1

서강대학교, 경영대학/경영전문대학원

이군희 교수

금융부문빅데이터활성화를위한규제방향

Regulatory Issues on Big Data in Financial Sector

Agenda

1. 4차 산업혁명의 원료: 빅데이터

2. 빅데이터 사례: 수집부터 활용까지

3. 데이터활용과 프라이버시 보호: 미국 vs. EU

4. 비식별정보의 취급: 미국, 영국, EU

5. 비식별정보 처리에 대한 제언

6. 신용정보 처리에 대한 제언

3

• 인공지능: “딥러닝을 구현하기 위하여 알고리듬에 집중하는 실수를 범했습니다. 문제

는 딥러닝 학습에 사용할 방대한 양의 데이터이었습니다.” Fei-Fei Li (Director of St

anford's Artificial Intelligence Lab)

• 사물인터넷: 사물들이 연결되면 센서를 통해 주고받는 방대한 양의 데이터

• 자율주행자동차/드론: 주변환경 변화에 대한 방대한 양의 데이터 생성

• 핀테크: 금융거래 자체가 데이터

• 기업가치 (2017년 5월 25일 기준) 1위:애플, 2위:알파벳(구글),

3위:마이크로소프트, 4위:아마존, 5위 페이스북

• 사회적 가치를 높여주는 빅데이터

버스 및 지하철의 효율적 운용 및 관리

인류의 건강을 유지하기 위한 질병 퇴치

국가 테러나 안보 위협으로부터 보호

신용을 기반으로 하는 선진화된 금융시장의 건전한 발전

4차 산업혁명의 원료: 빅데이터

4

• 무점포 / 비대면 원칙

대출 신청/심사/지급사후관리가 모두 홈페이지, 모바일, SNS로 이루어짐.

광고: 포털 사이트, 대학 홈페이지, SNS 및 400여 대학의 학적 정보에 등록

• 무서류 원칙

학적정보 (대학교), 신용유의정보(신용정보원), 이중지원 확인 (연금관리공단 등

200여개 기관을 통해 확인), 가구원 확인(행자부/대법원), 소득분위(복지부)

지급: 지급실행(15개 금융회사로 자동 이체), 대출발생보고(신용정보원)

사후관리: 일반상환(15개 금융회사), ICL 취업 후 학자금 상환(국세청), 지자체

이자지원(지방자치단체), 군복무자 이자면제(병무청), 재산조사(국토부), 해외이

주, 출입국 증명(법무부)

• 빅데이터 활용 맞춤형 금융서비스 제공 궁극적 목표

부모/배우자/본인 소득 및 생활환경에 따른 맞춤형 지원

빅데이터 사례: 한국장학재단

5

빅데이터의 힘 ?? 아니면 개인 프라이버시 침해 ??

데이터 활용과 프라이버시 보호

6

• 기본적으로 선택적 비동의 (opt-out) 방식을 취하고 있으므로

정보주체로부터 동의를 받을 필요가 없기 때문에 데이터

활용에 중점을 두고 있음.

• 민간 3개 CB사가 긍정적, 부정적 신용정보를 모두 수집, 활용하면서 경쟁

신용정보: 채무불이행사실, 대출현황, 보증현황, 신용카드 발급 및 해지 사실, 대

출시행, 상환기록, 신용한도 설정, 신용카드 결제내역 및 평균 사용액

+ 사망자 정보, 민사소송/압류정보, 전기, 수도, 가스, 통신정보도 수집

수집정보는 크게 6유형으로 구분: 식별정보, 불량정보, 신용거래정보, 신용능력

정보, 공공정보(1억 명이 넘는 정보로 Thin File에 유용), 조회정보, 추심정보

• 민간 3개 CB사 이외에 2002년 금융소외자들을 위한 전문 CB사 PRBC(Pay Rent,

Build Credit Inc.) 설립

데이터 활용과 프라이버시 보호: 미국

7

• 제공되는 서비스 영역

Credit Report

Credit Score

Credit Watch: 신용변동 내용을 본인에게 통지

Credit Fraud / Victim Assistance

Credit Counselling: 우리나라의 신용회복 위원회 성격

Marketing List Opt-out: 선택적 비동의 항목에 대한 관리

추가로…

Prescreening Service: 직원 채용 또는 인사업무 대상자 점검

ID verification

Search System: 채무자 소재 파악, 실 거주 정보 파악

Account Management: 신용계좌, 신용카드, 대출계좌 관리 서비스

데이터 활용과 프라이버시 보호: 미국

8

• 도드-프랭크법을 통해 조사권 및 제재권한을 가진

소비자보호 통합감독기구 CFPB 설립

• 2015년 ｢온라인 프라이버시 프레임워크｣를

통해 7대 원칙으로 구성된 Consumer Privacy Bill

of Rights (CPBR)을 발표

1. 개인정보 자기통제권 (Individual Control)

2. 투명성 원칙 (Transparency)

3. 목적 외 이용·제공금지 (Respect for Context)

4. 정보보안 및 프라이버시 영향평가 (Security)

5. 열람권 보장 및 정확성 원칙 (Access and Accuracy)

6. 최소수집원칙 (Focused Collection)

7. 책임준수: 기업 내부의 자체평가, 독립적 감사 (Accountability)

데이터 활용과 프라이버시 보호: 미국

9

• 기본적으로 선택적 동의 (opt-in) 방식을 취하고 있으므로 모든 개별 건에 대하여 동

의를 받을 필요가 있으므로 개인 프라이버시 보호에 중점을 두고 있음.

예외1: 역사, 통계, 과학연구 등의 목적으로 개인정보를 처리하는 경우 허용

예외2: 익명 데이터(Pseudonymised Information)’개념을 도입 처리를 허용

• GDPR의 잊혀질 권리 (Right to be Forgotten)

다음의 유럽 인권협약 기초

모든 사람은 그의 사생활, 가정생활, 주거 및 통신에 존중받을 권리를 가진다.

법률에 합치되고, 국가안보, 공공의 안전 또는 국가의 경제적 복리, 질서유지와

범죄의 방지, 보건 및 도덕의 보호, 또는 다른 사람의 권리 및 자유를 보호하기

위하여 민주사회에서 필요한 경우 이외에는, 이 권리의 행사에 대하여는 어떠한

공공당국의 개입도 있어서는 아니 된다.

데이터 활용과 프라이버시 보호: EU

10

• 잊혀질 권리에 대한 다른 시각 (검사장 의견서)

“검색 결과가 관련된 웹페이지들을 진실되게 반영하지 않고 검열된 버전만 보여준다면

이용자의 정보접근권이 훼손된다. (중략) 만일 ‘정보에 접근할 권리’가 제약된다면 법, 권

력, 부를 가지고 있는 집단들은 검색 정보를 조작하여 유리하게 만들 수 있으며, 특별히

국가권력과 기업권력, 정치인의 과거를 숨기는 데 활용할 여지가 충분히 존재하게 된다.”

• 개인정보에 접근할 권리와 프라이버시 보호라는 두 가지 상충된 원칙에서 나타남.

미국은 정보에 접근할 권리를 우선 시하고 있으며,

EU는 개인 프라이버시 보호를 더 중요하게 생각하는 선택을 택함

데이터 활용과 프라이버시 보호: EU

11

• 해외 사례 (미국):

프라이버시법(The Privacy Act of 1974)에서 기본 개념을 정의

건강보험 이전과 책임에 관한 법(HIPAA : Health Insurance Portability and

Accountability Act, 1996) 과 HIPAA 프라이버시 규칙 (HIPAA Privacy Rule,

2002)을 통해 개인 의료정보를 보호하면서 전 영역별 가이드라인이 되고 있음.

건강정보가 비식별 조치될 경우 공개하고 동의 없이 이용 가능

비식별 조치 방법: 전문가 결정, 세이프 하버

비식별정보의 취급: 미국

자료원: CIS 이슈리포트 (2017), 신용정보원

12

• 해외 사례 (EU): 개인정보보호지침 (Data Protection Directive, 1995)이 2018년부터

법적 구속력을 가진 일반개인정보보호규정 (GDPR: General Data Protection

Regulation, 2016)으로 대체

가명 정보(Psuedonymised Data)는 개인정보 보호 원칙에 적용되지만, 일반 개

인정보보다 유연하게 적용 가능

익명화 정보(Anonymous Data)는 비식별 정보이므로 보호 원칙이 적용 안됨.

익명화 정보: 개인식별가능성 (Singling out), 연결가능성 (Linkability), 추론가능

성(Inference)을 고려한 정보

익명화 방법: 무작위화(Randomization), 일반화(Generalization), 가명처리

(Pseudonymisation), 차분 프라이버시 (Differential-privacy), k-익명성(k-

anonymity), L-다양성(L-diversity) 방법 등을 제시하고 있음.

비식별정보의 취급: EU

• 해외 사례 (영국): 개인정보보호법(Data Protection Act, 1998)에서는 익명화 혹은 집

계된 정보는 개인정보가 아니라고 규정

정보보호위원회 (Information Commissioner’s Office, ICO)에서 익명화에 대한

기준을 제시하고, ‘의도적 공격자 테스트(Motivated Intruder Test, MIT)’를 실행

할 것을 제안

익명화 기준: 재식별 가능성을 완전히 없애는 것이 아니라 낮은 수준으로 유지

의도적 공격자: 사전 내부구조에 대한 지식이 없는 전문가로 합리적 능력을 가지

고 있지만 해킹과 같은 특수 전문 지식은 없으며 절도와 같은 범죄 행위는 저지

르지 않는다고 가정

캐나다 온타리오 개인정보보호위원회에서는 적절한 동질 샘플 수를 기반으로 재식

별 확률을 5%, 7.5%, 10% 3가지 수준으로 구분하여 관리

13

비식별정보의 취급: 영국

14

• 주요 내용: 식별자 또는 다른 정보와 결합하여 쉽게 식별될 수 있는 속성자(준식별자,

민감정보)의 경우 삭제하거나 비식별 조치 후 활용 가능

전문가로 구성된 평가단이 적정성을 판단

평가단의 자격요건, 구성 절차, 진행 프로세스가 복잡하여 산업계에서 외면

평가단의 구성과 전문지식 수준에 따라 주관이 개입될 가능성과 동일한 사안에

대하여 상이한 결과가 나타날 수 있음.

속성자의 범위가 명확하지 않아, 적정성 평가에서 대부분의 경우 식별자로 취급

되어 데이터의 효용성 저하

취급기관: 한국인터넷진흥원(행자부, 방통위)

한국정보화진흥원(미래부), 한국신용정보원(금융위)

금융보안원(금융위), 사회보장정보원(복지부)

한국교육학술정보원(교육부)

우리나라 비식별 조치 가이드라인

15

• 비식별 정보에 빅데이터 활용은 4차 산업혁명의 성공과 사회적 가치 창출에 매우 중

요한 사안으로 선진국에서는 경쟁적으로 체계를 구축하고 있음. 우리나라 비식별

조치 가이드라인은 명확하지 않고 절차가 복잡하여 실효성에 의문

• 비식별화에 대한 완벽한 방법론은 존재하지 않는다는 전제아래서 명확한 원칙 중심의

규제 환경 필요 세이프 하버 방법과 같이 저렴하면서 간단하고 명확하고 실행 가

능한 기준 도입

※ 우리나라는 빅데이터 측면에서 실현 불가능한 k-익명성을 근간하고 있음

• 비식별화에 대한 식별화 노력은 신용정보법 위반 행위로 엄격하게 다루어야 함.

• 영국이 시행하고 있는 의도적 공격자 테스트 도입을 검토할 필요가 있음

• 비식별화 과정 및 관련 규제는 빅데이터

활용은 시간과 비용이 많이 요구되는

인프라로 고려되어 정부 차원에서

개발 및 책임 분담의 노력이 필요

비식별 정보 규제에 대한 제언

16

• 기본 원칙: 최신성을 갖는 정확한 개인신용정보는 헌법적

기본권인 자기정보결정권 측면에서 보호받아야 하며, 동시에 공공재적 성격을 가지

고 있으므로 정보불균형을 해소하고 금융시장의 왜곡을 방지하기 위한 신용정보의

수집 및 투명한 유통 과정을 통하여 공유되어야 함.

• 최종 목표: 빅데이터를 통한 다양한 금융서비스 제공, 신용거래의 활성화

하지만 현재의 법규 체제는 데이터 활용 제한을 통한 자기정보결정권 측면만 강

조되면서 공공재적 성격의 금융시장의 왜곡 방지 역할에 미흡

형식적인 사전 동의규제에 해당하는 선택적 동의 (Opt-in) 방식은 빅데이터 산

업, 4차 산업혁명, 금융산업의 발전에 최대 걸림돌

마케팅이나 일반영업 행위에서는 선택적 동의 방식 적용

신용평가나 신용공여, 금융소비자가 자발적으로 요구하는 금융서비스에 대한 컨설팅

에는 정교한 보호 메카니즘을 바탕으로 하는 선택적 비동의 방식이 필요

신용정보 규제에 대한 제언 (1/6)

17

• 우량정보는 차단되면서 네거티브 정보(연체정보, 체납정보, 면책정보)중심의 불완전

한 신용정보를 공유함으로써 왜곡된 신용평가가 나타남.

선택적 비동의를 바탕으로 포괄적 동의 개념을 적용시켜 우량정보도 함께 수집

하고 공유하고 활용할 수 있어야 함.

• 신용기록의 강제삭제

금융거래가 종료되면 목적이 달성된 날부터 3개월 이내, 최장 5년 이내 기록 삭

제 요구 (신용정보법 제20조의2 제2항) 일정기간이 지나면 포지티브/네거티

브 신용정보와 관계없이 무차별적으로 삭제

신용정보 규제에 대한 제언 (2/6)

18

• 신용기록의 강제삭제의 문제점

미국과 영국의 경우, CB사가 신용정보를 보유하는 기간에 대해서는 제한 두고

있지 않으며 신용보고서의 정보제시 기간은 명시하고 있음.

World Bank는 올바른 신용평가와 안정적 금융시스템을 위하여 신용정보 보유/

활용 기간이 충분히 길어야 한다고 강조

경기변동을 고려한 신용평가의 안정성 및 타당성을 검증하려면 최소 2사이클 정

도의 경기순환주기, 대략 10년 정도의 신용기록 필요

국제기준인 바젤협약에서는 리스크 시스템 운영에 1사이클에 해당하는 5년을

최소 요구조건으로 설정하고 있으며 7년 이상의 자료를 사용하도록 권장

미시/거시 건전성 감독, 시스템리스크 측정, 거시안정성 연구, 가계신용시장 장

기추세 분석, 경기변동 영향력 분석, 스트레스 테스트 등은 금융정책 수립에 있

어 매우 중요한 역할을 하지만, 이러한 분석을 원천적으로 봉쇄

신용정보 규제에 대한 제언 (3/6)

19

• 개인정보법, 정보통신망법, 신용정보법, 금융실명법, 의료법, 위치정보법의 정리

금융관련 정보는 보다 적극적으로 공유되어야 하면서 오남용 방지를 위하여 엄격

한 기준이 적용되어야 하는 특수성 존재

그러나 업종별로 일관성 없는 법률이 적용되면 형평성 문제가 대두

중복 또는 상충되는 관련법률에 대한 정리가 필요 (특별히 개인정보보호법)

(참고) 신용정보법 개정 주요 내용

개인정보보호법의 특별법임을 명시 (하지만 정보통신망법과의 관계는??)

개인정보보호법에 준하는 사전 동의 규제 도입 및 강화

징벌적 과징금 도입

법정손해배상제도 및 징벌적 손해배상 제도 도입

신용정보 규제에 대한 제언 (4/6)

20

• 실효성 없는 동의 만능주의

국가인권위원회의 주문

– 빅데이터의 등장으로 사전 동의가

이루어지지 않아 자기결정권 침해 우려

– 비식별화 조치에도 재식별 가능성이 있으므로 이를 위한 엄격한 기준 마련

및 안정성 확보 방안 수립 요구

사전 동의가 이루어지면 자기결정권이 확보되는가? 모든 책임을 동의한 금융

소비자에게 전가하면서 신용정보의 오남용에 대한 실질적 자기결정권에 대한 보

호는 이루어지지 못하고 있음.

비식별화에 대한 엄격한 기준은 많은 노력, 시간, 비용이 발생되어 결국 실현 가

능성이 없어짐. 재식별 행위는 엄격한 시장 규율과 금융시장 질서를 교란하는

행위로 가중처벌을 부여하는 방식으로 바뀌어야 함.

투명한 신용정보 유통환경을 바탕으로 신용정보의 오남용방지에 대한 지속적인

모니터링에 대한 체계 구축이 필요

신용정보 규제에 대한 제언 (5/6)

21

• 쿠키정보 등에 대한 처리원칙 규정

빅데이터 활용 시 쿠키, IP주소, 로그기록, 위치정보 등이 필요한 경우가 많으나

오용·남용 우려 높음

법률적 해석 및 활용기준/가이드라인이 필요

신용정보 규제에 대한 제언 (6/6)

22

End of Document