표준화 : 2014. 10. 1.
전문개정 : 2015. 12. 1.
제1장 총 칙
제1조(목적) 이 기준은 「신용정보의 이용 및 보호에 관한 법률」 (이하 “신용정보법”이라 한다)에 따른 신용정보의 이용 및 관리와 「개인정보보호법」 (이하 “개인정보법”이라 한다)에 따른 개인정보의 처리 및 관리 등에 필요한 사항을 정하는 것을 목적으로 한다.
제2조(용어의 정의) ⓛ “신용정보”란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서 신용정보법 시행령 제2조제1항에서 정하는 것을 말한다.
② “개인신용정보”란 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 신용정보법 시행령 제2조제2항에서 정하는 정보를 말한다.
③ “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 주소, 전화번호, 전자우편 주소, 성별, 국적, 직업, 학력 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
④ “신용정보주체”란 처리된 신용정보로 식별되는 자로서 그 신용정보의 주체가 되는 자를 말하며, “정보주체”란 처리되는 정보에 의하여 알아 볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
⑤ “신용정보업”이란 신용정보법 제4조제1항 각호에 규정된 업무의 전부 또는 일부를 업(業)으로 하는 것을 말한다.
⑥ “신용정보회사”란 신용정보업을 할 목적으로 신용정보법 제4조에 따라 금융위원회의 허가를 받은 자를 말한다.
⑦ “신용정보집중기관”이란 신용정보를 집중하여 관리·활용하는 자로서 신용정보법 제25조제1항에 따라 금융위원회로부터 허가받은 자를 말한다.
⑧ “신용정보제공·이용자” 란 고객과의 금융거래 등 상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 신용정보법 시행령 제2조제3항에서 정하는 자를 말한다.
⑨ “신용정보회사 등”이란 신용정보회사, 신용정보집중기관, 신용정보제공·이용자를 말한다.
⑩ 신용정보의 “처리”란 다음 각 호의 어느 하나의 해당하는 행위를 말한다.
1. 컴퓨터를 이용하여 신용정보를 입력·저장·가공·편집·검색·삭제 또는 출력하는 행위
2. 신용정보를 배달·우송 또는 전송 등의 방법으로 타인에게 제공하는 행위
3. 그 밖에 제1호 또는 2호와 비슷한 행위
⑪ 개인정보의 “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
⑫ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
“개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제3조(적용범위) 신용정보의 수집․조사․이용 및 관리와 개인정보의 처리 및 관리에 관한 업무는 이 규정을 따른다. 다만, 다른 법령 등에서 특별히 정함이 있는 경우에는 이 규정을 적용하지 아니한다.
제2장 신용정보의 수집․조사와 처리
제4조(신용정보의 수집․조사 및 처리의 원칙) ① 신용정보를 수집․조사 및 처리하는 경우에는 법 또는 정관으로 정한 업무 범위에서 수집․조사 및 처리의 목적을 명확히 하여야 하며, “신용정보법” 및 “개인정보법”에 따라 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집·조사 및 처리하여야 한다.
② 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 신용정보주체와의 금융거래 등 상거래계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
3. 신용정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 신용정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 신용정보제공·이용자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 신용정보주체의 권리보다 우선하는 경우. 이 경우 신용정보제공·이용자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한정한다.
제5조(수집․조사 및 처리의 제한) 다음 각 호의 정보를 수집ㆍ조사하여서는 아니 된다.
1. 국가의 안보와 기밀에 관한 정보
2. 기업의 영업비밀 또는 독창적인 연구개발 정보
3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보
4. 확실하지 아니한 개인신용정보
5. 다른 법률에 따라 수집이 금지된 정보
6. 그 밖에 신용정보법 시행령으로 정하는 정보
제6조(수집ㆍ조사 및 처리의 위탁) ①업무 범위 내에서 의뢰인의 동의를 얻어 다른 신용정보회사 등과 금융위원회가 정하는 요건에 적합한 자(이하 “수탁자”)에 신용정보의 수집‧조사 및 처리를 위탁할 수 있다.
② 제1항에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 따로 정하는 기준에 따라 보호 조치를 하여야 한다.
③ 수탁자에게 신용정보를 제공한 경우 신용정보를 분실·도난·유출·변조 또는 훼손당하지 아니 하도록 수탁자를 교육하여야 하고 수탁자의 안전한 신용정보 처리에 관한 사항을 위탁계약에 반영하여야 한다.
④ 수탁자는 제1항에 따라 위탁받은 업무 범위를 초과하여 제공받은 신용정보를 이용하여서는 아니된다.
⑤ 수탁자는 제1항에 따라 위탁받은 업무를 제3자에게 재위탁하여서는 아니된다.
제3장 신용정보의 유통‧이용과 관리
제7조(신용정보의 정확성과 최신성 유지) ① 신용정보를 신용정보집중기관 또는 신용조회회사에 제공하려는 경우에는 그 신용정보의 정확성과 최신성이 유지될 수 있도록 해당 정보의 정확성을 확인하여 사실과 다른 정보를 등록하여서는 안된다.
② 신용정보법 제18조제2항에 따라 신용정보주체에게 불이익을 줄 수 있는 신용정보를 그 불이익을 초래하게 된 사유가 해소된 날로부터 최장 5년이내에 등록․관리대상에서 삭제하여야 한다.
③ 제2항에 따라 해당 신용정보의 구체적인 종류, 기록보존 및 활용기간은 다음 각 호와 같다.
1. 신용정보법 시행령 제2조 제1항 제3호에 따른 신용정보 중 연체, 부도, 대위변제 및 대지급과 관련된 정보
2. 신용정보법 시행령 제2조 제1항 제3호에 따른 신용정보 중 신용질서 문란행위와 관련된 정보
3. 신용정보법 시행령 제2조 제1항 제5호 가목에 따른 신용정보 중 법원의 파산선고․면책․복권 결정 및 회생․개인회생의 결정과 관련된 정보
4. 신용정보법 시행령 제2조 제1항 제5호 나목 및 다목에 따른 체납 관련 정보
5. 신용정보법 시행령 제2조 제1항 제5호 라목에 따른 신용정보 중 체납 관련 정보
6. 그 밖에 제1호부터 제5호까지의 정보와 유사한 형태의 불이익 정보로서 금융위원회가 정하여 고시하는 신용정보
제8조(신용정보 전산시스템의 안전보호) ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 또는 파괴, 그 밖의 위험에 대하여 기술적ㆍ물리적ㆍ관리적 보안대책을 수립·시행하여야하며 세부사항은 이사장이 정하는 바에 따른다.
② 다른 신용정보제공ㆍ이용자 및 신용조회회사와 법에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다.
제9조(신용정보 관리책임의 명확화와 업무처리기록의 보존) ① 신용정보업무 처리 시 다음 각 호의 사항은 기록하여 3년간 보관한다. 다만, 통신망을 통한 파일 송수신 방식으로 신용정보를 제공하는 경우에는 전산기록을 보유하는 것으로 갈음한다.
1. 의뢰인의 주소와 성명 또는 정보제공ㆍ교환기관의 주소와 이름
2. 의뢰받은 업무 내용과 의뢰받은 날짜
3. 의뢰받은 업무의 처리 내용 또는 제공한 신용정보의 내용과 제공한 날짜
4. 그 밖에 따로 정하는 기준에서 정하는 사항
② 신용정보를 보호하고 신용정보와 관련된 신용정보주체의 고충 처리 업무등을 담당하는 신용정보관리‧보호인을 1명 이상 지정하여야 한다.
③ 제2항에 따른 신용정보관리·보호인은 따로 정하는 기준에 따라 업무를 수행한다.
④ 신용정보관리·보호인은 제3항 각 호의 업무에 관하여 금융위원회가 정하는 바에 따라 주기적으로 보고서를 작성하여야 하며, 이를 이사장 및 이사회에 보고하고 금융위원회에 제출하여야 한다.
제10조(개인신용정보의 보유기간 등) ① 금융거래 등 상거래관계(고용관계는 제외한다. 이하 같다)가 종료된 날부터 3개월까지 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있도록 접근권한을 강화하는 등 다음 각 호에 따라 관리하여야 한다.
1. 금융거래 등 상거래관계의 설정 및 유지 등에 필수적인 개인신용정보인 경우: 다음 각 목의 방법
가. 상거래관계가 종료되지 아니한 다른 신용정보주체의 정보와 별도로 분리하는 방법
나. 금융위원회가 정하여 고시하는 절차에 따라 신용정보제공ㆍ이용자의 임직원 중에서 해당 개인신용정보에 접근할 수 있는 사람을 지정하는 방법
다. 그 밖에 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있는 방법으로서 금융위원회가 정하여 고시하는 방법
2. 제1호 외의 개인신용정보의 경우: 그 정보를 모두 삭제하는 방법
② 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집ㆍ제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다.
1. 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
2. 개인의 급박한 생명ㆍ신체ㆍ재산의 이익을 위하여 필요하다고 인정되는 경우
3. 휴면예금의 지급을 위해 필요한 경우
4. 대출 사기, 보험 사기, 신용카드 부정발급 등 신용질서 문란행위의 방지를 위한 경우
5. 리스크 관리 및 신용평가 모형 개발을 위하여 필요한 경우. 이 경우 불가피한 경우를 제외하고 특정 신용정보주체를 알아볼 수 없도록 조치하여야 한다.
6. 정당한 이익 달성을 위하여 필요한 경우로서 명백하게 신용정보주체의 권리보다 우선하는 경우
7. 신용정보주체가 해당 개인신용정보의 삭제를 원하지 않는다는 의사를 명백히 표시한 경우
③ 제2항 단서에 따라 개인신용정보를 삭제하지 아니하고 보존하는 경우에는 현재 거래 중인 신용정보주체의 개인신용정보와 분리하는 등 제1항 제1호에 준용하여 관리하여야 한다.
④ 제3항에 따라 분리하여 보존하는 개인신용정보를 활용하는 경우에는 신용정보주체에게 통지하여야 한다.
⑤ 제1항 및 제2항에 따른 개인신용정보의 종류, 관리기간, 삭제의 방법ㆍ절차 및 금융거래 등 상거래관계가 종료된 날의 기준 등은 신용정보법 시행령으로 정한다.
제11조(신용정보의 관리 원칙) ① 신용정보는 전산관리하는 것을 원칙으로 한다. 다만, 해당정보를 전산 관리하는 것이 적합하지 않은 경우에는 그러하지 아니하다.
② 신용정보는 신용정보주체별로 관리하되, 관계법령, 신용정보업 감독규정, 연합회 규약, 신용정보회사 신용정보 공통관리규약과 내규 등에 따라 관리에 철저를 기한다.
③ 연합회를 통하여 집중․활용되는 신용정보의 종류, 범위 및 등록․관리에 관한 사항은 연합회의 “신용정보 관리 규약”에서 정하는 바에 따른다.
④ 신용정보회사를 통하여 집중․활용되는 신용정보 관리에 관한 사항은 “신용정보회사의 신용정보 공통관리규약”에서 정하는 바에 따른다.
⑤ 재단이 자체적으로 수집․축적한 정보의 관리는 따로 정하는 기준에 따른다.
제12조(집중관리정보의 이용) 연합회와 신용정보회사에 집중된 신용정보는 재단의 업무와 관련하여 필요한 경우에 이를 이용할 수 있다.
제4장 신용정보주체의 보호
제13조(신용정보활용체제의 공시) 재단은 관리하는 신용정보의 종류, 이용 목적, 제공 대상과 신용정보주체의 권리 등에 관한 사항을 따로 정하는 기준에 따라 공시하여야 한다.
제14조(개인신용정보의 제공ㆍ활용에 대한 동의) ① 개인신용정보를 타인에게 제공하려는 경우에는 해당 개인으로부터 다음 각 호의 어느 하나에 해당하는 방식으로 미리 개별적으로 동의를 받아야 한다. 다만, 기존에 동의한 목적 또는 이용범위에서 개인신용정보의 정확성·최신성을 유지하기 위한 경우에는 그러하지 아니한다.
1.서면
2.「전자서명법」제2조제3호에 따른 공인전자서명이 있는 전자문서
3.개인신용정보의 제공 내용과 제공 목적 등을 고려하여 정보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀번호를 입력하는 방식
4.유무선 통신으로 동의내용을 해당 개인에게 알리고 동의를 받는 방법(단, 신용정보법 시행령 제28조제4항에서 정하는 사후고지절차를 거쳐야 함)
5. 그 밖에 신용정보법 시행령에서 정하는 방식
② 신용정보회사 또는 신용정보집중기관으로부터 신용정보법 시행령이 정하는 개인신용정보를 제공받으려 할 경우 해당 신용정보주체로부터 제1항 각 호의 어느하나에 해당하는 방식으로 개인신용정보를 제공받을 때마다 개별적으로 동의(기존에 동의한 목적 또는 이용범위에서 개인신용정보의 정확성·최신성을 유지하기 위한 경우는 제외한다) 받아야 한다. 이 때 해당 개인에게 개인신용정보 조회시 신용등급이 하락할 수 있는 것을 고지하여야 한다.
③ 개인신용정보를 제공하는 경우 금융위원회가 정하여 고시하는 바에 따라 개인신용정보를 제공받는 자의 신원과 이용목적을 확인하여야 한다.
④ 제1항과 제2항에 따라 개인신용정보 이용동의를 받을 경우 제공받는자, 이용목적, 신용정보의 내용 등 신용정보법 시행령에서 정하는 사항을 알려야 한다.
⑤ 개인신용정보의 제공 및 활용과 관련하여 동의를 받을 때에는 따로 정하는 기준에 따라 서비스 제공을 위하여 필수적 동의사항과 그 밖의 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받아야 한다. 이 경우 필수적 동의사항은 서비스 제공과의 관련성을 설명하여야 하며, 선택적 동의사항은 정보제공에 동의하지 아니할 수 있다는 사실을 고지하여야 한다.
⑥ 신용정보주체가 선택적 동의사항에 동의하지 아니한다는 이유로 신용정보주체에게 서비스의 제공을 거부하여서는 아니 된다.
제15조(개인신용정보의 이용) 개인신용정보는 해당 신용정보주체가 신청한 금융거래 등 상거래관계(고용관계를 제외한다)의 설정과 유지여부 등의 판단목적으로만 이용되어야 한다. 다만 다음 각 호의 어느 하나에 해당되는 경우에는 그러하지 아니하다.
1. 개인이 신용정보법 제32조제1항 각 호의 방식으로 다른 목적에의 이용에 동의한 경우
2. 개인이 직접 제공한 개인신용정보(그 개인과의 상거래에서 생긴 신용정보를 포함한다)를 제공받은 목적으로 이용하는 경우(상품과 서비스를 소개하거나 그 구매를 권유할 목적으로 이용하는 경우는 제외한다)
3. 신용정보법 제32조제6항 각 호의 경우
4. 그 밖에 제1호부터 제3호까지의 규정에 준하는 경우로 신용정보법 시행령에서 정하는 경우
제16조(개인식별정보의 제공·이용) 신용정보주체인 개인을 식별하기 위하여 필요로 하는 정보로서 다음 각 호의 정보를 제공·이용하는 경우에는 제15조 및 제16조를 준용한다.
1. 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호, 국내거소신고번호
2. 성명, 주소, 성별, 국적 등 개인을 식별할 수 있는 정보
제17조(신용정보 이용 및 제공사실의 조회) ①개인신용정보를 이용하거나 제공한 경우 최근 3년간 다음 각 호의 구분에 따른 사항을 신용정보주체가 조회할 수 있도록 하여야 한다. 다만, 내부 경영관리의 목적으로 이용하거나 반복적인 업무위탁을 위하여 제공하는 경우 등 따로 정하는 기준에서 정하는 경우에는 그러하지 아니하다.
1. 개인신용정보를 이용한 경우: 이용 주체, 이용 목적, 이용 날짜, 이용한 신용정보의 내용, 해당 개인신용정보의 보유기간 및 이용기간
2. 개인신용정보를 제공한 경우: 제공 주체, 제공받은 자, 제공 목적, 제공한 날짜, 제공한 신용정보의 내용, 해당 개인신용정보를 제공받은 자의 보유기관 및 이용기간
② 제1항에 따라 조회를 한 신용정보주체의 요청이 있는 경우 개인신용정보를 이용하거나 제공하는 때에 제1항 각 호의 구분에 따른 사항을 따로 정하는 기준에 따라 신용정보주체에게 통지하여야 한다.
③ 신용정보주체에게 제2항에 따른 통지를 요청할 수 있음을 알려주어야 한다.
제18조(상거래 거절 근거 신용정보의 고지) 신용조회회사 또는 신용정보집중기관으로부터 제공받은 개인신용정보에 근거하여 상대방과의 상거래관계 설정을 거절‧중지한 경우 해당 신용정보주체의 요구가 있으면 거절‧중지의 근거가 된 정보 등을 본인에게 고지하여야 한다.
제19조(개인신용정보 제공‧이용동의 철회) ① 개인인 신용정보주체는 제14조제1항 각 호의 방식으로 동의를 받은 신용정보 제공․이용자에게 신용조회회사 또는 신용정보집중기관에 제공하여 개인의 신용도 등을 평가하기 위한 목적 외의 목적으로 행한 개인신용정보 제공 동의를 신용정보법 시행령에서 정하는 절차에 따라 동의를 철회할 수 있다.
② 제1항에 따라 동의를 철회하고자 할 경우 해당 개인신용정보를 제공하지 아니하면 약정한 금융거래를 제공받지 아니할 의사를 명확히 밝혀야 한다.
제20조(신용정보의 열람․정정) 보유신용정보에 대하여 신용정보주체로 부터 열람 또는 정정청구가 있는 경우 업무처리절차는 따로 정하는 기준에 따른다.
제21조(개인신용정보의 삭제 요구) ① 신용정보주체는 금융거래 등 상거래관계가 종료되고 다음 각 호의 기간이 경과한 경우 본인의 개인신용정보의 삭제를 요구할 수 있다. 다만, 제10조제2항 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 필수적인 개인신용정보 : 5년
2. 그 밖의 개인신용정보 : 3개월
② 제1항의 요구를 받았을 때에는 지체 없이 해당 개인신용정보를 삭제하고 그 결과를 신용정보주체에게 통지하여야 한다.
③ 신용정보주체의 요구가 제1항 단서에 해당될 때에는 다른 개인신용정보와 분리하는 등 제10조제1항1호에 준용하여 관리하여야 하며, 그 결과를 신용정보주체에게 통지하여야 한다.
④ 제2항 및 제3항에 따른 통지의 방법은 서면, 전자우편, 휴대전화 문자메세지, 그 밖에 이와 비슷한 방법으로 한다.
제22조(신용정보 누설통지 등) ① 신용정보가 업무 목적 외로 누설되었음을 알게 된 때에는 지체 없이 해당 신용정보주체에게 다음 각 호의 사실을 통지하여야 한다.
1. 누설된 신용정보의 항목
2. 누설된 시점과 그 경위
3. 누설로 인하여 발생할 수 있는 피해를 최소화하기 위하여 신용정보주체가 할 수 있는 방법 등에 관한 정보
4. 대응조치 및 피해 구제절차
5. 신용정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 신용정보가 누설된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 1만명 이상의 신용정보가 누설된 경우 제1항에 따른 통지 및 제2항에 따른 조치결과를 지체 없이 금융위원회 또는 금융감독원에 신고하여야 한다.
제23조(광고성 정보의 전송금지) 개인신용정보 또는 개인식별정보를 전화, 전자우편, 휴대전화 문자메세지 등 전자적 매체나 방식을 이용하여 영리목적의 광고성 정보를 전송하는 행위를 하여서는 아니된다. 다만, 다음 각 호의 경우는 제외한다.
1. 신용정보주체로부터 별도의 동의를 받은 경우
2. 기존에 체결한 금융거래의 유지 및 관리를 위하여 필요한 경우
3. 그 밖에 신용정보법 시행령으로 정하는 경우
제24조(업무목적 외 누설금지) ① 재단의 임직원 또는 임직원이었던 자는 업무 상 알게된 타인의 신용정보 및 사생활 등 개인적 비밀을 업무목적 외로 누설 또는 이용하여서는 아니된다.
② 신용정보법에 따라 신용정보회사 등에 신용정보를 제공하는 행위는 업무목적 외 누설이나 이용으로 보지 아니한다.
③ 신용정보회사 등으로부터 제공받은 개인신용정보는 타인에게 제공하여서는 아니된다. 다만, 신용 정보법 또는 다른 법률에 따라 제공이 허용될 경우는 그러하지 아니하다.
제25조(손해배상의 책임 및 보장) ① 신용정보법 및 개인정보법을 위반하여 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체 및 정보주체에 대하여 손해배상의 책임을 진다. 다만, 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다.
② 고의 또는 중대한 과실로 신용정보법을 위반하여 개인신용정보가 누설되거나 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배를 넘지 아니하는 범위에서 배상할 책임이 있다. 다만, 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
③ 제1항 및 제2항에 따른 손해배상책임의 이행을 위하여 따로 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
제5장 개인정보의 처리와 관리
제1절 개인정보의 처리
제26조(개인정보의 처리원칙) ① 개인정보를 처리하는 경우 처리 목적을 명확하게 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보의 처리는 처리목적에 필요한 범위에서 적합하게 하여야하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보는 처리목적에 필요한 범위에서 정확성, 완전성 및 최신성이 보장되어야 한다.
제27조(개인정보의 수집·이용 및 제공) ①정보주체의 동의를 받은 경우에는 개인정보를 수집할 수 있고 그 수집목적의 범위에서 이용할 수 있으며, 제3자에게 제공(공유 포함)할 수 있다.
② 개인정보의 수집․이용, 제공과 동의절차 등에 관한 제반 업무처리 방법은 따로 정하는 기준에 따른다.
제28조(개인정보의 이용․제공 제한) ①개인정보를 정보주체의 동의범위를 초과하여 이용하거나 제3자에게 제공하여서는 아니된다.
② 제1항에도 불구하고 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 따로 정하는 범위내에서 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
③ 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공할 수 있는 범위, 개인정보 제공에 따른 정보주체에 대한 통지사항, 제3자에게 제공시 안전성 확보방법 등은 따로 정하는 기준에 따른다.
제29조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 정보주체로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있을 경우 개인정보 수집출처, 처리목적, 처리의 정지를 요구할 권리가 있다는 사실 등을 정보주체에게 알려야 한다.
제30조(개인정보의 파기) ① 개인정보의 보유기간 경과, 처리목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보의 파기방법 및 절차 등에 관한 필요한 사항은 따로 정하는 기준에 따른다.
제31조(고유식별정보의 처리 제한) 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호 및 외국인등록번호(이하 “고유식별정보”)는 처리할 수 없다. 다만, 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 고유식별정보 처리에 대한 동의를 받은 경우에는 처리할 수 있다.
제32조(업무위탁에 따른 개인정보의 처리제한) ①제3자에게 개인정보의 처리 업무를 위탁하는 경우 문서에 의해 업무위탁 수행목적 외 개인정보의 처리금지, 개인정보의 기술적․관리적 보호조치 등 개인정보의 안전한 관리에 관한 사항을 명시하여 처리를 제한하여야 한다.
② 업무위탁시 개인정보의 처리제한에 관한 세부사항은 따로 정하는 기준에 따른다.
제2절 개인정보의 관리
제33조(안전조치) ① 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
② 개인정보의 안전성 확보 필요조치의 세부적인 사항은 따로 정하는 기준에 따른다.
제34조(개인정보 처리방침의 수립 및 공개) ①개인정보처리자는 정보주체의 개인정보 보호 및 권익을 위하여 개인정보의 처리방침을 정하여 인터넷에 공개하여야 한다.
② 개인정보 처리방침의 수립 및 공개에 대한 세부절차는 따로 정하는 기준에 따른다.
제35조(개인정보 보호책임자의 지정 및 업무) 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자는 신용정보업무 소관부서의 장으로 하며, 개인정보 보호책임자의 업무수행에 관한 세부사항은 따로 정하는 기준에 따른다.
제36조(개인정보파일의 등록 및 공개) ① 재단에서 운용중인 개인정보파일에 대하여 안전행정부장관에게 등록하여야 하며, 등록한 사항이 변경된 경우에도 또한 같다. 다만, 법령 등에서 정하는 일부 개인정보파일은 적용제외 한다.
② 개인정보파일의 등록사항 및 등록절차 등에 관한 세부사항은 안전행정부에서 별도로 고시하는 지침에 따른다.
제37조(개인정보 영향평가) ① 재단은 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 영향평가를 하고 그 결과를 안전행정부장관에게 제출하여야 한다.
② 영향평가 방법, 영향평가시 고려사항 등은 안전행정부에서 별도로 고시를 하는 지침에 따른다.
제38조(개인정보 유출 통지 등) ① 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 그 사실을 알려야 한다.
② 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보유출 통지의 시기, 방법, 절차 및 제2항에 따른 조치 결과 신고 등에 관한 세부사항은 붙임과 같이 처리하고, 그 외 사항들은 행정자치부에서 별도로 고시하는 지침에 따른다.
제3절 정보주체의 권리보장
제39조(개인정보의 열람, 정정․삭제 및 처리정지 등) ① 정보주체는 자신의 개인정보에 대한 열람, 정정․삭제 및 처리정지를 요구할 수 있다.
② 개인정보의 열람, 정정․삭제 및 처리정지 등에 관한 세부절차는 따로 정하는 기준에 따른다.
제6장 보칙
제40조(적용기준) 이 규정의 운용에 따른 세부사항을 정하기 위하여 따로 “기준”을 정하여 운용한다.
제41조(안전행정부 고시 각종지침 준수) 개인정보 처리에 관하여 이 규정에서 특별히 정하지 아니한 사항에 대하여는 행정자치부에서 별도 고시하는 각종지침(표준 개인정보 보호지침, 개인정보의 안전성 확보지침 기준, 개인정보 영향평가에 관한 고시 등)에서 정하는 바에 따른다.
부 칙(제정)
1. (시행일) 이 규정은 2014년 10월 1일부터 시행한다.
2. (경과조치) “신용정보법” 개정시행(2009. 10. 2) 전 개인인 신용정보주체로부터 제13조제1항의 규정에 따라 동의를 받아 개인신용정보를 확인한 후 상거래관계를 설정한 경우 그 상거래 관계의 유지․관리를 위한 목적으로 해당 신용정보주체에 관한 개인신용정보를 제공받으려는 경우에는 제13조제2항의 규정을 적용하지 아니한다.
부칙 (1)
이 규정의 시행일은 2015년 12월 1일부터 시행한다. 다만 제14조, 제16조, 제17조, 제21조의 개정 규정은 2016년 3월 12일부터 시행한다.