개인의 신용정보를 이익단체인 은행연합회 등 금융협회에 모두 맡기는 것은 ‘고양이에게 생선을 맡기는 격’이라며 소비자들의 비판이 거세다. 그렇기 때문에 대형 카드정보유출 사태가 터졌다는 것이다.

금융소비자연맹(금소연)은 신용정보보호법이 사업자 이익단체인 전국은행연합회, 한국여신금융협회, 생명보험협회, 대한손해보험협회가 각 금융사로부터 신용정보를 수집 집중관리토록 공공 ‘신용정보집중기관’으로 지정한 것은 ‘객관성’과 ‘공공성’보다는 사업자의 이익에 치우치는 등 문제가 많기 때문에 이들에게 신용정보집중기관의 지위를 주는 제도는 폐지되어야 마땅하고, 금융사 위주의 현행 신용정보보호법을 전면 개정해야 한다고 밝혔다.

현재의 신용정보보호법은 목적 자체가 ‘신용정보업의 육성’에 중점을 두어 정보주체인 소비자에 대한 권리와 사생활비밀의 보호의 의무가 빠져 있고, 개인정보보호의 기본법이며 일반법인 개인정보보호법과도 배치되는 등 신용정보법을 이대로 두면 제2, 제3의 카드정보유출사태가 또 일어 날 수밖에 없는 상태이다.

또한, 신용정보법에는 ‘최소수집의 원칙’과 ‘처벌규정’이 없기 때문에 금융감독당국의 규제가 전혀 이루어지지 않았다. 일례로 개별신용정보집중기관인 생명보험협회(회장 김규복)는 25개 정보를 집적하도록 승인받았으나, 개인정보보호법상 수집할 수 없는 신장, 체중, 혈압, 당뇨, 질병명, 수술, 입원일까지 개인의 내밀한 ‘민감정보’를 마구잡이로 수집해 총 279개를 초과하는 질병정보를 집적 공유하다 적발되었으나, 기관경고 등의 솜방망이 처벌에 불과하였고, 피해소비자들에 대한 보상은 아무 것도 없었다.

신용정보제공, 이용동의서에 목적이 명확하지 않고 포괄적으로 기재되어 있고, 목적 달성 후에도 폐기하지 않고 영구히 보관하고 있다. 또한, 개인신용정보의 삭제와 처리 정지 청구에 대한 규정이 없다.

해외의 경우 대부분 중앙은행이 담당하는 종합신용정보집중기관을 우리나라는 은행업자들의 협회인 은행연합회가 맡고 있고, 개별신용집중기관도 생명보험협회, 손해보험협회, 여신전문금융업협회, 금융투자업협회, 정보통신사업자협회 등에 맡겨 공공성 보다는 해당 업체들의 이익에 치우쳐 왔다.

이들은 그 동안 금융위원회로부터 승인받지 않는 정보를 무더기로 수집, 관리, 활용해 왔던 것이 밝혀지기도 했는데, 그 동안 밝혀진 것이 빙산의 일각일 수도 있다.

생명보험협회뿐만 아니라, 손해보험협회도 승인받지 않은 고객의 위험등급 등 10종 정보와 허가되지 않은 26종의 정보를 수집, 관리, 활용해 왔다가 적발되었는데, 순보험료율 산정기관인 보험개발원마저 수백만건의 보험계약정보를 고객의 동의도 받지 않고 보험사에게 넘겼고, 보험대리점, 보험설계사도 고객정보를 조회할 수 있게 해왔다. 더 이상 이들에게서 신용정보법에 의한 공공 신용정보 집중기관의 자격을 기대할 수는 없다.

한편 금융기관들은 그 동안 ‘신용도를 판단할 수 있는 정보’라며 ‘신용거래 내역’, ‘재산 현황’ 등을 수집 및 집중 활용에 동의하지 않으면 금융거래가 불가능한 필수정보라고 하면서 신용정보집중기관과 신용조회회사 등에 집중, 관리하겠다고 신용정보주체의 포괄적 동의를 받아 수집, 활용해 왔다. 이렇게 수집된 정보는 신용정보법에 의해서 당사자가 동의 철회나 삭제 요청을 할 수도 없게 되어 있다.

또한 이들은 수집에 동의 받은 정보뿐만 아니라. ‘신용도를 판단 할 수 있는 정보’라며 신용정보주체의 동의를 받지 않고 ‘불이익 정보’를 집적 공유하거나, 신용정보를 채권추심 정보나 영업을 위한 마케팅 정보로 과도하게 이용해 왔다.

따라서, 사업자 위주로 운영되어 온 신용정보보호법을 전면 개정하여 신용정보 주체에 대한 권리와 사생활 비밀을 보호해야 하며, 정부의 주관부처도 개인정보보호의 전문성과 기술이 떨어지는 금융위원회에서 개인정보보호위원회로 업무를 이관시켜야 할 것이다.

신용정보 수집, 조사, 처리에 대한 동의권을 명문화하고, ‘최소수집의 원칙, 목적적합성의 원칙, 선택정보 거절권 보장, 목적 달성시 파기의 원칙’ 등을 명확화 해야 한다.

금소연 강형구 국장은 “사업자를 위한 신용정보보호법이 국민 인권까지 침해하는 무소불위로 잘못 운영되어 왔으므로, 현행의 이익단체로 신용정보집중기관으로 지정한 것을 조속히 폐지하고 개인의 자기결정권을 보장하며, 처벌을 강화하고, 징벌적 손해배상, 입증책임의 전환, 단체소송제도를 포함하는 새로운 법으로 전면 개정되어야 할 것”이라고 밝혔다.