새로운 전자금융 서비스가 속속 등장하고 있지만 도대체 어떤 법을 적용받고 기업은 어떤 법률 가이드를 갖춰야 할지 난감한 상황이다. 이에 핀테크 서비스에 대한 다양한 법 체계에 대해 알아봤다.
최근 애플페이 국내 상륙으로 간편결제 시장이 뜨겁다. 간편결제와 송금 서비스 분야는 ‘전자금융거래법’을 따른다. 또 마이데이터 서비스도 점점 고도화되고 있는데, 대규모 데이터를 가공하고 처리하는 서비스를 담은 법이 소위 데이터 3법이다. ‘개인정보보호법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법), ‘신용정보의 이용 및 보호에 관한 법률’(이하 신용정보법)을 말한다.
클라우드, 블록체인 기반 분산원장기술 등 금융사 정보 처리 시스템을 관할하는 법은 ‘전자금융거래법’ 하위고시인 ‘전자금융감독규정’과 신용정보법 하위고시인 ‘신용정보업감독규정’을 준용하고 있다.
그 외에도 전자문서나 전자서명 활용이 필수적인데 이 부문은 ‘전자문서 및 전자거래 기본법’, ‘전자서명법’을 적용받고 있다. 최근 핫 이슈로 떠오른 가상자산 관련법은 ‘특정 금융거래정보의 보호 및 이용 등에 관한 법률’(이하 특금법)이 있다. 혁신금융 서비스에 대해 일정 기간 규제 적용을 예외로 해주는 ‘금융혁신지원 특별법’도 주요 디지털금융 법 체계라 할 수 있다. 다양한 법 체계가 있지만 데이터 3법과 ‘전자금융거래법’이 핵심이라고 할 수 있다.
금융사가 디지털금융 서비스 도입을 위해 유관 법률 검토는 필수다. 이때 유의해야 할 게 많다.
금융 관련 법률은 업권별로 구성하는 구조를 취하고 있다. 예를 들어 은행업은 ‘은행법’, 보험업은 ‘보험업법’, 신용카드업은 ‘여신전문금융업법’, 금융투자업은 ‘자본시장과 금융투자업에 관한 법률’에 속한다. 따라서 디지털금융 서비스를 도입하기 위해 법률 검토를 할 시 유관 법률과 함께 ‘전자금융거래법’과 데이터 3법을 확인해 허가, 등록, 신고 등의 절차가 필요한지 2가지 채널로 확인해야 한다.
법률 검토를 마친 후에는 꼭 기업이 속해 있는 업권 전체를 규율하는 법이 있는지 확인하고, 법이 있다면 그 법에서 정한 게 무엇인지를 인지해야 낭패를 면할 수 있다.
데이터 2법으로 통합 조정
2020년 데이터 3법이 개정되면서 개인정보보호법, 신용정보법 등 데이터 2법으로 통합 조정됐다. 간혹 정보통신망법에 있던 규제들이 사라진 것으로 오인하는 경우가 많다. 그 규정이 ‘개인정보보호법으로 이동한 것뿐이다. 따라서 법을 검토할 때 기존에는 개인정보보호법, 정보통신망법, 신용정보법 3개 법을 찾아서 확인해야 했던 것이 이제 2개의 법을 찾아보면 된다.
금융권 개인정보 처리와 관련된 법률은 신용정보법, 개인정보보호법, 금융실명법 일부 규정이 존재한다. 개인정보와 관련된 규정은 아니지만 디지털금융 서비스 제공 시 반드시 연결되는 영리 목적의 광고성 정보 규정은 여전이 정보통신망법에 남아 있다. 따라서 정보통신망법 일부 규정도 여전히 검토를 해야 한다. 그렇다면 어떤 법이 상위법일까.
‘금융실명거래 및 비밀보장에 관한 법률’(이하 금융실명법)이나 ‘금융지주회사법’ 등 개별 금융법에 있는 개인정보 관련 규정이 신용정보법보다 우선한다. 또 신용정보법은 개인정보보호법에 우선해 적용된다. 그렇다면 가장 먼저 업무상 다루고 있는 데이터가 개인정보인지, 신용정보인지를 확인해야 한다. 그 여부에 따라 유관 적용법이 달라지게 된다.
개인정보보호법이 개인정보에 관한 일반법이기 때문에 ‘개인정보’인지 여부를 반드시 확인해야 한다. 판단 결과 개인신용정보에 해당할 경우 신용정보법과 개인정보보호법을 모두 검토해야 하며, 개인정보지만 개인신용정보가 아닐 경우 신용정보법은 검토 대상이 아니다. 따라서 기업은 개인정보와 개인신용정보의 차이를 명확히 해야 한다.
그렇다면 개인정보는 무엇일까. 개인정보보호법에서는 개인정보를 이렇게 정의하고 있다.
“해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다.”
예를 들어 성명, 주민등록번호, 영상 등을 통해 개인을 알아볼 수 있는 정보가 해당될 것이다.
혹자는 개인정보가 가명정보 아니냐는 질문을 한다. 가명정보를 개인정보에서 제외할 경우 개인정보보호법 적용 대상 자체에 해당되지 않기 때문이다. 즉, 규제할 수 있는 방법이 없게 되는 셈이다. 따라서 개인정보보호법에서는 가명정보를 개인정보의 하나로 포함시킨 뒤 가명정보에 대해서는 주요 규정 적용을 제외하는 방식을 취하고 있다.
법원 판례를 살펴보자. 경찰공무원 C씨가 피해자 휴대전화번호 뒷자리 4자를 제3자에게 알려준 것이 업무상 알게 된 개인정보를 권한 없이 다른 사람이 이용하도록 제공한 행위에 해당하는지 여부가 문제가 된 사건이 있다. 법원은 이를 개인정보라고 판단했다.
휴대전화번호 뒷자리만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고 설령 휴대전화번호 뒷자리만으로는 식별할 수 없더라도 관련성이 있는 다른 정보(생일·기념일·집 전화번호·가족 전화번호·기존 통화내역 등)와 쉽게 결합해 그 전화번호 사용자가 누구인지를 알아볼 수도 있다고 판단한 것이다.
그렇다면 개인신용정보는 무엇일까. 신용정보법상 개인신용정보란 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보를 의미한다. 여기서 신용정보란 식별정보, 거래정보, 신용도 판단정보, 능력정보, 기타 신용 판단 시 필요한 정보를 뜻한다.
따라서 개인에 관한 식별정보, 개인에 관한 거래정보, 개인에 관한 신용도 판단정보, 개인에 관한 능력정보, 기타 정보가 개인신용정보에 해당한다. 이 중 식별정보의 경우 다른 정보와 같이 있는 경우에만 개인신용정보이고, 식별정보만 있는 경우에는 개인정보에만 해당된다.
결론은 디지털금융 서비스 도입 기업은 고객 정보를 활용하는 서비스를 상용화할 때 가장 먼저 서비스에 이용하는 정보가 개인정보인지, 개인신용정보인지에 대한 분석이 최우선이다.
전자금융거래법은 법률 및 시행령, 고시인 전자금융 감독규정, 감독규정 시행세칙으로 구성된다. 많은 기업이 어려워하는 법이다. 전자금융거래법은 너무 방대한 내용을 담고 있을 뿐만 아니라 상당히 복잡하고 두서 없는 구조로 만들어져 있다. 다른 법령과 달리 감독규정 내용이 방대하고 감독규정에서 갑자기 새롭게 등장하는 요소가 많다.
전자금융거래란 금융사가 전자적 장치를 통해 금융 상품, 서비스를 제공하고 이용자가 금융사 종사자와 직접 대면하거나 의사소통을 하지 않고 자동화된 방식으로 이를 이용하는 거래를 의미한다. 전자금융업 등록 요건은 최소 자본금 요건, 인적·물적 요건, 재무 건전성 기준, 사업계획 타당성 등이 있다.
최소자본금 요건은 30억 원이다. 핀테크 초기 기업에는 상당히 부담스런 금액이다. 한국에서 핀테크 스타트업 출현이 활발하지 않은 이유가 라이선스 최소 자본금 요건이 너무 높은 데 있다는 지적이다. 재무 건전성 요건은 등록 회사의 부채 비율이 200% 이내여야 한다.
그럼 주요 전자금융업에는 어떤 분야가 있을까. 우선 선불전자지급수단업이다. 최근 앱이나 웹을 통해 서비스를 제공하는 기업은 대부분 자체 포인트를 발행해 고객이 이를 이용할 수 있도록 하고 있다.
이 같은 포인트가 △이전 가능한 금전적 가치가 전자적 방법으로 저장돼 발행된 증표 또는 그 증표에 관한 정보에 해당할 것 △발행인 외의 제3자로부터 재화 또는 용역을 구입하고 그 대가를 지급하는데 사용될 것 △구입할 수 있는 재화 또는 용역의 범위가 2개 업종 이상일 것 등에 해당하면 전자금융거래법상 선불전자지급수단이 된다. 다만 종이 쿠폰은 제외된다.
둘째로 전자지급결제대행업이 있다. 흔히 PG사라고 부른다. 쇼핑몰에서 물건을 구입하고 결제를 진행할 시 쇼핑몰을 대신해 결제 절차를 수행하는 곳이다. 토스페이먼트, KG이니시스, NHN한국사이버결제 등이 대표적이다. 간편결제도 포함된다. 이렇듯 디지털금융과 관련된 법이 상당히 방대하고 여러 개가 있는 것을 알 수 있다.
특히 개인정보를 어떻게 활용 또는 가공하고, 보안을 강화해야 할지도 과제다. 서비스를 영위하는 기업들은 개인정보 동의서를 준비하고 개인정보 처리 방침과 작성을 게시해야 한다. 영리 목적의 광고성 정보 전송을 하기 위해서는 정기적인 수신동의 여부를 반드시 거쳐야 한다.
아울러 서비스 회원과 회사 간 권리와 의무관계를 명확하게 하기 위해 웹사이트 이용약관도 준비해야 한다. 그 외에도 △위탁문서의 작성 △수탁 업체에 대한 관리·감독규정 마련 △장기 미이용자의 개인정보 처리 방법 △유효기간 만료 통지 △이용내역 통지 △보험 가입 또는 준비금 적립을 필수로 두고 있다.
산업계는 데이터 3법 시행뿐 아니라 데이터 사업이 증가하면서 호황기를 맞았다. 한국데이터산업진흥원에 따르면 우리나라 데이터 산업 시장은 2년 내 36조 원까지 성장할 것으로 전망했다.
업계는 성장기를 맞은 산업 육성을 위해 복잡하게 얽힌 디지털금융법을 숙지하고 경영 계획 수립이나 시장 진출 시 법의 규제를 사전에 예방하거나 대응할 수 있는 체계를 갖춰야 할 때다.
글 길재식 전자신문 기자
© 매거진한경, 무단전재 및 재배포 금지