미국 소비자금융보호국(CFPB), '개인 금융데이터 권리 규정' 최종 확정



1. 주요 내용

미국 소비자금융보호국(이하 "CFPB")는 지난 2024. 10. 22. 도드-프랭크법 제1033조에 의거한 개인 금융데이터 권리 규정(이하 "규정")을 최종 확정۰발표하였습니다 이번 규정을 통하여 CFPB는 소비자가 자신의 금융데이터에 대한 통제권을 확보하고 금융데이터에 대한 개인정보보호 및 보안을 강화하여 오픈뱅킹 환경을 구축하고자 합니다. 규정의 주요 내용은 다음과 같습니다.

규정의 개요

이 규정은 금융기관의 규모에 따라 2026. 4. 1.부터 2030. 4. 1.까지 순차적으로 적용되는데, 이 규정의 적용을 받는 금융기관에는 신용협동조합을 비롯한 예금을 취급하는 금융기관, 신용카드를 발급하는 금융기관, 그 외 기타 거래를 위한 계좌를 보유하거나 결제 서비스를 제공하는 금융기관이 포함됩니다. 다만, 총자산이 8억5천만 달러 미만인 소규모 예금취급금융기관은 이 규정의 적용에서 제외되어 규제 부담을 덜 수 있게 되었습니다. 또한, 이 규정에서 금융데이터는 소비자가 가입한 금융 상품이나 서비스들의 기본적인 계좌 정보, 거래 내역, 잔액, 예정된 청구서, 결제에 필요한 정보, 약관 등의 데이터(이하, "금융데이터")를 의미합니다.

이 규정에서는 소비자의 금융데이터를 보유하거나 통제하는 자를 데이터 제공자, 그 외의 자를 제3자, 그리고 제3자 중 소비자가 요청한 상품 또는 서비스를 제공하기 위해 규정에 따라 접근 권한 등을 부여받은 자를 '권한을 부여받은 제3자'라고 합니다.

데이터제공자 및 권한을 부여받은 제3자의 의무

이 규정에 의하면 권한을 부여받은 제3자는 소비자가 마지막으로 승인을 한 날로부터 최대 1년까지, 소비자가 요청한 상품 또는 서비스를 제공하는 데 필요한 만큼만 소비자의 금융데이터를 수집할 수 있습니다. 그러나 이들이 소비자의 금융데이터를 타겟 광고, 다른 상품 또는 서비스의 판매 등을 위해 수집 사용하는 행위는 금지됩니다. 권한을 부여받은 제3자는 소비자의 금융데이터 접근 권한을 받기 위하여 소비자로부터 충분한 설명에 근거한 명시적인 동의를 득하여야 하며, 소비자의 개인정보 수집۰사용۰보관۰관련 의무 준수에 대한 인증을 제공하여야 합니다. 또한, 데이터제공자와 권한을 부여받은 제3자는 소비자의 금융데이터에 대한 적절한 보안정책을 마련하여야 합니다.

소비자의 금융데이터 통제권

소비자는 자신의 금융데이터에 직접 접근하거나 제3자가 접근할 수 있도록 승인할 수 있고, 이러한 접근 권한 부여를 언제든지 철회할 수 있습니다. 데이터제공자는 소비자가 요청할 시 가장 최근에 업데이트된 금융데이터를 권한을 부여받은 제3자에게 제공하여야 합니다. 소비자가 제3자에 대한 금융데이터 접근을 철회하는 경우 이는 즉시 종료되고 제3자는 소비자의 금융데이터를 삭제하여야 합니다. 데이터제공자는 금융데이터를 제공할 때 소비자나 권한을 보유받은 제3자에게 수수료를 수취할 수 없고, 보안 위험과 같은 정당한 사유가 없는 한 금융데이터에 대한 요청을 거부할 수 없습니다.


2. 유의사항 및 시사점

이 규정의 최종 확정되어 발표된 이후, 일부 은행 단체들은 이에 반발하며 소송을 제기하는 반면, 핀테크 업계는 금융기관 간의 경쟁 촉진과 소비자의 권리 확대라는 측면에서 대체적으로 이 규정을 환영하고 있습니다.

이 규정은 소비자의 금융데이터에 대한 통제권과 정보 보호를 강화하면서 금융업계의 혁신을 촉진하는 오픈뱅킹 환경을 조성하는 데 중점을 두고 있고, CFPB는 앞으로도 다양한 규정의 제정을 통하여 미국에 규제에 근거한 오픈뱅킹 시스템이 정착될 수 있기 위한 노력을 계속할 것으로 예상됩니다.