Links

VASP: 한국의 법률 및 제도

대한민국에서 가상 자산 사업자로서 사업을 영위하기 위해 지켜야 하는 법률 및 제도에는 어떤 것들이 있을까요? 크게 특정 금융거래정보의 보고 및 이용 등에 관한 법률(이하 특금법), 개인정보 보호법의 두 가지 법률과 가상자산 사업자 신고라는 제도를 준수해야 합니다.

1. 특금법

특금법이란 '특정금융거래정보의 보고 및 이용 등에 관한 법률'의 준말로, 금융거래 등을 이용한 자금세탁행위와 공중협박자금조달행위를 규제를 목적으로 하는 대한민국의 법률입니다. 법률의 개정에 따라 가상자산사업자가 '금융회사등'에 포함됨에 따라 VASP(가상자산사업자)도 고객 확인 의무를 지니게 됩니다. 가상자산사업자란 '가상 자산(암호화폐)'의 매도, 매수, 교환, 이전, 보관, 관리, 중개, 알선 등의 영업을 하는 자로 규정하고 있습니다.
특금법 제5조의 2 제1항 제1호 가목에서 고객이 신규 계좌를 개설하거나 일정 금액 이상으로 금융거래를 할 시 고객의 신원을 확인하라고 명시하고 있습니다.
아르고스는 고객이 법률을 준수하며 사업을 운영할 수 있도록 신원확인을 대행하며 사용자의 이름, 생년월 일, 국적, 성별, ID Number(주민등록번호), Document Number를 수집합니다.

2. 개인정보 보호법

'개인정보 보호법'은 개인정보의 처리 및 보호에 관한 사항을 정하고 있습니다. 한국에서 개인정보는 사용자의 동의를 얻어 수집할 수 있는 일반적인 개인 정보와, 수집을 위해 추가 동의가 필요한 '고유식별정보'로 나뉩니다.

개인정보보호법

개인정보보호법 제24조 제1항 제1호에서는고유식별정보를 수집하기 위해서는 정보주체에게 별도로 동의를 받아야 한다고 규정하고 있습니다.

개인정보 보호법 시행령

개인정보 보호법 시행령 제19조에서는 고유식별번호를 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호로 정의하고 있습니다.

개인정보 보호법

위의 고유식별번호중 주민등록번호는 특별히 규정이 따로 존재합니다. 주민등록번호는 정보주체의 동의를 얻어도 처리할 수 없고, 수집이 가능한 경우를 법에서 정의하고 있습니다. 가상자산사업자는 법률 - 특금법에 따라 주민등록번호를 수집해야 합니다.

금융위원회의 고객확인제도 가이드라인

특금법의 집행기관인 금융위원회의 가이드라인에 따르면, 금융회사는 고객확인을 위해 주민번호(주민등록번호)를 확인해야 합니다.
아르고스는 고객이 한국의 '개인정보 보호법'을 준수할 수 있도록 '고유식별정보'처리 방침을 마련하고 있습니다. 가장 민감한 주민등록번호는 고객사가 설정한 옵션에 따라 이미지와 텍스트로 수집하거나, 혹은 이미지에서 가림처리하고 텍스트로도 수집하지 않습니다. 그 외의 고유식별번호인 여권 번호와 면허번호에 대해서도 고객에게 옵션을 제공합니다. 사용자에게 추가 동의를 얻어 수집하거나 혹은 가림처리할 수 있습니다.

3. 가상자산사업자 신고

대한민국에서 ‘가상자산의 매도 매수, 교환, 이전, 보관 관리, 중개 알선 등의 영업활동을 하기 위해서는 정부에 신고 후 '가상자산사업자'로서의 자격을 취득해야 합니다.
가상자산사업자 신고 절차는 위의 이미지와 같으며 상세 내용은 아래 첨부파일을 확인해 주세요.
(붙임) 가상자산사업자 신고 매뉴얼.pdf
944KB
PDF
가상자산사업자 신고 시 필요한 요건은 총 5가지이며, 그중 '정보보호관리체계(ISMS) 인증서'를 획득하기 위해서, 아르고스의 고객사는 수탁사인 아르고스에 대해 보안점검을 해야 합니다.
보안점검 시 일반적으로 확인해야 하는 사항은 다음과 같으며, 아르고스는 점검사항을 모두 준수하고 있습니다.
점검 항목
회사의 개인정보 및 정보보호 지침을 법적 요구사항에 의거하여 수립하고 있는가?
회사의 개인정보 및 지침은 경영진의 승인 후 모든 임직원이 확인할 수 있도록 공유되고 있는가?
위탁받은 업무 수행 시 개인정보 및 중요정보를 처리하는 임직원의 경우, (개인)정보보호 서약서를 징구하고 있는가?
위탁받은 업무 수행시 개인정보 및 중요정보를 처리하는 임직원에 대한 명단을 별도 관리하고 있는가?
위탁받은 업무 수행 시, 개인정보 및 중요정보를 처리하는 임직원의 경우, 개인정보 및 정보보호 교육을 연 1회 이상 수행하며, 별도의 증적을 남기고 있는가?
중요 정보 및 개인정보를 보관하는 경우, 법령에서 요구하는 (시건장치, 암호화 등)으로 보관하고 있는가?
정보시스템 접속 시 인가된 계정만 접근하도록 통제하고 있는가?
업무상 불필요한 임직원에게 권한을 부여하지 않으며, 권한 부여 시 업무상 필요한 권한을 차등하여 부여하고 있는가?
정보시스템에 대한 접속 기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?
위탁받은 업무를 재위탁하는 경우, 귀사에 승인을 구하고 있는가?
안전한 위탁업무 수행을 위하여 수탁사에 대한 감사 권한 및 수탁사의 협조에 동의하는가?
해당 업무 종료 시 중요 정보 및 개인정보는 법령에서 요구하는 완전 파기 방법(파쇄기, 완전 삭제 프로그램 등)으로 즉시 파기하고 있는가?