내 통장 내역은 누가 지키는가 : 신용정보법과 개인정보보호법의 이중 방어선

우리가 일상에서 남기는 데이터의 무게는 모두 같지 않다. 쇼핑몰에 가입할 때 적어낸 이메일 주소와, 대출을 받기 위해 은행에 제출한 통장 거래 내역 및 연체 기록의 무게가 같을 수 없기 때문이다. 후자처럼 개인의 경제적 생존과 직결된 민감한 금융 데이터가 유출된다면, 그 파장은 단순한 스팸 문자를 넘어선 재앙에 가깝다. 이 때문에 우리 법은 금융 데이터를 일반적인 개인정보와 철저히 분리하여 더욱 가혹하고 촘촘한 그물망으로 관리하고 있다. 그 중심에 서 있는 '신용정보법'과 일반법인 '개인정보보호법'이 어떻게 충돌하고 또 협력하며 우리의 금융 자산을 지키고 있는지 그 복잡한 법리적 관계를 정리했다.

1. 일반법과 특별법의 지위 : 누가 먼저 출동하는가

개인정보보호법(PIPA)이 대한민국 국민의 모든 데이터를 보호하는 광범위한 '방패'라면, 신용정보법(신용정보의 이용 및 보호에 관한 법률)은 금융 질서라는 특정 구역만을 전담 마크하는 날카로운 '창'에 비유할 수 있다.

 

법학의 기본 원칙 중 하나는 '특별법 우선의 원칙'이다. 두 개의 법이 충돌할 때, 특정한 분야를 위해 만들어진 특별법이 일반법보다 먼저 적용된다는 뜻이다. 개인정보보호법 제6조 역시 "개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우에는 그 법률을 따른다"라고 명시하며 쿨하게 특별법에 자리를 내어준다.

 

따라서 은행, 카드사, 보험사 등 금융기관에서 고객의 데이터를 수집, 이용, 파기할 때는 무조건 '신용정보법'이 최우선으로 적용된다. 만약 신용정보법에 명확히 규정되어 있지 않은 사각지대(예: 영상정보처리기기 설치 기준 등)가 발생했을 때만, 비로소 일반법인 개인정보보호법이 보충적으로 개입하여 빈틈을 메우는 이중 방어 체계로 작동하는 것이다.

2. 보호의 범위 : '기업'도 보호받는 신용정보법의 특수성

두 법은 겉보기엔 비슷해 보이지만, '누구를 보호할 것인가'를 정의하는 출발점부터 완전히 다르다.

 

개인정보보호법이 보호하는 대상은 오직 '살아있는 개인'뿐이다. 법인이나 단체, 혹은 이미 사망한 사람의 정보는 개인정보보호법의 보호망 밖이다. 그러나 신용정보법의 보호 대상인 '신용정보주체'에는 개인뿐만 아니라 '법인'과 '단체'까지 모두 포함된다. 삼성전자나 현대자동차 같은 거대 기업의 대출 이력, 부도 여부, 세금 체납 내역 역시 국가 경제에 막대한 영향을 미치는 민감한 '신용정보'이므로 철저한 법적 통제 아래 관리되어야 하기 때문이다.

 

또한, 정보의 성격 자체도 다르다. 개인정보보호법이 이름, 얼굴, 지문 등 '누구인지 식별할 수 있는 모든 정보'를 광범위하게 다룬다면, 신용정보법은 대출, 보증, 연체, 카드 결제 내역 등 타인의 '신용도를 판단할 수 있는 금융 거래 정보'에 극도로 초점을 맞춘다. 즉, 금융권 종사자라면 고객의 단순한 주소지 변경(개인정보)과 대출 연체 기록(신용정보)을 다룰 때 각각 적용되는 법의 잣대가 다름을 본능적으로 인지해야 한다.

3. 징벌의 스케일 : 과징금 50%의 공포

금융권 종사자들이 개인정보보호법보다 신용정보법을 훨씬 더 두려워하는 진짜 이유는, 사고 발생 시 기업의 숨통을 끊어놓을 만큼 가혹한 '과징금(행정 제재)'의 스케일 차이에 있다.

 

만약 일반 쇼핑몰이나 IT 기업에서 안전조치 의무를 위반하여 고객 정보가 유출되었다면, 개인정보보호법에 따라 위반 행위와 관련된 '매출액의 3% 이하'에 해당하는 과징금을 부과받는다. 이 역시 결코 가벼운 금액은 아니지만, 신용정보법이 휘두르는 철퇴에 비하면 약과다.

 

신용정보법은 금융회사가 신용정보를 부당하게 유출하거나 훼손했을 경우, 관련 매출액의 '50% 이하'라는 징벌적 과징금을 부과할 수 있도록 규정하고 있다. 나아가 관련 매출액을 산정하기 어렵다면 아예 50억 원 이하의 과징금을 쾅 찍어버린다. 형사 처벌(징역 10년 등)의 강도는 두 법이 비슷하게 무겁지만, 법인에 떨어지는 경제적 타격의 단위가 다르다. 금융회사의 데이터 유출은 곧 국가 신용 시스템의 붕괴로 이어질 수 있으므로, 단 한 번의 실수도 용납하지 않겠다는 규제 당국의 강력한 의지가 반영된 결과다.

마치며

데이터 경제 시대가 도래하면서 마이데이터(MyData) 산업 등 금융과 비금융 데이터의 경계가 무너지고 있다. 그러나 기술이 융합된다고 해서 규제의 잣대마저 느슨해지는 것은 아니다.

 

나의 금융 자산이 어떻게 평가받고 누구에게 흘러가는지 추적하는 것은, 현대 사회에서 자본주의적 생존권을 지키는 것과 같다. 기업은 신용정보법의 날 선 칼날을 두려워하며 완벽한 보안 컴플라이언스를 구축해야 하고, 소비자는 이중으로 짜인 법의 보호망을 영리하게 활용하여 자신의 금융 데이터 주권을 철저히 통제해야 할 것이다.

※ 법률 및 실무 참조 안내: 본 칼럼은 개인정보보호법(제6조 일반법적 지위) 및 신용정보의 이용 및 보호에 관한 법률(신용정보법)의 체계적 차이와 과징금 산정 기준을 바탕으로 작성된 비교 법학 에세이입니다. 실제 금융 정보 사고 발생 시 적용되는 처벌 조항과 행정 제재의 수위는 유출된 정보의 성격(단순 식별 정보 vs 신용 판단 정보), 행위 주체의 지위(금융회사 여부), 관련 매출액 규모 등에 따라 금융위원회 및 수사기관의 구체적 판단이 달라집니다. 본 내용은 금융 소비자 및 실무자의 이해를 돕기 위한 일반적 정보 제공 목적이며, 개별 사건에 대한 공식적 법률 자문이 아님을 밝힙니다. (작성 기준일: 2026. 2.)