제정 : 2023. 05. 26.
개정 : 2023. 12. 27.
제1장 총 칙
제1조(목적) 이 규정은 「업무방법서」 제21조(신용정보업무)에 따른 신용정보업무를 수행하는 데에 필요한 사항을 정하는 것을 목적으로 한다.
제2조(정의) 이 규정에서 사용하는 용어의 뜻은 다음과 같다.<개정 2023. 12. 27.>
1. “신용정보”란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서 「신용정보의 이용 및 보호에 관한 법률」(이하 “「신용정보법」” 이라 한다) 제2조제1호에서 제2조1의6호까지 정하는 정보를 말한다.
2. “개인신용정보”란 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보
3. “신용정보주체”란 처리된 신용정보로 알아볼 수 있는 자로서 그 신용정보의 주체가 되는 자를 말한다.
4. “신용정보업”이란 다음 각 목의 어느 하나에 해당하는 업(業)을 말한다.
가. 개인신용평가업
나. 개인사업자신용평가업
다. 기업신용조회업
라. 신용조사업
5. “신용정보회사”란 제4호 각 목의 신용정보업에 대하여 금융위원회의 허가를 받은 자로서 다음 각 목의 어느 하나에 해당하는 자를 말한다.
가. 개인신용평가회사: 개인신용평가업 허가를 받은 자
나. 개인사업자신용평가회사: 개인사업자신용평가업 허가를 받은 자
다. 기업신용조회회사: 기업신용조회업 허가를 받은 자
라. 신용조사회사: 신용조사업 허가를 받은 자
6. “신용정보집중기관”이란 신용정보를 집중하여 관리ㆍ활용하는 자로서 「신용정보법」 제25조제1항에 따라 금융위원회로부터 허가받은 자를 말한다.
7. “신용정보제공ㆍ이용자”란 고객과의 금융거래 등 상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 「신용정보법」 시행령 제2조제18항에 따른 자를 말한다.
8. “개인신용평가업”이란 개인의 신용을 판단하는 데 필요한 정보를 수집하고 개인의 신용상태를 평가(이하 “개인신용평가”라 한다)하여 그 결과(개인신용평점을 포함한다)를 제3자에게 제공하는 행위를 영업으로 하는 것을 말한다.
8의2. “개인사업자신용평가업”이란 개인사업자의 신용을 판단하는 데 필요한 정보를 수집하고 개인사업자의 신용상태를 평가하여 그 결과를 제3자에게 제공하는 행위를 영업으로 하는 것을 말한다. 다만, 「자본시장과 금융투자업에 관한 법률」 제9조제26항에 따른 신용평가업은 제외한다.
8의3. “기업신용조회업”이란 다음 각 목에 따른 업무를 영업으로 하는 것을 말한다. 다만, 「자본시장과 금융투자업에 관한 법률」 제9조제26항에 따른 신용평가업은 제외한다.
가. 기업정보조회업무: 기업 및 법인인 신용정보주체의 거래내용, 신용거래능력 등을 나타내기 위하여 「신용정보법」 시행령 제2조제19항으로 정하는 정보를 제외한 신용정보를 수집하고, 「신용정보법」 시행령 제2조제20항으로 정하는 방법으로 통합ㆍ분석 또는 가공하여 제공하는 행위
나. 기업신용등급제공업무: 기업 및 법인인 신용정보주체의 신용상태를 평가하여 기업신용등급을 생성하고, 해당 신용정보주체 및 그 신용정보주체의 거래상대방 등 이해관계를 가지는 자에게 제공하는 행위
다. 기술신용평가업무: 기업 및 법인인 신용정보주체의 신용상태 및 기술에 관한 가치를 평가하여 기술신용정보를 생성한 다음 해당 신용정보주체 및 그 신용정보주체의 거래상대방 등 이해관계를 가지는 자에게 제공하는 행위
9. “신용조사업”이란 제3자의 의뢰를 받아 신용정보를 조사하고, 그 신용정보를 그 의뢰인에게 제공하는 행위를 영업으로 하는 것을 말한다.
10. “채권추심업”이란 채권자의 위임을 받아 변제하기로 약정한 날까지 채무를 변제하지 아니한 자에 대한 재산조사, 변제의 촉구 또는 채무자로부터의 변제금 수령을 통하여 채권자를 대신하여 추심채권을 행사하는 행위를 영업으로 하는 것을 말한다.
10의2. “채권추심회사”란 채권추심업에 대하여 금융위원회로부터 허가를 받은 자를 말한다.
11. “신용정보회사 등”이란 신용정보회사, 신용정보집중기관, 신용정보제공ㆍ이용자, 채권추심회사를 말한다.
12. “처리”란 신용정보의 수집(조사를 포함한다. 이하 같다), 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(諪正), 복구, 이용, 결합, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
13. “가명처리”란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리(그 처리 결과가 다음 각 목의 어느 하나에 해당하는 경우로서 「신용정보법」 제40조의2제1항 및 제2항에 따라 그 추가정보를 분리하여 보관하는 등 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리한 경우를 포함한다)하는 것을 말한다.
가. 어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우
나. 하나의 정보집합물(정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구성되거나 배열된 둘 이상의 정보들을 말한다. 이하 같다)에서나 서로 다른 둘 이상의 정보집합물 간에서 어떤 신용정보주체에 관한 둘 이상의 정보가 연계되거나 연동되는 경우
다. 가목 및 나목과 유사한 경우로서 「신용정보법」 시행령에서 정하는 경우
14. “가명정보”란 가명처리한 개인신용정보를 말한다.
15. “익명처리”란 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말한다.
제3조(적용범위) ① 신용정보의 업무처리에 관하여 이 규정에서 정하지 아니한 사항은 「신용정보법」, 같은 법 시행령ㆍ시행규칙 및 금융위원회의「신용정보업감독규정」등을 따른다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그에 따른다.
② 개인정보의 보호에 관하여 이 규정에 특별한 규정이 있는 경우를 제외하고는 「개인정보보호법」, 같은 법 시행령ㆍ시행규칙 및 재단의 관련 규정 또는 지침 등에서 정하는 바에 따른다.
제2장 신용정보의 수집 및 처리
제4조(신용정보의 수집 및 처리의 원칙) ① 신용정보를 수집하고 이를 처리하는 경우에는 「신용정보법」 또는 재단의 정관으로 정한 업무 범위에서 수집 및 처리의 목적을 명확히 하여야 하며, 「신용정보법」 및 「개인정보보호법」에 따라 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집 및 처리하여야 한다.
② 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.<개정 2023. 12. 27.>
1. 「개인정보보호법」 제15조제1항제2호부터 제7호까지의 어느 하나에 해당하는 경우
2. 다음 각 목의 어느 하나에 해당하는 정보를 수집하는 경우
가. 법령에 따라 공시(公示)되거나 공개된 정보
나. 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」 제2조제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보
다. 신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보. 이 경우 해당 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내로 별도로 정하는 기준에 따른다
제5조(신용정보 처리의 위탁) ① 재단은 제3자에게 신용정보의 처리 업무를 위탁할 수 있다. 이 경우 개인신용정보의 처리 위탁에 대해서는 「개인정보보호법」 제26조제1항부터 제3항까지의 규정을 준용한다.
② 제1항에 따라 위탁을 받은 자(이하 “수탁자”라 한다)는 「신용정보법」에 따라 위탁받은 업무를 처리하여야 한다.
③ 제2항에 따라 신용정보의 처리를 위탁하는 경우에는 제공하는 신용정보의 범위 등을 별도로 정하는 기준에 따라 금융위원회에 알려야 한다.
④ 제2항에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 별도로 정하는 기준에 따라 암호화 등의 보호 조치를 하여야 한다.
⑤ 수탁자에게 신용정보를 제공한 경우 신용정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당하지 아니하도록 별도로 정하는 기준에 따라 수탁자를 교육하여야 하고 수탁자의 안전한 신용정보 처리에 관한 사항을 위탁계약에 반영하여야 한다.
⑥ 수탁자가 개인신용정보를 이용하거나 제3자에게 제공하는 경우에는 「개인정보보호법」 제26조제5항에 따른다.
⑦ 수탁자는 제2항에 따라 위탁받은 업무를 제3자에게 재위탁하여서는 아니 된다. 다만, 신용정보의 보호 및 안전한 처리를 저해하지 않는 범위에서 금융위원회가 고시하는「신용정보업감독규정」제15조제4항에 따른 경우에는 그러하지 아니하다.
제5조의2(정보집합물의 결합 등) ① 재단이 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에는 「신용정보법」 제26조의4에 따라 지정된 데이터전문기관을 통하여 결합하여야 한다.
② 제1항에서 규정한 사항 외에 정보집합물의 결합ㆍ제공ㆍ보관의 절차 및 방법에 대해서는 「신용정보법」 시행령 제14조의2에 따른다.
제3장 신용정보의 유통 및 관리
제6조(신용정보의 정확성과 최신성 유지) ① 신용정보의 정확성과 최신성이 유지될 수 있도록 별도로 정하는 기준에 따라 신용정보의 등록ㆍ변경 및 관리 등을 하여야 한다.
② 신용정보주체에게 불이익을 줄 수 있는 신용정보를 그 불이익을 초래하게 된 사유가 해소된 날로부터 최장 5년 이내에 등록ㆍ관리 대상에서 삭제하여야 하며, 삭제대상인 신용정보의 종류는 별도로 정하는 기준에 따른다. 다만, 신용정보주체의 보호 및 건전한 신용질서를 저해할 우려가 없는 경우로서 별도로 정하는 기준에 따른 경우에는 그러하지 아니하다.<개정 2023. 12. 27.>
③ 제2항에 따른 해당 신용정보의 구체적인 종류, 기록보존 및 활용기간 등은 별도로 정한 기준에 따른다.
제7조(신용정보 전산시스템의 안전보호) ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 또는 파괴, 그 밖의 위험에 대하여 기술적ㆍ물리적ㆍ관리적 보안대책을 수립ㆍ시행하여야 하며 세부사항은 「신용정보의 기술적ㆍ물리적ㆍ관리적 보안기준」에서 별도로 정하는 바에 따른다.
② 다른 신용정보제공ㆍ이용자 및 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사와 「신용정보법」에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 「신용정보업 감독규정」제21조에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다.
제8조(신용정보 관리책임의 명확화와 업무처리기록의 보존) ① 신용정보의 수집ㆍ처리ㆍ이용 및 보호 등에 대하여 금융위원회가 정하는 신용정보 관리기준을 준수하여야 한다.
② 신용정보업무 처리 시 다음 각 호의 구분에 따라 개인신용정보의 처리에 대한 기록을 3년간 보존한다. 다만, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “「정보통신망법」”이라 한다) 제2조제1항제1호에 따른 정보통신망을 통한 파일 송수신 방식으로 신용정보를 제공하는 경우에는 전산기록을 보유하는 것으로 갈음한다.
1. 개인신용정보를 수집ㆍ이용한 경우
가. 수집ㆍ이용한 날짜
나. 수집ㆍ이용한 정보의 항목
다. 수집ㆍ이용한 사유와 근거
2. 개인신용정보를 제공하거나 제공받은 경우
가. 제공하거나 제공받은 날짜
나. 제공하거나 제공받은 정보의 항목
다. 제공하거나 제공받은 사유와 근거
3. 개인신용정보를 폐기한 경우
가. 폐기한 날짜
나. 폐기한 정보의 항목
다. 폐기한 사유와 근거
③ 재단은 제4항에 따른 업무를 하는 신용정보관리ㆍ보호인을 1명 이상 지정하며, 신용정보관리ㆍ보호인은 신용정보업무 소관 부서장으로 한다.
④ 제3항에 따른 신용정보관리ㆍ보호인은 다음 각 호의 업무를 수행한다.<개정 2023. 12. 27.>
1. 개인신용정보의 경우에는 다음 각 목의 업무
가. 「개인정보보호법」 제31조제3항제1호부터 제5호까지의 업무
나. 임직원 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
다. 그 밖에 신용정보의 관리 및 보호를 위하여 「신용정보법」 시행령으로 정하는 업무
2. 기업신용정보의 경우 다음 각 목의 업무
가. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 계획의 수립 및 시행
나. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
다. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
라. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
마. 임직원 등에 대한 신용정보보호 교육계획의 수립 및 시행
바. 임직원 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
사. 그 밖에 신용정보의 관리 및 보호를 위하여 「신용정보법」 시행령으로 정하는 업무
⑤ 신용정보관리ㆍ보호인의 업무수행에 관하여는 「개인정보보호법」 제31조제4항 및 제6항에 따른다.<개정 2023. 12. 27.>
⑥ 신용정보관리ㆍ보호인은 제4항제1호 각 목에 따른 업무에 대하여 연 1회 이상 점검을 실시한 후, 그 결과를 이사장에게 보고하여야한다.
제9조(개인신용정보의 보유기간 등) ① 금융거래 등 상거래관계(고용관계는 제외한다. 이하 같다)가 종료된 날부터 3개월까지 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있도록 접근권한을 강화하는 등 별도로 정하는 기준에 따라 관리하여야 한다.
② 「개인정보보호법」 제21조제1항에도 불구하고 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집ㆍ제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다.
1. 「신용정보법」 또는 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
2. 개인의 급박한 생명ㆍ신체ㆍ재산의 이익을 위하여 필요하다고 인정되는 경우
2의2. 가명정보를 이용하는 경우로서 그 이용 목적, 가명처리의 기술적 특성, 정보의 속성 등을 고려하여 별도의 기준에서 정하는 기간 동안 보존하는 경우
3. 그 밖에 다음 각 목의 어느 하나에 해당하는 경우로서 별도의 기준에서 정하는 경우
가. 개인신용정보를 처리하는 기술의 특성 등으로 개인신용정보를 보존할 필요가 있는 경우
나. 가목과 유사한 경우로서 개인신용정보를 보존할 필요가 있는 경우
③ 제2항 단서에 따라 개인신용정보를 삭제하지 아니하고 보존하는 경우에는 현재 거래 중인 신용정보주체의 개인신용정보와 분리하는 등 별도로 정하는 기준에 따라 관리하여야 한다.
④ 제3항에 따라 분리하여 보존하는 개인신용정보를 활용하는 경우에는 신용정보주체에게 통지하여야 한다.
⑤ 제1항 및 제2항에 따른 개인신용정보의 종류, 관리기간, 삭제의 방법ㆍ절차 및 금융거래 등 상거래관계가 종료된 날의 기준 등은 별도로 정하는 기준에 따른다.
제10조(신용정보의 관리 원칙) ① 신용정보는 전산관리하는 것을 원칙으로 한다. 다만, 해당정보를 전산 관리하는 것이 적합하지 않은 경우에는 그러하지 아니하다.
② 신용정보는 신용정보주체별로 관리하되, 관계법령, 신용정보업 감독규정, 한국신용정보원 규약, 신용정보회사 신용정보 공통관리규약과 내규 등에 따라 관리에 철저를 기한다.
③ 한국신용정보원을 통하여 집중ㆍ활용되는 신용정보의 종류, 범위 및 등록ㆍ관리에 관한 사항은 한국신용정보원의 “일반신용정보 관리 규약”에서 정하는 바에 따른다.
④ 신용정보회사를 통하여 집중ㆍ활용되는 신용정보 관리에 관한 사항은 “신용정보회사의 신용정보 공통관리규약”에서 정하는 바에 따른다.
제4장 신용정보주체의 보호
제11조(신용정보활용체제의 공시) ① 재단은 관리하는 다음 각호의 사항을 별도로 정하는 기준에 따라 공시하여야 한다.
1. 관리하는 신용정보의 종류 및 이용 목적
2. 신용정보를 제공받는 자
3. 신용정보주체의 권리의 종류 및 행사 방법
4. 「개인정보보호법」 제30조제1항제6호 및 제7호의 사항
5. 그 밖에 신용정보의 처리에 관한 사항으로서 「신용정보법」 시행령 제27조제3항에 따른 사항
② 제1항 각 호의 공시 사항을 변경하는 경우에는 「개인정보보호법」 제30조제2항에 따른 방법을 준용한다.
제12조(개인신용정보의 제공ㆍ활용에 대한 동의) ① 개인신용정보를 타인에게 제공하려는 경우에는 해당 신용정보주체로부터 다음 각 호의 어느 하나에 해당하는 방식으로 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 한다. 다만, 기존에 동의한 목적 또는 이용범위에서 개인신용정보의 정확성ㆍ최신성을 유지하기 위한 경우에는 그러하지 아니한다.
1.서면
2.「전자서명법」 제2조제2호에 따른 전자서명(서명자의 실지명의를 확인할 수 있는 것을 말한다)이 있는 전자문서(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 말한다)
3.개인신용정보의 제공 내용과 제공 목적 등을 고려하여 정보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀번호를 입력하는 방식
4.유무선 통신으로 동의 내용을 해당 개인에게 알리고 동의를 받는 방법. 이 경우 본인 여부 및 동의 내용, 그에 대한 해당 개인의 답변을 음성녹음하는 등 증거자료를 확보ㆍ유지하여야 하며, 별도로 정하는 기준에 따른 사후 고지절차를 거친다.
5. 그 밖에 별도의 기준에서 정하는 방식
② 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 또는 신용정보집중기관으로부터 개인신용정보를 제공받으려 할 경우 별도로 정하는 기준에 따라 해당 신용정보주체로부터 제1항 각 호의 어느 하나에 해당하는 방식으로 개인신용정보를 제공받을 때마다 개별적으로 동의(기존에 동의한 목적 또는 이용범위에서 개인신용정보의 정확성ㆍ최신성을 유지하기 위한 경우는 제외한다)를 받아야 한다. 이 경우 개인신용정보의 조회 시 개인신용평점이 하락할 수 있는 때에는 해당 신용정보주체에게 이를 고지하여야 한다.
③ 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 또는 신용정보집중기관이 개인신용정보를 제2항에 따라 제공하는 경우에는 해당 개인신용정보를 제공받으려는 재단이 제2항에 따른 동의를 받았는지 별도로 정한 기준에 따라 확인하여야 한다.
④ 개인신용정보의 제공 및 활용과 관련하여 동의를 받을 때에는 별도로 정하는 기준에 따라 서비스 제공을 위하여 필수적 동의사항과 그 밖의 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받아야 한다. 이 경우 필수적 동의사항은 서비스 제공과의 관련성을 설명하여야 하며, 선택적 동의사항은 정보제공에 동의하지 아니할 수 있다는 사실을 고지하여야 한다.
⑤ 신용정보주체가 선택적 동의사항에 동의하지 아니한다는 이유로 신용정보주체에게 서비스의 제공을 거부하여서는 아니 된다.
⑥ 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.
1. 제5조제2항에 따라 신용정보의 처리를 위탁하기 위하여 제공하는 경우
2. 영업양도ㆍ분할ㆍ합병 등의 이유로 권리ㆍ의무의 전부 또는 일부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경우
3. 채권추심(추심채권을 추심하는 경우만 해당한다), 기업의 신용도 판단 등 별도의 기준에서 정하는 목적으로 사용하는 자에게 제공하는 경우
4. 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우
5. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는 등 긴급한 상황에서 제4호에 따른 법관의 영장을 발부받을 시간적 여유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공하는 경우
6. 조세에 관한 법률에 따른 질문ㆍ검사 또는 조사를 위하여 관할 관서의 장이 서면으로 요구하거나 조세에 관한 법률에 따라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제공하는 경우
7. 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가지고 있는 개인신용정보를 제공하는 경우
8. 「신용정보법」제2조제1호의4나목 및 다목의 정보를 개인신용평가회사, 개인사업자신용평가회사, 기업신용등급제공업무ㆍ기술신용평가업무를 하는 기업신용조회회사 및 신용정보집중기관에 제공하거나 그로부터 제공받는 경우
8의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이 경우 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.
8의3. 제5조의2제1항에 따른 정보집합물의 결합 목적으로 데이터전문기관에 개인신용정보를 제공하는 경우
8의4. 다음 각 목의 요소를 고려하여 당초 수집한 목적과 상충되지 아니하는 목적으로 개인신용정보를 제공하는 경우
가. 양 목적 간의 관련성
나. 신용정보주체로부터 개인신용정보를 수집한 경위
다. 해당 개인신용정보의 제공이 신용정보주체에게 미치는 영향
라. 해당 개인신용정보에 대하여 가명처리를 하는 등 신용정보의 보안대책을 적절히 시행하였는지 여부
9. 「신용정보법」 및 다른 법률에 따라 제공하는 경우
⑦ 제6항 각 호에 따라 개인신용정보를 타인에게 제공할 경우에는 별도로 정하는 기준에 따라 개인신용정보의 제공 사실 및 이유 등을 사전에 해당 신용정보주체에게 알려야 한다. 다만, 별도의 기준으로 정하는 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다.
⑧ 제6항제2호에 따라 개인신용정보를 타인에게 제공하는 경우에는 제공하는 개인신용정보의 범위, 제공받는자의 신용정보관리보호체계에 관하여 금융위원회의 승인을 받아야 한다.
⑨ 개인신용정보를 제공하는 경우 별도로 정하는 기준에 따라 개인신용정보를 제공받는 자의 신원(身元)과 이용 목적을 확인하여야 한다.
⑩ 재단은 제1항에 따라 미리 개별적 동의를 받았는지 여부 등에 대한 다툼이 있는 경우 이를 증명하여야 한다.
제13조(개인신용정보의 이용) 개인신용정보는 다음 각 호의 어느 하나에 해당하는 경우에만 이용하여야 한다.
1. 해당 신용정보주체가 신청한 금융거래 등 상거래관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로 이용하는 경우
2. 제1호의 목적 외의 다른 목적으로 이용하는 것에 대하여 신용정보주체로부터 동의를 받은 경우
3. 개인이 직접 제공한 개인신용정보(그 개인과의 상거래에서 생긴 신용정보를 포함한다)를 제공받은 목적으로 이용하는 경우(상품과 서비스를 소개하거나 그 구매를 권유할 목적으로 이용하는 경우는 제외한다)
4. 제12조제6항 각 호의 경우
5. 그 밖에 제1호부터 제4호까지의 규정에 준하는 경우로서 「신용정보법」 시행령으로 정하는 경우
제13조의2(개인신용정보의 전송요구 받은 경우 업무처리) ① 개인인 신용정보주체는 재단에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 해당 신용정보주체 본인에게 전송하여 줄 것을 요구할 수 있다.
② 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 재단은 제12조 및 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 지체 없이 본인에 관한 개인신용정보를 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 전송하여야 한다.
1. 「금융실명거래 및 비밀보장에 관한 법률」 제4조
2. 「국세기본법」 제81조의13
3. 「지방세기본법」 제86조
4. 「개인정보보호법」 제18조
5. 그 밖에 제1호부터 제4호까지의 규정에서 정한 규정과 유사한 규정으로서 「신용정보법」 시행령으로 정하는 법률의 관련 규정
③ 제2항에 따라 개인신용정보를 제공한 재단은 제12조제7항 및 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 개인신용정보의 전송 사실을 해당 신용정보주체 본인에게 통보하지 아니할 수 있다.
1. 「금융실명거래 및 비밀보장에 관한 법률」 제4조의2
2. 그 밖에 개인신용정보의 처리에 관한 규정으로서 「신용정보법」시행령으로 정하는 법률의 관련 규정
④ 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 재단은 신용정보주체의 본인 여부가 확인되지 아니하는 경우 등 「신용정보법」시행령으로 정하는 경우에는 전송요구를 거절 하거나 전송을 정지ㆍ중단할 수 있다.
⑤ 전송요구의 방법, 전송의 기한 및 방법, 전송요구 철회의 방법, 거절이나 정지ㆍ중단의 방법에 대해서는 「신용정보법」시행령에 따른다.
제14조(개인식별정보의 수집ㆍ이용 및 제공) 신용정보주체인 개인을 식별하기 위하여 필요로 하는 주민등록번호 등 개인식별번호를 수집ㆍ이용 및 제공하는 경우에는 제4조, 제12조 및 제13조를 준용한다.
제15조(개인신용정보 등의 활용에 관한 동의의 원칙) ① 신용정보주체로부터 동의(이하 “정보활용 동의”라 한다)를 받는 경우 「개인정보보호법」 제15조제2항, 제17조제2항 및 제18조제3항에 따라 신용정보주체에게 해당 각 조항에서 규정한 사항(이하 이 조에서 “고지사항”이라 한다)을 알리고 정보활용 동의를 받아야 한다. 다만, 동의방식이나 개인신용정보의 특성 등을 고려하여 「신용정보법」시행령으로 정하는 경우에 대해서는 그러하지 아니하다.
② 다음 각 호의 사항을 고려하여 개인인 신용정보주체로부터 정보활용 동의를 받아야 한다.
1. 보다 쉬운 용어나 단순하고 시청각적인 전달 수단 등을 사용하여 신용정보주체가 정보활용 동의 사항을 이해할수 있도록 할 것
2. 정보활용 동의 사항과 금융거래 등 상거래관계의 설정 및 유지 등에 관한 사항이 명확하게 구분되도록 할 것
3. 정보를 활용하는 신용정보회사등이나 정보활용의 목적별로 정보활용 동의 사항을 구분하여 신용정보주체가 개별적으로 해당 동의를 할 수 있도록 할 것(「신용정보법」제32조제4항의 선택적 동의사항으로 한정한다)
③ 제1항에도 불구하고 고지사항 중 그 일부를 생략하거나 중요한 사항만을 발췌하여 그 신용정보주체에게 알리고 정보활용 동의를 받을 수 있다. 다만, 개인인 신용정보주체가 고지사항 전부를 알려줄 것을 요청한 경우에는 그러하지 아니하다.
④ 제3항 본문에 따라 고지사항 중 그 일부를 생략하거나 중요한 사항만을 발췌하여 정보활용 동의를 받는 경우에는 같은 항 단서에 따라 신용정보주체에게 고지사항 전부를 별도로 요청할 수 있음을 알려야 한다.
⑤ 제3항 본문에 따른 생략ㆍ발췌에 관한 사항, 같은 항 단서에 따른 요청의 방법, 제4항에 따라 알리는 방법에 대해서는 「신용정보법」시행령으로 정한다.
제16조(신용정보 이용 및 제공사실의 조회) ① 개인신용정보를 이용하거나 제공한 경우 별도로 기준에서 정하는 바에 따라 다음 각 호의 구분에 따른 사항을 신용정보주체가 조회할 수 있도록 하여야 한다. 다만, 내부 경영관리의 목적으로 이용하거나 반복적인 업무위탁을 위하여 제공하는 경우 등 별도로 정하는 기준에 따르는 경우에는 그러하지 아니하다.
1. 개인신용정보를 이용한 경우: 이용 주체, 이용 목적, 이용 날짜, 이용한 신용정보의 내용, 해당 개인신용정보의 보유기간 및 이용기간
2. 개인신용정보를 제공한 경우: 제공 주체, 제공받은 자, 제공 목적, 제공한 날짜, 제공한 신용정보의 내용, 해당 개인신용정보를 제공받은 자의 보유기간 및 이용기간
② 제1항에 따라 조회를 한 신용정보주체의 요청이 있는 경우 개인신용정보를 이용하거나 제공하는 때에 제1항 각 호의 구분에 따른 사항을 별도로 정하는 기준에 따라 신용정보주체에게 통지하여야 한다.
③ 신용정보주체에게 제2항에 따른 통지를 요청할 수 있음을 알려주어야 한다.
제17조(상거래 거절 근거 신용정보의 고지) 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 기업신용조회회사는 제외한다) 및 신용정보집중기관으로부터 제공받은 개인신용정보로서 별도로 기준에서 정하는 정보에 근거하여 상대방과의 상거래관계 설정을 거절ㆍ중지한 경우 해당 신용정보주체의 요구가 있으면 거절ㆍ중지의 근거가 된 정보 등 별도 기준에서 정하는 사항을 본인에게 고지하여야 한다.
제18조(개인신용정보 제공ㆍ이용 동의 철회권 등) ① 신용정보주체는 재단에게 제12조제1항 각 호의 방식으로 동의하였더라도, 개인신용평가회사, 개인사업자신용평가회사 또는 신용정보집중기관에 제공하여 개인의 신용도 등을 평가하기 위한 목적 외의 목적으로 행한 개인신용정보 제공 동의를 철회할 수 있다.
② 동의를 받은 재단 외의 신용정보제공ㆍ이용자에게 해당 개인신용정보를 제공하지 아니하면 해당 신용정보주체와 약정한 금융거래의 제공을 하지 못하게 되는 등 계약 이행이 어려워지거나 제13조제1호에 따른 목적을 달성할 수 없는 경우에는 고객이 동의를 철회하려면 그 금융거래의 제공을 받지 아니할 의사를 명확히 밝혀야 한다.
제19조(신용정보의 열람 및 정정청구 등) 보유신용정보에 대하여 신용정보주체로부터 열람 또는 정정청구가 있는 경우 업무처리절차는 별도로 정하는 기준에 따른다.
제20조(개인신용정보의 삭제 요구) ① 신용정보주체는 금융거래 등 상거래관계가 종료되고 다음 각 호의 기간이 경과한 경우 본인의 개인신용정보의 삭제를 요구할 수 있다. 다만, 제9조제2항 각 호의 어느 하나에 해당 하는 경우에는 그러하지 아니하다.
1. 필수적인 개인신용정보 : 5년
2. 그 밖의 개인신용정보 : 3개월
② 제1항의 요구를 받았을 때에는 지체 없이 해당 개인신용정보를 삭제하고 그 결과를 신용정보주체에게 통지하여야 한다. 다만, 개인신용정보를 삭제함으로써 해당 신용정보주체에게 불이익이 발생하는 경우에는 그 정보를 삭제하기 전에 그러한 불이익이 발생할 수 있다는 것을 해당 신용정보주체에게 알려야 한다.
③ 신용정보주체의 요구가 제1항 단서에 해당될 때에는 다른 개인신용정보와 분리하는 등 제9조제1항에 따라 관리하여야 하며, 그 결과를 신용정보주체에게 통지하여야 한다.
④ 제2항 및 제3항에 따른 신청 및 통지의 방법은 별도로 정하는 기준에 따른다.
제21조(개인신용정보 누설통지 등) ① 개인신용정보가 업무 목적 외로 누설되었음을 알게 된 때에는 지체 없이 해당 신용정보주체에게 다음 각 호의 사실을 통지하여야 한다.<개정 2023. 12. 27.>
1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 신용정보주체가 할 수 있는 방법 등에 관한 정보
4. 대응조치 및 피해 구제절차
5. 신용정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 신용정보가 누설된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 1만명 이상의 신용정보가 누설된 경우 제1항에 따른 통지 및 제2항에 따른 조치결과를 지체 없이 금융위원회 또는 금융감독원에 신고하여야 한다.
제22조(영리목적 광고성 정보의 전송) 개인신용정보 또는 개인을 식별하기 위하여 필요한 정보를 이용하여 영리목적의 광고성 정보를 전송하는 경우에는 「정보통신망법」 제50조에 따라 업무를 처리하여야 한다.
제22조의2(가명처리ㆍ익명처리에 관한 행위규칙) ① 가명처리에 사용한 추가정보는 별도의 기준에서 정하는 방법으로 분리하여 보관하거나 삭제하여야 한다.
② 가명처리한 개인신용정보에 대하여 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험으로부터 가명정보를 보호하기 위하여 내부관리계획을 수립하고 접속기록을 보관하는 등 별도의 기준에 따라 기술적ㆍ물리적ㆍ관리적 보안대책을 수립ㆍ시행하여야 한다.
③ 영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리하여서는 아니 된다.
④ 가명정보를 이용하는 과정에서 특정 개인을 알아볼 수 있게 된 경우 즉시 그 가명정보를 회수하여 처리를 중지하고, 특정 개인을 알아볼 수 있게 된 정보는 즉시 삭제하여야 한다.
⑤ 개인신용정보를 가명처리나 익명처리를 한 경우 다음 각 호의 구분에 따라 조치 기록을 3년간 보존하여야 한다.
1. 개인신용정보를 가명처리한 경우
가. 가명처리한 날짜
나. 가명처리한 정보의 항목
다. 가명처리한 사유와 근거
2. 개인신용정보를 익명처리한 경우
가. 익명처리한 날짜
나. 익명처리한 정보의 항목
다. 익명처리한 사유와 근거
제22조의3(가명정보에 대한 적용 제외) 가명정보에 관하여는 제12조제7항, 제16조, 제17조, 제18조, 제19조, 제20조, 제21조까지의 규정을 적용하지 아니한다.
제23조(업무목적 외 누설금지) ① 재단의 임직원 또는 임직원이었던 자는 업무 상 알게된 타인의 신용정보 및 사생활 등 개인적 비밀을 업무목적 외로 누설 또는 이용하여서는 아니된다.
② 「신용정보법」에 따라 신용정보회사 등에 신용정보를 제공하는 행위는 업무목적 외 누설이나 이용으로 보지 아니한다.
③ 신용정보회사 등으로부터 제공받은 개인신용정보는 타인에게 제공하여서는 아니된다. 다만, 「신용정보법」 또는 다른 법률에 따라 제공이 허용될 경우는 그러하지 아니하다.
제24조(손해배상의 책임 및 보장) ① 「신용정보법」을 위반하여 신용정보주체에게 손해를 가한 경우에는 해당 신용정보주체에 대하여 그 손해를 배상할 책임이 있다. 다만, 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다
② 고의 또는 중대한 과실로 「신용정보법」을 위반하여 개인신용정보가 누설되거나 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 5배를 넘지 아니하는 범위에서 배상할 책임이 있다. 다만, 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
③ 제1항 및 제2항에 따른 손해배상책임의 이행을 위하여 금융위원회가 정하는 바에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
부칙(제정)
제1조(시행일) 이 규정은 2023년 6월 28일부터 시행한다.
제2조(경과조치) 기존에 시행된 「신용정보 및 개인정보 관리규정」은 이 규정의 시행과 동시에 폐지한다.
부칙(1)
이 규정은 2024년 1월 1일부터 시행한다.