DBR mini box : 마이데이터와 데이터 이동권

마이데이터 도입에 고려해야 할 법적 이슈

305호 (2020년 9월 Issue 2)

올해 8월 데이터3법 중 하나인 개정 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’)이 시행됨에 따라 금융 분야에서 ‘본인신용정보관리업’이라는 이름으로 마이데이터(MyData) 산업이 법 제도권 내에 첫걸음을 내디뎠다. 마이데이터 사업은 분산돼 있는 정보를 효율적으로 수집하는 것에서부터 출발한다. 물론 개정 신용정보법이 시행되기 전에도 동일하거나 유사한 서비스를 제공하는 국내외 사업자들이 있었다. 하지만 가장 큰 변화는 마이데이터 사업자가 정보 주체의 ‘본인신용정보전송요구권’ 행사를 통해 데이터 수집을 보다 효과적으로 할 수 있게 됐다는 점이다. 사업자가 고객에게 로그인 정보 등을 개별적으로 확보한 뒤 정보 보유 주체의 웹사이트에 대신 접속해 정보를 스크레이핑(scraping)해오던 식의 불완전하고 제약이 많은 사업 방식에서 벗어나게 된 것이다.

052


데이터 이동권에 올라탄 마이데이터 사업

본인신용정보전송요구권은 개정 신용정보법 제33조의2에 규정돼 있다. 이 권리는 정보 주체인 개인이 금융회사와 같은 신용정보제공•이용자 등을 상대로 자신에 관한 개인신용정보를 본인 또는 법령이 정한 제3자(마이데이터 사업자 등)에게 전송해 줄 것을 요구할 수 있음을 내용으로 한다. 전송되는 정보의 정확성과 최신성이 유지되도록 같은 내역의 정보를 정기적으로 전송해 줄 것을 요구할 수도 있다. 이런 요구를 받은 신용정보제공•이용자 등은 원칙적으로 해당 정보를 지체 없이 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송해야 하고, 만일 법령상 이유 없이 개인의 전송 요구를 거절한 경우에는 과태료까지 부과받게 된다. 본인신용정보전송요구권은 우리나라가 정보 주체의 데이터 이동권(right to data portability)을 개인신용정보와 관련해 법제화했다는 데 의의가 있다. ‘데이터 이동권’이란 정보 주체가 자신에 관한 의무 부담자가 수집•보유 중인 정보를 디지털 형태로 자신 또는 제3자에게 제공하도록 요구할 수 있는 권리를 지칭한다. 동 권리가 법제화되기 전에도 시장에서 주요 테크 회사 중심으로 사용자들이 데이터를 이동시킬 수 있도록 지원하는 시도들이 있었다.i 데이터 이동권은 현재 금융•의료 같은 특정 산업의 제한된 권리ii 에서 정보 주체인 개인의 일반적인 권리 iii 로 점차 진화하고 있다.

데이터 이동권은 데이터 거버넌스(data governance)라는 큰 정책적 목표하에서 이해할 필요가 있다. 우선, 개인정보보호의 측면에서 데이터 이동권은 잊힐 권리(right to be forgotten)와 함께 개인정보 자기결정권을 실현할 주요한 수단이 될 수 있다. 이런 측면에서 데이터 이동권은 개인의 정보 주권을 강화하는 권리인 것이다. 또, 데이터가 경제의 혈류인 오늘날의 4차 산업혁명 시대에 데이터 이동권은 데이터 산업을 발전시키고 혁신을 촉진할 촉매제로 주목받는다. 특히 온라인 사용자들 입장에서는 보다 손쉽게 자신에 관한 데이터를 경쟁 서비스로 이동시킬 수 있게 허용함으로써 전환비용(switching cost)을 줄이고, 사업자 입장에서는 데이터 기반 독점력의 형성과 유지를 보다 어렵게 함으로써 시장 경쟁을 활성화할 수 있는 경쟁 촉진 수단으로도 거론된다. iv

하지만 가치 있는 정책 목표도 현실에 적용했을 때는 여러 가지 긴장 관계를 낳을 수 있다. 마이데이터 사업과 관련해서는 관련자들의 정보보호(보안) 의무와 보호조치, 이동 대상이 되는 데이터의 처리 요건, 예컨대, 처리 가능한 형태의 구체적 의미가 무엇인지가 여전히 논란이다. 또 신용정보제공•이용자 등이 부담하는 정기 전송의 요건 및 방식과 API 구현의 허용 범위, 마이데이터 사업자에 의한 금융 상품의 추천 과정에서의 이해 상충과 설명 의무 같은 법적 쟁점들이 산적해 있다. 정부는 현재 마이데이터와 관련한 허가 심사를 진행하면서 사업의 세부적인 내용과 기준을 계속 구체화해가고 있다. 다음에서는 특히 데이터 이동권과 관련해 정책 당국뿐 아니라 관련 사업자들이 가장 중요하게 고려해야 하는 법 정책적 이슈 두 가지를 강조하고자 한다.

주변인/인접자 프라이버시(bystander privacy) 문제

정부는 마이데이터 산업을 육성할 목적으로 최소 자본금을 포함한 사업 허가 요건을 완화 적용하기로 했다. 이에 따라 사업자들이 데이터 전송 및 수령 과정에서 데이터를 안전하게 처리하고 관리하도록 보안 능력 및 조치를 검증하고 감독할 필요가 있다는 목소리도 커졌다. 이 같은 데이터 보안에 관한 우려 말고도 앞으로 심각한 문제가 될 수 있는 것이 바로 데이터 이동 과정에서의 주변인 혹은 인접자 프라이버시의 침해 문제다.

나에 관한 데이터는 나의 데이터이므로 그 정보를 누가 보유할지는 정보 주체인 내가 정하는 것이 마땅하다고 쉽게 생각할 수 있다. 그런데 나에 관한 데이터가 타인과 직간접적으로 관련된 데이터일 수도 있고, 나에 관한 데이터에 타인에 관한 데이터가 명확히 구별되지 않은 채 포함돼 있을 수도 있다. 전자의 경우 혈연관계에 있는 타인과 상당 부분 일치하는 나의 유전자 정보가 자주 거론되며 v 후자의 경우로는 내가 찍은 사진에 특별히 의도하지 않았는데 찍힌 타인의 모습 혹은 물건이 포함된 경우를 생각해볼 수 있다. 이 경우 나에 관한 데이터라고 해서 내 요구대로 그 데이터가 만연하게 전송되면 관련돼 있는 나의 주변인 또는 인접자의 프라이버시가 침해될 수 있다. 이것이 주변인/인접자 프라이버시(bystander privacy)의 문제다. 이번 개정 신용정보법에 따른 마이데이터 사업은 금융 정보를 주 대상으로 하는 관계로 SNS 데이터 등과 비교할 때 이런 우려가 상대적으로 적어 보일 수 있다. 그러나 금융정보 또한 타인 관련성이 있을 수 있고, 법령상 전송 대상이 되는 개인신용정보를 어떻게 정의하는지에 따라서 다양한 타인 관련 정보가 포함될 수도 있어 경각심을 가질 필요가 있다.

개정 신용정보법은 전송되는 데이터가 정보처리 장치로 처리 가능한 형태여야 한다고 요구하는 등 마이데이터 사업자가 데이터를 받아 활용하는 것에 어려움이 없도록 하는 데 초점을 맞추고 있다. 하지만 데이터 이동권을 통해 우리 모두의 프라이버시가 불필요하고 과도하게 침해되지 않으려면 전송되는 데이터의 형태만큼이나 타인 관련성에 대한 스크리닝, 사전 처리(비식별화 등) 및 사후 이용의 한계도 중요한 문제다. 그 과정에서 전송 의무를 부담하는 신용정보제공•이용자 등이 타인과의 관련성을 들어 전송을 보류하거나 데이터를 제한하려고 할 수 있기 때문이다. 이런 신용정보제공•이용자 등의 행위가 마이데이터 사업자의 영업을 부당하게 방해하거나 산업 발전에 걸림돌이 될 수도 있다. 다시 말해, 개인 정보 주권의 확립과 산업 육성이라는 데이터 이동권의 개별 정책적 목표 간에 충돌이 생기는 것이다. 정책 당국과 업계는 앞으로 전송 요구를 받은 정보 보유자가 타인의 프라이버시를 들어 거절 등을 했을 때 그 적정성의 판단 기준, 프라이버시 침해 우려를 해소할 수 있는 데이터 처리 방식과 정보 보유자의 면책 여부, 이견 조정 방식과 절차 등에 대한 고민을 해야 한다.

054


전송 요구 대상이 되는 데이터의 범위 문제

현재 마이데이터와 관련해 가장 논란이 되고 있는 문제 중 하나가 바로 전송 요구의 대상이 되는 ‘개인신용정보’의 범위다. 개정 신용정보법 시행령[별표 1]은 전송 요구 대상이 되는 데이터의 범위를 정하고 있는데, 개인의 온라인 결제 과정에서 발생하는 주문 내역과 환불 내역 정보, 그리고 이와 유사한 정보를 전자지급수단 관련 개인신용정보에 포함하고 있다. 그 결과 전자금융업자로서 간편 결제 시스템을 구축한 온라인 전자상거래업체들이 고객의 요구가 있을 경우 마이데이터 사업을 영위하는 금융회사 등에 해당 고객의 결재 내역뿐 아니라 세밀한 주문 내용 등이 포함된 데이터까지 전송할 의무를 부담하게 됐다. 하지만 전자상거래업체들은 이런 데이터까지 전송하도록 하는 것은 자신들에게 과도한 요구라고 하면서 반발하고 있다. 다른 한편으로, 금융회사들은 그들대로 인터넷 플랫폼 기업들이 실질적으로 마이데이터 사업에 진출하면서 정작 검색 데이터와 같은 알짜 정보는 공유하지 않아도 되는 상황이 부당한 역차별이라고 불만을 토로한다. 자신이 어렵게 구축한 사업 데이터를 강제로 타인과 공유해야 하는 상황이 되면서 비즈니스 형태와 전략이 각기 다른 사업자들 간의 이해관계가 첨예하게 대립하고 있는 것이다.

사업자 간에 자산에 해당하는 정보의 공개 내지 이동을 강제하는 시스템은 마이데이터 이전에도 시도됐다. 통신산업의 번호이동제, 금융산업의 계좌이동제 등이 대표적으로, 사업자 간 경쟁을 촉진하고 의도했던 정책적 효과를 제한적으로나마 달성한 사례라고 볼 수 있다. 이런 시스템은 참여자가 제한돼 있고 동질적일수록, 그리고 전송되는 정보의 내용과 구조가 단순하고 명확할수록 성공 확률이 높아진다.

개정 신용정보법하에서 마이데이터는 금융이라는 특수 규제 분야에서, 그것도 개인신용정보에 한정해 출범했다. 그럼에도 불구하고 이렇게 참여자 간에 격심한 반목이 초기부터 발생하는 이유에는 여러 가지가 있을 수 있다. 먼저, 데이터를 기반으로 한 범위의 경제와 사업의 확장성이 커지면서 기존 시장 간의 경계가 허물어지고 서로 다른 시장을 넘나드는 혁신이 나타나는 4차 산업혁명 시대의 특성이라고 볼 수 있다. 이런 경향은 앞으로 더 심화될 것이다. 하지만 마이데이터 사업의 경우 각기 사업 모델과 분야는 물론이고, 직면하고 있는 규제의 내용과 주무 기관이 서로 다르다는 점도 문제다. 현재적•잠재적 경쟁자에 해당하는 사업 참여자와 관계자들의 이해관계 충돌을 과연 정부 주도의 규제를 통해서 온전히 해결할 수 있을지 의문이 드는 지점이다.

우리가 새로이 맞이한 디지털 시대에 일정한 규제, 특히 권능부여형(enabling) 규제가 불가피하고, 또 사회적으로 이로운 측면도 있겠지만 시장 참여자들이 자율적으로 이해관계를 조정하고 사업 내용을 만들어가는 기회 또한 충분히 마련돼야 한다. 또 시장 참여자들 스스로도 이런 기회를 개척하는 데 적극적으로 나서야 한다.

금융에 이어 보건의료 영역도 아직 법제화되지는 않았지만 마이데이터가 유망한 분야로 주목받고 있다. 특히 우리나라 보건의료 영역의 경우 국민건강보험 등 의무보험 제도로 활용 가치가 높은 공공 데이터가 대규모로 축적돼 있는 상황이다. 보건의료 데이터의 경우 금융 분야와 비교해 웨어러블 등에서의 활용도가 높아 마이데이터가 IoT를 포함한 기기 산업에서의 혁신을 상호 촉진할 것으로 기대된다. 다만 상대적으로 개인의 입장에서는 금융 정보에 비해 자신에 관한 의료 정보의 존재, 내용, 활용도 및 보유 주체에 대한 인식이 떨어지는 관계로 마이데이터 사업의 발전을 위해서는 데이터 이동 및 활용에 관한 소비자들의 협조를 이끌어내는 것에 더 많은 노력이 필요할 것으로 보인다. 이 점에 있어서도 참여 기업과 시장의 역할이 중요하다. 사업 촉진을 명분으로 하는 규제당국의 섣부른 개입보다는 시장 참여자들이 혁신을 통해 고객들이 기꺼이 데이터 이동에 동의하거나 요구할 수 있는 가치를 제공하면서 의료, 기기, 네트워크 등 서로 다른 사업을 영위하는 참여자 간에 이해관계를 자율적으로 조정해 나가는 노력이 필요하다.


임용 서울대 법학전문대학원 부교수 yonglim@snu.ac.kr
필자는 서울대 법학전문대학원 부교수이자 서울대 인공지능정책 이니셔티브(SAPI) 공동 디렉터이다. 개인정보의 경쟁법적 분석에 관한 연구로 하버드 로스쿨에서 S.J.D.를 취득했고, 김앤장 법률사무소에서 변호사로 공정거래, 기업 인수합병 등 다양한 업무를 수행했다.
동아비즈니스리뷰 305호 New Era of Data Business 2020년 9월 Issue 2 목차보기