(소상공인시장진흥공단) 신용정보관리지침
[시행 2020.12.16.] [소상공인시장진흥공단규정 , 2020.12.16., 일부개정]
소상공인시장진흥공단 금융지원실, 042-363-7694
제1장 총칙
제1조(목적) 이 지침은 「신용정보의 이용 및 보호에 관한 법률」(이하 "신용정보법"이라 한다), 「동법 시행령」(이하 "시행령"이라 한다) 및 「동법 시행규칙」, 금융위원회「신용정보업감독규정」(이하 "감독규정"이라 한다)에 따라 소상공인시장진흥공단(이하 "공단"이라 함)이 신용정보업무를 수행함에 있어 신용정보의 효율적 이용과 체계적 관리, 신용보호주체의 신용정보 보호 및 관리에 관한 사항을 정하는 것을 목적으로 한다.
제2조(용어의 정의) 이 지침에서 사용하는 용어의 뜻은 다음과 같다.
① "신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로 신용정보법 제2조제1호에서 정하는 것을 말한다. <개정 2020. 12. 16.>
② "개인신용정보"란 신용정보 중 개인의 신용도와 거래능력 등을 판단할 때 필요한 정보로 신용정보법 제2조제2호에서 정하는 것을 말한다. <개정 2020. 12. 16.>
③ "신용정보주체"란 처리된 신용정보로 알아볼 수 있는 자로서 그 신용정보의 주체가 되는 자를 말한다. <개정 2020. 12. 16.>
④ "신용정보업"이란 신용정보법 제2조제4호에 따른 업(業)을 말한다. <개정 2020. 12. 16.>
⑤ "신용정보회사"란 신용정보업을 할 목적으로 신용정보법 제4조에 따라 금융위원회의 허가를 받은 자를 말한다.
⑥ "신용정보집중기관"이란 신용정보를 집중하여 관리·활용하는 자로서 신용정보법 제25조제1항에 따라 금융위원회로부터 허가받은 자를 말한다.
⑦ "신용정보제공·이용자"란 고객과의 금융거래 등 상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 시행령 제2조18항에서 정하는 자를 말한다. <개정 2020. 12. 16.>
⑧ "신용정보회사등"이란 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 신용정보제공·이용자를 말한다. <개정 2020. 12. 16.>
⑨ "채권추심업무"란 채권자의 위임을 받아 변제하기로 약정한 날까지 채무를 변제하지 아니한 자에 대한 재산조사, 변제의 촉구 또는 채무자로부터의 변제금 수령을 통하여 채권자를 대신하여 추심채권을 행사하는 행위를 말한다.
⑩ 채권추심의 대상이 되는 "채권"이란 「상법」에 따른 상행위로 생긴 금전채권, 판결 등에 따라 권원이 인정된 민사채권으로서 대통령령으로 정하는 채권, 특별법에 따라 설립된 조합·공제조합·금고 및 그 중앙회·연합회 등의 조합원·회원 등에 대한 대출·보증, 그 밖의 여신 및 보험 업무에 따른 금전채권 및 다른 법률에서 채권추심회사에 대한 채권추심의 위탁을 허용한 채권을 말한다. <개정 2020. 12. 16.>
⑪ "처리"란 신용정보의 수집(조사를 포함한다. 이하 같다), 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 결합, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. <개정 2020. 12. 16.>
제3조(다른 규정과의 관계) 신용정보의 효율적 이용과 체계적 관리, 신용보호주체의 신용정보 보호 및 관리에 관한 사항에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 지침에 따르며, 이 지침에서 정하지 아니한 세부적인 사항은 별도로 정하는 바에 따른다.
제4조(수집 및 처리의 원칙) ① 신용정보를 수집하고 이를 처리하는 경우 본 지침에서 정한 업무 범위에서 수집 및 처리의 목적을 명확히 하여야 하며, 「신용정보법」및「개인정보 보호법」제3조제1항 및 제2항에 따라 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집 및 처리하여야 한다. <개정 2020. 12. 16.>
② 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2020. 12. 16.>
1. 「개인정보 보호법」제15조제1항제2호부터 제6호까지의 어느 하나에 해당하는 경우
2. 다음 각 목의 어느 하나에 해당하는 정보를 수집하는 경우
가. 법령에 따라 공시(公示)되거나 공개된 정보
나. 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」제2조제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보
다. 신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보. 이 경우 대통령령으로 정하는 바에 따라 해당 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내로 한정한다.
제2장 신용정보의 수집 및 처리 <개정 2020. 12. 16.>
제5조(수집·조사 및 처리의 제한) 다음 각 호의 정보를 수집·조사하여서는 아니 된다.
1. 국가의 안보 및 기밀에 관한 정보
2. 기업의 영업비밀 또는 독창적인 연구개발 정보
3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보
4. 확실하지 아니한 개인신용정보
5. 다른 법률에 따라 수집이 금지된 정보
6. 그 밖에 시행령으로 정하는 정보
제6조(처리의 위탁) ① 제3자에게 신용정보의 처리 업무를 위탁할 수 있다. 이 경우 개인신용정보의 처리 위탁에 대해서는 「개인정보 보호법」 제26조제1항부터 제3항까지의 규정을 준용한다. <개정 2020. 12. 16.>
② 신용정보의 처리를 위탁할 수 있으며 이에 따라 위탁을 받은 자(이하 "수탁자"라 한다)의 위탁받은 업무의 처리에 관하여는 신용정보법 제19조부터 제21조까지, 제22조의4부터 제22조의7까지, 제22조의9, 제40조, 제43조, 제43조의2, 제45조, 제45조의2 및 제45조의3(해당 조문에 대한 벌칙 및 과태료규정을 포함한다)을 준용한다. <개정 2020. 12. 16.>
③ 제2항에 따라 신용정보의 처리를 위탁하기 위하여 위탁을 받은자(이하 "수탁자"라 한다)에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 시행령 제14조제4항에서 정하는 보호 조치를 하여야 한다.
④ 수탁자에게 신용정보를 제공한 경우 신용정보를 분실·도난·유출·변조 또는 훼손당하지 아니 하도록 시행령 제14조제5항에서 정하는 바에 따라 수탁자를 교육하여야 하고 수탁자의 안전한 신용정보 처리에 관한 사항을 위탁계약에 반영하여야 한다.
⑤ 수탁자가 개인신용정보를 이용하거나 제3자에게 제공하는 경우에는 「개인정보 보호법」 제26조제5항에 따른다. <개정 2020. 12. 16.>
⑥ 수탁자는 제1항에 따라 위탁받은 업무를 제3자에게 재위탁하여서는 아니된다.
제7조(신용정보의 정확성 및 최신성의 유지) ① 신용정보의 정확성과 최신성이 유지될 수 있도록 신용정보를 신용정보집중기관 또는 개인신용평가회사, 개인사업자신용평가회사 또는 기업신용조회회사에 제공하려는 경우에는 그 정보의 정확성을 확인하여 사실과 다른 정보를 등록해서는 안 된다. <개정 2020. 12. 16.>
② 신용정보주체에게 불이익을 줄 수 있는 신용정보는 그 불이익을 초래하게 된 사유가 해소된 날로부터 최장 5년 이내에 등록·관리 대상에서 삭제하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2020. 12. 16.>
1. 신용정보법 제25조의2제1호의3에 따른 업무를 수행하기 위한 경우
2. 그 밖에 신용정보주체의 보호 및 건전한 신용질서를 저해할 우려가 없는 경우로서 시행령 제15조제5항에서 정하는 경우
③ 제2항에 따라 등록·관리대상에서 삭제하여야 하는 신용정보의 종류는 다음 각 호와 같다. <개정 2020. 12. 16.>
1. 신용정보법 제2조제1호의4에 따른 신용정보 중 연체, 부도, 대위변제, 대지급 및 신용질서 문란행위와 관련된 정보
2. 신용정보법 제2조제1호의6다목에 따른 신용정보 중 법원의 파산선고·면책·복권 결정 및 회생·간이회생·개인회생의 결정과 관련된 정보
3. 신용정보법 제2조제1호의6나목에 따른 체납 관련 정보
4. 신용정보법 제2조제1호의6아목 및 시행령 제2조제17항제3호에 따른 신용정보 중 체납 관련 정보
5. 그 밖에 제1호부터 제4호까지의 정보와 유사한 형태의 불이익 정보로서 감독규정 제18조의2에 따른 신용정보
제3장 신용정보의 유통 및 관리 <개정 2020. 12. 16.>
제8조(신용정보전산시스템의 안전보호) ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경·훼손 또는 파괴, 그 밖의 위험에 대하여 시행령으로 정하는 바에 따라 기술적·물리적·관리적 보안대책을 수립·시행하여야 하며, 세부사항은 [별첨1]의 "기술적·물리적·관리적 보안대책 마련 기준"에 따른다.
② 다른 신용정보제공·이용자 또는 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사와 서로 신용정보법에 따라 신용정보를 제공하는 경우에는 감독규정 별표4 "신용정보제공계약에 포함될 신용정보 보안관리 대책"에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다. <개정 2020. 12. 16.>
제9조(신용정보 업무처리기록의 보존) 신용정보업무 처리 시 다음 각 호의 구분에 따라 개인신용정보의 처리에 대한 기록을 3년간 보존하여야 한다. <개정 2020. 12. 16.>
1. 개인신용정보를 수집·이용한 경우
가. 수집·이용한 날짜
나. 수집·이용한 정보의 항목
다. 수집·이용한 사유와 근거
2. 개인신용정보를 제공하거나 제공받은 경우
가. 제공하거나 제공받은 날짜
나. 제공하거나 제공받은 정보의 항목
다. 제공하거나 제공받은 사유와 근거
3. 개인신용정보를 폐기한 경우
가. 폐기한 날짜
나. 폐기한 정보의 항목
다. 폐기한 사유와 근거
4. 그 밖에 시행령으로 정하는 사항
제10조(신용정보 관리·보호인의 지정 및 업무) ① 신용정보의 관리·보호를 위하여 신용정보 관리·보호인을 신용정보업무 소관부서장으로 지정하여 운용한다.
② 제1항에 따른 신용정보관리·보호인은 다음 각 호의 업무를 수행한다. <개정 2020. 12. 16.>
1. 개인신용정보의 경우에는 다음 각 목의 업무
가. 「개인정보 보호법」 제31조제2항제1호부터 제5호까지의 업무
나. 임직원 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
다. 그 밖에 신용정보의 관리 및 보호를 위하여 시행령으로 정하는 업무
2. 기업신용정보의 경우 다음 각 목의 업무
가. 신용정보의 수집·보유·제공·삭제 등 관리 및 보호 계획의 수립 및 시행
나. 신용정보의 수집·보유·제공·삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
마. 임직원 등에 대한 신용정보보호 교육계획의 수립 및 시행
바. 임직원 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
사. 그 밖에 신용정보의 관리 및 보호를 위하여 시행령으로 정하는 업무
③ 신용정보관리·보호인은 제2항 각 호의 업무에 대하여 감독규정에서 정한 바에 따라 주기적으로 보고서를 작성하여야 하며, 이를 이사장 및 이사회에 보고하고 다음 각 호의 사항을 매 사업년도 종료 후 3개월 이내에 감독규정에서 정하는 서식에 따라 금융위원회에 제출하여야 한다. <개정 2020. 12. 16.>
1. 신용정보관리·보호인이 직전 사업연도 중 제2항 각 호의 업무를 수행한 실적
2. 제1호의 실적을 기재한 보고서를 이사장 및 이사회에 보고한 실적
제11조(개인신용정보의 보유기간 등) ① 금융거래 등 상거래관계(고용관계는 제외한다. 이하 같다)가 종료된 날부터 3개월까지 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있도록 접근권한을 강화하는 등 다음 각 호에 따라 관리하여야 한다.
1. 금융거래 등 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보인 경우 : 다음 각 목의 방법
가. 상거래관계가 종료되지 아니한 다른 신용정보주체의 정보와 별도로 분리하는 방법
나. 감독규정 제22조의3제2항, 제3항에서 정하는 절차에 따라 임직원 중에서 해당 개인신용정보에 접근할 수 있는 사람을 지정하는 방법
다. 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있도록 감독규정 제22조의4에서 정하는 개인신용정보가 포함된 문서 등의 관리방법
2. 제1호 외의 개인신용정보의 경우 : 그 정보를 모두 삭제하는 방법
② 「개인정보 보호법」 제21조제1항에도 불구하고 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집·제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다. <개정 2020. 12. 16.>
1. 신용정보법 또는 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
2. 개인의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우
2의2. 가명정보를 이용하는 경우로서 그 이용 목적, 가명처리의 기술적 특성, 정보의 속성 등을 고려하여 시행령 제17조의2제3항에서 정하는 기간 동안 보존하는 경우
3. 대출 사기 등 건전한 신용질서를 저해하는 행위를 방지하기 위하여 그 행위와 관련된 신용정보주체의 개인신용정보가 필요한 경우
4. 리스크 관리 및 신용평가 모형 개발을 위하여 필요한 경우. 이 경우 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우 등을 제외하고는 개인인 신용정보주체를 식별할 수 없도록 조치하여야 한다.
5. 정당한 이익 달성을 위하여 필요한 경우로서 명백하게 신용정보주체의 권리보다 우선하는 경우. 이 경우 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우로 한정한다.
6. 신용정보주체가 해당 개인신용정보 (제7조제3항 각 호의 개인신용정보는 제외한다)의 삭제를 원하지 않는다는 의사를 명백히 표시한 경우
③ 제2항 단서에 따라 개인신용정보를 삭제하지 아니하고 보존하는 경우에는 현재 거래중인 신용정보주체의 개인신용정보와 분리하는 등 제1항제1호에 준용하여 관리하여야 한다.
④ 제3항에 따라 분리하여 보존하는 개인신용정보를 활용하는 경우에는 신용정보주체에게 통지하여야 한다.
⑤ 제1항 및 제2항에 따른 개인신용정보의 종류, 관리기간, 삭제의 방법·절차 및 금융거래 등 상거래관계가 종료된 날의 기준 등은 시행령에 따르며, 세부기준은 [별첨9]의 "상거래 종료 시 개인신용정보 분리보관 및 파기 기준"에 따른다.
제12조(신용정보 이용 및 관리 원칙) ① 신용정보는 전산 관리하는 것을 원칙으로 한다. 다만, 해당정보를 전산 관리하는 것이 적합하지 않은 경우에는 그러하지 아니하다.
② 신용정보는 신용정보주체별로 관리하되, 관계법령, 감독규정, 한국신용정보원 일반신용정보 관리규약, 지침 등에 따라 관리에 철저를 기한다.
③ 한국신용정보원을 통하여 집중·활용되는 신용정보의 종류, 범위 및 등록·관리에 관한 사항은 한국신용정보원의 "일반신용정보 관리 규약"에서 정하는 바에 따른다.
④ 공단의 임·직원은 다음 각 호의 목적으로만 신용정보를 이용할 수 있다.
1. 내부적으로 개인 또는 기업의 신용도 판단을 위해 필요한 경우
2. 조사 또는 채권추심의 수행을 위해 필요한 경우
3. 신용정보의 교환·이용을 목적으로 한국신용정보원 등 관계기관에 제공하는 경우
4. 신용정보의 열람 또는 정정 청구 등에 응하는 경우
5. 관계법령에 따라 외부로 제공하는 경우
6. 그 밖의 업무상 목적으로 이용하는 경우
⑤ 공단의 임·직원은 신용정보의 이용과 관련하여 다음 각 호의 행위를 하여서는 아니 된다.
1. 신용정보주체의 동의없이 개인신용정보를 신용정보회사 등 제3자에게 제공하거나 조회하는 행위 (법령에 따라 제공·조회하는 경우는 제외)
2. 신용정보주체의 동의없이 개인신용정보를 업무목적 외로 이용하는 행위 (업무목적 외 이용을 신용정보주체가 동의하거나 법령에 따라 이용하는 경우는 제외)
3. 업무상 알게 된 신용정보를 업무목적 외로 누설 또는 이용하는 행위
4. 개인신용정보를 제공받는 자의 신원과 이용목적을 확인하지 않고, 개인신용정보를 제공하는 행위
5. 신용정보를 외부에 제공하고도 이를 개별 전산기록 관리를 하지 아니하여 신용정보주체에게 제공사실을 통보할 수 없게 하는 행위
6. 제3자에게 개인신용정보의 처리업무를 위탁하는 경우 수행목적, 개인신용정보 보호조치 등 내용이 포함된 문서로 하지 아니한 행위
7. 업무 위탁하는 경우 업무의 내용과 수탁자를 공개하지 아니한 행위
⑥ 공단의 임·직원은 신용정보자료의 철저한 관리를 위하여 다음 각 호의 사항을 준수해야 한다.
1. 업무수행과정에서 알게 된 개별기업의 경영·영업상 비밀, 독창적인 연구개발 정보, 금융거래정보, 재무정보 등이 불필요하게 제공·유출되지 않도록 적극적으로 보호한다.
2. 신용정보조회는 업무상 출력하여 관련 서류철에 편철하여야 하는 경우를 제외하고는 가급적 화면조회를 활용한다.
3. 신용정보조회서, 기업평가서 등 신용정보가 인쇄된 자료는 보존의 필요성이 있는 경우를 제외하고는 이면지로 활용하지 않고 폐기처분한다.
4. 내부업무에 활용하기 위하여 전산처리된 신용정보자료(파일, 서류 등)를 생산하였을 경우에는 자료가 외부에 유출되는 일이 없도록 철저히 관리한다.
5. 사무실내에 각종 신용정보자료 등을 방치하는 일이 없도록 하고, 서고 등에 대한 외부인 출입을 통제하여 신용정보자료 등이 외부로 무단 유출되지 않도록 철저히 관리한다.
6. 고의 또는 중대한 과실로 신용정보의 외부유츌 또는 신용정보의 무단조회 등으로 공단에 손해를 끼친 직원에 대한 징계는 관련규정에서 정한 바에 따른다.
제4장 신용정보주체의 보호
제13조(신용정보활용체제의 공시) ① 공단은 다음 각 호의 사항을 시행령 제27조에서 정하는 바에 따라 공시하여야 한다.
1. 관리하는 신용정보의 종류 및 이용 목적
2. 신용정보를 제공받는 자
3. 신용정보주체의 권리의 종류 및 행사 방법
4. 「개인정보 보호법」제30조제1항제6호 및 제7호의 사항
5. 그 밖에 신용정보의 처리에 관한 사항으로서 시행령 제27조제3항에서 정하는 사항
② 제1항 각 호의 공시 사항을 변경하는 경우에는 「개인정보 보호법」제30조제2항에 따른 방법을 준용한다.
[전문개정 2020. 12. 16.]
제14조(개인신용정보의 제공·활용에 대한 동의) ① 공단이 개인신용정보를 타인에게 제공하려는 경우에는 해당 신용정보주체로부터 다음 각 호의 어느 하나에 해당하는 방식으로 미리 개별적으로 동의를 받아야 한다. 다만, 기존에 동의한 목적 또는 이용 범위에서 개인신용정보의 정확성·최신성을 유지하기 위한 경우에는 그러하지 아니하다. <개정 2020. 12. 16.>
1. 서면
2.「전자서명법」제2조제2호에 따른 전자서명이 있는 전자문서
3. 개인신용정보의 제공 내용과 제공 목적 등을 고려하여 정보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀번호를 입력하는 방식
4. 유무선 통신으로 동의내용을 해당 개인에게 알리고 동의를 받는 방법 (이 경우 본인 여부 및 동의 내용, 그에 대한 해당 개인의 답변을 음성 녹음하는 등 증거자료를 확보·유지하여야 하며, 시행령 제28조제3항에 따른 사후 고지절차를 거친다)
5. 그 밖에 시행령 제28조제4항, 제5항에서 정하는 방식
② 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 또는 신용정보집중기관으로부터 개인신용정보를 제공받으려할 경우 해당 신용정보주체로부터 제1항 각 호의 어느 하나에 해당하는 방식으로 개인신용정보를 제공받을 때마다 개별적으로 동의(기존에 동의한 목적 또는 이용 범위에서 개인신용정보의 정확성·최신성을 유지하기 위한 경우는 제외한다)를 받아야 한다. 이 경우 개인신용정보를 제공받으려는 자는 개인신용정보의 조회 시 개인신용평점이 하락할 수 있는 때에는 해당 신용정보주체에게 이를 고지하여야 한다. <개정 2020. 12. 16.>
③ 제1항과 제2항에 따라 해당 신용정보주체로부터 동의를 받을 경우 시행령 제28조제2항 및 제6항에서 정한 개인신용정보를 제공받는 자, 개인신용정보를 제공받는 자의 이용 목적, 제공하는 개인신용정보의 내용, 개인신용정보를 제공받는 자의 정보 보유 기간 및 이용 기간 등의 내용을 미리 알려야 한다. <개정 2020. 12. 16.>
④ 개인신용정보의 제공 및 활용과 관련하여 동의를 받을 때에는 시행령 제28조제8항, 제9항에서 정하는 바에 따라 서비스 제공을 위하여 필수적 동의사항과 그 밖의 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받아야 한다. 이 경우 필수적 동의 사항은 서비스 제공과의 관련성을 설명하여야 하며, 선택적 동의사항은 정보제공에 동의하지 아니할 수 있다는 사실을 고지하여야 한다.
⑤ 신용정보주체가 선택적 동의사항에 동의하지 아니한다는 이유로 신용정보주체에게 서비스의 제공을 거부하여서는 아니 된다.
⑥ 공단이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.
1. 계약의 이행에 필요한 경우로서 제6조제2항에 따라 신용정보의 처리를 위탁하기 위하여 제공하는 경우
2. 영업양도·분할·합병 등의 이유로 권리·의무의 전부 또는 일부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경우
3. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가·허가의 목적, 기업의 신용도 판단, 유가증권의 양수 등 시행령 제28조제10항 각호에서 정하는 목적으로 사용하는 자에게 제공하는 경우
4. 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우
5. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는 등 긴급한 상황에서 제4호에 따른 법관의 영장을 발부받을 시간적 여유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공하는 경우
6. 조세에 관한 법률에 따른 질문·검사 또는 조사를 위하여 관할 관서의 장이 서면으로 요구하거나 조세에 관한 법률에 따라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제공하는 경우
7. 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가지고 있는 개인신용정보를 제공하는 경우
8. 시행령 제28조제11항에서 정하는 금융질서문란행위자 및 기업의 과점주주, 최다출자자 등 관련인의 신용도를 판단할 수 있는 정보를 제공하는 경우
9. 그 밖에 다른 법률에 따라 제공하는 경우
⑦ 제6항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 시행령 제28조제12항에서 정하는 바에 따라 개인신용정보의 제공 사실 및 이유 등을 사전에 해당 신용정보주체에게 알려야 한다. 다만, 시행령 제28조제12항에서 정하는 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다.
⑧ 공단이 개인신용정보를 제공하는 경우에는 감독규정 제39조에서 정하는 바에 따라 개인신용정보를 제공받는 자의 신원과 이용 목적을 확인하여야 한다.
⑨ 동의서 양식은 각 사업별 지침에서 별도로 정한다. 단, 동의서에는 제3항 및 제4항의 내용이 반드시 포함 되어야 한다.
제15조(개인신용정보의 이용) ① 개인신용정보는 다음 각 호의 어느 하나에 해당하는 경우에만 이용하여야 한다. <개정 2020. 12. 16.>
1. 해당 신용정보주체가 신청한 금융거래 등 상거래관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로 이용하는 경우
2. 제1호의 목적 외의 다른 목적으로 이용하는 것에 대하여 신용정보주체로부터 동의를 받은 경우
3. 개인이 직접 제공한 개인신용정보(그 개인과의 상거래에서 생긴 신용정보를 포함한다)를 제공받은 목적으로 이용하는 경우(상품과 서비스를 소개하거나 그 구매를 권유할 목적으로 이용하는 경우는 제외한다)
4. 제14조제6항 각 호의 경우
5. 그 밖에 제1호부터 제4호까지의 규정에 준하는 경우로서 시행령으로 정하는 경우
② 공단이 개인의 질병, 상해 또는 그 밖에 이와 유사한 정보를 수집·조사하거나 제3자에게 제공하려면 미리 법 제32조제1항 각 호의 방식으로 해당 개인의 동의를 받아야 하며, 시행령으로 정하는 목적으로만 그 정보를 이용하여야 한다. <본항신설 2020. 12. 16.>
제16조(개인식별정보의 수집·이용 및 제공) 신용정보주체인 개인을 식별하기 위하여 필요로 하는 정보로서 다음 각 호의 정보를 수집·이용 및 제공하는 경우에는 제14조 및 제15조를 준용한다. <개정 2020. 12. 16.>
1. 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호, 국내거소신고번호
2. 성명, 주소, 성별, 국적 등 개인을 식별할 수 있는 정보
제17조(신용정보 이용 및 제공사실의 조회·통지) ① 공단은 개인신용정보를 이용하거나 제공한 경우 신용정보법 제35조에서 정하는 바에 따라 신용정보주체가 본인에 관한 개인신용정보를 이용하거나 제공한 내역을 요구할 경우 특별한 사유가 없는 한 이에 응하여야 한다.
② 공단은 신용정보주체가 본인의 개인신용정보를 이용하거나 제공한 내역을 요구한 날로부터 7일 이내(발송일을 기준으로 하고 공휴일을 포함한다)에 최근 3년간의 다음 각 호 내역을 통지하여야 한다.
1. 개인신용정보를 이용한 경우: 이용날짜, 이용목적, 이용한 신용정보의 내용, 보유 및 이용기간 등
2. 개인신용정보를 제공한 경우: 제공받은 자, 제공목적, 제공한 날짜, 제공한 신용정보의 내용 등
③ 제2항에도 불구하고 시행령 제30조제4항에서 정한 바와 같이 내부 경영관리의 목적으로 이용하거나 반복적인 업무위탁을 위하여 제공하는 경우에는 통지대상에서 제외할 수 있다. 다만, 상품 및 서비스를 소개하거나 구매를 권유할 목적으로 이용하거나 제공하는 경우에는 통지하여야 한다.
1. 신용위험관리 등 위험관리와 내부통제
2. 고객분석과 상품 및 서비스 개발
3. 성과관리
4. 위탁업무의 수행
5. 업무와 재산상태에 대한 검사
6. 그 밖에 다른 법령에서 정하는 바에 따른 국가 또는 지방자치단체에 대한 자료 제공
④ 공단은 신용정보주체가 제1항에 따라 본인에 관한 개인신용정보를 이용하거나 제공한 내역을 요구할 경우에는 [별첨2]의 "신용정보 이용 및 제공현황 조회신청서"를 제출받아 처리하고, 그 결과를 [별첨3]의 "신용정보 이용 및 제공사실 통지서"로 회신한다.
⑤ 공단은 신용정보주체에게 제2항에 따른 통지를 요청할 수 있음을 알려주어야 한다.
제18조(상거래 거절 근거 신용정보의 고지) ① 공단이 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 및 신용정보집중기관으로부터 제공받은 개인신용정보로서 시행령 제31조제1항 각호에서 정하는 정보에 근거하여 상대방과의 상거래관계 설정을 거절하거나 중지한 경우에는 해당 신용정보주체의 요구가 있으면 그 거절 또는 중지의 근거가 된 정보 등 시행령 제31조제2항에서 정하는 사항을 본인에게 고지하여야 한다. <개정 2020. 12. 16.>
1. 상거래관계 설정의 거절이나 중지의 근거가 된 신용정보
2. 제1호의 정보를 제공한 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 및 신용정보집중기관의 명칭·주소 및 전화번호 등
3. 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 및 신용정보집중기관이 상거래관계의 설정을 거절하거나 중지하도록 결정한 것이 아니라는 사실 및 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 또는 신용정보집중기관으로부터 제공받은 정보 외에 다른 정보를 함께 사용했을 경우에는 그 사실과 그 다른 정보
② 신용정보주체로부터 제1항의 상거래관계 설정의 거절이나 중지의 근거가 된 신용정보 고지의 요구를 받았을 때에는 [별첨 4]의 "대출신청결과안내서"로 거절·중지 근거를 고지한다.
제18조의2(자동화평가 결과에 대한 설명 및 이의제기 등) ① 개인인 신용정보주체는 공단에 대하여 다음 각 호의 사항을 설명하여 줄 것을 요구할 수 있다.
1. 다음 각 목의 행위에 자동화평가를 하는지 여부
가. 개인신용평가
나. 시행령으로 정하는 금융거래의 설정 및 유지 여부, 내용의 결정(시행령으로 정하는 신용정보제공·이용자에 한정한다)
다. 그 밖에 컴퓨터 등 정보처리장치로만 처리하면 개인신용정보 보호를 저해할 우려가 있는 경우로서 시행령으로 정하는 행위
2. 자동화평가를 하는 경우 다음 각 목의 사항
가. 자동화평가의 결과
나. 자동화평가의 주요 기준
다. 자동화평가에 이용된 기초정보(이하 이 조에서 "기초정보"라 한다)의 개요
라. 그 밖에 가목부터 다목까지의 규정에서 정한 사항과 유사한 사항으로서 시행령으로 정하는 사항
② 개인인 신용정보주체는 공단에 대하여 다음 각 호의 행위를 할 수 있다.
1. 해당 신용정보주체에게 자동화평가 결과의 산출에 유리하다고 판단되는 정보의 제출
2. 자동화평가에 이용된 기초정보의 내용이 정확하지 아니하거나 최신의 정보가 아니라고 판단되는 경우 다음 각 목의 어느 하나에 해당하는 행위
가. 기초정보를 정정하거나 삭제할 것을 요구하는 행위
나. 자동화평가 결과를 다시 산출할 것을 요구하는 행위
③ 공단은 다음 각 호의 어느 하나에 해당하는 경우에는 제1항 및 제2항에 따른 개인인 신용정보주체의 요구를 거절할 수 있다.
1. 신용정보법 또는 다른 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 해당 신용정보주체의 요구에 따르게 되면 금융거래 등 상거래관계의 설정 및 유지 등이 곤란한 경우
3. 그 밖에 제1호 및 제2호에서 정한 경우와 유사한 경우로서 시행령으로 정하는 경우
④ 제1항 및 제2항에 따른 요구의 절차 및 방법, 제3항의 거절의 통지 및 그 밖에 필요한 사항은 시행령으로 정한다.
[본조신설 2020. 12. 16.]
제19조(개인신용정보 제공·이용 동의 철회권 등) ① 개인인 신용정보주체는 제14조제1항 각 호의 방식으로 동의를 받은 공단에게 개인신용평가회사, 개인사업자신용평가회사 또는 신용정보집중기관에 제공하여 개인의 신용도 등을 평가하기 위한 목적 외의 목적으로 행한 개인신용정보 제공 동의를 시행령 제32조제1항에서 정하는 바에 따라 철회할 수 있다. 다만, 동의를 받은 공단 외의 신용정보제공·이용자에게 해당 개인신용정보를 제공하지 아니하면 해당 신용정보주체와 약정한 용역의 제공을 하지 못하게 되는 등 계약 이행이 어려워지거나 제15조 각 호 외의 부분 본문에 따른 목적을 달성할 수 없는 경우에는 고객이 동의를 철회하려면 그 용역의 제공을 받지 아니할 의사를 명확하게 밝혀야 한다. <개정 2020. 12. 16.>
② 개인인 신용정보주체는 시행령 제32조제2항에서 정하는 바에 따라 공단에 대하여 상품이나 용역을 소개하거나 구매를 권유할 목적으로 본인에게 연락하는 것을 중지하도록 청구할 수 있다.
③ 공단은 서면, 전자문서 또는 구두에 의한 방법으로 제1항 및 제2항에 따른 권리의 내용, 행사방법 등을 거래 상대방인 개인에게 고지하고, 거래 상대방이 제1항 및 제2항의 요구를 하면 청구를 받은 날부터 1개월 이내에 그에 따른 조치를 완료하여야 한다. 이 때 구두에 의한 방법으로 이를 고지한 경우 시행령 제32조제4항에서 정하는 바에 따른 추가적인 사후 고지절차를 거쳐야 한다.
제20조(신용정보의 열람·정정 청구 등) ① 신용정보주체는 공단에 본인의 신분을 나타내는 증표를 내보이거나 전화, 인터넷 홈페이지의 이용 등 시행령 제33조제1항 각 호에서 정하는 방법으로 본인임을 확인받아 공단이 가지고 있는 신용정보주체 본인에 관한 신용정보로서 시행령 제33조제3항에서 정하는 신용정보의 교부 또는 열람을 청구할 수 있다. 이 때 신용정보주체는 본인 신용정보가 사실과 다른 경우에는 감독규정 제41조제1항에 따라 정정을 청구할 수 있다. <개정 2020. 12. 16.>
② 제1항에 따라 정정청구를 받은 공단은 정정청구에 정당한 사유가 있다고 인정하면 지체 없이 해당 신용정보의 제공·이용을 중단한 후 사실인지를 조사하여 사실과 다르거나 확인할 수 없는 신용정보는 삭제하거나 정정하여야 한다. <개정 2020. 12. 16.>
③ 정정청구를 받은 공단은 사실여부의 조사·확인을 위하여 필요한 경우 신용정보주체에게 관련 증빙자료의 제출을 요구할 수 있다.
④ 제2항에 따라 신용정보를 삭제하거나 정정한 공단은 해당 신용정보를 최근 6개월 이내에 제공받은 자와 해당 신용정보주체가 요구하는 자에게 해당 신용정보에서 삭제하거나 정정한 내용을 알려야 한다.
⑤ 공단은 제2항 및 제3항에 따른 처리결과를 7일 이내에 해당 신용정보주체에게 알려야 하며, 해당 신용정보주체는 처리결과에 이의가 있으면 시행령 제33조제4항에서 정하는 바에 따라 금융위원회에 그 시정을 요청할 수 있다. <개정 2020. 12. 16.>
⑥ 공단은 제5항에 따른 금융위원회의 시정명령에 따라 시정조치를 한 경우에는 그 결과를 금융위원회에 보고하여야 한다. <개정 2020. 12. 16.>
⑦ 공단은 신용정보주체가 제1항에 따라 본인에 관한 신용정보의 열람 또는 정정을 요청하는 경우에는 [별첨5]의 "신용정보 열람 및 정정 신청서"를 제출받아 처리하고, 그 결과를 제5항에 따라 [별첨6]의 "신용정보 정정요청 처리결과 통지서"로 회신한다.
제21조(개인신용정보의 삭제 요구) ① 신용정보주체는 금융거래 등 상거래관계가 종료되고 다음 각 호의 구분에 따른 기간이 경과한 경우 본인의 개인신용정보의 삭제를 요구할 수 있다. 다만, 제11조제2항 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 금융거래 등 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보 : 5년
2. 그 밖의 개인신용정보 : 3개월
② 공단이 제1항의 요구를 받았을 때에는 지체 없이 해당 개인신용정보를 삭제하고 그 결과를 신용정보주체에게 통지하여야 한다.
③ 공단은 신용정보주체의 요구가 제1항 단서에 해당될 때에는 제11조제1항제1호 각 목의 방법에 따라 관리하여야 하며, 그 결과를 신용정보주체에게 통지하여야 한다.
④ 제2항 및 제3항에 따른 통지는 서면, 전화, 전자우편, 휴대전화 문자메시지 및 이와 비슷한 방법으로 하여야 한다.
⑤ 제1항 본문에 따른 삭제요구에 따라 공단이 개인신용정보를 삭제함으로써 해당 신용정보주체에게 불이익이 발생하는 경우에는 그 정보를 삭제하기 전에 그러한 불이익이 발생할 수 있다는 것을 해당 신용정보주체에게 알려야 한다.
⑥ 공단은 신용정보주체가 제1항에 따라 본인에 관한 신용정보의 삭제를 요청하는 경우 [별첨7]의 "신용정보의 삭제 요구서"를 제출받아 처리하고, 그 결과를 [별첨8]의 "신용정보 삭제 요구에 대한 결과 통지서"에 금융거래 종료 후 경과기간에 따라 적절한 통지(예시)문구를 기재하여 회신한다.
제22조(신용정보 누설통지 등) ① 공단은 개인신용정보가 업무 목적 외로 누설되었음을 알게 된 때에는 지체 없이 해당 신용정보주체에게 통지하여야 한다. 이 경우 통지하여야 할 사항은 「개인정보 보호법」 제34조제1항 각 호의 사항을 준용한다. <개정 2020. 12. 16.>
② 공단은 개인신용정보가 누설된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. <개정 2020. 12. 16.>
③ 공단은 1만명 이상의 개인신용정보가 누설된 경우 제1항에 따른 통지 및 제2항에 따른 조치결과를 지체 없이 금융위원회에 신고하여야 한다. <개정 2020. 12. 16.>
제23조(광고성 정보 전송행위에의 이용금지) 공단은 전화, 전자우편, 휴대전화 문자 메시지, 그 밖에 정보통신망을 통하여 수신자에게 부호·문자·화상 또는 영상을 전자적 형태로 전송하는 매체나 방식을 이용하여 영리목적의 광고성 정보를 전송하는 행위에 개인신용정보 또는 개인식별정보를 이용해서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우는 제외한다.
1. 신용정보주체로부터 별도의 동의를 받은 경우
2. 기존에 체결한 금융거래의 유지 및 관리를 위하여 필요한 경우
3. 그 밖에 시행령으로 정하는 경우
제24조(업무목적 외 누설금지) ① 공단의 임직원이거나 임직원이었던 자(이하 "신용정보업관련자"라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀(이하 "개인비밀"이라 한다)을 업무목적 외로 누설 또는 이용하여서는 아니 된다.
② 신용정보법에 따라 신용정보회사 등에 신용정보를 제공하는 행위는 업무목적 외 누설이나 이용으로 보지 아니한다.
③ 제1항을 위반하여 누설된 개인비밀을 취득한 자(그로부터 누설된 개인비밀을 다시 취득한 자를 포함한다)는 그 개인비밀이 제1항을 위반하여 누설된 것임을 알게 된 경우 그 개인비밀을 타인에게 제공하거나 이용하여서는 아니 된다.
④ 신용정보회사 등과 신용정보업관련자로부터 제공받은 개인신용정보는 타인에게 제공하여서는 아니 된다. 다만, 신용정보법 또는 다른 법률에 따라 제공이 허용될 경우는 그러하지 아니하다.
제25조(손해배상의 책임 및 보장) ① 공단이 신용정보법을 위반하여 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 손해배상의 책임을 진다. 다만, 공단이 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다.
② 공단이 고의 또는 중대한 과실로 신용정보법을 위반하여 개인신용정보가 누설되거나 분실·도난·누출·변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배를 넘지 아니하는 범위에서 배상할 책임이 있다. 다만, 공단이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
③ 공단은 제1항 및 제2항에 따른 손해배상책임의 이행을 위하여 보험에 가입한다. 보험가입금액은 감독규정 제43조의9에서 정한 최소금액인 5억원으로 한다. <개정 2020. 12. 16.>
부칙 부 칙 <제9999호, 2017.12.26.>
이 지침은 2017년 12월 26일부터 시행한다.
부칙 부 칙 <제9999호, 2019.12.31.>
이 지침은 2019년 12월 31일부터 시행한다.
부칙 부 칙 <제9999호, 2020.12.16.>
이 지침은 2020년 12년 16일부터 시행한다.