My Data란 무엇인가?

기술규제사례_데이터이동권과 My Data

0. 들어가기

현대사회에서 미래사회로 가는 과정에서 가장 중요한 키워드는 무엇일까? 그것은 아마도 '데이터'일 것이다. 인간의 DNA에 대한 모든 지도가 완성되고, 센서가 발전하면서 세상의 모든 것들이 '감지'되는 세상에서 '투명사회'로 바뀌는 지점을 경험하고 있다. 그래서 기존에 사람들이 데이터를 이제 '돈'으로 보기에 이르렀으며, 데이터를 사고파는 행위는 자연스러운 시장의 거래 방식이 되었다. 이번에도 역시 유럽이었다. 이러한 사회변화에 대해서 새로운 방식의 '기술규제'가 필요하다는 것을 인지하고 이에 맞게 데이터의 이동권과 정보의 자기결정권을 기반으로 규제법안을 만든 것이다. 이러한 규제법안에 따라서 자신이 생성한 데이터를 스스로 이동하는 권리를 말하는 개념이 바로 'My Data'이다. 오늘은 마이데이터의 개념과 활용방법 그리고 법규제에 대해서 자세하게 알아보자.

1. My Data란 무엇인가?

정보주체인 개인이 본인정보를 적극적으로 관리·통제하고, 이를 신용관리,
자산관리, 건강관리 등에 능 동적으로 활용하는 것

My Data란 무엇인가? 약 2전년부터 등장한 데이터에 관한 변화를 이야기한다. 이전까지 우리는 빅데이터와 같이 일단 생성된 데이터는 나와 무관하게 사용된다는 것 때문에 '동의'하는 절차만을 가졌기 때문에 이후에 어떻게, 어디에 이용되는지 알 수 없었다. 그러나 데이터가 단순히 통계에만 사용되는 것이 아니라 상품기획에서부터 정책형성까지 다양하게 영향을 미치고 있고, 미래 변화를 예측하는데 있어서 데이터는 이제 없어서는 안될 자원이 되었다. 따라서 데이터의 처리자체를 '주체'에게 맡기는 것을 My Data라고 한다. 정보주체인 개인이 본인정보를 적극적으로 관리하고 통제하여 신용관리나, 자산관리, 건강관리와 같은 분야에서 능동적으로 사용하는 것을 말한다.

마이데이터의 핵심은 데이터이동권right to data portability라고 할 수 있다. 이것은 정보주체가 정보제공자로 하여금 본인이 원하는 서비스를 제공받기 위해서 데이터의 이전을 요구하는 것으로 정의하는 것을 말한다. 데이터 산업에서 정보제공자와 정보주신자, 정보주체의 관계에서 정보제공과 서비스에 관한 이동권을 데이터 생성주체가 갖는 것이다. 쉽게 말하면 구글이 가지고 있는 데이터를 검색하는 사람들이 제공했다는 이유로 자신의 검색기록을 주체적으로 자신이 결정할 수 있는 것을 말한다. 이렇게 되면 자연스럽게 데이터를 수집하는 기업들이 마이데이터와 관련된 권리에 저촉되는 행위를 할 수 없게 됨으로써 데이터주권을 확보하게 되는 것이다. 시대가 변화해가면서 이제는 데이터가 자산이 되어가는 시기가 도래했기 때문에 이에 따라서 필요한 개념과 법령이 만들어지는 것이다.

마이데이터의 3가지 효과

정보의 자기결정권 측면 : 기존에는 정보주체는 업체의 필요시 소극적으로 본인 정보를 활용하도록 동의하는 수동적 활용 - 정보주체가 능동적으로 본인 정보의 활용을 선택한다는 점에서 자기결정권이 제고

산업 경쟁력 제고 : 데이터의 이동이 자유로워지면, 소비자가 서비스를 보다 쉽게 변경할 수 있게 됨에 따라 사업자에 대한 구속(lock-in)이 약해 진다. 사업자 간에 소비자 확보를 위한 서비스 질 개선과 가격 경쟁이 촉진되어 소비자 후생이 증가

신규시장 창출 효과 : 데이터 이동권 확대는 시장의 진입장벽을 낮춤으로써 신규·후발 공급자의 시장참여기회 제공 / 특히, 데이터의 결합·활용이 가능해짐에 따라 고객의 수요에 부합하는 혁신적인 맞춤형 서비스 제공

마이데이터와 빅데이터의 차이

두 가지를 구분하는 기준은 데이터보유, 데이터 활용 결정, 개인정보 동의, 데이터흐름이다.

빅데이터가 데이터를 다량 보유한 기관 중심의 데이터 활용이라면, 마이데이터는 정보주체 중심의 데이터 활용 방식이라고 할 수 있다.

빅데이터 방식은 가명처리 및 익명처리 과정에서 데이터의 활용가치가 낮아지는 단점이 있는 반면, 마이데이터 방식은 정보주체 동의 기반으로 원본 데이터를 그대로 활용할 수 있어 보다 정확한 데이 터 분석에 장점이 있다.

2. 데이터이동권과 My Data

데이터 이동권은 새롭게 만들어진 권리로 디지털화된 개인정보를 생산하는 정보주체제에게 새로운 개념의 기본권을 선정함으로써 개인정보의 자기결정권을 실질적으로 보장하기 위해서 설정되었다. 유럽의 경우에는 EU GDPR이라고 하는 '유럽일반개인정보 보호법'20조에서 최초로 규정하고 있다. EU GDPR 20조에서는 정보처리자가 처리하고 있는 특정 개인 정보를 정보주체의 요청에 따라서 직접 다운받거나 다른 정보처리자에게 그대로 이전할 수 있도록 하는 권리로 규정하고 있다. 우리나라의 경우 신용정보보호법 제33조 2절에서 개인신용정보전송요구권 규정이 신설되었다.

유럽 일반 개인정보 보호법(GDPR)이 정보주체의 새로운 권리로서 데이터이동권right to data portability을 인정했다. 다른 대륙보다 개인의 주권과 권리에 대해서 유별나게 발전한 유럽대륙의 경우에는 개인이 가진 데이터가 앞으로 '혁신'을 이끌어내는 기반이 된다는 전제하에 개인데이터의 '자유로운 이전'과 '재사용'을 촉진하기 위해서 Mydata가 도입되었다. 이러한 마이데이터는 전세계적으로 법령을 강화하고 우리 나라에도 2021년에 신용정보법과 전자정부법으로 도입이 되었다. 마이데이터는 아래와 같이 본허가를 28곳이 받았으며 은행과 금융투자, 상호금융 저축은행을 기반으로 가장 많이 사용되는 부분은 '핀테크'라고 할 수 있다.

마이데이터의 도입배경

정보주체의 자기결정권을 데이터영역에 적용함으로써 정보주체와 개인정보처리자 간의 힘의 균형을 만들기 위해서이다.

개인데이터가 개인에게 활용할 권한이 주어짐에 따라서 데이터의 자유로운 이동free movement를 촉진할 수 있다.

자유시장경쟁의 차원에서 디지털서비스 제공자들의 경쟁을 촉진하여 데이터관리와 운영에 대한 서비스의 질을 성장시킬 수 있다.

비로소 데이터 기반data-driven Innovation 혁신을 촉진시킬 수 있다.

EU의 데이터이동권

유럽 일반 개인정보 보호법 제 20조와 제 12조인 정보주체의 권리 행사하기 위한 투명한 정보, 통지 및 형식에서 데이터이동권을 밝히고 있으며, 전문 65조와 67조에서 이어서 밝히고 있다.

정보주체는 컨트롤러에게 제공한 자신에 관한 개인정보를 체계적이고, 일반적이며, 기계판독이 가능한 형식으로 제공받을 권리가 있다. 또한 그 정도를 다른 컨트롤러에게 제공할 것을 요구할 수도 있다.

데이터 이동권의 적용 범위 : 정보주체가 컨트롤러에게 제공한 개인정보 / 처리함에 있어서 정보주체의 동의에 근거하거나 계약의 이행을 위한 것 / 처리가 자동화된 수단에 의해 이루어지는 경우

신용정보법상 데이터이동권

개인신용정보 전송 요구권 : 개인인 신용정보주체가 금융회사, 정부 및 공공기관 등에 대해서 보인에 관한 개인신용 정보를 보인이나 본인신용정보 관리회사, 다른 금융회사 등에 제공하도록 도구하는 권리이다.

개인신용정보 전송요구권 행사 대상(정보제공의무자) :  (1) 금융회사(전자금융업자, 마이데이터사업자 포함) 등 (2) 예보, 한국거래소, 예탁결제원등 (3) 전기통신사업자, 한국전력공사, 한국수자원공사 등 (4) 각종공공기관, 국민건강보험공단, 국민연금공단 등  

개인신용정보전송요구권을 통해 정보를 제공받는 자(정보수신자) : (1) 금융회사 등 (2) 마이데이터사업자 (3) 개인신용평가회사

다른 권리와의 관계

독일 개인의 정보자기결정권(Recht auf informationelle Selbstbestimmung) : 자신과 관련된 정보에 대해 스스로 결정할 권리 (BVerfG) / “누가, 무엇을, 언제, 그리고 어떤 경유로 이에 대해 아는 지”를 스스로 확정할 개인의 권한

한국의 개인정보자기결정권 : 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리. 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리 (헌법재판소 2005. 5. 26. 선고 99헌마513 결정) / 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10조제1문의 인간의 존엄과 가치 및 행복추구권에 따른 일반적 인격권을 근거로, 현대의 정보통신기술의 발달에 내재된 위험성으로부터 개인정보를 보호하여 궁극적으로는 개인의 결정의 자유를 보호하기 위한 필요한 최소한의 헌법적 보장장치라고 판단

개인정보자기결정권과의 관계 : 동의권, 열람권, 처리정지, 삭제

헌법상 권리인지 법률상 권리인지 여부 : 다운로드권과 이동요구권의 성격

개인정보 열람권과의 관계 : 열람권이 개인정보이동권을 포함 아니면 별도의 권리로서 개인정보이동권 여부

Right of access(Article 15) : 정보주체는 본인에 관련된 개인정보의 처리 여부와 관련해 컨트롤러로 부터 확인을 획득할 권리를 가지며, 이 경우 개인정보 등에 대한 열람권을 가짐(즉, 처리여부 확인권 + 본인 개인정보 및 그 처리사항 열람권)

3. My Data의 법제화

마이데이터는 다양한 분야에서 활용되고 있으나 구체적으로 금융분야에서 신용정보법, 공공분야에서 전자정부법, 보건의료 분야, 일반 분야의 개인정보보호법에서 사용되고 있다. 데이터의 활용을 스스로 결정할 수 있다는 장점을 가진 마이데이터가 산업분야와 공공분야에도 확대됨에 따라서 개인정보의 생산과 활용에 대한 이슈들은 앞으로 다양하게 양산될 예정이다.

금융분야

금융위는 ｢신용정보법｣ 개정·시행(’21.1월)을 통해 개인신용정보 전송요구권 근거를 마련하고, 마이데이터 사업 도입

정보주체는 제공자 등에 대하여 본인의 신용정보를 본인, 마이데이터 사업자, 개인신용평가회사 등에 제공 요구, 제공대상 신용정보는 금융거래정보, 국세·지방세 납부, 4대보험료, 통신료 납부정보 등

마이데이터 사업자는 금융위원회로부터 허가를 받아야 하며, 이해상충 방지, 전송내역 기록작성·보관 및 책임보험 가입 등 의무를 부담

허가요건 :  최소자본금 5억원이상, 물적시설 구비, 대주주적격성, 임원적격성 충족, 전문성 요건 등

마이데이터 사업자는 신용정보관리업 외에 데이터 분석·컨설팅 등 다양한 부수 업무가 가능

금융 마이데이터는 지난 5월 기준 약 8,025만 명이 가입해 있으며, 마이데이터사업자는 66개, 정보제공의무자는 700여개

민원처리법

민원인 본인 신청이 있는 경우 민원의 접수ㆍ처리기관이 행정정보 보유기관으로부터 직접 행정정보를 제공받아 민원 처리할 수 있도록 하는 근거를 마련하였다.(법 제10조의2)

이를 통해 국민들은 자기정보의 활용 결정권이 보장되는 동시에 증명서류 또는 구비서류 제출·보관에 따른 국민 불편과 사회적·경제적 비용을 감소시킬 수 있을 것으로 기대된다.

제10조의2(민원인의 요구에 의한 본인정보 공동이용) ① 민원인은 행정기관이 컴퓨터 등 정보처리능력을 지닌 장치에 의하여 처리가 가능한 형태로 본인에 관한 행정정보를 보유하고 있는 경우 민원을 접수ㆍ처리하는 기관을 통하여 행정정보 보유기관의 장에게 본인에 관한 증명서류 또는 구비서류 등의 행정

정보(법원의 재판사무ㆍ조정사무 및 그 밖에 이와 관련된 사무에 관한 정보는 제외한다)를 본인의 민원 처리에 이용되도록 제공할 것을 요구할 수 있다. 이 경우 민원을 접수ㆍ처리하는 기관의 장은 민원인에게 관련 증명서류 또는 구비서류의 제출을 요구할 수 없으며, 행정정보 보유기관의 장으로부터 해당 정보를 제공받아 민원을 처리하여야 한다.

「민원처리법」이 민원인의 개인정보를 행정기관 간 전송을 가능하게 하였다면, 행정기관 등이 보유한 개인정보를 민간을 포함하는 제3자에게 전송하기 위해 「전자정부법」 개정·시행하였다. (개정 2021.6.8., 시행 2021.12.9.)

「전자정부법」에서는 정보주체가 행정기관 등이 보유ㆍ관리하고 있는 본인에 관한 행정정보를 본인 또는본인이 지정하는 제3자에게 제공할 것을 요구할 수 있도록 ‘정보주체 본인에 관한 행정정보의 제공요구권’을 도입하였다. (법 제43조의2)

한편 제도의 실효성을 높이기 위해서 제공 가능한 행정정보의 종류는 행정안전부장관과 보유기관이 장이 협의하여 정하도록 규정하는 등 관계부처의 협의를 통해 다양한 공공부문의 데이터가 제공될 수 법적기반을 마련

정보수신자

｢전자정부법｣과 ｢민원처리법｣은 ｢신용정보법｣과 달리 정보를 수신 받는 기관을 하나의 “업”(본인신용정보관리업)으로 구분하여 라이센스를 부여하는 방식(허가)을 취하지 않고, 행정정보의 전송요구권과 수신받을 수 있는 기관만 명시

「전자정부법」 제43조의2에서는 행정정보를 제공받을 수 있는 자를 행정기관·공공기관, 은행을 직접 규정하고 있으며 「전자정부법 시행령」에서 「신용정보법」에 따른 신용정보회사, 신용정보집중기관, 본인신용정보관리회사 등을 추가적으로 행정정보 수신자로 포함

그 밖에도 동법 시행령에서는 행정안전부 장관이 정하여 고시하는 자도 수신자가 될 수 있도록 하여 향후에도 수신 기관은 지속적으로 추가될 수 있는 여지를 두고 있다.(령 제51조의2)

전송대상정보

「전자정부법」 개정을 통해 공공 마이데이터 서비스가 제공되는데 행정기관이 보유한 모든 정보가 제공요구권 대상은 되지 않음

제공요구권 대상이 되는 본인정보는 정보처리능력을 지닌 장치에 의하여 판독이 가능한 형태로 보유하고 있는 본인에 관한 증명서류 또는 구비서류 등의 행정정보(법원의 재판사무ㆍ조정사무 및 그 밖에 이와 관련된 사무에 관한 정보는 제외)(법 제43조의2 제1항)

보건의료 분야

복지부는 국민 건강증진 및 의료서비스 혁신을 위한 ｢의료분야 마이데이터｣ 도입 방안을 발표(’21.2)

나의 건강기록 앱 : 공공건강 데이터(건보공단, 심평원, 질병청)를 조회·저장·공유할 수 있는 앱서비스 제공(’21.3월), 건보공단, 심평원, 질병청 등 기관의 정보를 앱을 통해 다운받거나 원하는 곳에 전송(민간앱, 이메일, 메신저 등)

마이 헬스웨이 플랫폼 : 자신의 의료기록을 한곳에 모아, 원하는 대상에게 데이터를 제공하고, 직접 활용할 수 있도록 지원하는 시스템 구축 중

“디지털 헬스케어”를 지능정보기술과 보건의료데이터를 활용하여 질병의 예방ㆍ진단ㆍ치료 및 건강관리 등 국민의 건강증진에 기여하는 일련의 활동과 수단으로, “보건의료데이터”를 「보건의료기본법」 제3조에 따른 보건의료정보로써 광(光) 또는 전자적 방식으로 처리될 수 있는 것으로 정의하는 등 보건의료 중심으로 디지털 헬스케어의 개념을 정립하고, 「의료법」, 「약사법」, 「생명윤리 및 안전에 관한 법률」, 「의료기기법」 등 보건의료 분야 유관 법률과의 관계를 규정함(안 제2조).

보건의료데이터”란 「보건의료기본법」 제3조제6호에 따른 보건의료정보로써 광(光) 또는 전자적 방식으로 처리(「개인정보 보호법」 제2조제2호에 따른 처리를 말한다. 이하 같다)될 수 있는 것을 말한다.

•“개인의료데이터”란 보건의료데이터 중 특정 개인에 관한 데이터로서 다음 각 목의 어느 하나에 해당하는 데이터를 말한다. 가. 식별의료데이터 : 성명, 주민등록번호 등을 통하여 개인을 알아볼 수 있는 보건의료데이터

나. 가명의료데이터 : 「개인정보 보호법」 제2조제1호의2에 따라 가명처리(이하 “가명처리”라 한다)함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 보건의료데이터

보건의료 분야_디지털헬스케어법안

제13조(본인 데이터의 본인 전송 요구권) ① 의료데이터주체는 식별의료데이터를 보유하는 자(이하 “데이터 보유기관”이라 한다)에 대해 본인에 관한 데이터를 본인에게 전송해줄 것을 요구할 수 있다.② 제1항에 따른 전송 대상이 되는 식별의료데이터(이하 “전송대상데이터”라 한다)는 다음 각 호 구분에 따른다.

1. 진단내역, 처방내역, 검체ㆍ영상ㆍ병리검사결과 등 「의료법」 제21조부터 제23조까지에 따라 환자진료 등과 관련하여 생성된 기록으로서 대통령령으로 정하는 데이터

2. 처방약품명과 일수, 조제 내용 및 복약지도 내용 등 「약사법」 제30조에 따라 조제 등과 관련하여 생성된 기록으로서 대통령령으로 정하는 데이터

3. 대통령령으로 정하는 보건의료 분야 중앙행정기관ㆍ지방자치단체ㆍ공공기관이 보유한 식별의료데이터로서 대통령령으로 정하는 데이터

4. 의료기기 또는 건강관리기기를 통해 생성ㆍ수집된 식별의료데이터로써 대통령령으로 정하는 데이터

5. 그 밖에 대통령령으로 정하는 식별의료데이터

제14조(본인 데이터의 제3자 전송 요구권) ① 의료데이터주체는 다양한 기관으로부터 본인의 식별의료데이터를 활용한 맞춤형 서비스 등을 제공받기 위하여 데이터 보유기관을 대상으로 본인의 전송대상데이터를 활용하고자 하는 기관(이하 “활용기관”이라 한다)에게 전송해줄 것을 요구할 수 있다. ② 제1항에 따른 전송 요구를 받은 데이터 보유기관은 다음 각 호의 어느 하나에 해당하는 법률 규정에도 불구하고, 데이터주체의 명시적 동의 의사를 반영하여 전송 방법, 전송 표준 등 보건복지부령으로 정하는 바에 따라 활용기관에게 전송대상데이터를 전송하여야 한다. 다만, 대통령령으로 정하는 바에 따라 정책위원회 심의ㆍ의결을 거쳐 보건복지부장관이 고시하는 기준에 따른 데이터 보유기관은 제외한다.

1. 「의료법」 제21조제2항

2. 「약사법」 제30조제3항 본문

3. 「생명윤리 및 안전에 관한 법률」 제52조제2항

4. 그 밖에 제1호부터 제3호까지의 규정과 유사한 규정으로서 대통령령으로 정하는 법률 규정

제15조(활용기관의 허가ㆍ승인) ① 활용기관이 되고자 하는 자는 보건복지부장관으로부터 허가를 받아야만 한다. 다만, 중앙행정기관 또는 지방자치단체가 활용기관이 되고자 하는 경우에는 보건복지부장관으로부터 승인을 받아야 한다.② 제1항에 따른 허가 또는 승인(이하 이 장에서 “허가등”이라 한다)을 받으려는 자는 다음 각 호의 요건을 갖추어야 한다.

1. 전산설비, 개인의료데이터 보호 체계 등 물적 시설을 갖출 것

2. 대통령령으로 정하는 금액 이상의 자본금 또는 기본재산(법인만 해당한다)을 보유할 것

3. 사업계획 및 전송대상데이터 수집ㆍ활용 계획이 타당하고 건전할 것

4. 그 밖에 대통령령이 정하는 요건을 갖출 것

0. 나오기

단순히 핸드폰을 떨어뜨렸을 뿐인데 자신의 개인정보가 모두 유출되고 도용당하여 사회적인 존재감까지 사라지는 드라마까지 나올지경이다. 데이터는 이제 단순한 숫자를 넘어서 자신의 존재를 증명해주고 금융, 공공, 의료와 같은 분야에서 중요한 기초자료가 되었다. 빅데이터가 셀 수 없는 데이터들의 패턴과 규칙을 발견하여 미래를 예측했다면, 이제 마이데이터 시대에는 스스로 데이터의 활용의 범위를 결정하여 일정한 바운더리와 허들을 만든다고 할 수 있다. 따라서 자신이 가진 혹은 만들어낸 데이터가 어떤 방식으로 확장되어 어디에 영향을 미칠지를 알고 있어야 하며 권한에 대해서 동의하는 수준을 넘어서 활용 방법과 범위까지 알아야하는 시대가 왔다. 아무도 우리의 정보를 빼갈 수는 없다. 자신의 생성하고 관리하는 데이터의 주도권을 통해서 디지털사회에서도 일반세계와 동등하게 자신의 주권과 권리를 찾아가는 시민의식이 더욱 절실히 요구된다.

---

https://naver.me/5R8RcTc2

[투데이 窓]뒷걸음치는 한국의 혁신 플랫폼

https://naver.me/xBsYuuTp

[광장에서] 디지털 심화 시대의 이정표, 디지털 권리장전

https://www.veritas.com/ko/kr/information-center/gdpr

준수하지 못할까 우려하고 있습니다.

https://knowledgepen.com/pds/research

지식컨설팅 1등 기업, 지식펜

https://brunch.co.kr/@minnation/3553

기술규제의 기초이론

https://brunch.co.kr/@minnation/1788

정책관리론 4 _Wilson 규제정치이론

920 × 1,315