[신용정보법]처리의 위탁

개인정보 보호법 vs 신용정보법 (처리의 위탁) 비교

구분	개인정보 보호법 (제26조)	신용정보법 (제17조, 시행령 제14조)
위탁 계약	서면(문서) 체결 필수 (목적 외 처리 금지, 보호조치, 감독 등 포함)	개보법 제26조 준용 (서면 계약 등 동일 적용)
수탁자 책임	손해배상 시 수탁자를 위탁자의 직원으로 간주	수탁자의 법 위반 시 준용 조항에 따른 벌칙/과태료 직접 적용
금융위 보고	해당 사항 없음 (일반적 위탁 시)	7영업일 전 금융위 보고 (중점 신용정보회사 등)
재위탁 규정	위탁자의 동의 시 허용	원칙적 금지 (단, 금융위 인정 시에만 예외 허용)
교육 의무	위탁자의 수탁자 교육/감독 의무 명시	연 1회 이상 교육 실시 내용을 계약서에 반영 필수
보호 조치	일반적인 기술적·관리적 보호조치	제공 방식(망/매체)에 따른 암호화/봉함 조치 구체화

 

1. 재위탁의 엄격성

• 개보법: 위탁자의 동의만 있으면 재위탁이 가능합니다.
• 신용정보법: 신용정보 보호를 위해 원칙적으로 재위탁을 금지합니다. 오직 금융위원회가 인정하는 경우에만 예외적으로 허용되므로, 시험 지문에서 '동의 시 가능'으로 나오면 오답일 확률이 높습니다.

2. 금융당국 보고 절차 (사전/사후)

• 신용정보회사 등(신용정보·본인신용정보관리·채권추심회사 및 주요 금융기관)은 위탁계약 체결 예정일 7영업일 전까지 제공 범위와 목적 등을 금융위원회에 보고해야 합니다.
• 다만, 긴급하거나 경미한 경우 고시에 따라 사후 보고로 대체될 수 있습니다.

3. 수탁자 교육의 구체성

• 신용정보법은 연 1회 이상 수탁자 교육 실시를 위탁 계약서에 명시하도록 강제하고 있습니다.
• 수탁자가 자체적으로 교육을 실시하고 위탁자가 이를 확인한 경우, 위탁자가 교육을 실시한 것으로 간주(간주 규정)하여 실무적 편의를 제공합니다.

4. 개인신용정보 제공 시 보호 조치

• 온라인(망)이나 USB 등 매체로 전달할 때는 보안서버 구축 또는 암호화가 필수입니다.
• 오프라인(서류 등)으로 제공할 때는 봉함(Seal) 조치 등 물리적 보안을 요구하는 구체적인 시행령 기준이 존재합니다.

 

 

<법령 원문>

신용정보법 제17조(처리의 위탁)

① 신용정보회사등은 제3자에게 신용정보의 처리 업무를 위탁할 수 있다. 이 경우 개인신용정보의 처리 위탁에 대해서는 「개인정보 보호법」 제26조제1항부터 제3항까지의 규정을 준용한다.

② 신용정보회사등은 신용정보의 처리를 위탁할 수 있으며 이에 따라 위탁을 받은 자(이하 “수탁자”라 한다)의 위탁 받은 업무의 처리에 관하여는 제19조부터 제21조까지, 제22조의4부터 제22조의7까지, 제22조의9, 제40조, 제43조, 제43조의2, 제45조, 제45조의2 및 제45조의3(해당 조문에 대한 벌칙 및 과태료규정을 포함한다)을 준용한다.

③ 제2항에 따라 신용정보의 처리를 위탁하려는 신용정보회사등으로서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등을 대통령령으로 정하는 바에 따라 금융위원회에 알려야 한다.

④ 신용정보회사등은 제2항에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여야 한다.

⑤ 신용정보회사등은 수탁자에게 신용정보를 제공한 경우 신용정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당하지 아니하도록 대통령령으로 정하는 바에 따라 수탁자를 교육하여야 하고 수탁자의 안전한 신용정보 처리에 관한 사항을 위탁계약에 반영하여야 한다.

⑥ 수탁자가 개인신용정보를 이용하거나 제3자에게 제공하는 경우에는 「개인정보 보호법」 제26조제5항에 따른다.

⑦ 수탁자는 제2항에 따라 위탁받은 업무를 제3자에게 재위탁하여서는 아니 된다. 다만, 신용정보의 보호 및 안전한 처리를 저해하지 아니하는 범위에서 금융위원회가 인정하는 경우에는 그러하지 아니하다.

 

신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁)

① 삭제

② 법 제17조제3항에서 “대통령령으로 정하는 자”란 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보 집중기관 및 제2조제6항제7호 각 목에 따른 금융기관 중 금융위원회가 정하여 고시하는 자를 말한다.

③ 법 제17조제3항에 따라 신용정보의 처리를 위탁하려는 자는 위탁계약 체결 예정일부터 7영업일 이전에 금융위원회가 정하여 고시하는 서식에 따라 제공하는 신용정보의 범위, 제공 목적 및 기간과 고객정보 관리체계 등을 금융 위원회에 알려야 한다. 다만, 미리 알려야 할 필요성이 크지 아니한 경우로서 금융위원회가 정하여 고시하는 경우에는 위탁계약을 체결한 날부터 금융위원회가 정하여 고시하는 기간 이내에 알려야 한다.

④ 법 제17조제4항에 따라 신용정보회사등이 개인신용정보를 제공하는 경우 다음 각 호의 구분에 따른 보호조치를 하여야 한다.

1. 정보통신망 또는 보조저장매체를 통하여 제공하는 경우: 금융위원회가 정하여 고시하는 절차와 방법에 따른 보안서버의 구축 또는 암호화, 그 밖에 금융위원회가 정하여 고시하는 보호조치

2. 제1호 외의 방법으로 제공하는 경우: 봉함(封緘), 그 밖에 금융위원회가 정하여 고시하는 보호조치

⑤ 법 제17조제5항에 따라 신용정보회사등은 수탁자와 위탁계약을 체결하거나 갱신하는 경우에는 연 1회 이상(위 탁계약기간이 1년 미만인 경우에는 그 기간 동안 1회 이상을 말한다. 이하 이 항에서 같다) 신용정보의 분실ㆍ도난 ㆍ유출ㆍ변조ㆍ훼손의 방지 및 안전한 신용정보의 처리에 관하여 수탁자의 소속 임직원에 대한 교육을 실시한다는 내용을 위탁계약에 반영하여야 하며, 그 위탁계약에 따라 교육을 실시하여야 한다. 이 경우 수탁자가 연 1회 이상 그 소속 임직원에 대한 교육을 실시한다는 내용이 위탁계약에 반영되어 있고, 신용정보회사등이 수탁자가 그 위탁 계약에 따라 해당 교육을 실시한 사실을 확인한 경우에는 신용정보회사등이 수탁자의 소속 임직원에게 교육을 실 시한 것으로 본다.

⑥ 제3항부터 제5항까지의 규정에서 정한 사항 외에 위탁계약에 반영하여야 할 세부사항, 그 밖에 수집된 신용정보의 처리의 위탁에 필요한 구체적 사항은 금융위원회가 정하여 고시한다.

 

개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항

3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.

⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.

⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제 25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조 의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다.