신용정보의 이용 및 보호에 관한 법률 시행령 제22조의4

From IT Wiki

내용

제22조의4(데이터전문기관)
  • ① 금융위원회는 법 제26조의4제1항에 따라 다음 각 호의 요건을 모두 갖춘 법인 또는 기관을 데이터전문기관으로 지정할 수 있다.
    • 1. 다음 각 목의 어느 하나에 해당하는 법인 또는 기관일 것
  • 가. 「민법」 제32조에 따라 설립된 비영리법인
  • 나. 「개인정보 보호법」 제2조제6호에 따른 공공기관
  • 다. 금융위원회가 정하여 고시하는 자본금 및 매출액 등 요건을 갖춘 법인
    • 2. 금융위원회가 정하여 고시하는 시설ㆍ설비, 인력ㆍ조직 및 재정능력을 갖출 것
    • 3. 신용정보의 유출 등을 방지하기 위한 위험관리체계와 신용정보주체의 권익을 보호하기 위한 내부통제장치가 마련되어 있을 것
    • 4. 그 밖에 금융위원회가 정하여 고시하는 요건을 갖출 것
  • ② 제1항에 따라 데이터전문기관 지정을 받으려는 자는 금융위원회가 정하여 고시하는 지정신청서에 다음 각 호의 서류(전자문서를 포함한다. 이하 같다)를 첨부하여 금융위원회에 제출해야 한다. 이 경우 금융위원회는 「전자정부법」 제36조제1항에 따른 행정정보의 공동이용을 통하여 해당 법인의 등기사항증명서(법인인 경우에만 해당한다)를 확인해야 하며, 해당 법인이 확인에 동의하지 않는 경우에는 이를 제출하도록 해야 한다.
    • 1. 정관 또는 이에 준하는 규정
    • 2. 제1항에 따른 요건을 갖췄는지를 확인할 수 있는 서류
    • 3. 그 밖에 금융위원회가 정하여 고시하는 서류
  • ③ 금융위원회는 제2항에 따른 신청을 받아 데이터전문기관을 지정한 경우에는 금융위원회가 정하여 고시하는 서식에 따른 데이터전문기관 지정서를 발급하고, 법 제7조에 따라 해당 데이터전문기관의 명칭ㆍ주소ㆍ전화번호 및 대표자의 성명을 공고해야 한다.
  • ④ 금융위원회는 제3항에 따라 지정된 데이터전문기관이 다음 각 호의 어느 하나에 해당하는 경우에는 데이터전문기관 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우에는 데이터전문기관 지정을 취소해야 한다.
    • 1. 거짓이나 그 밖의 부정한 방법으로 데이터전문기관 지정을 받은 경우
    • 2. 지정된 데이터전문기관 스스로 지정 취소를 원하는 경우나 해산ㆍ폐업한 경우
    • 3. 제1항에 따른 요건을 충족하지 못하게 된 경우
    • 4. 고의 또는 중대한 과실로 데이터전문기관 업무를 부실하게 수행하는 등 그 업무를 적정하게 수행할 수 없다고 인정되는 경우
  • ⑤ 금융위원회는 제4항에 따라 데이터전문기관 지정을 취소하려면 청문을 해야 한다.
  • ⑥ 제1항부터 제5항까지의 규정에 따른 데이터전문기관 지정 및 취소에 관한 세부 사항은 금융위원회가 정하여 고시한다.
  • 법 제26조의4제2항제3호에서 “대통령령으로 정하는 업무”란 다음 각 호의 업무를 말한다.
    • 1. 정보집합물 간의 결합과 가명처리 또는 익명처리에 관한 조사ㆍ연구 및 이와 유사한 업무
    • 2. 정보집합물 간의 결합과 가명처리 또는 익명처리의 표준화에 관한 업무
    • 3. 데이터전문기관 간 업무 표준화 등을 위한 상호 협력에 관한 업무
    • 4. 그 밖에 제1호부터 제3호까지와 유사한 업무로서 금융위원회가 정하여 고시하는 업무
  • 법 제26조의4제3항에 따른 적정성평가위원회(이하 “평가위원회”라 한다)의 업무는 다음 각 호와 같다.
    • 1. 데이터전문기관이 결합한 정보집합물의 가명처리 또는 익명처리에 대한 적정성 평가
    • 2. 신용정보회사등의 익명처리에 대한 적정성 평가
    • 3. 그 밖에 제1호 및 제2호와 유사한 업무로서 금융위원회가 정하여 고시하는 업무
  • ⑨ 평가위원회의 구성 및 운영에 관한 세부 사항은 데이터전문기관의 장이 정한다.
    • 1. 법 제26조의4제4항제1호의 경우: 다음 각 목의 요건을 갖춘 위험관리체계
  • 가. 법 제26조의4제2항제1호의 업무를 담당하는 직원이 같은 항 제2호의 업무를 동시에 담당하지 않을 것. 다만, 대표자 및 부서장 등 업무의 집행을 지시하거나 감독하는 자는 그렇지 않다.
  • 나. 그 밖에 금융위원회가 정하여 고시하는 기준을 갖출 것
    • 2. 법 제26조의4제4항제2호의 경우: 다음 각 목의 요건을 갖춘 위험관리체계
  • 가. 법 제26조의4제2항 각 호의 업무(이하 “전문기관업무”라 한다)를 담당하는 직원이 「개인정보 보호법」 제28조의3제1항에 따라 전문기관이 수행하는 업무 외에는 법 또는 다른 법령에 따른 다른 업무를 동시에 담당하지 않을 것. 다만, 대표자 및 부서장 등 업무의 집행을 지시하거나 감독하는 자는 그렇지 않다.
  • 나. 전문기관업무를 수행하는 서버와 가목 본문에 따라 동시에 담당할 수 없는 업무를 수행하는 서버를 별도로 분리할 것
  • 다. 그 밖에 금융위원회가 정하여 고시하는 기준을 갖출 것
  • [본조신설 2020. 8. 4.]

해설