금감원, 토스에 신용정보법 등 위반 제재

28을 금융감독원에 따르면, 금융감독원이 지난 25일자로 핀테크 대표 기업인 비바리퍼블리카('토스')에 대해 개인신용정보 부실 및 부당이용 등의 사유료 기관주의 및 과징금(53억7400만원), 과태료(6억2800만원) 등 60억원을 부과했다. 또한 임직원에 대해서도 감봉 3개월 1명, 견책1명 등 다수에 대해 제재했다.

​

금융감독원이 공개한 제재안에 따르면, 토스는 ▲ 정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용동의절차 부당 운영 ▲ 신용정보전산시스템 안전보호 의무 위반 ▲겸영업무 신고의무 위반 ▲'내보험 조회서비스' 관련 개인신용정보 부당 수집·이용 및 프로그램변경․통제 불철저 등의 사유로 제재가 결정됐다.

​

먼저, '정보집합물 부당결합을 통한 개인신용정보 부당 이용 및 제공·활용동의절차 부당 운영'과 관련해, 토스의 정보집합물 부당결합을 통한 개인신용정보 부당 이용이 지적됐다.

​

현행 신용정보법(제33조 제1항)에 따르면, 개인신용정보는 해당 신용정보 주체가 신청한 금융거래 등 상거래 관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하거나, 그 외의 다른 목적으로 이용할 경우 신용정보주체로부터 동의를 받은 경우만 이용해야한다. 또 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합할 경우에는 데이터전문기관을 통해 결합해야한다.

​

토스는 조사대상기간(2021.11.2~2022.4.13)중, 전자영수증 솔루션업체인 A로부터 제공받은 전자영수증 거래정보 2928만2869건을 정보주체의 동의없이 사업성 분석 목적으로 데이터전문기관을 통하지 않고, 토스가 보유하고 있는 토스 회원의 카드거래내역과 직접 결합해 이용했다.

​

또 현행 신용정보법(제32조 제4항)에선 개인신용정보의 제공 및 활용과 관련해 동의를 받을 때는 필수적 동의사항과 선택적 동의사항을 구분해 설명한 후 각각 동의를 받아야하며, 필수적 동의사항의 경우 서비스 제공과의 관련성을 설명해야한다.

​

그런데 토스는 필수적이지 않은 사항임에도 '필수적 동의사항'으로 표시해 개인신용정보 수집·이용 동의(검사대상기간중 총 463만1801명 동의)를 받았으며, 필수적 동의사항과 서비스제공의 관련성도 설명하지 않았다.

​

이와함께 금감원은 토스의 '신용정보전산시스템 안전보호 의무 위반'과 관련, ▲신용정보전산시스템 접속기록 백업 미실시 ▲신용정보전산시스템 관리적 보안대책 등을 위반했다고 적시했다.

​

서울트리뷴 (c)