① 법 제17조의2제1항에서 “대통령령으로 정하는 자”란 법 제45조의3에 따른 상거래기업 및 법인(이하 “상거래 기업 및 법인”이라 한다)을 말한다.
② 법 제17조의2제1항에 따라 정보집합물을 결합하려는 신용정보회사등 및 제3자(이하 이 조에서 “결합의뢰기관”이라 한다)는 공동으로 법 제26조의4에 따른 데이터전문기관(이하 “데이터전문기관”이라 한다)에 금융위원회가 정하여 고시하는 바에 따라 정보집합물의 결합을 신청해야 한다. <개정 2022. 6. 7.>
③ 결합의뢰기관 및 데이터전문기관은 정보집합물을 결합ㆍ제공ㆍ보관하는 경우에는 다음 각 호의 사항을 모두 준수해야 한다.
1. 결합의뢰기관이 정보집합물을 데이터전문기관에 제공하는 경우 다음 각 목의 조치를 하여 제공할 것
가. 하나의 정보집합물과 다른 정보집합물 간에 둘 이상의 정보를 연계, 연동하기 위하여 사용되는 정보는 해당 개인을 식별할 수 없으나 구별할 수 있는 정보(이하 “결합키”라 한다)로 대체할 것
나. 개인신용정보가 포함된 정보집합물은 가명처리할 것
2. 결합의뢰기관이 결합키를 생성하는 절차와 방식은 금융위원회가 정하여 고시하는 바에 따라 결합의뢰기관 간 상호 협의하여 결정할 것
3. 결합의뢰기관이 데이터전문기관에 정보집합물을 제공하거나 데이터전문기관이 결합한 정보집합물을 결합의뢰기관에 전달하는 경우에는 해당 정보집합물의 내용을 제3자가 알 수 없도록 암호화 등의 보호조치를 하여 전달할 것
4. 데이터전문기관은 결합된 정보집합물을 결합의뢰기관에 전달하기 전 결합키를 삭제하거나 금융위원회가 정하여 고시하는 방법으로 대체할 것
5. 데이터전문기관은 결합된 정보집합물의 가명처리 또는 익명처리의 적정성을 평가한 후 적정하지 않다고 판단되는 경우 다시 가명처리 또는 익명처리하여 전달할 것
6. 데이터전문기관은 결합한 정보집합물을 결합의뢰기관에 전달한 후 결합한 정보집합물 및 결합 전 정보집합물을 지체 없이 삭제할 것
④ 데이터전문기관은 금융위원회가 정하여 고시하는 방법에 따라 결합 관련 사항을 기록ㆍ관리하고 매년 1회 금융위원회에 보고해야 한다.
⑤ 데이터전문기관은 데이터 결합 등에 필요한 비용을 결합의뢰기관에 청구할 수 있다.
⑥ 데이터전문기관은 결합의뢰기관이 결합된 데이터를 전달받기 전에 데이터전문기관의 전산설비 등을 활용하여 결합된 정보집합물을 분석하기를 요청하는 경우 데이터전문기관의 전산설비 등을 활용하여 가명처리 또는 익명처리가 된 상태의 정보집합물을 분석하게 할 수 있다.
⑦ 제1항부터 제6항까지의 규정에 따른 정보집합물 결합ㆍ제공ㆍ처리ㆍ보관의 절차 및 방법에 관한 세부 사항은 금융위원회가 정하여 고시한다.
⑧ 제2항, 제3항 및 제5항부터 제7항까지의 규정은 결합의뢰기관이 데이터전문기관 중 「개인정보 보호법」 제28조의3제1항에 따른 전문기관으로도 지정된 기관에서 같은 조 제3항에 따른 결합 절차와 방법, 반출 및 승인 기준ㆍ절차 등에 따라 정보집합물을 결합하려는 경우에는 적용하지 않는다.