서드러난문제점에대한근본적 종합적재발방지방안의마련을골자로한정부의 종합대책 은다음 4가지기본방향을제시하고있음. 개인정보의 수집-보유 활용-파기 등단계별로금융소비자의권리보호및금융회사책임을대폭강화함. CEO 등의책임을강화하고, 모집인과제3자에게제공한정보에대해서도금융회사에관리책임을부과하며, 징벌적과징금도입, 형벌과행정제재상향을통해개인정보보호법등정보보호의일반법보다책임을한층강화함으로써금융회사가확실하게책임지는구조를확립함. 해킹등외부로부터의전자적침해행위에대해서도주기적인보안이행실태점검 보안전담기구설치등으로상시적인보안체계를구축토록함으로써기존대책 (2013년 7월발표 ) 을대폭보강함. 이미계열사와제3자에제공되었거나외부유출된정보로인해잠재적으로피해가발생할가능성에대해서도대응방안을강구함. 상기의 4가지기본방향중금융소비자의권리강화와관련된부분의구체적내용은다음과같음. 수집-보유 활용-파기 단계별정보보호강화 - ( 수집 ) 그간금융회사가영업에필수적이지않은정보까지수집하여장기간보유하고소홀하게관리하였던문제를근본적으로해결함. 148) 금융위원회등 (2014) 에서발췌함.
164 조사보고서 2014-8 현재 30 50여개에이르는수집정보항목을필수정보 6 10개등필요최소한만수집함. 필수정보외부가서비스제공등과관련된추가적정보수집은 계약체결에필수적이지않음 을고지하고, 수집목적 제공처등을설명한후고객동의하에수집함. - ( 보유 활용 ) 금융지주회사내계열사정보를고객동의없이외부영업에이용하는것을제한하고, 계열사간정보제공시이용기간을필요최소한으로설정함. 제3자정보제공시포괄적동의를금지하고서비스제공에필수적 선택적제3자를구분하여동의를받도록하며, 정보이용목적, 제공업체, 제공기간, 파기계획등을구체적으로적시하도록함. - ( 파기 ) 거래종료후에는식별 거래정보등일정기간보관이필요한정보를제외한여타신상정보등은즉시 (3개월이내 ) 파기함. 보관정보도법령상추가보관의무등이있는불가피한경우만제외하고 5년내파기함. 정보제공동의서양식전면개편 - 금융회사가최소한의정보만수집하고고객도정보제공내용을명확히인지할수있도록동의서양식을개편함. 필수사항 과 선택사항 을구분하고필수사항동의로계약체결 ( 서비스제공 ) 이이루어지도록하여, 선택사항에동의하지않는다는사유로서비스제공을거부하지못하도록함. 금융소비자의자기정보결정권을확실히보장 - ( 정보이용현황조회권 ) 고객이본인정보의이용 제공현황을언제든지확인할수있도록금융회사별로조회시스템을구축함. - ( 정보제공철회권 ) 고객이원하는경우기존의정보제공동의를철회할수있는권리를보장함.
보험개인정보법제개선방안 165 - ( 연락중지청구권 ) 고객이수신거부의사를밝히면해당금융회사로부터영업목적연락을차단 (Do not call) 하는시스템을구축함. - ( 정보보호요청권 ) 거래종료고객이본인정보의보호를요청할경우, 금융회사가파기또는보안조치를취하도록하는제도를도입함. - ( 신용조회중지요청권 ) 명의도용피해방지등을위해고객이요청하는경우, 대출등을위한신용조회를일정기간 ( 예 : 1일간 ) 중지함. 상기와같은정부의강력한개인정보보호종합대책은본보고서에서논하고자하는 보험개인정보의보호기능강화방안 과상당부분맥을같이하고있는바, 이하에서는상기의정부종합대책을토대로하되보험산업에실질적으로적용될수있는보험소비자보호방안을논하고자함. 나. 자기정보통제권보장강화 자기정보통제권 ( 또는개인정보자기결정권 ) 은개인의사생활활동이타인으로부터침해되거나사생활이함부로공개되지아니할소극적권리는물론, 오늘날고도로정보화된현대사회에서자신에대한정보를자율적으로통제할수있는적극적권리까지도포함하는개념 149) 으로헌법상보장된정보주체의권리임. 전술한바와같이, 자기정보통제권은그내용에따라크게수집통제권 ( 수집동의권 ), 보유통제권 ( 열람청구권, 정정청구권, 삭제 차단청구권 ) 및이용 제공통제권 ( 중단청구권, 추가적동의권 ) 등으로구분됨. 이러한자기정보통제권은절대적권리는아니며, 거래관계나거래상대방의 이익을보호하기위하여일정부분그권리의행사가제한을받을수있음. 149) 대법원 1998.7.24. 선고 96 다 42789 판결.
166 조사보고서 2014-8 금융회사의입장에서는한편으로고객의개인정보를보호해야할의무도있지만, 다른한편으로고객정보는고객과의금융거래과정에서수집되거나생성된것으로서금융회사의자산이기도하며, 또한고객정보는금융회사가고객또는제3자에대하여금융회사의권리를보호하기위하여필요한방어수단이되기도하기때문임. - 따라서고객의개인정보라고하여어떠한경우에도제한될수없다고보기는어려울것이며, 거래상대방인금융회사의정당한이익을보호하기위하여필요불가결한경우에는비교형량을통해일부제한될수있다는의견 150) 이힘을얻어가고있음. 따라서보험소비자가보험회사와거래관계를맺은후에는삭제청구권, 차단청구권, 중단청구권등에대해서는일정부분권리의행사가제한받을수있는것임. - 예를들어, 개인정보를처리하지아니하면정보주체와약정한서비스를제공하지못하는등계약의이행이곤란한경우로서정보주체가그계약의해지의사를명확하게밝히지아니한경우등에는정보주체의처리정지요구를거절할수있음 ( 개인정보보호법제37조2항 ). 그러나우리나라의현실은정보주체의자기정보통제권제한을논의하기이전에, 정보주체가자기정보통제권을행사할수있는실질적인기회를전혀보장받지못하고있다는것이보다큰문제점이라고할수있음. 전술한것처럼, 포괄적동의가일반화되어있을뿐만아니라, 자신의정보가어디로제공되어어떻게이용되고있는지에대하여정보주체로서는전혀알길이없기때문임. 150) 박재현 (2014), p. 16.
보험개인정보법제개선방안 167 여기서금융소비자가본인정보가어떻게활용되는지알지못하고, 본인 정보의제공 조회 삭제등을스스로결정할수없었던문제를해결할 필요가있는것임. ( 통지제도의무화 ) 따라서정보주체의자기정보통제권을보장하기위해서가장먼저이루어져야하는부분은, 개인정보처리자 ( 보험회사등 ) 가개인정보를이용 제공 조회할때마다정보주체에게그내용을통지하도록하는통지제도의도입을의무화하는것임. 사전동의제도를통하여정보주체에게수집 이용 제공내역을이미통보하고동의를얻었으므로, 추가적인비용이소요되는이러한통지제도의의무적도입은사적자치의원칙을무시하는불필요한중복규제라는이견이있을수도있으나, 최근의카드사유출사태이후사전동의제도가포괄적동의나강제적동의수령으로말미암아유명무실한제도로전락했고 151), 오히려개인정보처리자에게 면죄부 를부여할뿐이라는인식이이미사회적으로퍼져있어, 통지제도의도입이오히려기업에게는소비자의신뢰를제고시킬수있는기회가될것으로사료됨. 다만, 보험범죄의적발이나보험요율산출등을위한경우는, 수사의기밀을유지하기위하여개인정보의처리내역을감출필요가있거나알리는것이불필요한경우에해당하므로통지를면제할수있을것임. ( 이용현황정기공시및개별확인제도 ) 또한보험회사또는보험정보집중기 관으로하여금보험조회망의이용현황을정기적으로공시하도록하고, 보험 소비자가희망할경우에는언제든지자신의정보가어떻게이용되고제공되 151) 동의에기초한개인정보법제는개인에게정보에대한의미있는지배권을부여하겠다는목적도달성할수없고, 개인에대한좁은시각으로개인정보가가지는보다큰사회적차원을무시하는것이라는의견도있음. Daniel J. Solove(2013), pp.1899~1900; 정순섭 (2014), p.100. 에서재인용함.
168 조사보고서 2014-8 었는지를파악할수있는개인별확인제도의도입도필요함. 보험회사가보험계약자등으로부터제공동의나조회동의를받았다고하더라도그것이무제한적으로유효한것은아니므로, 보험회사의개인정보처리남용을방지하고보험계약자등에대한개인정보관리의투명성을제고하기위해서는이러한제도적장치가요구되기때문임. ( 두낫콜제도확대도입 ) 한편, 최근정부는카드유출사태이후정보주체의자기정보통제권행사를보장하기위하여업권별로두낫콜 (Do Not Call) 시스템을확대도입할것을요구하고있는바, 이에대한대비도필요함. 두낫콜시스템은소비자가광고성전화를원치않을경우온라인상으로수신의사거부표시를일괄등록할수있는제도로서, 앞서설명한자기정보통제권중보유통제권 ( 삭제 차단청구권 / 연락중지청구권 ) 에해당함. - 동권리는헌법상기본권에근거한정보주체의권리이지만, 각개별법또한동권리를보장하고있으므로구체적인권리는각개별법에서그근거를찾을수있음. - 개인정보보호법, 신용정보법, 정보통신망법등대부분의개인정보보호법률들은개인정보의처리정지 ( 개인정보보호법제37조 ), 개인신용정보제공 이용동의철회권 ( 신용정보법제37조 ), 이용자의권리 ( 정보통신망법제30조 ) 등의관련규정에서연락중지청구권을인정하고있으므로정보주체는동규정에근거해개인정보처리회사등에연락중지를요청할수있음. 152) 다만, 동법률들은개인정보처리회사등으로하여금정보주체의권리행사를위하여시스템을구축하도록하는등의적극적인절차에대해서는규정하고있지않음. 152) 참고로, 정보통신망법은전자우편과전화를구분하여규제에차이를두고있음. 즉, 전자우편의경우에는수신자의명시적인수신거부의사에반하는영리목적의광고성정보를전송하지못하도록규정 (opt-out) 하고있는반면, 전화및모사전송기기의경우에는영리목적의광고성정보를전송할경우수신자의사전동의를받도록규정 (out-in) 하고있음 ( 제 50 조 ).
보험개인정보법제개선방안 169 현재법상근거를두고있는두낫콜시스템으로서가장대표적인것은 방문판매등에관한법률 에따라 2014년 1월부터운영된공정거래위원회 ( 한국소비자원 ) 의 전화권유판매수신의사거부등록시스템 이라고할수있음. - 동법률에따르면전화권유판매자는전화권유판매를하려는경우에는수신의사거부등록시스템에서소비자의수신거부의사등록여부를확인하여야하며, 전화권유판매수신거부의사를등록한소비자에게전화권유판매를하지못함. 한편, 보험산업의경우에는보험요율산출기관인보험개발원이 2013년 11 월부터두낫콜제도를도입하여운영하고있으나 153), 동제도는운영상법적근거가모호할뿐만아니라 보험개발원이보유 하고있는 자동차보험계약정보 에한정하여운영되고있다는한계가있음. - 따라서동제도의법적근거뿐만아니라수신거부의사적용기간등세부운영사항을보험업법상에명확히규정하고, 동제도의적용대상을 모든보험회사가보유 하고있는 모든보험정보 로확대함으로써보험계약자등이실질적으로자기정보통제권을행사할수있도록개선할필요가있음. 153) 보험계약의경우에는방문판매법의적용대상이아니므로 ( 동법제 3 조 ), 원칙적으로공정거래위원회의 수신거부의사등록시스템 의적용을받지는않음.
170 조사보고서 2014-8 < 그림 Ⅴ-1> 보험개발원의 Do Not Call 서비스 다. 보험회사등의개인정보보호의무강화 업무제휴를통한개인정보수집시보험회사의책임강화 보험회사가업무제휴등의방법을통해개인정보를제공받아보험마케팅을수행하는경우, 제휴회사고객들은자신의개인정보가보험회사에제공되는지의여부를인식하지못할수도있다는점이개인정보보호와관련한가장큰문제점임. - 이는제휴회사가자사고객의개인정보제공에대해정보주체의동의를받지않고보험회사에제공하였거나, 제휴회사가개인정보제공회사인보험회사를구체적으로명시하지않고포괄적동의를수령한후이를근거로보험회사에자사고객의개인정보를제공하였기때문일것임. - 그러나금년 3월금융소비자보호를위한정부종합대책에서는보험회사로하여금보험회사가제3자에게제공한개인정보에대해서만관리의무를부과하고있을뿐임.