신용정보의 이용 및 보호에 관한 법률 20조의 2
제20조의2(개인신용정보의 보유기간 등)
② 「개인정보 보호법」 제21조제1항에도 불구하고 신용정보제공ㆍ이용자는 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집ㆍ제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다. <개정 2020. 2. 4.>
1. 이 법 또는 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
2. 개인의 급박한 생명ㆍ신체ㆍ재산의 이익을 위하여 필요하다고 인정되는 경우
2의2. 가명정보를 이용하는 경우로서 그 이용 목적, 가명처리의 기술적 특성, 정보의 속성 등을 고려하여 대통령령으로 정하는 기간 동안 보존하는 경우
3. 그 밖에 다음 각 목의 어느 하나에 해당하는 경우로서 대통령령으로 정하는 경우
가. 예금ㆍ보험금의 지급을 위한 경우
나. 보험사기자의 재가입 방지를 위한 경우
다. 개인신용정보를 처리하는 기술의 특성 등으로 개인신용정보를 보존할 필요가 있는 경우
라. 가목부터 다목까지와 유사한 경우로서 개인신용정보를 보존할 필요가 있는 경우
③ 신용정보제공ㆍ이용자가 제2항 단서에 따라 개인신용정보를 삭제하지 아니하고 보존하는 경우에는 현재 거래 중인 신용정보주체의 개인신용정보와 분리하는 등 대통령령으로 정하는 바에 따라 관리하여야 한다.
④ 신용정보제공ㆍ이용자가 제3항에 따라 분리하여 보존하는 개인신용정보를 활용하는 경우에는 신용정보주체에게 통지하여야 한다.
⑤ 제1항 및 제2항에 따른 개인신용정보의 종류, 관리기간, 삭제의 방법ㆍ절차 및 금융거래 등 상거래관계가 종료된 날의 기준 등은 대통령령으로 정한다.
[본조신설 2015. 3. 11.]
핵심 조항 이해하기: 신용정보법 제20조의2
이 조항은 상거래관계(금융거래 등)가 종료된 후 고객의 개인신용정보를 어떻게 관리하고 언제 삭제해야 하는지에 대한 명확한 기준을 제시하고 있습니다.
1. 종료 후 안전 관리 의무 (제1항)
핵심: 상거래관계가 종료된 날부터 금융위원회가 정하여 고시하는 기한까지 개인신용정보가 안전하게 보호되도록 관리해야 합니다.
실무적 의미: 이 기간 동안 정보에 대한 접근 권한을 강화하는 등 대통령령이 정하는 바에 따라 특별히 관리해야 합니다. 즉, 거래가 끝났다고 해서 관리를 소홀히 해서는 안 됩니다!
2. 원칙적인 삭제 의무 (제2항)
핵심: 상거래관계가 종료된 날부터 최장 5년 이내에 고객의 개인신용정보를 관리대상에서 삭제해야 합니다.
개인정보 보호법과의 관계: 「개인정보 보호법」 제21조제1항(목적 달성 시 지체 없는 파기)보다 더 구체적이고 강화된 기준을 적용합니다.
예외 기간: 5년 이전에 정보 수집・제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내에 삭제해야 합니다. (더 빠르게 삭제해야 할 수도 있다는 점!)
3. 🛡️ 예외적으로 보존할 수 있는 경우 (제2항 단서 및 각 호)
5년이 지나도 삭제하지 않고 보존이 허용되는 예외적인 경우가 있습니다. 은행 실무와 밀접하게 관련된 주요 내용은 다음과 같습니다.
법률상 의무 이행: 다른 법률(예: 특정 세법, 금융 관련 법규 등)에 따른 보존 의무를 이행하기 위해 불가피한 경우 (제2항 제1호)
가명정보 이용: 가명정보를 이용하는 경우로서 대통령령으로 정하는 기간 동안 보존하는 경우 (제2항 제2호의2)
특정 금융 서비스 관련:
예금・보험금 지급을 위한 경우 (제2항 제3호 가목)
개인신용정보를 처리하는 기술의 특성 등으로 보존할 필요가 있는 경우 (제2항 제3호 다목)
👉 중요: 예외적으로 보존하는 경우에도, 그 목적(예: 예금 지급)이 달성되면 즉시 삭제해야 한다는 기본 원칙을 잊어서는 안 됩니다.
4. 보존 시 관리 의무 및 활용 통지 (제3항 및 제4항)
분리 관리: 예외적으로 보존하는 정보는 현재 거래 중인 고객의 정보와 분리하여 관리해야 합니다. (제3항)
활용 통지: 이렇게 분리 보존된 정보를 나중에 활용할 경우, 반드시 해당 신용정보주체(고객)에게 통지해야 합니다. (제4항)