올해 8월 데이터3법 중 하나인 개정 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’)이 시행됨에 따라 금융 분야에서 ‘본인신용정보관리업’이라는 이름으로 마이데이터(MyData) 산업이 법 제도권 내에 첫걸음을 내디뎠다. 마이데이터 사업은 분산돼 있는 정보를 효율적으로 수집하는 것에서부터 출발한다. 물론 개정 신용정보법이 시행되기 전에도 동일하거나 유사한 서비스를 제공하는 국내외 사업자들이 있었다. 하지만 가장 큰 변화는 마이데이터 사업자가 정보 주체의 ‘본인신용정보전송요구권’ 행사를 통해 데이터 수집을 보다 효과적으로 할 수 있게 됐다는 점이다. 사업자가 고객에게 로그인 정보 등을 개별적으로 확보한 뒤 정보 보유 주체의 웹사이트에 대신 접속해 정보를 스크레이핑(scraping)해오던 식의 불완전하고 제약이 많은 사업 방식에서 벗어나게 된 것이다.
데이터 이동권에 올라탄 마이데이터 사업
본인신용정보전송요구권은 개정 신용정보법 제33조의2에 규정돼 있다. 이 권리는 정보 주체인 개인이 금융회사와 같은 신용정보제공•이용자 등을 상대로 자신에 관한 개인신용정보를 본인 또는 법령이 정한 제3자(마이데이터 사업자 등)에게 전송해 줄 것을 요구할 수 있음을 내용으로 한다. 전송되는 정보의 정확성과 최신성이 유지되도록 같은 내역의 정보를 정기적으로 전송해 줄 것을 요구할 수도 있다. 이런 요구를 받은 신용정보제공•이용자 등은 원칙적으로 해당 정보를 지체 없이 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송해야 하고, 만일 법령상 이유 없이 개인의 전송 요구를 거절한 경우에는 과태료까지 부과받게 된다. 본인신용정보전송요구권은 우리나라가 정보 주체의 데이터 이동권(right to data portability)을 개인신용정보와 관련해 법제화했다는 데 의의가 있다. ‘데이터 이동권’이란 정보 주체가 자신에 관한 의무 부담자가 수집•보유 중인 정보를 디지털 형태로 자신 또는 제3자에게 제공하도록 요구할 수 있는 권리를 지칭한다. 동 권리가 법제화되기 전에도 시장에서 주요 테크 회사 중심으로 사용자들이 데이터를 이동시킬 수 있도록 지원하는 시도들이 있었다.ii페이스북의 Download Your Information (2010), 구글 Data Liberation Front의 Takeout (2011), 그리고 여러 회사가 참여하는 Data Transfer Project (2018)가 그 예이다.
닫기 데이터 이동권은 현재 금융•의료 같은 특정 산업의 제한된 권리iiii 현재 미국의 Health Insurance Portability and Accountability Act of 1996이나 우리나라 의료법(제21조)하에서 일정한 의료 기록의 열람 전송 등이 가능하다.
닫기에서 정보 주체인 개인의 일반적인 권리 iii iiiEU의 GDPR(Articles 12, 20, Recital 68 등); 미국 캘리포니아주의 CCPA(Sections 1798.100, 1798.110, 1798.130, 1798.145(g)(3))이 그 예이다.
닫기로 점차 진화하고 있다.
데이터 이동권은 데이터 거버넌스(data governance)라는 큰 정책적 목표하에서 이해할 필요가 있다. 우선, 개인정보보호의 측면에서 데이터 이동권은 잊힐 권리(right to be forgotten)와 함께 개인정보 자기결정권을 실현할 주요한 수단이 될 수 있다. 이런 측면에서 데이터 이동권은 개인의 정보 주권을 강화하는 권리인 것이다. 또, 데이터가 경제의 혈류인 오늘날의 4차 산업혁명 시대에 데이터 이동권은 데이터 산업을 발전시키고 혁신을 촉진할 촉매제로 주목받는다. 특히 온라인 사용자들 입장에서는 보다 손쉽게 자신에 관한 데이터를 경쟁 서비스로 이동시킬 수 있게 허용함으로써 전환비용(switching cost)을 줄이고, 사업자 입장에서는 데이터 기반 독점력의 형성과 유지를 보다 어렵게 함으로써 시장 경쟁을 활성화할 수 있는 경쟁 촉진 수단으로도 거론된다. iv iv 금융위, 2020년 6월 3일자 보도 자료, ‘금융 분야 마이데이터 허가 수요조사(5월14∼28일) 결과-다양한 분야의 116개 회사가 마이데이터 사업을 희망’ 참조.
닫기
하지만 가치 있는 정책 목표도 현실에 적용했을 때는 여러 가지 긴장 관계를 낳을 수 있다. 마이데이터 사업과 관련해서는 관련자들의 정보보호(보안) 의무와 보호조치, 이동 대상이 되는 데이터의 처리 요건, 예컨대, 처리 가능한 형태의 구체적 의미가 무엇인지가 여전히 논란이다. 또 신용정보제공•이용자 등이 부담하는 정기 전송의 요건 및 방식과 API 구현의 허용 범위, 마이데이터 사업자에 의한 금융 상품의 추천 과정에서의 이해 상충과 설명 의무 같은 법적 쟁점들이 산적해 있다. 정부는 현재 마이데이터와 관련한 허가 심사를 진행하면서 사업의 세부적인 내용과 기준을 계속 구체화해가고 있다. 다음에서는 특히 데이터 이동권과 관련해 정책 당국뿐 아니라 관련 사업자들이 가장 중요하게 고려해야 하는 법 정책적 이슈 두 가지를 강조하고자 한다.