[디지털투데이 강진규 기자] 기업신용정보도 가명처리 대상이 될까? 사업자등록번호나 주민등록번호를 결합키(key)로 활용할 수 있을까? 금융과 비금융 데이터 결합시 적용되는 법률은 신용정보법일까 아니면 개인정보보호법일까? 금융위원회와 금융감독원이 금융분야 가명·익명처리에 관한 주요 사안에 대한 유권 해석을 공개했다.

11일 금융권에 따르면 금융위원회와 금융감독원은 이달 초 ‘금융 분야 가명·익명처리 안내서’ 개정판을 공개했다.

금융당국은 지난 2020년 8월 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 개정으로 기명정보, 익명정보를 법적으로 활용할 수 있게 됨에 따라 관련 사안을 안내하기 위해 안내서를 제작했다. 금융당국은 이후 약 1년 반 동안 데이터결합과 가명·익명처리 관련 내용이 달라짐에 따라 안내서를 개정해 공개한 것이다.

금융당국은 기존 안내서에는 없었던 가명·익명 활용 사례, 가명·익명처리 관련 자주하는 질문, 2022년 신용정보법 시행령 및 감독규정 개정 내용 등을 개정판에 새로 담았다. 특히 금융당국은 ‘자주하는 질문’에서 가명·익명 처리, 활용과 관련해 금융회사들이 문의했던 내용에 대한 유권해석을 소개했다.

금융당국은 제3자로부터 제공받은 개인정보도 가명처리할 수 있는지 여부에 대해 개인정보 제공 기관과 체결한 계약 등에 제약사항이 없을 경우 가명처리 가능 정보 대상에 제한이 없다고 설명했다.

기업신용정보가 가명처리 대상인지 여부에서 대해서는 개인신용정보가 아니면 가명처리 대상이 아니지만 기업신용정보라도 정보를 구성하는 내용에 따라 개인이 식별될 수 있으면 개인신용정보에 해당해 가명처리해야 한다고 했다.

또 금융당국은 기업신용정보를 개인신용정보와 연결할 때 결합정보를 개인신용정보로 봐야하기 때문에 데이터 전문기관을 통해 결합해야 한다고 설명했다.

금융당국은 사업자등록번호를 추가처리 없이 그대로 결합키로 사용할 수 있는지 여부에 대해 사업자등록번호가 다른 데이터와 결합되면 결합정보가 개인정보로 판단될 수 있으므로 일방향 암호화 등 추가처리 하는 것을 권고한다고 밝혔다. 또 결합키로 주민등록번호를 사용하는 것은 불가하다고 지적했다.

금융과 비금융 데이터를 결합할 때 신용정보법 또는 개인정보보호법 중 어떤 법을 적용해야하는지에 대해 금융당국은 결합의뢰기관에 신용정보회사가 포함될 경우 신용정보법을 적용해야 한다고 설명했다. 데이터 결합 이후에는 금융 분야 의뢰기관과 이용기관은 신용정보법을, 비금융 의뢰기관이나 이용기관은 개인정보보호법에 따라 사후관리를 수행해야 한다고 밝혔다.

이밖에도 금융당국은 결합 가명정보를 제3자에게 제공하는 것은 불가능하며 다만 결합정보를 분석할 결과 등은 제공이 가능하다고 소개했다.

금융위, 금감원은 가명정보를 결합해서 어떻게 활용할 수 있는지 사례도 공개했다. 예를 들어 청년들이 이용하는 핀테크의 고객 행위정보와 은행의 여·수신, 신용 정보를 결합해 청년들을 위한 대안신용평가모형을 개발할 수 잇다는 것이다. 또 자영업자들의 만기연장, 상황유예 정보와 매출정보를 결합해 코로나19로 인한 자영업자들의 상황능력을 분석할 수 있다고 소개했다. 또 카드사가 보유한 데이터를 익명처리한 후 개인 식별성을 제거하고 특정 품목을 구매하는 고객군을 파악할 수 있다고 밝혔다.

금융당국이 이처럼 자세한 내용을 안내서에 넣어 공개한 것은 데이터결합과 가명·익명 활용을 활성화하기 위한 의미로 해석된다.