01. 개요

[그림 1] 마이데이터활용 사례 (출처 : 코스콤)

지속적인 기술의 발전에 따라 개인은 개인 정보를 활용하여 다양한 맞춤형 서비스를 제공 받을 수 있게 되었다. 이러한 시대의 흐름에 따라 개인정보의 경제적·사회적 중요성이 커지고 있는 추세다. 이에, 개인은 자신의 개인정보를 이전을 원하는 서비스에 선택하여 이전시켜 개인 맞춤형 서비스에 재사용할 수 있도록 하는 '개인정보이동권'이 등장했다. 

'개인정보이동권'을 개인정보보호법으로 규정하고 있는 다른 국가들과는 다르게 우리나라에서는 「신용정보법」에서 '개인정보 전송요구권'을 규정하고 있다. 「신용정보법」 은 금융 산업에 특화된 금융 관리 개별법으로 금융 서비스 분야가 주요 법 적용 범위이다. 따라서 금융분야에서만 제한적으로 시장 경쟁을 촉진하고 있는 것은 아니냐는 우려의 목소리가 나오고 있다.

이러한 우리나라의 상황을 미루어 보았을 때, 개인정보이동권 보편화의 필요성은 간단하게 두 가지로 말할 수 있다.

첫번째, 데이터 산업 활성화 및 실질적 시장에서의 보편적 경쟁을 위한 대비

현재 우리나라는 정부당국의 엄격한 개인정보규제로 데이터 활용이 위축되어 데이터 시장 규모에 비해 데이터 활용 및 분석 수준은 낮은 위치에 머물러 있다고 평가받고 있다. 이에, 정보부처들이 데이터 산업 활성화를 위해 각 분야별 마이데이터 정책을 수립/시행하고자 하는 상황이다. 따라서 금융 분야 뿐 아니라 보편화된 시장에서의 개인정보이동권  규정을 통해 모든 산업 영역에서의 보편적 경쟁을 촉진해볼 필요가 있다.

두번째, 개인정보 보유 기업과 정보주체 간의 주도권 불균형의 해결

「일반개인정보보호법(GDPR)」 은 개인정보 전체를 대상으로 개인의 정보관리 권한을 상세히 규정하고 있고 미국은 「스마트 공시(Smart Disclosure)」 를 통해 다양한 분야에서의 정보에 대한 권리를 보장하여 기업과 정보주체 간 힘의 불균형을 해결하고자 하였다. 하지만 우리나라의 경우 개인정보 통제권을 확보할 방법을 자세히 규정하지 않아 주도권이 한쪽이로 치우칠 수 있기때문에  좀 더 자세하고 보편화된 정책이 필요한 상황이다.

이에 본문에서는 국 내·외 개인정보이동권 도입 현황과 마이데이터 기업 사례를 통해 '개인정보이동권' 보편화의 필요성과 이에 따른 주요 시사점을 좀 더 자세히 알아보고자 한다.

02. 국내 현황 : 신용정보법의 개정과 개인정보 전송요구권의 도입

우리나라의 경우 정보주체(개인)의 권리 보장과 개인 정보를 이용한 다양한 서비스를 통해 마이데이터 산업을 발전 시키고자 데이터 3법을 개정하였다. 그 중에서도 '신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법‘)'에 추가된 '신용정보 전송요구권'을 행사하여 데이터를 효과적으로 수집할 수 있도록 하였다. 이는 개인정보 자기결정권을 보장하지만 신용정보에 한정되어 있다는 점에서 다른 국가와는 차이가 있다. 이후, 데이터 이동권과 관련한 내용이 포함된  「데이터 기본법」, 「데이터의 이용촉진 및 산업진흥에 관한 법률안」 이 발의 되었으나 아직은 정부 입법안으로 그친 상태다. 「신용정보법」이 포함된 데이터 3법의 주요 내용과 함께 개인정보 전송 요구권의 개념을 다음 자료를 통해 살펴보자.

01) 데이터 3법 개정 주요 내용

02) 개인정보 전송 요구권이란?

① 정보주체가 개인신용정보 전송요구권을 행사하여 필요한 정보 항목을 선택 후 금융회사가 해당 정보를 마이데이터 사업자에게 제공할 것을 요구

② 금융회사는 정보주체의 정보를 마이데이터 사업자에게 표준화된 전산처리방식(API)으로 전달하고 정보주체의 인증정보는 암호화하여 안전하게 전달

③ 정보주체는 마이데이터 사업자를 통해 정보를 일괄 조회

(출처 : 금융위원회(2018.7.17), '금융분야 마이데이터 산업 도입방안' 인용)

03. 해외 현황 : 개인정보보호법과 개인정보 이동권

개인정보의 가치가 급상승하면서 많은 개인정보들을 보유하고 있는 거대 플랫폼 기업들이 소비자 보다 더 큰 힘을 가지게 되었고 이러한 상황은 플랫폼 기업과 소비자 사이의 불균형 문제를 일으켰다. 이러한 문제가 기존에 존재하는 개인 정보 동의 제도로는 해결이 어려워지게 되었다. 이에 유럽연합(EU)에서 해결책으로 내놓은 것이 '개인정보이동권'이다. 유럽연합(EU)은 「일반개인정보보호법(GDPR)」 에 '개인정보이동권'을 도입하여 정보주체(소비자)의 통제하에 개인 정보를 자유롭게 이전하고 플랫폼을 선택하여 다른 서비스에 재사용할 수 있도록 하였다. 그리고 소비자와 기업 사이의 불균형을 해결하고 기업 간의 경쟁을 촉진하는 것을 목표로 정책 강화를 추진하고 있다.

이러한 유럽 「일반개인정보보호법(GDPR)」을 시작으로 미국 「캘리포니아소비자 프라이버시법(CCPA)」, 「버지니아 소비자 데이터 프라이버시 보호법(VCDPA)」, 캐나다의 「 소비자 개인정보 보호법(법안 C-11)」, 싱가포르의 「 개인정보보호법 (PDPA) 」 등 다양한 국가에서 '개인정보이동권'을 통과 시켰다.

1) 유럽(EU)

유럽연합(EU)는 「일반개인정보보호법(GDPR)」 을 통해 다양한 산업에 걸쳐 소비자의 데이터에 대한 권리를 강화하고자 하였고 「2차 결제 서비스 지침(PSD2)」 을 통해 '개인정보이동권'을 금융 산업에 적용하였다. 그 외, '유럽 의료정보 공간', '의료서비스를 위한 클라우드 보안 지침＂을 통해 「의료정보이동권」을 촉진하고자 하였다. 「일반개인정보보호법(GDPR)」 , 「2차 결제 서비스 지침(PSD2)」, 「의료정보이동권」 의 내용을 살펴보자면 다음과 같이 요약할 수 있다.

개인정보보호규정(GDPR) 시행

ㆍ​2018년 5월 「일반개인정보보호법(GDPR)」 시행, 정보 주체가 행사할 수 있는 권리와 '개인정보이동권'을 포함하고 있음

ㆍ​​'개인정보이동권'을 통한 대형 기업들의 시장 지배, 개인과 기업간의 힘의 불균형 해결을 목표로 하고 있음

GDPR 상 정보주체의 권리

[표 1] '정보주체의 권리' 인용 (출처 : KISA GDPR 대응지원 센터)

2차 결제 서비스 지침(PSD2: Payment Services Directive 2) 개정

ㆍ​​2021년 1월 부터 「2차 결제 서비스 지침(PSD2)」을 유럽 지역 전반적으로 적용, 금융정보의 이동권에 관한 사항을 추가하고 보안성을 강화하여 핀테크 서비스를 촉진

ㆍ​​「2차 결제 서비스 지침(PSD2)」에 따라 신용카드를 통한 모든 온라인 결제에는 강력한 고객 인증과 이동권 관련 추가 사항을 적용

2차 결제 서비스 지침(PSD2)에 적용된 추가 사항

의료정보 이동권의 추진

ㆍ​​​유럽 집행위원회(EC)에서 '유럽 의료정보 공간(European Health Data Space 2019~2025)' 과제 추진을 통해 전자의료 기록, 유전자 데이터, 환자 등록 데이터 등 의료정보의 접근과 이동권의 이용을 장려함

ㆍ​​​'유럽 의료정보 공간을 위한 공동 조치'을 설립하여 유럽의 공중 보건, 치료, 연구 혁신을 위한 의료 정보 공유하고자 함

ㆍ​​​EU 사이버 보안원(ENISA)에서 '의료정보이동권'과 '의료서비스를 위한 클라우드 보안 지침'의 세부 지침에 '개인정보 이동권'과 상호 운용성 관련 지침을 포함하여 발표함

2) 영국

영국은 「마이데이터(Midata)」를 시행하여 기업이 보유하고 있는 개인 정보를 디지털화 및 제공할 수 있도록 하였고 최초로 「오픈 뱅킹」정책을 의무화한 국가다. 더불어, 영국 국방부(MOD)는 지난 2021년 1월 유럽연합(EU)의 「일반 개인정보보호법(GDPR)」 을 기반으로 한 '개인정보보호: 정보주체의 권리(Data Protection: rights for data subject)' 가이드 라인을 제시하여 서비스 간의 개인정보를 쉽게 이동, 복사, 전송하여 재사용할 수 있도록 하고자 하였다. 이러한 목표 달성을 위해 해당 가이드라인은 개인정보에 대한 알 권리, 정보접근권리, 수정권, 삭제권 처리제한 권리, 개인정보 이동권, 지동화된 의사결정과 프로파일링 권리 등등 다양한 지침 을 포함하고 있다.

3) 미국

미국은 2011년 부터 연방정부의 주도하에 「스마트 공시(Smart Disclosure)」 정책을 추진했다. 해당 정책의 세부 항목으로  '블루버튼(Blue Button)', '그린 버튼(Green Button)', '마이 스튜던트 버튼(My Student Button)'을 적용하여 의료, 에너지, 교육 분야로 '개인정보이동권'을 확대하고자 하였다. 이처럼, 미국 정부는 공공기관이 보유한 정보와 민간이 보유한 정보를 정보주체에 제공·활용하여 소비자들에게 맞춤형 서비스를 제공할 수 있도록 협력하고 있는 상황이다.

스마트공시(Smart Disclosure) 정책 내용

[표 2] '2018 데이터산업 백서' 인용 (출처 : 한국데이터진흥원(2018))

미국의 캘리포니아에서는 「일반개인정보보호법(GDPR)」 과 같은 공공과 민간을 포괄하는 개인정보보호의 일반법이 부재한 대신 2018년 6월에 제정된 「캘리포니아소비자 프라이버시법(CCPA)」을 적용하고 있다. 그리고 이어서 2021년 2월 버지니아주에서는 개인정보 이동권이 포함된 「소비자 개인정보보호법안(Senate Bill No. 1392)」이 상원 통과된 바 있다 (최종 제정 시, 2023년 1월 시행 예정). 「캘리포니아소비자 프라이버시법(CCPA)」과 버지니아주의 법안의 주요 내용은 다음과 같이 요약할 수 있다.

캘리포니아주 소비자프라이버시법(CCPA)

ㆍ​​​​열람권의 일부로 개인정보 이동권 보장, 정보의 상세 내역과 개인정보의 사본도 제공받을 수 있는 권리 보장

ㆍ​​​​하지만, 개인정보를 수령할 권리로 한정되며 12개월 동안 수집된 개인정보만 적용함

버지니아주 소비자 개인정보보호법안- Senate Bill No. 1392(예정)

ㆍ​​​​소비자 개인정보보호법을 버지니아 법령에 추가한 것으로 바이오인식정보, 정확한 위치 정보, 프로파일링, 민감한 정보, 표적 광고에 대한 정의 포함

ㆍ​​​​소비자가 개인정보를 수정할 권리, 삭제할 수 있는 권리, 개인정보 이동권, 개인정보 처리 거부할 수 있는 권리 보장

그 외, 미국에서는 오픈 뱅킹에 대한 규정을 시행하고 있지 않지만 민간 단체인 '금융데이터 거래협회 (FDE: Financial Data Exchange)' 를 설립하여 민간 중심으로 금융데이터 공유가 활발히 이루어지도록 하였고 '미국 보건복지부(HHS: Health and Human Services)'에서는 「의료보험 이동성 및 책임성에 관한 법률(HIPAA: Health Insurance Portability And Accountability Act)」 개정안을 마련하여 병원 단위의 의료정보이동권을 규정, 의료 산업 발전을 위한 의료정보 공유, 환자가 자신의 의료 정보에 접근할 수 있는 권리 를 담고자 하였다.

4) 일본

일본의 개인정보 보호법은 유럽연합(EU) GDPR 처럼 개인정보 이동권과 같은 규정을 시행하고 있지 않은 상황이다. 하지만 정부의 주도하에 일본은 2018년 5월 「정보 신탁 기능의 인정에 관한 초안」을 발표하여 마이 데이터와 유사한 '개인 정보 유통 체계'와 '정보은행(정보이용 신용은행 제도)＂을 추진하였다. 

'개인 정보 유통 체계'와 '정보은행(정보이용 신용은행 제도)＂이란 일본의 상황에 맞춘 개인 데이터 활용 구조로 관광, 금융(핀테크), 의료, 헬스케어, 인재 등 다양한 분야에서 개인(정보주체)의 의사에 따라 개인정보를 활용할 수 있도록 하였다. 다른 나라와의 차이점은 개인이 직접 개인정보에 대한 결정권을 행사하기보다는 개인이 정한 조건에 따라 대리인이 타당성을 판단하고 개인 정보를 다른 사업자(제 3자)에게 제공하는 방식에 가깝다. 

5) 기타 국가

[표 3] '개인정보보호 동향분석보고서' 인용 (출처 : 한국인터넷진흥원(2021.03))

04. 다양한 산업에서의 개인정보 이동권 보편화 사례

[그림 2] (출처 : digi.me)

1) 디지미(Digi.me), 영국의 대표적인 개인데이터저장소 기업

디지미(Digi.me)는 2009년 영국  Julian Ranger 에 의해 설립된 대표적인 개인데이터 저장소(Personal Data Store, PDS) 기업으로 다양한 서비스에 개인 정보를 활용하고 있다. 해당 기업은 고객의 선택 하에 여러 곳의 개인 데이터를 수집하여 한 곳에 저장, 공유할 수 있도록 기능을 제공한다. 그리고 이러한 정보들을 고객이 허용하는 범위에 한해서 제 3자에게 제공될 수 있도록 한다는 면에서 개인정보 이동권 보편화를 보여주는 대표적인 사례라고 할 수 있다.

디지미의 활용 방법으로는 디지미 앱에 개인정보를 가져올 사이트와 아이디, 비밀번호를 입력하면 디지미에서 데이터를 암호화하여 개인 소유의 Dropbox, Google Drive, OneDrive 등 클라우드 계정에 저장하고 수집 현황 정보를 볼 수 있는 화면을 출력한다. 그 후, 정보 주체가 클라우드에 저장된 정보를 원하는 서비스에 제공될 수 있도록 허락하면 디지미에서 해당 데이터들을 이용 회사들이 사용하기 편한 형태로 데이터를 가공하여 제공하게 된다.  이러한 과정을 바탕으로 디지미는 고객들의 재무관리를 해주기도하고  특정 국가 여행 시 여행 정보나 고객에게 어떤 백신이 필요한지 알려주거나 고객의 건강 상태에 따라 특정 질병의 발병 가능성을 진단하는 등 다양한 분야에서 활용될 수 있다. 이처럼 디지미는 금융기관의 거래 정보 외에 SNS, 의료, 음악 등 비금융 영역에서의 정보도 수집하고 처리할 수 있다.

[표 4] 금융 마이데이터 도입 현황과 시사점 (출처 : 보험연구원(2021.4))

[그림 3] (출처: Mydex, https://dev.mydex.org/)

2) 마이덱스(Mydex), 공공·사회적 목적을 위한 개인데이터 저장소 기업

마이덱스(Mydex)는 2008년 영국에 설립된 기업으로 CIC(Commnuity Interest Company, 공동체 이익 회사)가 운영하는 개인 정보 플랫폼이다. 마이덱스는 기업 ·정부기관이 보유한 개인 정보를 수집·관리하고 제3자(기업)에게 공유 할 수 있는 기능이 있고 개인데이터 저장소(Personal Data Store, PDS)와 오픈 소스 기반의 소프트웨어를 통해 보다 안전하게 개인 정보를 관리하도록 지원하고 있다. 개인 정보 데이터의 종류나 범위는 개인의 선택에 따라서 다르게 설정할 수 있는데, 이러한 데이터들을 활용하여 전기요금 관리, 세금 환급, 해외여행, 온라인쇼핑 등등 다양한 서비스를 개인 맞춤형으로 제공한다. 마이덱스는 공동체 이익 회사가 운영하고 있어 공공·사회적 목적이 크다는 것이 다른 기업들과의 다른 점이라고 볼 수 있다. 따라서 마이덱스 플랫폼은 개인에게 무료로 제공되는 것은 물론이고 개인데이터를 3rd party(서드 파티)에게  판매하지 않는다는 특징이 있다. 대신 기업 에서 마이덱스 플랫폼에 연결할 경우 초기 연결 비용이 발생하고 서비스 제공 과정에서 수익이 발생하거나 개인 데이터를 사용할 경우 수수료를 지불하도록 하였다.

 [그림 4] (출처: Cozy Cloud, https://cozy.io)

3) 코지 클라우드(Cozy Cloud), 개인용 클라우드를 이용한 개인데이터 플랫폼

코지 클라우드(Cozy Cloud)는 공동 창립자이자 CEO인 Benjamin André 가 설립한 프랑스 스타트업 기업이다. 처음엔 Dropbox의 경쟁업체 중 하나로 파일·데이터 저장소로 시작하였으나 편리한 서비스를 이용하기 위해  개인 정보 보안을 포기한  사람들 그리고 반대로 개인 정보 보호를 위해 대기업에 데이터를 제공하지 않은 사람들이 겪는 불편함을  지켜보면서  개인 데이터 플랫폼 개발을 고려하게 되었다.  그리고 개발된 것이 지금의 코지 클라우드이다. 코지 클라우드의 특징으로는 다양한 서비스로 부터 개인 정보 를 개인용 클라우드에 수집하고  해당 정보들을 사용할 서비스들을 퍼스널 클라우드에 추가할 수 있다.  예로 들면, 한 고객이 가지고 있는 여러 가지 계정들로 부터 청구서 정보를 다운로드하여 코지 클라우드에 저장하고 전기 요금이나 전화 요금과 같은 필요 정보들을 코지의 인터페이스를 통해 찾아 보거나 코지 뱅크(Cozy Bank)를 통해 청구서들을 열어보고 코지 헬스(Cozy Health)를 통해 건강 비용을 추적하고 건강 보험료로 환급 받을 수 있는지 확인할 수 있다.  이외에도 기본적으로 제공되는 일정관리, 메모, RSS 리더, 메일, IRC 서버를 이용한 애플리케이션들을 하나의 '블록' 처럼 추가하여 다양한 방향으로 개인 정보에 접근하고 활용할 수 있다.

05. 주요 시사점

1) 보편화된 시장 경쟁을 위한 정보주체 권리의 확대

유럽연합(EU)는 「일반개인정보보호법(GDPR)」 을 통해  다양한 산업에 걸친 소비자의 데이터에 대한 권리를 강화하였고 미국에서는 「스마트 공시(Smart Disclosure)」 를 통해 의료, 에너지, 교육 분야에서의 데이터 산업을 활성화하였다. 그리고 일본에서는 '개인 정보 유통 체계'와 '정보은행(정보이용 신용은행 제도)'을 통해 금융, 의료, 헬스케어, 인재 등 다양한 분야에서 정보주체의 의사에 따라 개인정보를 활용할 수 있도록 하였다. 

반면, 우리나라는 2020년에 데이터 3법 개정을 통해 마이데이터 산업에 대한 기반을 마련하기 시작하였으나 「신용정보법」 에서 '개인정보 전송요구권'을 규정하고 있어 개인신용정보에 대해서만 권리를 인정하고 있다.  개인신용정보는 성명, 주민증록 번호 등 개인의 신용도 파악을 위한 정보로 한정되어 있어 데이터 산업의 활성화가 느려 질 수 있다는 우려가 있다. 보편화된 시장과 서비스 경쟁에 대비하여 다양한 산업에서 데이터 시장을 활성화 하기 위해서는 앞서 설명한 다양한 국가들의 사례들과 같이 「개인정보보호법」에 '개인정보이동권'을 신설하고 다양한 분야에서의 정보주체의 권리를 보장하기 위한 보편화된 지침 및 규정을 고려할 필요가 있다.

2) 대형 기업과 정보주체 간의 주도권 불균형 해결을 위한 개인 권리 보장

우리나라의 마이데이터 제도는 다른 나라에 비해 정보주체의 통제권 확보 방식에 대한 구체적 요구사항이 부재한 상황에 있다. 그리고 정보주체와 기업간의 정보 불균형을 해결하기 위해 적극적으로 개인정보의 이용을 장려하기보다 사생활 침해의 소지를 막고자 「신용정보법」 으로 개인신용정보의 보호를 강화하고 있다. 이러한 신중함이 오히려 정보주체의 정보통제권을 제한하고 마이데이터 사업 허가를 받은 기업에게 주도권을 뺏길 수 있는 우려가 있다.  

반면 유럽연합(EU)에서는 기존의 권리 및 제도로는 정보주체와 기업간의 불균형 문제를 해결하기 어렵다고 판단하여 개인의 자유로운 정보 이전과 재사용을 권리화하여 정보주체의 통제권을 강화하고 소비자가 필요에 따라 언제든 새로운 플랫폼을 선택할 수 있도록 하였다. 이처럼 힘의 불균형 해결을 위해 개인정보보호의 권리를 침해하지 않으면서 개인정보의 이동권을 강화할 구체적 지침이 필요할 것이다.

06. 결론

지금까지 본문을 통해 국 내·외 개인정보이동권 도입 현황과 마이데이터 기업 사례를 알아보고 '개인정보이동권' 보편화의 필요성과 이에  따른  주요  시사점을 알아보았다. '개인정보이동권' 및 '개인신용정보 전송요구권'은 나라마다 추진 목적 및 성격이 다를 수 있다. 그렇지만 무조건적인 보호만능주의로 인한 정보의 보호는 데이터 경제 시대에서 경쟁력을 확보하는데 걸림돌이 될 것이다. 시대에 따라 문화가 바뀌듯 제도와 지침들도 시대의 흐름에 따라 변화해야 한다. 

앞으로는, 해결해야할 과제로 정보주체의 형식적 동의에 기반한 '개인정보이동권' 도입이 정보주체의 자기정보 통제권을 강화 시켜 줄 수 있을지에 대한 시각과 다른 정보 처리자에게 API를 전송할 권리를 실현시킬 수록 데이터보안침해의 위험이 커질 가능성을 고려하여 면밀한 정책 검토 및 시행의 자세가 필요할 것이다.

07. 참고자료

[1] 금융위원회(2021.2.22), '마이데이터 운영 가이드라인 발간 및 마이데이터 지원센터 개소'

[2] 금융위원회(2018.7.17), '금융분야 마이데이터 산업 도입방안＂

[3] KISA GDPR 대응지원 센터, '정보주체의 권리'

[4] 한국인터넷진흥원(2021), 제3호, '개인정보보호 동향분석보고서'

[5] 한국데이터산업진흥원(2018), '2018 데이터산업 백서'

[6] 한국데이터산업진흥원(2019.12), '데이터 이동권 도입 방안 연구'

[7] 한국데이터산업진흥원(2019.10), 'MyData 2019 컨퍼런스 참가 및 선진 기업 방문을 위한 국외 출장 결과'

[8] 한국인터넷진흥원(2021.3), '개인정보보호 동향분석보고서'

[9] 보험연구원(2021.4), '금융 마이데이터 도입 현황과 시사점'

[10] 김서안, 이인호(2018), 중앙대학교, '유럽연합과 미국에서의 개인정보이동권 논의와 한국에의 시사점'

[11] 정원준(2020.6), 성균관법학, Vol.32, '데이터 이동권 도입의 실익과 입법적 방안 모색'

[12] 조영은, 최정민(2020.10.21), 국회입법조사처, 제1767호, '데이터 이동권 도입의 실익과 입법적 방안 모색'

[13] 오세진, 이재준(2021.3), KDB미래전략연구소 미래전략개발부, 제784호, '마이데이터 국내외 현황 및 주요 해외 사례'

[14] Mydex, 'Mydex 공식 사이트', https://dev.mydex.org/

[15] Cozy Cloud, 'Cozy Cloud 공식 사이트', https://cozy.io/