신제윤 금융위원장은 22일 열린 금융회사 ‘고객정보 유출 재발방지 대책’ 발표에서 정보유출 사고를 일으킨 전현직 CEO에 대한 엄중한 책임을 지울 것을 강조했다. 다만 기존 정보유출 사고가 일어났던 금융회사에는 징벌적 과징금제가 적용되지 않을 전망이다. 또 금융감독원에서 전 금융회사에 걸쳐서 보안 특별점검을 실시할 계획이라고 밝혔다. 한편 최수현 금감원장은 이번 정보유출 사고에 대한 금융당국 책임론에 대해 사고수습에 역량을 다할 것이라고 말을 아꼈다.
▲ 징벌적 과징금을 유형별로 나눈 이유와 취지는
- 징벌적 과징금 제도는 어떤 행위를 통해서 부당이득을 얻었을 때 과징금과 부당이득이 없는 단순한 정보유출 때 과징금이다. 이번 카드사 정보유출 사고가 부당이득이 없는 정보유출이다.
▲ 징벌적 과징금이 기존에 정보유출 사고가 일어났던 금융회사에 소급 적용되는 것인가
- 그것은 법리적으로 어려울 것으로 보인다.
▲ 징벌적 과징금 및 임원진에 대한 제재 수준은
- 과징금 제도는 부당이득이 없더라도 사회문제를 일으켰기 때문에 하는 부분이라서 50억원 정도를 생각하고 있다. 하지만 이는 어디까지나 예시로 과징금에 대해서 매출액의 1%까지 하는 사실상 제한이 없는 제재를 검토하고 있다.
▲ CEO 제재는 전직 CEO에 대해서도 제재가 가능한가
- 물론이다. 그 당시의 책임에 있다면 전현직을 가리지 않고 엄중한 책임을 물을 것이다.
▲ 징벌적 손해배상제는 검토가 안 됐던 것인가
- 그것은 지금 검토가 안 되고 있는데 보도록 하겠다.
▲ 금융회사 정보수집 제한은 어디까지 할 것인가
-정보수집 범위는 금융회사별로 달라서 많게는 50개까지도 정보를 수집하는 경우도 있고 20개 내외인 경우도 있다. 꼭 필요한 정보 이외에는 수집하지 못하도록 할 생각이다. 수집하더라도 개별정보, 즉 부가서비스를 받기 위해 고객이 꼭 원하는 경우에 한해서 수집하도록 하겠다. 지금과 같이 포괄적으로 한꺼번에 받는 것이 아니라 개별 항목별로 동의여부를 표시할 수 있도록 할 방침이다.
▲ 5년이 지난 개인정보를 폐기한다고 했다. 이미 은행들이 가지고 있는 오래된 자료는 언제, 어떻게 폐기되나
- 폐기 계획은 실무작업이 진행 중으로 TF에서 방안이 확정될 것이다. 금융감독원에서 개인정보 폐기 실태를 점검을 해나갈 계획이다.
▲ 고객정보에 대한 제3자 활용동의서는 어떻게 이뤄지나
- 신용카드 가입 등 가입 계약서를 철저히 다 볼 것이다. 대원칙은 고객이 동의하지 않은 것은 제3자가 활용할 수 없도록 하고 만일 고객이 제3자의 동의를 하지 않으면 가입이 안된다든지 하는 것은 다 폐지할 생각이다.
▲ 지주사내 정보공유 제한은 어디까지 하나
- 지주사내 정보공유는 원칙적으로 고객이 동의하지 않은 정보에 대해서는 공유를 허용하지 않을 방침이다.
▲ 금융지주그룹내 정보공유의 경우 이미 상당수 정보가 쌓여있는 상태다. 이런 경우 앞으로 지주사간 정보공유는 어떻게 제한을 둘 것인가
- 현재 지주사내 정보공유는 일단 고객이 동의한 상황이고 관련법이 개정이 안 됐기 때문에 (공유제한을) 강제할 수 없다. 감독원 행정지도 등을 통해서 이를 해결해 나가겠다.
▲ 집단소송이 일어나고 있다. 해외 사례를 보면 금융당국이 법원의 판단이 있기 전 중지하는 경우가 굉장히 많다. 지금 손해배상 소송과 관련해서 당국이 중재에 나설 생각은 없는지
- 우리나라 사전 중재제도가 없는 것으로 알고 있다. 검토해 보겠지만 아직 계획은 없다.
▲ 금융당국 책임론도 계속 제기되고 있다. 이에 대한 금감원장의 생각은
- 우선 사고수습이 우선이라고 생각한다. 지금은 그런 문제보다는 빨리 안심하고 카드를 이용할 수 있도록 하는 데에 역량을 다할 것이다.