보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

개인정보이동권 보편화의 필요성과 주요 시사점

2021.11.03

30,797


 

 

 

 

01. 개요

 

 

 

[그림 1] 마이데이터활용 사례 (출처 : 코스콤)

 

 

지속적인 기술의 발전에 따라 개인은 개인 정보를 활용하여 다양한 맞춤형 서비스를 제공 받을 수 있게 되었다. 이러한 시대의 흐름에 따라 개인정보의 경제적·사회적 중요성이 커지고 있는 추세다. 이에, 개인은 자신의 개인정보를 이전을 원하는 서비스에 선택하여 이전시켜 개인 맞춤형 서비스에 재사용할 수 있도록 하는 '개인정보이동권'이 등장했다. 

 

'개인정보이동권'을 개인정보보호법으로 규정하고 있는 다른 국가들과는 다르게 우리나라에서는 「신용정보법」에서 '개인정보 전송요구권'을 규정하고 있다. 「신용정보법」 은 금융 산업에 특화된 금융 관리 개별법으로 금융 서비스 분야가 주요 법 적용 범위이다. 따라서 금융분야에서만 제한적으로 시장 경쟁을 촉진하고 있는 것은 아니냐는 우려의 목소리가 나오고 있다.

 

이러한 우리나라의 상황을 미루어 보았을 때, 개인정보이동권 보편화의 필요성은 간단하게 두 가지로 말할 수 있다.

 

첫번째, 데이터 산업 활성화 및 실질적 시장에서의 보편적 경쟁을 위한 대비

현재 우리나라는 정부당국의 엄격한 개인정보규제로 데이터 활용이 위축되어 데이터 시장 규모에 비해 데이터 활용 및 분석 수준은 낮은 위치에 머물러 있다고 평가받고 있다. 이에, 정보부처들이 데이터 산업 활성화를 위해 각 분야별 마이데이터 정책을 수립/시행하고자 하는 상황이다. 따라서 금융 분야 뿐 아니라 보편화된 시장에서의 개인정보이동권  규정을 통해 모든 산업 영역에서의 보편적 경쟁을 촉진해볼 필요가 있다.

 

두번째, 개인정보 보유 기업과 정보주체 간의 주도권 불균형의 해결

「일반개인정보보호법(GDPR)」 은 개인정보 전체를 대상으로 개인의 정보관리 권한을 상세히 규정하고 있고 미국은 「스마트 공시(Smart Disclosure)」 를 통해 다양한 분야에서의 정보에 대한 권리를 보장하여 기업과 정보주체 간 힘의 불균형을 해결하고자 하였다. 하지만 우리나라의 경우 개인정보 통제권을 확보할 방법을 자세히 규정하지 않아 주도권이 한쪽이로 치우칠 수 있기때문에  좀 더 자세하고 보편화된 정책이 필요한 상황이다.

 

이에 본문에서는 국 내·외 개인정보이동권 도입 현황과 마이데이터 기업 사례를 통해 '개인정보이동권' 보편화의 필요성과 이에 따른 주요 시사점을 좀 더 자세히 알아보고자 한다.

 

 

02. 국내 현황 : 신용정보법의 개정과 개인정보 전송요구권의 도입

 

우리나라의 경우 정보주체(개인)의 권리 보장과 개인 정보를 이용한 다양한 서비스를 통해 마이데이터 산업을 발전 시키고자 데이터 3법을 개정하였다. 그 중에서도 '신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법‘)'에 추가된 '신용정보 전송요구권'을 행사하여 데이터를 효과적으로 수집할 수 있도록 하였다. 이는 개인정보 자기결정권을 보장하지만 신용정보에 한정되어 있다는 점에서 다른 국가와는 차이가 있다. 이후, 데이터 이동권과 관련한 내용이 포함된  「데이터 기본법」, 「데이터의 이용촉진 및 산업진흥에 관한 법률안」 이 발의 되었으나 아직은 정부 입법안으로 그친 상태다. 「신용정보법」이 포함된 데이터 3법의 주요 내용과 함께 개인정보 전송 요구권의 개념을 다음 자료를 통해 살펴보자.

 

01) 데이터 3법 개정 주요 내용

 

법령

개정 주요 내용

개인정보보호법

개인정보 개념을 개인정보·가명정보·익명정보로 명확화
민감정보에 생체인식정보와 인종·민족 정보 포함
체계적인 개인정보 보호를 위한 위원회 운영제도 개선
정보통신망법 시행령의 관련 규정 이관

정보통신망법

정보통신망법에 규정된 개인정보 보호에 관한 사항을 개인정보 보호법으로 이관
정보통신망법에 존치되는 업무 관련 조문 체계 정비

신용정보법

개인정보 자기결정권 제도 도입 (개인정보 전송요구권, 프로파일링 대응권)
마이데이터(본인신용정보관리업) 도입
신용정보업 규제체계 선진화
금융권 정보보호 상시 평가제
금융권 정보활용·제공 동의서 개편

 

 

02) 개인정보 전송 요구권이란?

 

 

 

① 정보주체가 개인신용정보 전송요구권을 행사하여 필요한 정보 항목을 선택 후 금융회사가 해당 정보를 마이데이터 사업자에게 제공할 것을 요구

② 금융회사는 정보주체의 정보를 마이데이터 사업자에게 표준화된 전산처리방식(API)으로 전달하고 정보주체의 인증정보는 암호화하여 안전하게 전달

③ 정보주체는 마이데이터 사업자를 통해 정보를 일괄 조회

 

(출처 : 금융위원회(2018.7.17), '금융분야 마이데이터 산업 도입방안' 인용)

 

 

03. 해외 현황 : 개인정보보호법과 개인정보 이동권

 

개인정보의 가치가 급상승하면서 많은 개인정보들을 보유하고 있는 거대 플랫폼 기업들이 소비자 보다 더 큰 힘을 가지게 되었고 이러한 상황은 플랫폼 기업과 소비자 사이의 불균형 문제를 일으켰다. 이러한 문제가 기존에 존재하는 개인 정보 동의 제도로는 해결이 어려워지게 되었다. 이에 유럽연합(EU)에서 해결책으로 내놓은 것이 '개인정보이동권'이다. 유럽연합(EU)은 「일반개인정보보호법(GDPR)」 에 '개인정보이동권'을 도입하여 정보주체(소비자)의 통제하에 개인 정보를 자유롭게 이전하고 플랫폼을 선택하여 다른 서비스에 재사용할 수 있도록 하였다. 그리고 소비자와 기업 사이의 불균형을 해결하고 기업 간의 경쟁을 촉진하는 것을 목표로 정책 강화를 추진하고 있다.

 

이러한 유럽 「일반개인정보보호법(GDPR)」을 시작으로 미국 「캘리포니아소비자 프라이버시법(CCPA)」, 「버지니아 소비자 데이터 프라이버시 보호법(VCDPA)」, 캐나다의 「 소비자 개인정보 보호법(법안 C-11)」, 싱가포르의 「 개인정보보호법 (PDPA) 」 등 다양한 국가에서 '개인정보이동권'을 통과 시켰다.

 

 

1) 유럽(EU)

 

유럽연합(EU)는 「일반개인정보보호법(GDPR)」 을 통해 다양한 산업에 걸쳐 소비자의 데이터에 대한 권리를 강화하고자 하였고 「2차 결제 서비스 지침(PSD2)」 을 통해 '개인정보이동권'을 금융 산업에 적용하였다. 그 외, '유럽 의료정보 공간', '의료서비스를 위한 클라우드 보안 지침"을 통해 「의료정보이동권」을 촉진하고자 하였다. 「일반개인정보보호법(GDPR)」 , 「2차 결제 서비스 지침(PSD2)」, 「의료정보이동권」 의 내용을 살펴보자면 다음과 같이 요약할 수 있다.

 

개인정보보호규정(GDPR) 시행

 

2018년 5월 「일반개인정보보호법(GDPR)」 시행, 정보 주체가 행사할 수 있는 권리와 '개인정보이동권'을 포함하고 있음

'개인정보이동권'을 통한 대형 기업들의 시장 지배, 개인과 기업간의 힘의 불균형 해결을 목표로 하고 있음

 

 

GDPR 상 정보주체의 권리

  

권리

주요 내용

정보를 제공받을 권리

정보주체의 개인정보를 어떻게 처리하고 있는지 명확하게 무상으로 알려 줘야함

정보주체의 열람권

정보주체의 요구가 있을 시 자신의 정보를 열람할 수 있도록 조치

정정권

개인정보가 부정확하거나 불완전할 시 정정을 요구할 권리가 있음

삭제권(신설)

정보주체는 개인정보의 삭제를 요구할 권리가 있고 처리 목적 달성 시 삭제

처리 제한권(신설)

정보주체가 개인정보 처리의 차단·제한 권리를 행사할 시 그 정보는 보관만 가능

개인정보 이동권(신설)

정보주체나 타 기업(컨트롤러)에게 자신의 데이터를 제공하도록 요구할 수 있음

반대권

정보주체는 프로파일링 등 본인 관련 정보 처리에 대해 언제든 반대할 수 있음

프로파일링을 포함한

자동화된 의사결정(신설)

법적 효력을 초래하거나 중대한 사항의 자동화 처리에만 근거한 인적 개입 없는 결정의 적용을 받지 않을 권리

 

[표 1] '정보주체의 권리' 인용 (출처 : KISA GDPR 대응지원 센터)

 

 

2차 결제 서비스 지침(PSD2: Payment Services Directive 2) 개정

 

2021년 1월 부터 「2차 결제 서비스 지침(PSD2)」을 유럽 지역 전반적으로 적용, 금융정보의 이동권에 관한 사항을 추가하고 보안성을 강화하여 핀테크 서비스를 촉진

「2차 결제 서비스 지침(PSD2)」에 따라 신용카드를 통한 모든 온라인 결제에는 강력한 고객 인증과 이동권 관련 추가 사항을 적용

 

 

2차 결제 서비스 지침(PSD2)에 적용된 추가 사항

 

추가 사항

내용

투명성 요건(기존)

(’181) 가격, 고객권리, 금융보고 측면에서 투명성을 높이고 유럽경제권(EEA)에 하나 이상의 거래 당사자의 인터넷상 거래에 적용

보안성 요건(신규)

(’211) 강력한 고객인증 등 보안 사항 규정, 대상: 전자상거래 모든 당사자

이동권 관련 기술 요건(신규)

(’211) 은행이 결제기관을 이용하여 계정정보에 접근하고 고객을 대신하여 결제 시작을 허용해야 하는 기술적 요구사항 규정

 

 

의료정보 이동권의 추진

 

유럽 집행위원회(EC)에서 '유럽 의료정보 공간(European Health Data Space 2019~2025)' 과제 추진을 통해 전자의료 기록, 유전자 데이터, 환자 등록 데이터 등 의료정보의 접근과 이동권의 이용을 장려함

'유럽 의료정보 공간을 위한 공동 조치'을 설립하여 유럽의 공중 보건, 치료, 연구 혁신을 위한 의료 정보 공유하고자 함

EU 사이버 보안원(ENISA)에서 '의료정보이동권'과 '의료서비스를 위한 클라우드 보안 지침'의 세부 지침에 '개인정보 이동권'과 상호 운용성 관련 지침을 포함하여 발표함

 

 

2) 영국

 

영국은 「마이데이터(Midata)」를 시행하여 기업이 보유하고 있는 개인 정보를 디지털화 및 제공할 수 있도록 하였고 최초로 「오픈 뱅킹」정책을 의무화한 국가다. 더불어, 영국 국방부(MOD)는 지난 2021년 1월 유럽연합(EU)의 「일반 개인정보보호법(GDPR)」 을 기반으로 한 '개인정보보호: 정보주체의 권리(Data Protection: rights for data subject)' 가이드 라인을 제시하여 서비스 간의 개인정보를 쉽게 이동, 복사, 전송하여 재사용할 수 있도록 하고자 하였다. 이러한 목표 달성을 위해 해당 가이드라인은 개인정보에 대한 알 권리, 정보접근권리, 수정권, 삭제권 처리제한 권리, 개인정보 이동권, 지동화된 의사결정과 프로파일링 권리 등등 다양한 지침 을 포함하고 있다.

 

 

3) 미국

 

미국은 2011년 부터 연방정부의 주도하에 「스마트 공시(Smart Disclosure)」 정책을 추진했다. 해당 정책의 세부 항목으로  '블루버튼(Blue Button)', '그린 버튼(Green Button)', '마이 스튜던트 버튼(My Student Button)'을 적용하여 의료, 에너지, 교육 분야로 '개인정보이동권'을 확대하고자 하였다. 이처럼, 미국 정부는 공공기관이 보유한 정보와 민간이 보유한 정보를 정보주체에 제공·활용하여 소비자들에게 맞춤형 서비스를 제공할 수 있도록 협력하고 있는 상황이다.

 

스마트공시(Smart Disclosure) 정책 내용

 

분류

세부 항목

블루 버튼 (건강·의료)

블루 버튼을 클릭하여 의료기록에 접속하고 전자파일로 내려받아 활용
각종 의료정보, 긴급연락처, 의료팀 보험자를 위한 데이터 다운로드

그린 버튼 (에너지)

그린 버튼을 클릭하여 자신의 에어지 사용량 및 요금 데이터 확인
실시간 전력사용량 확인을 통한 전력 수요 절감

마이 스튜던트 버튼 (교육)

마이 스튜던트 버튼을 클릭하여 교육비 대출·보조금 데이터 등 열람
학적 기록 및 학자금 대출 데이터 열람·다운로드

 

[표 2] '2018 데이터산업 백서' 인용 (출처 : 한국데이터진흥원(2018))

 

 

미국의 캘리포니아에서는 「일반개인정보보호법(GDPR)」 과 같은 공공과 민간을 포괄하는 개인정보보호의 일반법이 부재한 대신 2018년 6월에 제정된 「캘리포니아소비자 프라이버시법(CCPA)」을 적용하고 있다. 그리고 이어서 2021년 2월 버지니아주에서는 개인정보 이동권이 포함된 「소비자 개인정보보호법안(Senate Bill No. 1392)」이 상원 통과된 바 있다 (최종 제정 시, 2023년 1월 시행 예정). 「캘리포니아소비자 프라이버시법(CCPA)」과 버지니아주의 법안의 주요 내용은 다음과 같이 요약할 수 있다.

 

 

캘리포니아주 소비자프라이버시법(CCPA)

 

열람권의 일부로 개인정보 이동권 보장, 정보의 상세 내역과 개인정보의 사본도 제공받을 수 있는 권리 보장

하지만, 개인정보를 수령할 권리로 한정되며 12개월 동안 수집된 개인정보만 적용함

 

 

버지니아주 소비자 개인정보보호법안- Senate Bill No. 1392(예정)

 

소비자 개인정보보호법을 버지니아 법령에 추가한 것으로 바이오인식정보, 정확한 위치 정보, 프로파일링, 민감한 정보, 표적 광고에 대한 정의 포함

소비자가 개인정보를 수정할 권리, 삭제할 수 있는 권리, 개인정보 이동권, 개인정보 처리 거부할 수 있는 권리 보장

 

 

그 외, 미국에서는 오픈 뱅킹에 대한 규정을 시행하고 있지 않지만 민간 단체인 '금융데이터 거래협회 (FDE: Financial Data Exchange)' 를 설립하여 민간 중심으로 금융데이터 공유가 활발히 이루어지도록 하였고 '미국 보건복지부(HHS: Health and Human Services)'에서는 「의료보험 이동성 및 책임성에 관한 법률(HIPAA: Health Insurance Portability And Accountability Act)」 개정안을 마련하여 병원 단위의 의료정보이동권을 규정, 의료 산업 발전을 위한 의료정보 공유, 환자가 자신의 의료 정보에 접근할 수 있는 권리 를 담고자 하였다.

 

 

4) 일본

 

일본의 개인정보 보호법은 유럽연합(EU) GDPR 처럼 개인정보 이동권과 같은 규정을 시행하고 있지 않은 상황이다. 하지만 정부의 주도하에 일본은 2018년 5월 「정보 신탁 기능의 인정에 관한 초안」을 발표하여 마이 데이터와 유사한 '개인 정보 유통 체계'와 '정보은행(정보이용 신용은행 제도)"을 추진하였다. 

 

'개인 정보 유통 체계'와 '정보은행(정보이용 신용은행 제도)"이란 일본의 상황에 맞춘 개인 데이터 활용 구조로 관광, 금융(핀테크), 의료, 헬스케어, 인재 등 다양한 분야에서 개인(정보주체)의 의사에 따라 개인정보를 활용할 수 있도록 하였다. 다른 나라와의 차이점은 개인이 직접 개인정보에 대한 결정권을 행사하기보다는 개인이 정한 조건에 따라 대리인이 타당성을 판단하고 개인 정보를 다른 사업자(제 3자)에게 제공하는 방식에 가깝다. 

 

 

5) 기타 국가

 

국가명

주요 현황 내용

캐나다

[ 202012월 소비자 개인정보보호법 (Bill C-11 법안) 추진 ]

새로운 요구사항, 명령, 벌금 및 개인정보보호 권리, 개인정보 이동권 규정
조직은 개인 정보를 개인의 요청에 따라 지정한 조직에 신속히 제공하도록 규정
개인 정보 이동권을 통해 개인의 개인정보 통제력 강화, 정보 이동을 통한 기업 간 경쟁 촉진, 개인의 서비스 제공자 변경을 용이하도록 함
GDPR과 달리 개인정보 접근권리나 폐기 요청 권리를 동일한 수준으로 취급하지 않음

이스라엘

[ 20211월 개인정보보호 당국, 독점금지 당국, 소비자 보호 당국의 공동의견서 발표 ]

정보 주체들이 다른 제3자로의 데이터 전송과 이용을 허용하고 기관이 수집한 개인정보 사본을 획득할 수 있도록 정책 추진
개인정보 이동권을 통한 정보 주체의 개인 정보 통제력 강화, 개인의 신뢰 향상, 정보 제공을 통한 산업 발전에 기여하고자 함
개인정보 이동권이 개인 식별이 가능한 디지털 정보와 개인으로부터 수집한 정보에 대해서만 무료로 제공할 것을 제안

싱가포르

[ 202011월 개인정보보호법(PDPA) 개정 통과 ]

PDPA 개정을 통한 개인정보 이동권 도입, 정보 주체의 개인 정보에 대한 통제력 강화
개인정보 이동권에 관련한 새로운 용어 도입
개인은 자신의 개인정보를 수신 조직에 직접 전송하도록 이동 조직에 요청할 수 있음
개인정보 전송이 개인이나 제3자의 안전을 위협할 수 있거나, 국가이익에 반하는 경우, 개인정보위원회가 금지했을 시 개인 정보 전송이 불가함

 

[표 3] '개인정보보호 동향분석보고서' 인용 (출처 : 한국인터넷진흥원(2021.03))

 

 

04. 다양한 산업에서의 개인정보 이동권 보편화 사례

 

 

[그림 2] (출처 : digi.me)

 

 

1) 디지미(Digi.me), 영국의 대표적인 개인데이터저장소 기업

 

디지미(Digi.me)는 2009년 영국  Julian Ranger 에 의해 설립된 대표적인 개인데이터 저장소(Personal Data Store, PDS) 기업으로 다양한 서비스에 개인 정보를 활용하고 있다. 해당 기업은 고객의 선택 하에 여러 곳의 개인 데이터를 수집하여 한 곳에 저장, 공유할 수 있도록 기능을 제공한다. 그리고 이러한 정보들을 고객이 허용하는 범위에 한해서 제 3자에게 제공될 수 있도록 한다는 면에서 개인정보 이동권 보편화를 보여주는 대표적인 사례라고 할 수 있다.

 

디지미의 활용 방법으로는 디지미 앱에 개인정보를 가져올 사이트와 아이디, 비밀번호를 입력하면 디지미에서 데이터를 암호화하여 개인 소유의 Dropbox, Google Drive, OneDrive 등 클라우드 계정에 저장하고 수집 현황 정보를 볼 수 있는 화면을 출력한다. 그 후, 정보 주체가 클라우드에 저장된 정보를 원하는 서비스에 제공될 수 있도록 허락하면 디지미에서 해당 데이터들을 이용 회사들이 사용하기 편한 형태로 데이터를 가공하여 제공하게 된다.  이러한 과정을 바탕으로 디지미는 고객들의 재무관리를 해주기도하고  특정 국가 여행 시 여행 정보나 고객에게 어떤 백신이 필요한지 알려주거나 고객의 건강 상태에 따라 특정 질병의 발병 가능성을 진단하는 등 다양한 분야에서 활용될 수 있다. 이처럼 디지미는 금융기관의 거래 정보 외에 SNS, 의료, 음악 등 비금융 영역에서의 정보도 수집하고 처리할 수 있다.

 

수집 대상

내용

소셜 활동

Facebook, Instagram, Twitter, Pinterest Flickr

의료

1000개 의료 관련 기관 (영국, 아이슬란드, 미국)

금융

1000개 금융기관의 거래내역, 비자, 마스터 카드 등 주요 카드사 사용 내역

건강과 운동

Fitbit, Garmin(웨어러블 기기) - 걸음 수, 칼로리, 운동 유형 및 시간 등 실시간 정보

엔터테인먼트

Spotify, 유튜브  - 아티스트, 노래 및 장르, 재생 목록, 좋아요 기록, 업로드 동영상 등

 

[표 4] 금융 마이데이터 도입 현황과 시사점 (출처 : 보험연구원(2021.4))

 

 

  

[그림 3] (출처: Mydex, https://dev.mydex.org/)

 

 

2) 마이덱스(Mydex), 공공·사회적 목적을 위한 개인데이터 저장소 기업

  

마이덱스(Mydex)는 2008년 영국에 설립된 기업으로 CIC(Commnuity Interest Company, 공동체 이익 회사)가 운영하는 개인 정보 플랫폼이다. 마이덱스는 기업 ·정부기관이 보유한 개인 정보를 수집·관리하고 제3자(기업)에게 공유 할 수 있는 기능이 있고 개인데이터 저장소(Personal Data Store, PDS)와 오픈 소스 기반의 소프트웨어를 통해 보다 안전하게 개인 정보를 관리하도록 지원하고 있다. 개인 정보 데이터의 종류나 범위는 개인의 선택에 따라서 다르게 설정할 수 있는데, 이러한 데이터들을 활용하여 전기요금 관리, 세금 환급, 해외여행, 온라인쇼핑 등등 다양한 서비스를 개인 맞춤형으로 제공한다. 마이덱스는 공동체 이익 회사가 운영하고 있어 공공·사회적 목적이 크다는 것이 다른 기업들과의 다른 점이라고 볼 수 있다. 따라서 마이덱스 플랫폼은 개인에게 무료로 제공되는 것은 물론이고 개인데이터를 3rd party(서드 파티)에게  판매하지 않는다는 특징이 있다. 대신 기업 에서 마이덱스 플랫폼에 연결할 경우 초기 연결 비용이 발생하고 서비스 제공 과정에서 수익이 발생하거나 개인 데이터를 사용할 경우 수수료를 지불하도록 하였다.

 

 

 [그림 4] (출처: Cozy Cloud, https://cozy.io)

 

 

3) 코지 클라우드(Cozy Cloud), 개인용 클라우드를 이용한 개인데이터 플랫폼

 

코지 클라우드(Cozy Cloud)는 공동 창립자이자 CEO인 Benjamin André 가 설립한 프랑스 스타트업 기업이다. 처음엔 Dropbox의 경쟁업체 중 하나로 파일·데이터 저장소로 시작하였으나 편리한 서비스를 이용하기 위해  개인 정보 보안을 포기한  사람들 그리고 반대로 개인 정보 보호를 위해 대기업에 데이터를 제공하지 않은 사람들이 겪는 불편함을  지켜보면서  개인 데이터 플랫폼 개발을 고려하게 되었다.  그리고 개발된 것이 지금의 코지 클라우드이다. 코지 클라우드의 특징으로는 다양한 서비스로 부터 개인 정보 를 개인용 클라우드에 수집하고  해당 정보들을 사용할 서비스들을 퍼스널 클라우드에 추가할 수 있다.  예로 들면, 한 고객이 가지고 있는 여러 가지 계정들로 부터 청구서 정보를 다운로드하여 코지 클라우드에 저장하고 전기 요금이나 전화 요금과 같은 필요 정보들을 코지의 인터페이스를 통해 찾아 보거나 코지 뱅크(Cozy Bank)를 통해 청구서들을 열어보고 코지 헬스(Cozy Health)를 통해 건강 비용을 추적하고 건강 보험료로 환급 받을 수 있는지 확인할 수 있다.  이외에도 기본적으로 제공되는 일정관리, 메모, RSS 리더, 메일, IRC 서버를 이용한 애플리케이션들을 하나의 '블록' 처럼 추가하여 다양한 방향으로 개인 정보에 접근하고 활용할 수 있다.

 

 

05. 주요 시사점

 

1) 보편화된 시장 경쟁을 위한 정보주체 권리의 확대

 

유럽연합(EU)는 「일반개인정보보호법(GDPR)」 을 통해  다양한 산업에 걸친 소비자의 데이터에 대한 권리를 강화하였고 미국에서는 「스마트 공시(Smart Disclosure)」 를 통해 의료, 에너지, 교육 분야에서의 데이터 산업을 활성화하였다. 그리고 일본에서는 '개인 정보 유통 체계'와 '정보은행(정보이용 신용은행 제도)'을 통해 금융, 의료, 헬스케어, 인재 등 다양한 분야에서 정보주체의 의사에 따라 개인정보를 활용할 수 있도록 하였다. 

 

반면, 우리나라는 2020년에 데이터 3법 개정을 통해 마이데이터 산업에 대한 기반을 마련하기 시작하였으나 「신용정보법」 에서 '개인정보 전송요구권'을 규정하고 있어 개인신용정보에 대해서만 권리를 인정하고 있다.  개인신용정보는 성명, 주민증록 번호 등 개인의 신용도 파악을 위한 정보로 한정되어 있어 데이터 산업의 활성화가 느려 질 수 있다는 우려가 있다. 보편화된 시장과 서비스 경쟁에 대비하여 다양한 산업에서 데이터 시장을 활성화 하기 위해서는 앞서 설명한 다양한 국가들의 사례들과 같이 「개인정보보호법」에 '개인정보이동권'을 신설하고 다양한 분야에서의 정보주체의 권리를 보장하기 위한 보편화된 지침 및 규정을 고려할 필요가 있다.

 

 

2) 대형 기업과 정보주체 간의 주도권 불균형 해결을 위한 개인 권리 보장

 

우리나라의 마이데이터 제도는 다른 나라에 비해 정보주체의 통제권 확보 방식에 대한 구체적 요구사항이 부재한 상황에 있다. 그리고 정보주체와 기업간의 정보 불균형을 해결하기 위해 적극적으로 개인정보의 이용을 장려하기보다 사생활 침해의 소지를 막고자 「신용정보법」 으로 개인신용정보의 보호를 강화하고 있다. 이러한 신중함이 오히려 정보주체의 정보통제권을 제한하고 마이데이터 사업 허가를 받은 기업에게 주도권을 뺏길 수 있는 우려가 있다.  

 

반면 유럽연합(EU)에서는 기존의 권리 및 제도로는 정보주체와 기업간의 불균형 문제를 해결하기 어렵다고 판단하여 개인의 자유로운 정보 이전과 재사용을 권리화하여 정보주체의 통제권을 강화하고 소비자가 필요에 따라 언제든 새로운 플랫폼을 선택할 수 있도록 하였다. 이처럼 힘의 불균형 해결을 위해 개인정보보호의 권리를 침해하지 않으면서 개인정보의 이동권을 강화할 구체적 지침이 필요할 것이다.

 

 

06. 결론

 

지금까지 본문을 통해 국 내·외 개인정보이동권 도입 현황과 마이데이터 기업 사례를 알아보고 '개인정보이동권' 보편화의 필요성과 이에  따른  주요  시사점을 알아보았다. '개인정보이동권' 및 '개인신용정보 전송요구권'은 나라마다 추진 목적 및 성격이 다를 수 있다. 그렇지만 무조건적인 보호만능주의로 인한 정보의 보호는 데이터 경제 시대에서 경쟁력을 확보하는데 걸림돌이 될 것이다. 시대에 따라 문화가 바뀌듯 제도와 지침들도 시대의 흐름에 따라 변화해야 한다. 

 

앞으로는, 해결해야할 과제로 정보주체의 형식적 동의에 기반한 '개인정보이동권' 도입이 정보주체의 자기정보 통제권을 강화 시켜 줄 수 있을지에 대한 시각과 다른 정보 처리자에게 API를 전송할 권리를 실현시킬 수록 데이터보안침해의 위험이 커질 가능성을 고려하여 면밀한 정책 검토 및 시행의 자세가 필요할 것이다.

 

 

07. 참고자료

 

[1] 금융위원회(2021.2.22), '마이데이터 운영 가이드라인 발간 및 마이데이터 지원센터 개소'

[2] 금융위원회(2018.7.17), '금융분야 마이데이터 산업 도입방안"

[3] KISA GDPR 대응지원 센터, '정보주체의 권리'

[4] 한국인터넷진흥원(2021), 제3호, '개인정보보호 동향분석보고서'

[5] 한국데이터산업진흥원(2018), '2018 데이터산업 백서'

[6] 한국데이터산업진흥원(2019.12), '데이터 이동권 도입 방안 연구'

[7] 한국데이터산업진흥원(2019.10), 'MyData 2019 컨퍼런스 참가 및 선진 기업 방문을 위한 국외 출장 결과'

[8] 한국인터넷진흥원(2021.3), '개인정보보호 동향분석보고서'

[9] 보험연구원(2021.4), '금융 마이데이터 도입 현황과 시사점'

[10] 김서안, 이인호(2018), 중앙대학교, '유럽연합과 미국에서의 개인정보이동권 논의와 한국에의 시사점'

[11] 정원준(2020.6), 성균관법학, Vol.32, '데이터 이동권 도입의 실익과 입법적 방안 모색'

[12] 조영은, 최정민(2020.10.21), 국회입법조사처, 제1767호, '데이터 이동권 도입의 실익과 입법적 방안 모색'

[13] 오세진, 이재준(2021.3), KDB미래전략연구소 미래전략개발부, 제784호, '마이데이터 국내외 현황 및 주요 해외 사례'

[14] Mydex, 'Mydex 공식 사이트', https://dev.mydex.org/

[15] Cozy Cloud, 'Cozy Cloud 공식 사이트', https://cozy.io/