법체제에 있어서 우리는 신용정보보호법 등 단일법을 가지고 규율 하고 있으나, 미국은 총론적으로는 연방법에 의해 규제하는 방식을
52) 제24조의2 (신용정보 제공사실의 통보요구) 신용정보주체는 신용정보업자 이 본 인에 관한 신용정보를 제공하는 때에는 제공받은 자, 그 이용목적, 제공일자, 제공 한 본인정보의 주요내용 등을 통보하도록 요구할 수 있다. 이 경우 신용정보업자 등은 특별한 사유가 없는 한 이에 응하여야 한다.
53) 제28조 (손해배상의 책임) ①신용정보업자등과 기타 신용정보의 이용자가 이 법 의 규정을 위반함으로써 신용정보주체에게 피해를 입힌 경우에는 당해 신용정보주 체에 대하여 손해배상의 책임을 진다. 다만, 신용정보업자등과 기타 신용정보의 이 용자가 고의 또는 과실이 없음을 입증한 경우에는 그러하지 아니하다.
②채권추심업자는 이 법을 위반하여 채무자의 관계인에게 손해를 입힌 경우에는 그 손해를 배상하여야 한다. 다만, 자신에게 고의 또는 과실이 없음을 입증한 경우 에는 그러하지 아니하다.
③제4조제4항에 규정된 업무를 의뢰받은 신용정보업자가 자신에게 책임있는 사유 로 의뢰인에게 손해를 입힌 때에는 이를 배상하여야 한다.
54) 대법원은 “신용정보의 이용 및 보호에 관한 법률 제34조에 법인을 처벌하기 위 한 요건으로서 규정한 ‘법인의 업무에 관하여’ 행한 것으로 보기 위해서는 객관적 으로 법인의 업무를 위하여 하는 것으로 인정할 수 있는 행위가 있어야 하고, 주관 적으로는 피용자 등이 법인의 업무를 위하여 한다는 의사를 가지고 행위를 함을 요한다.”고 하여, 신용카드회사에서 신용카드회원모집업무를 담당하는 직원이 대행 업체를 통하여 카드회원을 모집하면서 신용카드 가맹점 업주의 개인신용정보를 그 대행업체에게 제공한 것은 객관적 외형상 신용카드회원모집이라는 신용카드회사의 법인의 업무에 관한 행위이고, 주관적으로도 위 업무를 위한다는 의사가 있었다고 판단하였다(앞의 대법원 2006. 6. 15. 선고 2004도1639).
취하면서 각론적으로는 각 주마다 차이가 있는 프라이버시보호에 관 한 의견을 반영하여 주법에 위임하는 방식을 취하고 있다. 개인정보 보호법제와의 관계에서 보면 우리는 개인정보의 보호범위 등에 대해 서 신용정보보호법 등에 의해 규율하고 있지만, 미국은 금융거래에 있어서의 비밀준수의무의 대상으로 되어 있는 정보에는 다수의 개인 정보가 포함된다고 보아 포괄적인 개인정보보호법을 가지고 있지는 않고, 프라이버시보호의 관점에서 개별 분야마다 보호를 하고 있다.
규제의 대상이 되는 금융기관의 범위에 있어서 우리의 신용정보보호 법은 은행 등의 금융기관, 금융지주회사, 증권회사, 보험회사 등을 포 함시키고 있는데(시행령 제2조 제2항), 미국은 GLB법도 은행, 보험회 사, 증권회사 등을 포함시키고 있기 때문에 큰 차이는 없다.
보호대상이 되는 정보의 범위나 내용을 보면, 우리의 개인정보보호 법제(신용정보보호법, 금융분야 모범규준 등)에서는 공개⋅비공개를 불문하고 정보의 사용 목적이나 성질에 의한 제한이 없는데 비하여, 미국의 개인정보보호법제(GLB법, FCR법)에서는 정보의 이용목적이나 성질에 의한 제한이 이루어지고 있다는 점에서 차이가 있다. 예컨대 GLB법에서는 소비자의 비공개정보라 하더라도 사업목적으로 금융기 관으로부터 상품⋅서비스의 제공을 받았을 경우는 제외되고, FCR법에 서는 공개정보도 보호대상이 될 수 있지만 내용은 일정한 신용정보로 한정되고 있다.
또 금융관련회사의 정보공유의 허용성에 대해서는 양쪽 모두 정보의 보호와 활용의 밸런스를 고려하고 있지만, 미국에서는 우리나라에 비 해 정보공유를 보다 유연하게 인정하고 있는 것으로 보인다. 즉 우리 나라에서는 관련회사 유무를 구별하지 않고 일률적으로 규율하고 있는 (원칙적으로 본인의 동의 등을 필요로 한다) 점에 비해, 미국에서는 관 련회사 유무를 구별할 뿐만 아니라 관련회사인 경우에는 비교적 자유 롭게 정보공유를 인정하고 있다. 다만 우리의 경우도 금융지주회사법
에 의해 금융지주회사 등은 신용정보보호법상의 개인에 관한 신용정보 를 그가 속하는 금융지주회사 등에게 영업상 이용하게 할 목적으로 제 공할 수 있도록 하고 있기 때문에(제48조의2), 금융지주회사의 경우는 미국의 경우와 비슷하게 탄력적으로 정보공유를 할 수 있게 된다.55)
정보의 이용목적에 따라 정보공유의 요건에 있어서도 미국은 명시 적인 차이를 두고 있다. 예컨대 GLB법에서는 부정방지나 조직적인 리스크 관리를 목적으로 하는 경우에는 관련회사 이외의 자와 공유하 더라도 본인에 대한 opt-out을 요하지 않아, 소비자에게 선택의 기회를 주지 않는다. 다만 FCR법에서는 관련회사간 공유라 하더라도 마케팅 목적의 권유에 이용하는 경우에는 본인에 대한 opt-out의 부여를 의무 화하여 소비자에 의한 선택의 기회를 확대하고 있다. 이와 같이 이용 목적에 따라 정보공유의 요건에 차이를 두고 있는 것은 정보공유에 의해 소비자에게 줄 이익이 크다고 생각되는 경우에는 비교적 자유롭 게 공유를 인정하면서도, 그렇지 아니한 경우에는 소비자에게 선택의
55) 제48조의2 (개인신용정보등의 제공 및 관리) ① 금융지주회사등은 신용정보의이 용및보호에관한법률 제23조 및 제24조제1항의 규정에 불구하고 동법 제23조제1호⋅
제3호 및 제4호의 규정에 의한 개인에 관한 신용정보(이하 “개인신용정보”라 한다) 를 그가 속하는 금융지주회사등에게 영업상 이용하게 할 목적으로 제공할 수 있다.
② 금융지주회사의 자회사등인 증권회사는 증권거래법 제59조의 규정에 불구하고 당해 증권회사를 통하여 유가증권을 매매하거나 매매하고자 하는 위탁자가 예탁한 금전 또는 유가증권의 총액에 관한 정보를 그가 속하는 금융지주회사등에게 영업 상 이용하게 할 목적으로 제공할 수 있다.
③ 제1항 및 제2항의 규정에 의하여 자회사등이 개인신용정보 및 금전 또는 유가 증권의 총액에 관한 정보(이하 “개인신용정보등”이라 한다)를 제공하는 경우에는 신용정보의이용및보호에관한법률 제24조제2항의 규정을 적용하지 아니한다.
④ 금융지주회사등은 개인신용정보등의 엄격한 관리를 위하여 그 임원중에 1인 이 상을 개인신용정보등을 관리할 자(이하 “신용정보관리인”이라 한다)로 선임하여야 한다.
⑤ 신용정보관리인은 개인신용정보등의 엄격한 관리를 위하여 금융감독위원회가 정하는 바에 따라 업무지침서를 작성하고, 그 내용을 금융감독위원회에 보고하여 야 한다.
⑥ 금융지주회사등은 대통령령이 정하는 바에 따라 개인신용정보등의 취급방침을 정하여야 하며, 이를 당해 금융지주회사등의 거래상대방에게 통지하거나 공고하고 영업점에 게시하여야 한다.
기회를 주기 위한 것으로 보인다.
신용정보업자의 위법행위 등이 있는 경우 우리는 금융감독위원회가 신용정보업자 등에게 업무의 개선⋅중지⋅신용정보의 제공중지 등의 조치를 명할 수 있음에 비해, 미국의 경우 GLB법의 집행과 실현은 FTC 및 주당국에 맡겨져 있어 금융기관의 위법행위에 대해 FTC가 사 법상 유지청구까지 할 수 있다. 손해배상책임과 관련하여 우리는 구 체적으로 금융회사 등의 잘못된 정보공시로 피해를 입게 된 경우 해 당 금융업자에게 손해배상책임을 인정하고 있다.56) 미국의 경우 금융 기관의 위법행위에 대해 FTC가 제소하는 경우 유지청구만 할 수 있 을 뿐, 손해를 입은 고객의 배상청구까지 할 수 있는 것은 아니지만, 고객이 직접 일반 불법행위법 등에 의해 손해배상청구를 할 수 있다.