핀테크 서비스는 개인정보보호법만 지키면 될까요? 아닙니다. 금융 거래 데이터가 포함되면 **신용정보의 이용 및 보호에 관한 법률(신용정보법)**이 함께 적용됩니다. 두 법이 교차하는 지점에서 요건이 더욱 엄격해집니다.
핀테크가 처리하는 개인정보 유형
| 데이터 | 법적 성격 | 적용 법률 | |--------|---------|---------| | 이름, 이메일, 연락처 | 일반 개인정보 | PIPA | | 주민등록번호 | 고유 식별 정보 | PIPA (수집 원칙 금지) | | 계좌번호, 카드번호 | 금융 정보 | PIPA + 금융관련법 | | 거래 내역, 잔액 | 신용정보 | 신용정보법 | | 신용 점수, 대출 이력 | 신용정보 | 신용정보법 | | 투자 성향, 포트폴리오 | 금융 정보 | PIPA + 자본시장법 | | 소득 정보, 재산 정보 | 민감 정보 가능 | PIPA |
주민등록번호: 핀테크의 딜레마
핀테크 서비스는 본인 인증을 위해 주민등록번호가 필요한 경우가 많습니다. 그런데 개인정보보호법은 법령에 근거가 없으면 주민번호 수집을 금지합니다.
주민번호 수집이 허용되는 경우
✅ 금융실명거래법: 금융거래 실명 확인
✅ 자본시장법: 투자자 실명 확인
✅ 여신전문금융업법: 신용카드 발급
✅ 전자금융거래법: 전자금융거래 본인 확인
법령 근거가 있는 경우에도 주민번호는 처리방침에 별도 명시하고, 암호화 저장이 필수입니다.
주민번호 대체 수단
법령 근거가 없는 기능(예: 일반 회원가입)에서는 주민번호를 대체하는 방법을 사용해야 합니다.
대체 수단:
✅ 휴대폰 본인인증 (통신사 연동)
✅ 아이핀(i-PIN)
✅ 공동인증서(구 공인인증서)
✅ 금융인증서
신용정보법 추가 의무
신용정보(거래 이력, 대출 이력, 신용 점수 등)를 처리하는 서비스는 신용정보법에 따른 추가 의무가 있습니다.
신용정보 처리 동의 강화
신용정보법은 PIPA보다 더 명시적인 동의를 요구합니다.
□ 신용정보 수집·이용 동의 (신용정보법 제32조)
수집 항목: 거래 이력, 잔액 정보, 연체 이력
이용 목적: 신용 평가, 대출 심사, 금융 서비스 제공
보유 기간: 계약 종료 후 5년
□ 신용정보 제공·활용 동의 (신용정보법 제33조)
제공 기관: KCB, NICE평가정보 등 신용평가사
제공 목적: 신용 점수 산정
제공 항목: 거래 이력, 납입 실적
신용정보 열람 요구권
고객은 자신의 신용정보에 대해 열람을 요구할 수 있으며, 핀테크 서비스는 이에 응해야 합니다.
열람 제공 범위:
- 수집·이용·제공한 신용정보 항목
- 제3자 제공 이력 (제공 일자, 제공 기관, 제공 목적)
- 보유 기간
처리 기간: 요청 접수 후 10영업일 이내
간편결제 서비스 특유의 이슈
빌링키와 카드 정보
간편결제에서 카드를 등록하면 PG사가 빌링키를 발급합니다. 빌링키 자체는 카드 번호가 아니지만, 특정 사용자의 결제 수단을 식별하므로 개인정보입니다.
✅ 빌링키: 암호화 저장, 접근 제한 필수
❌ 카드 번호 16자리: 직접 저장 금지
❌ CVC/CVV: 절대 저장 금지
간편송금과 수취인 정보
송금 서비스에서 수취인 정보(이름, 계좌번호)를 처리하는 것은 계약 이행을 근거로 가능하지만, 수취인의 정보를 마케팅 목적으로 활용하거나 저장하는 것은 금지됩니다.
오픈뱅킹 연동 시 주의사항
오픈뱅킹 API로 타 은행 계좌 정보를 조회하는 서비스는 추가 의무가 발생합니다.
오픈뱅킹 연동 동의 필수 항목:
□ 조회할 금융 기관 명칭
□ 조회하는 정보 항목 (잔액, 거래 내역 등)
□ 조회 목적
□ 연동 해제 방법
처리 원칙:
- 오픈뱅킹으로 조회한 정보를 서비스 외 목적으로 사용 금지
- 연동 해제 시 수집된 계좌 정보 즉시 파기
투자 서비스의 투자자 정보
주식, 가상자산, 펀드 등 투자 서비스는 투자자 분류와 적합성 평가를 위한 추가 정보를 수집합니다.
수집 가능 항목 (자본시장법 근거):
- 투자 목적, 투자 기간
- 재산 현황, 소득 수준 (대략적)
- 투자 경험, 금융 지식
주의사항:
- 자산 정보는 민감 정보 수준의 보호 필요
- 적합성 평가 목적 외 마케팅·타겟팅에 활용 금지
- 보관 기간: 투자자 정보 갱신 주기 준수 (자본시장법)
처리방침 핀테크 특화 기재 항목
■ 금융 정보 처리
당사는 서비스 제공을 위해 다음 금융 정보를 처리합니다.
[간편결제]
수집 항목: 빌링키 (카드번호 미보관), 결제 이력
법적 근거: 계약 이행 (전자금융거래법)
보유 기간: 서비스 탈퇴 후 5년 (전자상거래법)
[신용 정보]
수집 항목: 거래 이력, 납입 실적
제공 기관: OO신용평가 (신용 점수 산정 목적)
법적 근거: 신용정보법 제32조 동의
■ 주민등록번호 처리
법령 근거: OO법 제OO조
암호화하여 저장하며, 법령에 따른 경우 외에는 제3자에게 제공하지 않습니다.
실무 체크리스트
주민등록번호
- [ ] 주민번호 수집에 법령 근거가 있는지 확인했다
- [ ] 주민번호를 암호화하여 저장한다
- [ ] 처리방침에 주민번호 처리 근거 법령을 명시했다
금융 데이터
- [ ] 카드 번호를 직접 저장하지 않고 빌링키만 사용한다
- [ ] 신용정보 수집·제공에 대한 별도 동의를 받는다
- [ ] 오픈뱅킹 연동 해제 시 계좌 정보를 즉시 파기한다
신용정보법
- [ ] 신용정보 열람 요구권 처리 절차가 있다
- [ ] 신용정보 제3자 제공 이력을 기록한다
- [ ] 신용정보법상 동의 항목이 처리방침에 분리되어 있다
보관 및 파기
- [ ] 금융 거래 기록 5년 보관 의무를 준수한다
- [ ] 탈퇴 후 법정 보관 기간이 처리방침에 명시되어 있다
PipaGuard로 핀테크 서비스 점검
주민번호 처리 근거, 신용정보 동의 설계, 금융 데이터 보관까지 — 핀테크 서비스 특화 PIPA·신용정보법 체크리스트를 자동으로 점검받으세요.
pipaguard.vercel.app에서 무료로 시작할 수 있습니다.