빅데이터 - 데이터 소유권 - 데이터 3법 이후 마이데이터 보호에 관한 법적 연구.

2. 마이데이터의 개념과 추진 현황

(1) 마이데이터의 개념
마이데이터의 개념을 정의하기에 위해서는 데이터, 소비자 데이터 주권의 개념을 알아
야 한다. 데이터는 개별 데이터 자체로는 의미가 중요하지 않은 객관적 사실을 말하며, 데이터의 가공·처리와 데이터간 연관관계 속에서 의미가 도출된 것이 정보이다.48) 즉, 데이터란 정보작성을 위하여 필요한 자료로 ‘아직 특정의 목적에 대해 평가되지 않는 상
태의 숫자나 문자들의 단순한 나열’을 뜻하며 IT 관점에서는 가공되지 않은 ‘Raw Data’
를 의미한다. 정보(information)란 데이터를 일정한 프로그램에 따라 컴퓨터가 처리·가공
함으로써 ‘특정한 목적을 달성하는데 필요하거나 특정한 의미를 가진 것으로 다시 생산
된 것’을 뜻한다. 기본적으로 데이터에는 아직까지 법적 소유권이 존재하지 않는다. 데이터는 복제·재생산을 기본 특징으로 하고 있기 때문에 민법에서의 소유권, 즉 배타적 사용·수익·처분 권리를 정의하기 쉽지 않다.49) 또한 저작권은 창작성이 있는 경우에만 인정되기 때문에 데이터는 저작권으로 보호받기도 어렵다. 소비자 데이터 주권이란 소비자가 재화 및 서비스를 이용하는 과정에서 생성된 데이터의 생성, 저장, 유통 및 활용에 대해 데이터 주체로서 소비자가 가지는 배타적인 권리로 소비자 이익을 위해 데이터의 흐름, 공개·비공개 여부, 사용 등을 소비자 스스로 통제할 수 있는 권리를 말한다.50)
마이데이터(My Data)는 “정보주체인 개인이 본인의 정보를 적극적으로 관리, 통제하
고, 이를 신용관리, 자산관리, 나아가 건강관리까지 개인생활에 능동적으로 활용하는 일
련의 과정”이다.51) 이를 통해 각종 기관과 기업 등에 분산돼 있는 자신의 정보를 한꺼
번에 확인할 수 있으며, 업체에 자신의 정보를 제공해 맞춤 상품이나 서비스를 추천받을 
수도 있다.52)
마이데이터 서비스는 정보주체인 개인이 자신에 관한 정보를 직접 관리, 통제하는 정
보보호의 관점과 최신 정보기술을 이용한 신규 금융서비스라는 두 가지 성격을 가지고 
있다53)
마이데이터는 개인정보보호와 상반된 개념이 아니다. 개인정보보호는 기업 관점에서 
기업소유의 개인데이터에 대한 기업의 권한과 책임에 관한 개념이라면, 마이데이터는 개인 관점에서 기업 소유의 개인데이터에 대한 개인 권한과 책임에 관한 개념이다. 마이데이터 개념은 기업 중심의 개인데이터 생태계에서 개인데이터의 주인인 개인에게 자신의 데이터를 통제 및 관리할 수 있는 권한을 돌려주는 개념이다.54)
마이데이터 개념을 마이데이터 제도 및 서비스로 전환하기 위해서는 최소한 원칙이 
필요하다. 첫째, 개인이 데이터 권한을 가져야 한다. 즉 개인이 개인데이터의 접근, 이동, 활용 등에 대한 통제권 및 결정권을 가져야 한다. 둘째, 데이터 제공이 자유로워야 한다. 데이터 보유기업은 개인이 요구할 때, 개인데이터를 안전한 환경에서 쉽게 접근하여 이
용할 수 있는 형식으로 제공하여야 한다. 셋째, 데이터 활용이 자유로워야 한다. 개인이 
요청하고 승인하면 데이터의 자유로운 이동과 제3자의 접근이 가능하여야 한다.55)

(2) 개인데이터 이동권
EU GDPR은 기존 개인정보보호 지침이 보장하는 정보주체의 권리를 보다 명확히 하
는 한편, 기존에 존재하지 않았던 정보주체의 권리를 새롭게 도입하였다. 신설 및 강화
된 권리에는 개인정보의 처리제한권(Right to restriction of processing)56)
, 개인정보 이동권(Right to data portability), 반대권(Right to object)57)
, 삭제권(잊힐 권리)(Right to erasure(‘right to be forgotten’))58) 등이 포함된다. 개인데이터 통제권 중 마이데이터에서 가장 중요한 개념이 ‘개인데이터 이동권’이다. 개인데이터 이동권이란 정보 주체자의 요청에 따라 개인정보처리자(controller)59)에게 제
공한 자신의 정보를 통상적으로 사용되고 기계로 판독 가능한 형식으로 받을 수 있는 
권리를 말하며 기술적으로 가능한 경우에는 정보 주체자의 개인정보를 직접 다른 개인
정보처리자(controller)에게 이전할 수 있는 권리를 말한다.60)
개인데이터 이동권이 해당하는 개인정보의 범위는 제6조(적법한 정보처리) 1항 (a)와 
제9조(민감한 정보처리) 2항 (a)에 해당하는 동의를 기반으로 하며, 자동화된 수단
(automated means)으로 정보가 수집된 경우로 제한된다. 또한 GDPR은 다음과 같은 요건이 갖추어 졌을 때 한하여 이 권리를 행사할 수 있도록 하였다.61) 첫째, 정보처리가 자동화된 수단(automated means), 즉 전자적인 방법으로 행하여질 것을 요한다. 둘째, 정보주체가 그에 관한 개인정보를 동의 또는 계약에 의하여 개인정보처리자에게 제공했어야 하고 또 이동 가능하여야 한다. 주로 정보주체가 직접 SNS에 올린 정보가 주된 대상이며, 개인정보처리자가 기존 정보를 독특한 방법으로 처리하여 간접적으로 취득한 정보62)는 이동대상에서 제외된다. 셋째, 정보처리의 양식(format)은 구조화(structured)되어 있고 통상 사용(commonly used)하는 것이어야 하며, 컴퓨터로 읽을 수 있는(machine-readable) 상호운용 가능한(interoperable) 것이어야 한다. 그러므로 컴퓨터로 처리할 수 있는 디지털화된 문서나 그림은 모두 정보이동의 대상이 된다. 넷째, 개인정보라 할지라도 공익을 위하여 수행하는 정보처리나 개인정보처리자에게 부여된 공적 권한을 행사하는 정보처리인 경우에는 정보이동을 요구할 수 없다63)

미국은 의료보험의 이동성 및 신뢰성에 관한 법률(HIPAA) Privacy rule에 따르면 치
료, 지불, 의료시스템 운영을 위해서는 정보 주체의 허가(동의)없이 정보를 사용할 수 있
으며 이외에는 정보 주체에게 서면 허가(동의)를 받아야 한다.64) 또한 HIPAA Privacy 
Rule에서는 정보 주체자의 동의 철회권을 인정하고 있으나, 두 가지 예외사항이 존재하
는데, ① 의료기관이나 보험사가 이미 동의에 입각해 정보를 사용하고 있을 경우와 ② 
건강보험을 받는 조건으로 동의를 했을 경우에는 철회를 할 수 없도록 규정하고 있다.65)
한편 의료보험의 이동성 및 신뢰성에 관한 법률(HIPAA)에 따라 진료기록의 전자사본을 
제공하도록 의무화하였다.66)

(3) 마이데이터 추진 현황
세계 데이터 시장 규모가 커짐에 따라 데이터 경제의 중요성이 커지고 있으며, 특히 
전 세계에서 생산되는 데이터의 75%가 개인데이터로서 개인데이터의 비중과 가치가 증
가하고 있다.67) 개인데이터는 경제, 사회 등 다양한 분야에서 활용되고 있으며 개인데이터의 활용을 통해 사회 이슈를 해결하는데 기여할 수도 있다.68)
해외에서는 정부차원에서 개인의 개인 데이터 주권 강화와 데이터 경제 활성화를 위
해 마이데이터 관련 정책을 활발하게 시행하면서 마이데이터 생태계를 조성하고 있다. 유럽연합은 GDPR에서 통지받을 권리(right to be information), 접근권리(right of access), 삭제권리(right of erasure) 등 정보주체가 행사할 수 있는 권리들을 규정하고 있다. 마이데이터와 관련하여 데이터 전송요구권이 포함되어 있는데, 고객 요청시 데이터 보관기관은 제3자에게 활용도 높은 형식69)으로 데이터를 전송해야 한다. EU는 2018년 1월부터 ‘개정 지불 서비스 지침’(Payment Service Directive 2, PSD2)을 개정하여 금융기관은 API를 금융기술(핀테크) 기업에 수수료, 처리순서, 업무시간 등에 차별 없이 제공토록 의무화하였다.70) 또한 PSD2에서 고객의 동의하에 API를 통한 제3자의 ‘읽기(read)’와 ‘쓰기(write) 기능을 허용하였다.71) 고객이 요청할 경우 금융기관은 
제3자에게 이러한 기능을 의무적으로 제공해야 한다. PDS2에서는 제3자 지급서비스 제
공자를 크게 계좌정보 서비스제공업자(Account Information Service Provider, ASIP)와 지급지시 전달업자(Payment Initiation Service Provider, PSIP)로 정의해 책임과 의무를 부과하고 있다. 영국은 EU의 법령을 자국법에 수용하면서 은행이 API를 통해 보유 데이터의 읽기 또는 쓰기 기능을 외부에 공개하고 제3자가 이를 활용해 고객에게 서비스를 제공하는 것을 오픈뱅킹이라고 하는 자체적인 오픈뱅킹 기준(Open Banking Standard)을 마련하였다.72) 2016년 경쟁당국(Competition and Markets Authority, CMA)은 은행산업 경쟁도 평가 보고서를 통해 은행간 경쟁이 충분하지 않다고 판단하고 그 해결책의 하나로 오픈뱅킹 제도의 도입을 권고하였다.73) EU PSD2가 2018년 1월 시행됨에 따라 영국의 CMA는 “Retail Banking Market Investigation Order 2017”을 발표하고 2018년 1월 14일부터 ‘Open Banking Standards’라는 정책을 시행하였다.74) 영국 오픈뱅킹은 PSD2에서 요구하는 고객 데이터에 대한 읽기/쓰기 기능은 물론이고, 은행에서 판매하는 개인당좌계좌(personal current account)와 기업당좌계좌(business current account) 등에 대한 상품정보(product information)75) 및 참고사항(reference)76)을 제3자에게 전송할 것을 요구하고 있다. 이를 통해 본인 데이터를 제3자에게 제공하는데 동의하면 본인의 상황에 가장 적합한 금융상품들을 쉽게 비교할 수 있고, 특정 금융상품에 대해서도 제3자를 통해 여러 금융회사의 다양한 상품정보를 한눈에 비교할 수 있게 된다.77). 
호주 정부는 2017년 5월 오픈뱅킹을 통해 본인 데이터와 금융상품 정보에 대한 고객
의 접근성이 확대되면 은행간 경쟁을 통해 혁신적인 금융상품이 등장하고 고객의 효용
을 증대시킬 목적으로 오픈뱅킹을 추진하였다.78) 2017년 12월에 오픈뱅킹에 대한 보고
서가 출간되었으며,79) 동 보고서에서는 오픈뱅킹에 대한 권고안으로서 고객중심, 시장경
쟁유도, 새로운 아이디어가 등장할 수 할 수 있는 환경조성, 효율성 및 공정성 그리고 
보안성 확보라는 네 가지 원칙을 제시하면서 이러한 내용이 소비자법(Competition and 
Consumer Act)에 반영되도록 호주 경쟁당국(Australian Competition Consumer 
Commission, ACCC)에 권고하였다. 2018년 12월 호주 경쟁당국은 “Consumer Data 
Right Rules Framework”라는 보고서80)를 발간하여 오픈뱅킹을 법에 포함시키는 작업을 추진 중이다. 호주 정부는 소비자정보권을 은행산업에 우선 적용하기 위해 오픈뱅킹 정책을 추진하고 있으며 추후 에너지, 통신 분야로도 확대해 나갈 계획이다.81) 호주 오픈뱅킹의 특징은 은행이 보유한 데이터의 전면 개방을 추구하면서 은행이 공개해야 할 금융상품의 범위가 EU나 영국에 비해 훨씬 넓다는 점이다.82) 그 반면에 지급결제 등 쓰기 API 공개를 의무화하지 않고 읽기 API만을 공개하도록 의무화하고 있다. 미국은 2011년에 제정된 소비자프라이버시 권리법(Consumer Privacy Bill of Rights, 
CPBR)에 의하여 소비자의 합리적인 의사결정을 지원하기 위해 공공 및 민간기업이 보
유하고 있는 개인 데이터를 개인에게 돌려주는 ‘스마트공시(Smart Disclosure)’83)를 운영하고 있다. 정보 주도로 의료 및 에너지 분야에서 마이데이터 정책(의무화, 인센티브 등 포함)이 원활하게 추진 중이지만, 주정부별로 관리 권한이 있는 개인데이터의 경우 마이데이터 적용이 어려워 연방정부에서 관리하는 개인데이터에 대한 정책을 우선적으로 추진 중에 있다.84) 스마트 공시는 데이터 도메인에 따라 버튼의 색깔을 다르게 정하고 있다. 블루버튼(Blue Button)은 개인의료데이터를 다운로드할 수 있는 서비스로서 재향군인청(Veterans Affairs), 국방부(Department of Defense), 보건후생부(Health and Human Services) 등이 참여하고 있다. 그린버튼(Green Button)은 소비자들이 자신의 에너지 소비 내역을 알아볼 수 있는 서비스로서 에너지부(Department of Energy), 환경보호청(Environmental Protection Agency) 등이 서비스하고 있다. 마이 스튜던트 데이터 버튼(My Student Data Button)은 미 교육부 주관으로 학생(또는 부모)에게 교육 자료 및 학자금 지원 데이터에 대한 접근권을 제공한다. 오렌지버튼(Orange Button)은 태양열 산업의 데이터를 표준화하여 태양광 설비비용 절감 및 기술 개발을 촉진하기 위한 데이터 공유 정책이다. 오렌지 버튼은 마이데이터라기 보다는 오픈데이터에 가깝다. 핀란드는 2014년부터 OAuth285)를 활용하여 개인데이터를 공유하도록 ‘MyData Initiative’86)라는 명칭으로 정부 주도 프로젝트를 운영 중에 있다. 프랑스는 2016년부터 
프랑스 기업인 Fing의 주도하에 개인중심적인 데이터 생태계의 가치를 연구하고 구현하
는 프로젝트를 추진 중이다. 프랑스의 ‘MesInfos’87)는 정책과 제도보다는 국민들이 직접 마이데이터 서비스를 경험하게 하는 방식으로 활성화를 모색하고 있다. 싱가포르는 2017년부터 정부 주도하에 디지털화된 신원확인 체계를 수립하려는 NDI(National Digital Identity) 프로젝트 일환으로 ‘MyInfo’88)를 추진하고 있다. 싱가포르의 NDI는 API기반의 디지털화된 신원정보 서비스인 MyInfo를 금융, 의료 등의 분야까지 확대 이용할 수 있도록 서비스 중이다. 일본은 2016년 12월 개인정보를 포함한 데이터의 원활한 유통을 촉진하고 데이터를 활용할 수 있는 환경조성을 위해 ‘관민데이터 활용 추진 기본법’을 제정하였고, 데이터 유통을 위한 ‘PDS(Personal Data Store)’89)나 ‘정보은행’90)은 ‘관민데이터 활용 추진 기본법 제12조에 따라 추진되고 있다. 일본 총무성과 경제산업성은 정보신탁기능 인정 체계의 추진방향에 관한 검토회를 구성하였고, 여기에서 논의된 사항을 정리하여 2018년 6월 ‘정보신탁기능의 인정에 관한 지침 ver 1.0’ 발표하였다. 이 지침을 토대로 개인정보 자기결정권 확보 및 신뢰를 확보하기 위해 정보은행 인정제도를 추진하고 있다.91)
우리나라는 2015년 금융위원회에서 ‘금융권 공동 핀테크 오픈 플랫폼’정책을 발표하였
다.92) 이를 통해 은행권과 금융투자업권은 각각 금융결제원, 코스콤을 중심으로 오픈 
API를 구현하였으며 잔액·거래내역 조회와 같은 기초적인 기능과 더불어 입·출금 이체, 주식주문과 같은 다양한 기능을 포괄하여 마이데이터의 기능을 부분적으로 수행하였다. 그러나 데이터 전송 요구권의 부재로 마이데이터 서비스 구현에 한계가 존재하였고, API 사용 수수료가 건당 400원-500원으로 너무 지나치게 높아 핀테크 회사들이 감당하
기 어려운 문제점도 있었다.93)
우리나라는 2018년 6월 4차산업혁명위원회의 데이터 산업 활성화 전략 발표 이후 과
학기술정보통신부, 금융위원회, 산업자원통상부, 행정안전부 등 각 분야별로 마이데이터 
정책을 추진하고 있다.94) 금융위원회는 2018년 7월 ‘금융분야 마이데이터 산업 도입방
안’ 정책을 추진한다고 발표하였다.95) 또한 금융위원회는 신용정보법 개정을 통해 개인
신용정보 이동권96)을 도입하고 읽기 기능에 한정하여 금융기관에 표준화된 오픈 API 구축의무를 부과하기로 하였다. 이러한 내용이 반영된 신용정보법이 2020년 국회를 통과하였다. 우리나라는 2019년 6월 빅데이터 개방시스템을 구축하여 금융분야 신산업 활성화를 지원하고 있고, 2019년 12월 오픈뱅킹을 전면 시행하였다.97) 또한 정부는 2020년 업무보고에서 3대 빅데이터 인프라를 확대(빅데이터 개방시스템, 데이터거래소, 데이터 결합 전문기관)하고 공공데이터도 민간에게 개방한다고 밝혔다.98) MyData, 비금융정보 전문 신용조회업 등을 통해 고객 맞춤형 서비스를 제공할 수 있게 된다. 이처럼 우리나라도 마이데이터 활성화를 위해 여러 제도를 시행하고 있으나, 마이데이터 서비스 활성화가 세대 간 디지털 격차를 가속화할 우려도 존재하고 있으므로 디지털에 익숙하지 못한 계층을 위하여 마이데이터 서비스 정책도 수립하여 시행해야 할 것으로 보인다.

 

데이터 3법 이후 마이데이터 보호에 관한 법적 연구.pdf

0.37MB