금융기관이 수집한 고객정보의 제3자 제공에 관한 법적 고찰

• Published in: 법학연구 Vol. 24; no. 2; pp. 173 - 227
• Main Author: 김종호(Jongho Kim)
• Format: Journal Article
• Language: Korean
• Published: 충남대학교 법학연구소 01.12.2013; 법학연구소
• Subjects: 법학; 금융기관; Basel Accord; Financial institution; 정보공유; Client information; Personal information protection; 고객정보; 바젤은행협약; Informationshare; 개인정보보호; 프라이버시권; Privacy rights
• ISSN: 1229-2699; 2671-8553

본고는 개인정보보호법상 고객정보의 이용제한에 대하여 논하고 있다. 위 법률은 개인정보의 적정한 취급에 관하여 기본이념, 국가 및 지방 공공단체의 책무, 정부의 기본방침, 관련 정책, 개인정보처리자가 준수해야 할 의무 등을 규정하여 개인정보의 유용성을 배려하면서도 개인의 권리이익을 보호하고자 입법된 것이다. 이 법은 공공분야를 포함한 개인정보 전반에 관한 기본법적 부분과 민간부문에 대한 일반법적 부분으로 구성되어 있다. 개인정보보호법은 고도의 정보통신 사회의 진전에 따라 개인정보의 이용이 크게 확대되고 있는 점을 감안하여 입법을 하였다고 생각된다. 최근 정보통신 기술의 현저한 발전은 데이터의 대량 신속처리를 가능하게하고, 사회발전과 생활의 편리성 향상에 기여하고 있다. 그러나 한편으로 부당한 목적이나 이용, 대량 누설 등의 위험이 증가하고 있어서 개인정보의 정보주체(본인)에게 불안감도 증대시키고 있다. 이런 사실로 보아 알 수 있듯이, 이 법은 어디 까지나 고도 정보통신 사회가 진전되고 있는 상황에서 개인정보의 컴퓨터 처리 등에 따른 개인의 권리이익 침해의 위험, 본인의 불안 등의 사회문제에 대응하기 위한 것이다. 개인정보보호법은 개인정보의 적정한 취급에 관해 기본이념 및 정부의 개인정보의 보호에 관한 정책의 기본이 되는 사항을 정하고 국가 및 지방 공공단체 뿐만 아니라 기업이나 개인에게도 책임을 분명히 함과 동시에 개인정보 취급사업자가 준수해야 할 의무 등을 정함으로써 이 법의 목적을 달성하기 위한 기본 틀을 규정하고 있다. 이 법은 개인정보의 유용성을 배려하면서도 개인의 권리이익을 보호하고 있다. 그러므로 이 법은 개인의 권리이익의 보호만을 목적으로 하는 것이 아니라, 개인정보의 유용성과 그 보호의 적정한 이익형량을 하고 있음을 명확히 이해해야 한다. 즉, 이 법은 개인정보의 적정한 취급에 관한 규칙을 명확히 하고 제도로서 정비하고 그 준수를 보장함으로써 개인의 권리이익의 침해를 미연에 방지하고자하는 것이다. 본고에서는 위와 같은 개인정보보호법의 이해에 따라 금융기관 등의 실무를 바탕으로 그들이 취득한 고객정보 취급에 관한 법률문제를 검토하여 금융기관 등이 보유하는 고객정보에 관한 법적 규제의 방법과 정보를 제공한 고객의 권익보호 관점에서 그것을 보유하는 금융기관 등이 이를 이용함에 있어서 어떤 자세를 취하여야 하는지에 대해 고찰하였다. Personal Information, as a common sense, is any information about an individual that identifies him or her, such as financial, lifestyle or health information, but not their name, title or business address, telephone or email. Under the ‘Personal Information Protection Act (PIPA),’ however, “personal information” shall mean the information pertaining to any living person that makes it possible to identify such individual by his or her name and resident registration number, image, etc. (including the information which, if not by itself, makes it possible to identify any specific individual if combined with other information). Personal information has to be protected regardless of its characteristics or its form, whether written, graphic, audio, visual, computerized or any other form. The state and local governments shall devise policies to prevent harmful consequences of beyond purpose collection, abuse and misuse of personal information, indiscrete surveillance and pursuit, etc. and to enhance the dignity of human beings and individual privacy. Under the Article 17(1) of the PIPA, “[t]he personal information processor may provide (or share) the personal information of data subjects to a third party in the case applicable to any of the following sub paragraphs: 1. where the consent is obtained from data subjects; or 2. where personal information is provided within the scope of purposes for which personal information is collected under sub paragraphs 2, 3 and 5 of Article 15(1)” of the PIPA. The personal information processor such as banker or other market player shall not use personal information beyond the scope stated in Article 15(1), and shall not provide it to a third party beyond the scope stated in Article 17(1) and (3). Personal information or data privacy refers to the evolving relationship between technology and the legal right to, or public expectation of, privacy in the collection and sharing of data about one’s self. Privacy concerns exist wherever uniquely identifiable data relating to a person or persons are collected and stored, in digital form or otherwise. In some cases these concerns refer to how data is collected, stored, and associated. In other cases the issue is who is given access to information. Other issues include whether an individual has any ownership rights to data about them, and/or the right to view, verify, and challenge that information. Financial privacy, in which information about a person’s financial transactions is guarded, is important for the avoidance of fraud including identity theft. Approaches to privacy can, broadly, be divided into two categories: free market and consumer protection. In a free market approach, commercial entities including financial institutions (i.e., bank, insurance company, securities firm) are largely allowed to do what they wish, with the expectation that consumers will choose to do business with corporations that respect their privacy to a desired degree. If some companies are not sufficiently respectful of privacy, they will lose market share as well as punished by violation of PIPA. Such an approach may be limited by lack of competition in a market, by enterprises not offering privacy options favorable to the user, or by lack of information about actual privacy practices. Claims of personal information protection made by companies may be difficult for consumers to verify, except when they have already been violated. In a consumer protection approach, in contrast, it is claimed that individuals may not have the time or knowledge to make informed choices, or may not have reasonable alternatives available. In support of this view, this research showed that most personal information protection policies are above the reading level of the average person. Therefore, this approach advocates greater government definition and enforcement of privacy standards. KCI Citation Count: 6