2022년 마이데이터 시대 개막

[wpseo_breadcrumb]

2022. 1. 10

CLIPBOARD

아직은 초기단계인 마이데이터 사업

2022년 1월 5일부터 API 방식을 통한 본격적인 금융 마이데이터 사업 서비스가 시작됐다. 마이데이터 사업 서비스를 시작하기 위해서는 금융당국으로부터 사업에 대한 허가를 반드시 받아야 한다. 지금까지 허가를 받은 업체는 은행, 증권, 신용카드사, 빅테크/핀테크사 등 총 53개 사이다. 이중 17개의 업체가 12월 1일부터 시범 서비스를 시행하고 있다. 금융권, 핀테크, 유관기관 및 금융당국은 정보주체의 정보주권 실현, 금융포용성 강화 및 금융혁신 등을 위해 더 편리하고 더 안전하게 마이데이터가 시행될 수 있도록 많은 노력을 기울여 왔다. 정보제공범위 확대, 인증절차 간소화, 소비자보호 강화 등이 이에 해당한다.
마이데이터는 정보주체가 본인정보를 적극 관리∙통제하고 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 것을 의미한다. 마이데이터 사업은 '개인정보 이동권'에 근거하고 있다. '개인정보 이동권'은 정보주체가 본인 데이터에 대한 전송을 요청하면, 개인정보처리자는 보유한 데이터를 개인(요청자) 또는 개인이 지정한 제3자에게 전송하는 정보주체의 권리이다.
마이데이터 사업의 출발은 2018년 6월 대통령 직속 4차산업혁명위원회(이하 4차위)가 심의∙의결한 '데이터 산업 활성화 전략'에서 시작되었다. 이 전략은 '데이터를 가장 안전하게 잘 쓰는 나라'를 비전으로 △데이터 이용제도 패러다임 전환 △데이터 가치사슬 혁신 △글로벌 데이터 산업 육성 기반 조성 등 3대 과제를 담았다. 또한 의료·통신·금융 기업이 개인 정보 빅데이터를 활용해 맞춤형 건강관리, 통신요금제 추천, 자산관리 등 혁신 서비스를 개발할 길을 열어 놓았다.
마이데이터가 가져올 긍정적인 변화는 정보주체가 정보 활용을 수동적으로 동의하는 방식에서 전송∙활용을 능동적으로 선택한다는 점에서 정보의 '자기결정권'이 높아진다는 점이다. 또한 데이터의 자유로운 이동에 따라 소비자의 서비스 선택 폭이 넓어지고 서비스 질의 개선과 가격 합리화 촉진 등 '서비스경쟁 활성화'가 이루어질 수 있다. 이로 인해 신규 서비스 공급자의 시장 참여 기회가 제고되고 고객 수요에 부합하는 혁신적인 맞춤형 서비스의 등장 등 '데이터 기반의 신규시장'이 창출되는 효과를 가져올 수 있다.

마이데이터 사업은 일반적으로 데이터 개방∙활용 정도에 따라 0-4 단계로 구분할 수 있다. 0단계는 조회, 1단계는 저장, 2단계는 전송요구, 3단계는 대리활용, 4단계는 전 분야 확산으로 정의되며, 4단계에서는 본인의 관리∙통제 하에 모든 분야에서 '내 데이터를 뜻대로 안전하고 편리하게’ 활용하는 단계라고 볼 수 있다. 그런데 금융분야는 법률개정, 마이데이터 사업자 허가 등의 추진으로 3단계 정도라고 볼 수 있지만, 의료∙공공∙통신 분야는 정보주체가 데이터를 열람∙다운 받고 부분적으로 마이데이터 사업자에게 전송이 가능한 수준이어서 현재 1-1.5단계에 머물고 있는 실정이다.

마이데이터는 API 방식 마이데이터 서비스 전면 시행에 앞서 희망하는 사업자에 한하여 시범서비스를 운영 중이다. 이를 통해 전면 시행 이전 시스템 추가 개선사항 등을 최종 확인해 정보제공자 측의 트래픽 부담도 분산할 수 있을 거라 기대하고 있다.
한편, 마이데이터 본격 시행을 앞두고 실시된 시범 서비스 중 마이데이터 정보 제공 범위를두고 업계 간 갈등을 빚고 있는데, 그 내용은 크게 1. 카드 매입 취소 정보를 받지 못한다는 점, 2. 보험 데이터의 일부 제공, 3. 데이터 고속도로망의 부실함, 4. 만 14세~19세의 서비스 제한 등으로 요약할 수 있다.

'개인정보 이동권'의 근거 법률

우리나라는 2020년 「신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)」 개정을 통해 '개인정보 이동권'에 해당하는 '개인신용정보의 전송요구권'과 금융분야 마이데이터 사업의 근거인 '본인신용정보관리업'에 관한 규정을 신설하였다. 그런데 마이데이터의 근거가 되는 정보이동권이 일반적인 개인정보 처리 및 보호에 관한 법률인 '개인정보 보호법'이 아닌 신용정보에만 적용되는 '신용정보법'에 규정되어 있다는 점이 마이데이터 사업 확대의 한계로 지적되고 있다.
과학기술부는 2019년 유통, 학술 등 8개의 다양한 과제에 대한 마이데이터 사업 활성화를 위한 시범사업을 진행 중이다. 그러나 데이터 유통에 동일한 포맷을 요구하지 않아 수집한 데이터를 활용하기에 어려움이 따랐다. 현행법상 건별로 정보 주체의 사전 동의를 받아야 하는 점도 마이데이터 사업의 장애물로 지적돼 왔다. 금융분야에 개인정보 이동권이 우선 도입됐으나, 상거래 기업의 경우 현행 개인정보보호법과 신용정보법 간 적용 범위에서 혼란이 발생하고 있는 상황이다. 일반 개인정보와 개인신용정보의 구분이 불명확해 고객 정보를 처리할 때 두 법을 모두 고려해야 한다.
또한 현행과 같이 개인정보 보호 일반법인 '개인정보보호법'이 아닌 금융 관련 개별법인 '신용정보법'만으로 개인정보 이동권을 규율할 경우, 정보주체의 권리보다 금융서비스 산업의 데이터 유통 활성화 측면만이 강조될 우려가 있다. 따라서 금융 산업의 발전과 개인정보 보호를 통합적으로 고려하기 위해 '개인정보 보호법'에 개인정보 이동권 신설 및 개인 데이터의 전반적인 보호에 대한 추가적인 입법 필요성이 제기되어 왔다.

'개인정보 이동권' 관련 해외 사례

유럽연합은 온라인 서비스에 대한 정보주체의 선택권을 확대하고 데이터에 대한 독점을 완화하여 공정한 경쟁환경을 조성하기 위하여 개인정보 이동권 등을 반영한 데이터 보호법을 개정∙시행하고 있다. GDPR 제 20조 '정보 이동성에 대한 권리(Right to data portability)'는 정보주체가 개인정보의 처리 목적 및 수단을 결정하는 컨트롤러에게 제공한 본인의 개인정보를 체계적으로 구성하여 기계판독이 가능한 형식으로 제공받을 권리를 의미한다. 또한 개인정보 이동권을 통해 정보주체에게 본인 데이터를 다른 정보처리자에게 이전할 수 있는 선택권을 제공하고 있고, 개인정보 주체는 본인에 관한 정보의 삭제를 요구할 권리가 있다.
미국은 유럽의 GDPR처럼 공공과 민간을 포괄하는 연방정부 차원의 개인정보보호에 관한 일반법이 없다. 미국은 이미 활성화되어 있는 민간의 데이터 유통시장과는 별도로 정부차원에서 공공데이터 개방정책의 일환으로 마이데이터 정책을 추진 중이다. 2011년부터 연방정부 주도 하에 스마트 공개 정책(Smart Disclosure Policy)을 민관협력체계를 통해 시행하여 소비자의 개인정보 이동성을 구현하고 있다. 스마트 공개란 소비자가 충분한 정보에 기반을 둔 구매결정을 할 수 있도록 소비자의 소비와 관련한 정보와 데이터를 표준화하고 컴퓨터가 읽을 수 있는 포맷으로 맞추어 제공해 주는 것을 의미한다. 정보주체는 프라이버시 보호법과 정보공개법을 통해 공공기관이 보유한 정보 접근뿐만 아니라 특정 법률 하에서는 민간기관이 수집한 정보(건강기록, 신용보고서 등) 접근도 가능하다.
일본의 '개인정보보호법'은 GDPR의 정보이동권에 준하는 조항을 포함하고 있지 않다. 그러나 일본 정부는 2014년 '정보은행 컨소시엄'을 설립하여 정보은행 실증실험을 진행하였고, 2018년 6월 정보은행 사업자 인증 기준 마련을 위한 지침을 공개하였다. 정보은행이란 정보주체 개인과의 계약에 따라 대리인이 데이터를 관리하고, 개인이 지시 또는 지정한 조건에 따라 대리인이 타당성을 판단한 후 데이터를 제3자에게 제공하는 모델이다. 개인이 직접 자기정보결정권을 행사하기 보다 신뢰할 수 있는 사업자에게 위탁하는 대리 관리 모델이다.
해외사례를 정리해 보면, 유럽연합은 데이터 유통에 관한 정보주체의 권리를 강화하고 있고 미국은 개인정보 보호에 대한 일반법은 없고 비교적 데이터 유통이 자유롭지만 개별 주법에서 개인정보 보호를 강화하려는 움직임이 있다. 일본은 개인 데이터 활용에 대한 신탁제도를 통해 개인 데이터 관리체계를 정비 중이다. 각국의 구체적인 개인정보 이동권 및 마이데이터 정책에는 차이가 있으나 개인정보 유통과 관련한 관리체계를 강화하려는 점이 공통적인 특징이다.

개인정보보호법 개정 현황

신용정보법, 민원처리법, 전자정부법 등 개별법은 개정을 완료하였으나 일반법인 개인정보보호법은 개정 논의 중에 있다. 신용정보법은 금융분야 마이데이터 사업시행의 기반을 마련했고, 민원처리법은 제3자 자료전송 요구권 개정을 완료하여 정보주체가 민원처리기관에 자료전송을 요구할 수 있는 근거를 확립하였다. 또한 행정정보를 제3자에게 제공토록 하는 전자정부법 개정안도 개정을 완료하여 시행할 예정이다.
개인정보 이동권을 규정하는 일반법인 개인정보보호법 개정안은 2021년 9월 말 국무회의를 통과하고 국회 의결을 앞두고 있다. 현재 국회 정무위원회에서 의원안 27개와 통합 작업 중이다.

개인정보보호법 개정안에는 정보주체인 국민의 권리를 강화하기 위해 △본인의 개인정보 이동을 요구할 수 있는 개인정보 이동권(자료전송 요구권)과 자동화된 결정에 대한 거부 등 대응권이 신설되었다.
개인정보 이동권이란 정보주체인 개인이 기업 등 개인정보처리자가 보유한 본인의 개인정보를 자신 또는 다른 기업에게 전송해 줄 것을 요구할 수 있는 권리다. 전송요구권 도입으로 정보주체인 개인은 자신의 개인정보를 본인 또는 다른 기업에게 직접 전송하도록 요구할 수 있게 된다. 일반법인 개인정보 보호법에 개인정보 이동권을 도입함에 따라 현재 금융·공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 전 국민, 전 분야 마이데이터 산업으로 확산될 것으로 전망된다. 또한, 일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것으로 기대된다.
아울러 인공지능(AI) 등 신기술이 국민생활에 큰 영향을 미칠 것으로 예상됨에 따라, 과세대상·복지 수혜자격 결정·신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리도 도입한다. 자동화된 결정에 대한 대응권이란 사람의 개입 없이 완전히 자동화된 시스템에 의한 결정으로 권리 또는 의무에 중대한 영향을 받은 경우 이를 거부하거나 설명을 요구할 수 있는 권리다.
또한 국민 생활 전 분야에서 마이데이터를 제대로 활용하기 위해서는 이종 산업간 개인정보 전송 연계를 위한 표준화 등 기반 마련이 필요한 상황에서, 통합 개인정보 전송요구권을 실현을 위해 데이터 표준화 작업이 추진 중이다. 개인정보위와 관계부처는 전 분야 마이데이터 도입을 위한 첫 걸음으로 2021년 11월 마이데이터 표준화 협의회 1차 회의를 갖고, 산업간 데이터 형식 및 전송방식을 표준화하기 위한 기본 방향 및 절차 사용자인증 및 보안체계 구축 방안 등 표준화 추진계획을 논의했다.

개인정보보호법 발전 방향

개인정보보호법과 하위법령의 개정으로 마이데이터 사업 서비스의 확대를 위한 법적 기반이 확보되면, 마이데이터 산업의 생태계를 활성화하는 작업이 필요하다. 정보주체(개인), 정보제공자(금융회사, 유통회사, 병원 등), 정보수신자(마이데이터 사업자), 공공기관 등의 역할과 책임이 구체적으로 정립되어야 한다
우선, 정보주체인 개인의 자기결정권 및 데이터주권이 명확히 확립되어야 한다. 정보주체가 전송요구 절차, 전송되는 정보 등을 제대로 이해하고 전송요구를 처리할 수 있도록 보장되어야 한다. 또한 정보주체의 전송지시요구 외에 철회, 삭제요구권도 동시에 보장되어야 한다. 이러한 데이터 전송요구 및 철회 등을 정보주체가 편리하게 행사할 수 있는 통합 마이데이터 종합서비스가 구축되어, 정보주체가 한 눈에 본인 정보의 이용∙관리 실태를 확인할 수 있도록 지원하고 편리하고 안전한 인증방식이 제공되어야 한다.
정보제공자는 정보주체의 요청에 따라 데이터가 자유롭게 이전되도록 제공 데이터의 범위를 폭넓게 인정해야 한다. 다만, 정보제공자의 부담 등을 고려하여 보유 개인정보 규모, 산업별 특성 등을 감안, 단계적으로의 개방이 필요하다. 아울러 개인의 정보제공을 촉진하기 위한 적절한 보상 및 인센티브 제공 방안이 마련되어야 한다.
정보수신자는 스타트업 등 시장의 다양한 참여자가 정보주체가 필요로 하는 서비스를 제공할 수 있도록 합리적인 진입제도를 설계해야 한다. 진입규제는 개인정보보호법 시행령을 통해 최소한으로 규정하고 세부 기준은 분야별 특성을 반영하여 고시로 규정하는 방안이다. 또한 개인정보 보호, 자료보안이 철저히 이루어지도록 정보수신자에 대한 세밀한 사후관리 방안이 전제되어야 한다.

마이데이터 서비스의 전 산업적 확대를 위한 공공기관의 역할도 생태계 활성화에 도움이 되는 기반 조성에 매우 중요하다. 공공기관은 공익적 필요성이 특히 큰 분야, 인프라 제공 등에 집중하고 서비스 개발∙제공 등의 업무는 민간 전문기관이 수행하는 것이 바람직하다. 또한, 데이터 이용과 거래를 촉진하고 정보주체에 대한 신뢰성을 높이기 위해 △형사처벌 합리화 △동의 제도 개선 △개인정보 오남용 방지 등의 제도 정비가 필요해 보인다.
현재 개인정보보호법은 단순 과실에 의한 법률상 의무사항 위반 시에도 형사처벌을 할 수 있는 경우가 있으며, 다른 국가에 비해 대상범위가 광범위하다는 지적이 있다. 다만, 형사처벌을 완화하는 경우 제도의 실효성을 높일 수 있도록 행정적 규제를 강화하거나 민사적으로 피해자들의 손해가 실질적으로 보전될 수 있도록 하는 방안을 검토할 필요가 있다.
현행법상 원칙적 사전동의(opt-in) 제도는 데이터의 활용을 저해할 뿐만 아니라 정보주체 보호의 실효성이 낮아 개선이 필요하다는 지적이 있다. 현재의 동의제도는 형식적으로 진행되어 동의의 유효성을 충족하지 못하며 사전 동의로 인해 정보주체가 모든 책임을 지는 문제가 발생하게 된다. 따라서 현행 사전동의(opt-in) 제도를 원칙적 사후 동의(opt-out)로 전환하여 활용도를 높이고 동의받을 항목을 포괄하는 등의 동의 절차를 간소화하여 제도의 실효성을 높임과 동시에 개인정보처리자의 개인정보 관리 역량을 향상시켜야 한다.
아울러 개인정보보호법에서 데이터의 활용 가능성이 높아짐에 따라 개인정보의 오남용을 방지하는 방안이 필요하다. 정보집합물 결합 시 개인이 특정될 수 있고 가명정보가 다른 정보와 결합될 경우 개인이 식별될 우려가 높아짐으로 이에 대하여 사후적으로 감사하거나 모니터링을 강화하는 조치가 필요하다. 현행법상 개인정보 영향평가를 공공기관에 대해서만 의무화하고 있는데 가명정보 또는 결합된 정보집합물을 다루는 민간 기관 등에 대해서도 영향평가를 하는 방안을 검토해야 한다.

마이데이터 서비스의 확대

개인정보보호법의 개정을 통해 개인정보 이동권(자료전송 요구권)이 부여되면 마이데이터 서비스는 금융산업 뿐만 아니라 전 산업군으로 확산될 것이다. 금융산업이 신용평가, 맞춤형 투자상품 및 보험 추천 등의 자산관리 서비스에 중점을 둔다면, 의료 산업은 전자 처방전 관리로 중복 검사 억제, 질환별 건강 및 식단 관리 서비스, 교통∙공공 부문은 개인별 교통 수단 및 동선 추천, 위치 정보를 활용한 재난 알리미 서비스, 부동산 영역은 가족수, 직장 등의 인구통계, 지리정보에 기반한 매물 추천, 상권분석을 통한 소상공인 대출 서비스, 생활 영역에서는 건강상태를 활용한 맛집∙장보기 서비스가 제공될 수 있다.
마이데이터 사업자들은 고객들이 특정한 니즈에 집중하는 특화 서비스 제공에 집중할 것인지, 고객의 금융∙비금융 영역을 아우르는 통합 서비스를 제공할 것인지에 전략적 선택을 해야 할 것이다. 마이데이터 서비스의 차별화가 더욱 중요한 시기가 다가오고 있다.