고객 개인 정보, 어떻게 모았는데..경쟁사에 넘기라니?
내 개인 정보의 주인은 '나'다!
마이데이터 시대가 열리면서 각 기관과 기업에 분산되어 있던 개인의 금융정보를 개인이 주도적으로 관리할 수 있게 됐다. 기업은 고객이 요구할 경우 관련 정보를 고객이 원하는 곳(기업 등)에 주어야 한다.
금융회사는 물론 비금융회사도 마이데이터 사업 허가를 받으면 통합 데이터를 바탕으로 고객에게 맞춤형 금융 서비스를 제공할 수 있게 된 것이다. 법은 시행되었으나 여전히 해결해야 할 문제들은 남아 있다. 마이데이터 사업 시행 시 고려해야 하는 이슈를 살펴보자.
개인의 정보 주권 강화하는 '데이터 이동권'
출처 인터비즈올해 8월부터 데이터 3법 중 하나인 '신용 정보의 이용 및 보호에 관한 법률(이하 '신용정보법')'이 시행됐다. 개정 신용정보법에 따라 개인은 본인신용정보전송요구권을 갖는다.
금융회사와 같은 신용정보제공·이용자 등을 상대로 자신에 관한 개인신용 정보를 본인 또는 법령이 정한 제3자(마이데이터 사업자 등)에게 전송해 줄 것을 요구할 수 있게 된 것이다. 또, 그 정보의 정확성과 최신성이 유지되도록 정기적으로 전송해 줄 것을 요구할 수도 있다.
가령, 지금까지 개인의 데이터를 안전하게 보관하는 의무를 갖던 은행은, 앞으로 고객이 원하는 곳으로 그 데이터를 이동시키는 의무까지 갖게 된 것이다.
고객의 이러한 요구를 받은 금융 회사(신용정보제공·이용자)는 해당 정보를 지체 없이 정보처리장치로 처리 가능한 형태로 전송해야 한다. 법령상의 이유 없이 정보 주체인 개인의 요구를 거절하면 과태료를 내야 할 수도 있다.
본인신용정보전송요구권은 우리나라가 정보 주체의 '데이터 이동권'*을 개인신용정보와 관련해 법제화했다는 의의가 있다. 데이터 이동권은 금융이나 의료와 같은 산업의 제한된 권리로 시작했지만, 더 나아가 정보 주체인 개인의 일반적인 권리로 진화하고 있다.
*데이터 이동권: 정보 주체가 자신에 관한 의무 부담자가 수집·보유 중인 정보를 디지털 형태로 자신 또는 제3자에게 제공하도록 요구할 수 있는 권리
개인정보 보호 측면에서 데이터 이동권은 '잊힐 권리(right to be forgotten)'와 함께 개인 정보 자기결정권을 실현할 주요한 수단이 될 수 있다. 또, 4차 산업혁명 시대에 데이터 산업을 발전시키고 혁신을 촉진할 촉매제로 주목받는다.
가령 온라인 사용자들은 보다 손쉽게 자신의 데이터를 경쟁 서비스로 이동할 수 있게 되므로 전환 비용(switching cost)를 줄일 수 있다. 무엇보다 데이터 기반의 시장 독점과 승자 독식을 막게 되므로 시장 경쟁을 활성화할 수 있는 수단이 될 수 있다.
하지만 가치 있는 정책 목표도 현실에 적용했을 때는 여러 가지 긴장 관계를 낳을 수 있다. 이동 대상이 되는 데이터의 처리 요건이 무엇인지, 마이데이터 사업자에 의한 금융상품 추천 과정에서의 이해 상충과 설명 의무 등을 어떻게 할 것인지 등 법적 쟁점들이 산적해 있다.
정부는 현재 마이데이터 관련 허가 심사를 진행하면서 사업의 세부적인 내용과 기준을 계속 구체화해가고 있다. 이 과정에서 정책 당국과 사업자들이 가장 중요하게 고려해야 하는 정책적 이슈 두 가지를 강조하고자 한다.
친구랑 같이 사진 찍었을 뿐인데.. 내 정보까지 전송된다?
먼저, 데이터 이동 과정에서 발생할 수 있는 주변인 혹은 인접자 프라이버시 침해 문제다. 나와 관련된 데이터는 나만의 데이터일 것 같지만 생각처럼 간단치 않다. 타인과 직간접적으로 관련된 데이터일 수도 있고, 나에 관한 데이터와 타인에 관한 데이터가 명확히 구별되지 않을 수도 있다.
전자의 예로는 혈연관계에 있는 타인과 상당 부분 일치하는 유전정보를, 후자의 예로는 내 사진에 의도치 않게 타인이나 물건이 함께 찍힌 경우를 들 수 있다.
이번 개정 법에 따른 마이데이터 사업은 금융 정보를 대상으로 하고 있기 때문에, 타인과의 관계성이 큰 SNS 데이터와 비교할 때 그 우려가 상대적으로 적기는 하다. 그러나 법령상 전송 대상으로 삼고 있는 개인신용 정보를 어떻게 정의하는지에 따라 타인의 정보가 다양한 방면으로 포함될 수가 있어 경각심을 가질 필요가 있다.
타인 관련성에 대한 스크리닝, 사전 처리(비식별화 등) 및 사후 이용의 한계도 중요한 문제다. 타인과 관련성이 있는 정보라 사생활 침해의 위험이 있다는 이유로 전송 의무를 부담하는 사업자가 전송을 보류하거나 데이터를 제한할 수 있기 때문이다.
즉, 이런 문제가 마이데이터 사업자의 영업을 방해하고 결국 산업 발전에 걸림돌이 될 수도 있다. 따라서 정부와 시장은 정보 보유자가 타인의 프라이버시를 문제 삼아 정보 전송을 거절했을 때 이를 어떻게 조정하고 판단할지 결정해야 한다.
그 적정성의 판단 기준, 침해 우려를 해소할 수 있는 데이터 처리 방식, 정보 보유자의 면책 여부, 이견 조정 방식 절차 등을 고민해야 한다는 것이다.
"어떻게 모은 고객 데이터인데..그걸 경쟁사에 넘기라고?"
전송 요구 대상이 되는 '개인신용 정보' 범위 역시 마이데이터 관련해 가장 논란이 되는 문제 중 하나다. 개정 신용정보법 시행령에는 온라인 결제 과정에서 발생하는 주문 내역과 환불 내역 정보, 그리고 이와 유사한 정보를 전자 지급수단 관련 개인신용 정보에 포함하고 있다.
즉, 간편 결제 시스템을 구축한 온라인 전자상거래 업체들은 고객의 요구가 있을 경우 마이데이터 사업을 하는 금융 회사에 해당 고객의 결제 내역과 세밀한 주문 내역이 포함된 데이터를 의무적으로 전송해야 하는 것이다. 전자상거래 업체들은 이런 데이터까지 전송하도록 하는 것이 과도한 요구라며 반발하고 있다.
역차별 논란도 존재한다. 네이버와 같은 인터넷 플랫폼 기업이 마이데이터 사업에 진출하면서 정작 검색 데이터와 같은 알짜 정보는 공유하지 않아도 되는 것에 금융회사들이 불만을 토로하는 것이다. 자신이 어렵게 구축한 사업 데이터를 타 기업, 심지어 경쟁 사업자에 강제로 공유해야 하는 상황이 되면서 사업자들 간 이해관계가 첨예하게 대립하고 있는 상황이다.
이번 신용정보법 하에서 마이데이터는 금융이라는 분야, 그 안에서도 '개인신용정보'에 한정해 출범했다. 그럼에도 불구하고 사업 초기부터 이렇게 격심한 갈등이 발생하고 있는 것이다.
이는 기본적으로 4차 산업혁명 시대에서는 시장 간 경계가 허물어지면서 나타나는 기본적인 경향이기도 하다. 하지만 마이데이터 사업의 경우 각기 사업 모델과 분야가 직면하고 있는 규제의 내용과 주무 기관이 서로 다르다는 점도 문제다.
정부 주도의 규제를 통해 이와 같은 경쟁자에 해당하는 사업 참여자와 관계자 간 이해 충돌을 해결할 수 있을지는 미지수다. 시장 참여자들이 자율적으로 이해관계를 조정하고 사업 내용과 기회를 개척할 수 있도록 기회가 충분히 마련돼야 한다.
마이데이터, 결국 정보 주체인 고객과의 소통이 핵심
우리나라는 금융 분야 외에 보건 의료 영역에서도 공공데이터를 대규모로 축적한 상황이다. 이는 국민건강보험과 같은 의무보험 제도로 활용가치가 높다.
금융 분야와 달리 보건 의료 데이터는 웨어러블 등에서의 활용도가 높아 IoT를 포함한 기기 산업과 맞물려 혁신을 이룰 수 있을 것으로 기대된다. 아직 법제화되지는 않았지만 보건 의료 영역에서 마이데이터는 유망한 분야로 주목받고 있는 것이다.
하지만 사람들이 '금융 정보'에 예민하게 반응하고 그것이 자신의 '개인 정보'라고 인식하는 반면, '의료 정보'는 그렇지 못한 상황이다. 의료 정보의 경우 그것이 존재하는지, 어떤 내용을 담고 있는지, 어떻게 활용되는지, 그리고 그 보유 주체는 누구인지에 대해 인식이 부족한 것이다.
따라서 마이데이터 사업의 발전을 위해서는 데이터 이동과 활용에 대한 소비자들의 협조를 이끌어내기 위해 더 많은 노력이 필요하다. 사업 촉진을 위해 정부가 섣부르게 개입하는 것보다는 기업, 즉 시장 참여자들이 혁신을 통해 고객에게 다가가야 한다.
고객들이 기꺼이 데이터 이동에 동의하거나 요구할 수 있는 가치를 제공할 수 있도록 만들어야 한다. 나아가 의료, 기기, 네트워크 등 서로 다른 사업을 영위하는 참여자 간 이해관계를 자율적으로 조정해 나가는 노력도 필요하다.
필자 임용 서울대 법학전문대학원 부교수
정리 인터비즈 정예지 박은애 | 디자인 홍지수
inter-biz@naver.com
