글. 고환경(법무법인 광장 변호사)
금융 당국이 마이데이터 정보 영역을 확대하기 위한 조치를 곧 취할 것으로 보인다. 지난 9월 14일 과학기술정보통신부는 데이터·신산업 관련 규제 혁신 방안 마련을 위한 국가데이터정책위원회 첫 회의를 개최하고 마이데이터의 정보 제공 대상 확대를 위한 법적 기반 확대에 총력을 기울이고 있다. 이를 해결하기 위해 개인정보보호법을 개정해 모든 분야에서 적용될 수 있도록 하고, 연내 관련 법이 통과되도록 국회와 적극 협의할 방침을 밝혔다. 다만 입법 상황과는 별도로 전자정보법에 따른 마이데이터 활용도를 높이기 위해 법적 근거를 이미 갖고 있지만, 활용 분야가 제한된 측면이 있어 먼저 이 부분을 풀어내고, 이후 입법으로 전부 다 풀어 종합 마이데이터 사업자까지 갈 수 있도록 노력할 것임을 덧붙였다.
마이데이터 사업자들은 서비스가 본격적으로 시행되기 전부터 정보 제공 영역에 대해 불만을 제기해왔다. 금융권은 서비스 기반이 대부분 금융 데이터인 점을 들어 정보 제공 범위가 비금융 영역으로 확대돼야 한다고 요구해왔다. 반면 빅테크·핀테크 업게는 계약자와 피보험자가 다른 경우 보험 정보가 제공되지 않는 점, 실시간으로 카드 결제 정보가 취합되지 않는 점 등을 개선해달라고 요구했다. 이종 산업 간 경계가 허물어지는 빅블러 현상이 마이데이터를 통해 실현되는 시기를 맞게 된 것이다.
| 금융 플랫폼으로서의 마이데이터
금융 마이데이터는 개인신용정보의 분석, 가공을 통해 본인 신용정보 통합조회뿐만 아니라 재무, 신용 관리 지원, 금융 상품 비교, 추천 서비스 제공 등을 제공하는 것을 서비스를 말한다. 이는 금융위원회가 금융 분야 마이데이터 산업 도입 방안을 발표할 당시부터 일관되게 설명하고 있다. 즉 마이데이터는 금융 상품 추천 플랫폼 내지 중개 서비스, 즉 ‘내 손안의 금융 비서’를 그 지향점으로 하는 제도이다.
다만 잘 알려진 바와 같이 금융 당국은 지난해 9월 7일 카카오페이 등 빅테크가 제공해온 특정인에 대한 타깃 금융 상품 광고 및 추천, 계약 체결 지원 등의 서비스가 ‘금융소비자 보호에 관한 법률’(이하 ‘금융소비자보호법’)에 따른 중개에 해당한다는 입장을 밝히면서, 해당 서비스가 전면 중단되는 사태에 이르게 되었다. 금융소비자보호법 제12조 등 관련 법률에 따르면 금융상품 중개에 해당하는 경우 등록 또는 인가를 받아야 하는데, 플랫폼을 통한 특정인을 위한 맞춤형 금융상품광고가 중개에 해당한다고 본 것이다.
당시 금융 마이데이터 사업자들은 본인 신용정보 통합조회 서비스 외에는 금융 상품 중개에 필요한 인허가를 획득하는 것이 법률적으로 까다롭거나 해석상 제한이 있어 금융 상품 중개를 위한 비즈니스 모델을 찾기 어려운 상황에 놓이게 되었고 이에 대해 지속적인 제도 개선을 요구하고 있는 상황이다.
이에 금융위원회는 지난 8월 23일 제2차 금융규제혁신회의를 개최하여 위 이슈에 대해 심도 있게 검토한 후 결과를 발표했다. 소비자 편익 증가 효과 등을 고려하여 예금, 보험, P2P 상품에 대한 온라인 플랫폼 금융 상품 중개업을 혁신금융서비스로 지정, 시범 운영을 허용하기로 한 것이다. 다만 금융시장 안정, 소비자 보호 등 문제 발생 우려도 만만치 않아 일정 조건 하에 시범운영을 하면서 리스크 요인을 점검할 예정으로 알려져 있다.
이러한 금융위원회 입장은 다소 늦은 감은 있으나 디지털 전환이 빠르게 이루어지고 있는 금융서비스 현장의 목소리를 반영하고 현 정부에서도 규제 혁신을 일관되게 추진하겠다는 입장을 밝힌 것이라는 점에서 크게 환영할 만한 조치로 평가된다. 향후 일본 금융서비스제공법에서 규정하고 있는 ‘금융서비스 중개업’ 라이선스를 참고하여 금융소비자보호법에 온라인 플랫품 중개업에 관한 독자적인 등록 단위를 신설하는 방안을 적극적으로 고려해 볼 만할 것으로 생각된다.
| 마이데이터 정보 공유 범위 확대 방안
기존에는 스크래핑 방식으로 정보를 수집해왔는데, 지난 1월 신용정보법상 표준 API 방식으로만 정보를 전송할 수 있게 됐다. 이는 정보제공자의 안전성과 신뢰성이 보장될 수 있으나 정보를 전송하려면 사전에 관련 표준규격을 마련해야 하기 때문에 정보 공유가 제한되는 문제가 생길 수 있다.
기대와는 달리 마이데이터 서비스가 본격 시행되었지만 차별화가 제대로 이루어지지 않고 있는 이유는 여러 원인이 있을 것이다. 앞서 언급한 바와 같이 서비스 혁신을 위한 마이데이터 사업자의 노력이 부족한 측면도 있겠지만, 개인신용정보 전송요구권을 규정하고 있는 신용정보법 제33조의2에서 본인에 대한 전송과 제3자에 대한 전송요구권이 함께 규정되면서 본인에 대한 전송 대상 정보와 제3자에 대한 전송요구 대상 정보가 동일하게 규율되는 것이 제도 측면에서 서비스 차별화를 막는 주된 원인 중 하나일 것이다.
즉 본인에 대한 전송은 제3자에 대한 전송요구보다 정보 주체의 기본권적 성격이 강하다. 본인이 자신에게 디지털화된 개인정보를 다운로드해 달라는 권리이므로, 개인정보 열람권의 일종으로도 볼 수 있기 때문이다. 반면 제3자에 대한 전송요구는 경쟁법적 고려 등이 반영된 것이라는 점, 제3자에 대한 전송요구에 응할 의무를 이행하기 위해 전송의무자는 일정한 비용을 투자해야 하는 점 등을 고려할 때 정보주체의 권리라고 보기 보다는 법률상의 권리라고 생각한다. 이러한 이유로 유럽연합(EU) ‘일반 개인정보 보호법(GDPR)’ 제20조는 제1항에서 정보주체에 대한 전송, 즉 다운로드권을 주된 권리로 규정하는 한편, 제2항은 제3자에 대한 전송요구권을 기술적으로 가능한 경우에 한하여 인정되는 것으로 규정하고 있다.
우리나라 개인정보보호법 개정안(민형배 의원 대표발의안) 역시 정보주체의 다운로드권과 제3자에 대한 전송요구권을 구분하여 규정하면서 수범자의 범위와 대상 정보를 달리 규정하고 있다. 특히 제3자에 대한 전송요구권의 대상 정보를 API 방식으로 주고 받기 위해서는 반드시 사전에 데이터 송신자와 수신자 간의 의견을 조율하여 협의하는 절차가 필수적이다. 전자상거래업체의 주문내역정보 제공 및 적요정보의 제공 관련 논의에서 볼 수 있듯이 협의 과정에서 개인정보의 구체성에 따라 사생활 침해 논란으로 이어질 수 있고, 데이터 이용에서의 상호주의 관점에서 이해관계의 대립이 격렬하게 발생할 우려가 크다. 그때마다 금융당국의 중재를 통해 유형화되거나 일부 제한된 정보만 주고 받기로 결정될 경우 결과적으로 유용한 정보의 제공이 제한되는 결과로 이어지게 된다.
정보주체의 다운로드권은 정보주체가 데이터를 다운로드하고 제3의 기관에 직접 제공하는 방식으로, 이를 별도로 규정함으로써 데이터의 폭과 질을 넓힐 수 있다. 즉 정보주체가 다운로드를 통해 해당 개인정보를 보유하게 되므로 사생활 침해 가능성도 낮을 뿐만 아니라, 상호주의에 따른 이해관계 충돌이 발생할 우려가 적다는 점에서 앞서 언급한 우려 상황이 발생할 가능성이 적다는 장점이 있다. 특히 정보주체의 다운로드 요청 시 제3자 전송요구의 경우 보다 전송하는 정보 범위를 확대하여 규정함으로써 정보의 다양성과 구체성을 확보하여 마이데이터 사업자에게 동의 하에 제공하는 방식을 취할 경우 마이데이터 사업자가 정보주체로부터 수집하는 정보 여하에 따라 서비스가 차별화되는 결과로 이어질 수 것으로 예상된다. 특히 마이데이터 중계기관 역시 개별화된 개인데이터저장소(PDS) 서비스를 부수적으로 제공함으로써 마이데이터 사업자와의 연계된 여러 서비스를 모색할 여지도 있을 것으로 예상된다.
| 당국, 마이데이터 등 데이터 분야 규제 개선 속도
지난 9월 14일 열린 국가데이터정책위원회에서는 공공과 민간의 데이터 산업 진흥 정책 전반을 총괄하는 범부처 콘트롤타워 신설을 통해 공공 마이데이터 제공 대상을 확대하고 개인정보 전송요구권을 전 분야로 넓힐 계획을 밝혔다.
국가데이터정책위원회는 데이터 산업의 종합적인 육성 및 제도 혁신에 대한 산업현장의 오랜 염원을 담아 제정된 ‘데이터 산업진흥 및 이용촉진에 관한 기본법’(이하 ‘데이터산업법’)과 새정부 국정과제가 추구하는 가치를 본격적으로 실현하기 위한 추진기반으로서 출범했다.
한덕수 국무총리 주재로 열린 첫 회의에서는 ‘데이터·신산업분야 규제개선 방안’과 ‘제1차 데이터산업 진흥 기본계획 수립·추진방향’에 대해 논의됐다. 데이터 분야와 관련해서는 개인정보의 안전성을 확보하는 동시에 데이터 활용을 저해하는 규제 해소에 집중할 방침이다. 공공행정기관과 은행만 쓸 수 있었던 데이터를 민간에 풀기로 했는데, 민간 디지털 헬스케어 등 새로운 시장을 만들 수 있는 길이 열린 셈이다. 공공 마이데이터 제공 대상을 통신, 의료 분야의 법인 등으로 확대하고, 공공결합전문기관에만 허용된 제3자 제공 목적의 가명정보 자체 결합을 민간 기관도 할 수 있도록 할 계획이다. 또한 개인정보 전송요구권을 전분야로 넓히는 한편 메타버스 규제는 게임물과 구분하기로 했다.
| 데이터 활용 영역, 무한 증대 본격화
이번 정부의 데이터 정보 활용 범위 확대 발표에 따라 여러 산업권에서 기회를 만들기 위한 움직임이 포착되고 있다. 우선 가명정보 결합을 민간기관에서도 가능하게 될 것으로 보이면서 이미 지정된 결합전문기관과 데이터전문기관 20여 곳이 공공, 민간 조직의 가명정보 활용 기반을 조성하고 있는 가운데 학술 연구를 비롯한 통신·의료·금융 분야 공공정책 수립과 유통을 비롯한 민간 업종 상품·서비스 개발 시도가 이어지고 있다.
보험의료 분야의 경우 국민건강보험공단과 국립암센터의 데이터로 암 환자의 장기 합병증 및 만성질환을 예측하는 모델을 개발했다. 국민 4명 중 1명이 암으로 사망하는 시대에 유의미하게 활용할 수 있는 성과였다는 평가다. 또한 통신분야에서는 한국인터넷진흥원(KISA) 스팸신고 정보와 SK텔레콤 고객정보를 활용해 성별-연령대별 불법스팸 실패를 연구하는데 이용됐다. 분석 결과를 바탕으로 불법스팸방지 정책을 수립하고 연령대별 맞춤형 스팸예방 방안을 구상할 수 있었다. 한국인터넷진흥원(KISA)은 조사를 통해 300여 개의 기업 중 가명정보 활용을 고려하고 있거나 검토, 협의 중이라고 답한 곳이 47.4%로 나타나 향후 민간 분야의 가명정보 활용 확산세가 증가할 것으로 봤다.
또한 금융위원회에 따르면 민간 데이터전문기관을 신청하는 기업이 늘어나고 있으며, 연내 ‘민간 최초’ 타이틀을 거머쥔 기업이 3, 4곳 추가 지정될 것으로 보인다. 핵심 신산업으로 데이터 사업을 적극 추진하고 있는 삼성카드, 신한은행 등 금융회사들이 사활을 걸고 있는 가운데 지난 9월 신한카드, 삼성카드, BC카드 등 전통 금융회사를 비롯해 핀테크 업체 쿠콘, IT 서비스 3사인 삼성SDS, LG CNS, SK C&C 등 민간 기업 8곳 심사에 들어갔다. 현재 한국신용정보원, 금융보안원, 국세청, 금융결제원 등 공공기관 4곳만 데이터전문기관으로 지정돼 있다.
데이터전문기관을 통한 데이터 결합이 활성화되면 금융과 비금융 데이터가 융합된 새로운 서비스가 등장해 소비자 혜택도 커질 전망이다. 대표적으로 대안신용평가 사례로 최근 온라인 쇼핑몰이나 통신사 등이 가진 비금융 정보가 결합되면서 금융 정보만으로는 신용평가하기 어려웠던 온라인 사업자나 청년층 등을 위한 맞춤형 신용평가 모형이 개발되고 있다.
카드사들은 카드 결제 정보와 부가가치통신망(VAN) 사업자의 구매 품목 정보 등을 결합해 소상공인 대상의 상권 분석 컨설팅을 하고 있다. 정부 등 공공기관은 여러 기관에 분산된 데이터를 결합해 정책 설계나 평가에 이용할 것으로 보인다.
| 마치며
마이데이터 정보제공 영역을 확대하기로 했으나 아직 의료정보는 보건복지부 소관이어서 이번에는 포함되지 않았다. 이로 인해 금융업권 중 건강 관리와 보험을 결합한 서비스를 준비하고 있는 보험업계의 서비스 경쟁력 향상은 제한적일 것으로 예상된다.
한편, 하반기에 마이데이터에 가상자산과 디지털 자산을 연동하는 서비스도 준비 중이며, 이때 현행법 상 은행 겸영·부수 업무에 가상자산이 포함되어 있지 않아, 직접 연동 시 이에 대한 법률적 이슈가 아직 존재한다.
금융 마이데이터는 마이페이먼트, 오픈파이낸스 등과 연계되어 마이플랫폼 서비스로 진화할 전망이다. 특히 개인정보보호법 개정을 통해 마이데이터 서비스는 전 산업 분야로 확산될 것이다. 이러한 상황에서 다양한 이해관계인들의 대립되는 이해관계를 신속하고 유연하게 조율할 뿐 아니라, 규제혁신을 일관되게 추진할 수 있는 가버넌스가 명확히 정리되는 것이 마이데이터 산업의 성패를 좌우할 것이라고 생각한다. 이 정부에서 디지털플랫폼정부의 역할을 기대하는 이유이기도 하다. 특히 마이데이터 사업을 위한 정보 공유 범위 확대 방안이 법 제도적으로 고려되기 위해서는 정보 주체의 사생활 침해 우려를 불식하면서 안전한 활용이 이루어질 수 있도록 하기 위한 사업자들의 혁신과 정보보호를 위한 노력이 꾸준히 경주되어야 함은 물론이다.
*저작권법에 의하여 해당 콘텐츠는 코스콤에 저작권이 있습니다.
*따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.
