금융 AI 규제

신용정보법 §36-2에 따라 차주가 요청할 경우 사용된 주요 기준·평가 방법·평가 결과를 설명해야 합니다. 단, 영업비밀에 해당하는 세부 알고리즘 가중치까지 공개할 의무는 없으며, '합리적으로 이해 가능한 수준'이 판례 기준입니다.

금융소비자보호법 §17에 따라 소비자 재무상황·투자목적·경험을 파악하고 부적합한 상품은 권유할 수 없습니다. AI 추천도 동일하게 적용되며, 금감원 로보어드바이저 가이드라인 11개 항목(모델 검증·편향 관리·설명 제공 등)이 구체적 기준입니다.

개보법(개인정보 입력 시)·영업비밀보호법(대외비 유출)·저작권법(출력물) 3중 리스크가 있습니다. 엔터프라이즈 플랜 계약 + 사내 활용 가이드라인 + 금융IT 보안규정 준수가 필수입니다. 금감원은 2025년 AI 활용 가이드라인에서 기업용 계약·로그 보관을 권고합니다.

전자금융감독규정 §47 이용자 보호 의무 위반으로 금감원 과태료 대상입니다. 또한 민사상 손해배상 책임도 발생할 수 있으며, 반복적 오탐은 모델 검증 미흡으로 내부통제 결함 평가를 받습니다.

원칙적으로 수집 목적 범위를 초과하면 §15·§17 추가 동의 필요. 예외: ①가명처리+과학적연구(§28-2), ②통계작성, ③민감정보 별도 동의. 내부 모델 학습이라도 목적 외 이용으로 판단되면 위반. 금감원 2024 AI 가이드에서 명시적 동의 권고.

EU 내 금융상품·서비스를 제공하거나 EU 시민 데이터를 처리하는 경우 역외적용. 고위험 AI(신용평가·리스크평가)로 분류되면 EU 규정 전면 준수 필요. 국내 AI기본법 §18과 중첩되며, 한국 기준이 더 엄격한 영역은 EU 기준 준수하면 자동 충족.

전자금융거래법 §9 접근매체 이용 위반으로 인한 사고는 원칙적 금융회사 배상 책임. 이용자 중대 과실 입증 시 분담. AI 얼굴인식 오인식 사고는 최근 판례상 금융회사 책임 확대 추세이며, 생체인증 도입 전 FIDO 인증 + 이중 검증 권고.

신정법 §32-2 마이데이터는 결합·분석에 별도 동의. 여기서 파생되는 AI 개인맞춤 분석·상품 추천은 원 수집 목적 초과 시 추가 동의 필요. 가명처리 + 과학적연구 예외(§28-2)로 일부 회피 가능하나 엄격한 해석 적용.

전자금융감독규정 §15 IT 업무 위탁 + 금감원 클라우드 가이드라인 준수 시 가능. 필수 조건: ①자료 국내 소재 or 적격 국가, ②사전 신고, ③BCP, ④정기 점검. 중요업무 AI 운용은 개별 승인 대상.

보험업법 §95 부당차별 금지 + 국가인권위원회법. 성별·연령·지역 등 보호속성 직접 사용이 아닌 프록시 변수(소비패턴 등)로 간접차별 유발 시에도 규제 대상. 2025 인권위 권고 3건, 영향평가 + 편향 테스트 필수화 추세.