2022년 1월 5일 API 기반 금융 마이데이터 서비스가 정식으로 제공되기 시작한 지 2년 가까운 시간이 지났다. 그동안 66개 사업자가 금융위원회 허가를 받았고, 정보제공의무자는 700여개, 2023년 5월 기준 누적 가입자 8000만명을 넘을 정도로 많은 국민이 마이데이터 서비스를 이용하고 있다.
그러나 마이데이터가 진정한 가치를 발휘하려면 금융을 넘어 흩어져 있는 나의 모든 정보를 모을 수 있는 환경이 조성돼야 한다. 다행히 2023년 9월 15일부터 전 분야에 마이데이터를 도입하는 개인정보 보호법 개정안이 발효됐다. 다만, 법 부칙에 따르면 마이데이터 조항인 제35조의2의 개정 규정은 공포(2023년 3월 14일) 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 대통령령으로 정하는 날에 시행하도록 되어 있어, 전 분야 마이데이터는 2024년 3월 늦으면 2025년 3월 중 시작될 것으로 보인다.
이에 맞춰 개인정보보호위원회는 국장급 단장을 둔 범정부 마이데이터추진단을 신설해 법 시행 준비를 하고 있다. 이달 14일에는 개인정보보호위원장을 위원장으로, 관련 부처 차관과 민간 전문가로 구성된 범정부 마이데이터협의회를 출범시켰다. 또, 정부는 7월 17일 비상경제장관회의에서 관계부처 합동으로 '국가 마이데이터 혁신 추진 전략'을 발표했고, 14일 협의회에서는 '전 분야 마이데이터 도입을 위한 주요 과제 및 이행 방안'도 발표했다. 향후 전 산업 마이데이터 도입을 통해 의료, 통신, 교육, 문화, 유통, 교통 등 여러 분야에서 혁신적 서비스가 등장할 것으로 기대된다. 향후 전 분야 마이데이터 도입의 성공적 추진을 위해 필요한 사항에는 어떤 것이 있을까.
먼저, 마이데이터의 전제가 되는 데이터이동권을 포함해 마이데이터 본질을 어떻게 이해할 것인가에 관한 것이다. 2018년 유럽의 일반개인정보보호법(GDPR)에 도입된 데이터이동권(right to data portability)은 기업이 보유한 개인 데이터를 정보주체 본인에게 전송하는 권한과 기업이 보유한 개인 데이터를 본인이 지정한 제3자에게 전송하는 권한이 포함돼 있다. 전자는 일명 다운로드권으로 불리는 것으로 헌법상 인정된 개인정보 열람권이 기계적·전자적으로 확대된 것이며, 후자는 법률에 의해 비로소 인정된 권리다. 후자가 마이데이터의 핵심이라고 봐야 한다. 유럽연합(EU)이 데이터이동권을 도입하면서 밝힌 4가지 목적은 정보주체의 자기결정권을 강화함으로써 정보주체와 개인정보처리자간 힘의 균형의 재조정, 개인데이터의 역내 자유로운 이동의 촉진, 온라인 이용자의 서비스 선택권 강화를 통한 디지털서비스제공자간 경쟁 촉진, 데이터 기반의 혁신 촉진이다. 결국 마이데이터는 정보주체의 권리강화와 함께 데이터의 이동 활성화, 경쟁 촉진, 혁신을 목표로 하고 있는 데, 한마디로 하면 정보주체의 권익 향상을 위한 데이터 활용 극대화가 마이데이터의 본질이라고 할 수 있다.
다음, 마이데이터의 가치는 어디에서 나오는 것일까. 첫째, 정보비대칭의 해소다. 마이데이터로 인해 정보에 대한 접근성이 높아지고 데이터 유통 비용이 낮아지므로, 사업자와 정보주체간 정보비대칭성을 해소할 수 있는 기반이 제공된다. 거래당사자간 서로를 신뢰할 수 있기 때문에 불신에 기인하는 사회적 비용과 부작용을 제거할 수 있다. 둘째, 초개인화(hyper-personalization)다. 다양한 관점, 넓은 범위의 마이데이터를 기반으로 인공지능(AI) 알고리즘의 정확도가 획기적으로 개선돼 개인 맞춤형 광고, 추천이 가능하게 된다. 셋째, 데이터 교환, 전달 비용의 감소다. 전자적 처리가 가능한 형태의 마이데이터의 원활한 이동으로 업무프로세스의 사회적 비용이 절감된다. 끝으로 개인 데이터의 자산화(Data monetization)이다. 기업의 비즈니스 모델이 성공, 수익화로 이어지는 경우 데이터를 제공한 개인에게 금전적 보상이 가능하게 될 것이다.
또, 마이데이터는 3가지 단계로 발전하게 될 것이다. 첫째, 통합 조회 및 개인의 의사결정 지원이다. 이 단계는 다양한 개인의 정보의 집적, 통합 조회를 통해 개인의 의사결정을 지원한다. 다음 단계는 분야별 마이데이터 플랫폼의 관리, 추천, 자문이다. 예컨대 금융 분야 자산관리, 추천 즉, 데이터 분석 알고리즘을 기반해 은행, 카드, 보험, 증권 등을 앱 하나에 모은 자산관리 솔루션이 그 사례이다. 현재 한국의 마이데이터는 이 단계에 와 있다. 마지막 단계는 개인의 전체 삶의 관리, 지원이다. 다양한 산업군 에서 정보주체의 데이터 결합을 통해 새로운 가치를 창출할 수 있는 데이터 통합 분석 관리 시스템이 등장하게 된다. 이 단계가 전 분야 마이데이터의 이상이라고 할 수 있으며, 마이데이터는 데이터 기반 개방형 종합 디지털 플랫폼 역할을 하게 될 것이다.
그렇다면, 전 분야 마이데이터의 성공적 추진을 위한 과제는 어떤 것이 있을까.
첫째, 마이데이터 사업에 대한 진입규제 이슈다. 진입규제는 사업의 인가, 허가, 특허 등 누가 시장에 참여할 것인지를 정부가 선별하는 규제다. 법리상 특허는 권리를 부여하는 행위, 허가는 일반적 금지의 회복, 지정은 특허 내지 사인에 대한 공무위탁의 성격을 지닌다. 현행 개인정보보호법 상 마이데이터사업자는 첫째, 제35조의3제1항에 따른 개인정보관리 전문기관 지정(제1호), 둘째, 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자(제2호) 등 두 가지 방식으로 사업이 가능하다.
여기에서 지정의 성격은 특허이나 제2호에 따른 마이데이터 사업자는 진입규제가 없고 일정한 기준 충족 시 누구든지 가능하게 돼 있다. 다만, 제2호의 경우 전 산업 분야의 정보주체의 모든 데이터를 집적, 결합, 분석, 맞춤형 추천을 할 수 있는 권리가 부여된다. 이 권리는 정보주체의 제3자로의 데이터이동권, 정보제공자의 개인정보 이전 의무 부여에 대응하는 것인데, 이런 특권을 부여받는 마이데이터 사업자에 대해 진입규제가 없는 것이 적절한 지 여부는 의문이 있다. 향후 입법적 개선을 고려하되 현재로서는 시행령에서 기준을 엄격하게 규정할 필요가 있을 것이다.
둘째, 마이데이터 전송방식에 관한 것이다. 금융 마이데이터의 경우 표준 API 방식을 채택했다. 표준 API는 안전하고 규격화된 전송 체계로 장점이 있는데, 금융의 경우 이용자 정보가 정형화되어 있고, 정량적 정보가 대부분이기 때문에 표준 API 도입이 수월했다. 그러나 정보 대상을 확대하기 위해 정보제공자가 자본과 인력을 투입해 별도의 개발과 운영이 필요하고 당사자간 갈등도 심하다. 따라서 전 분야 마이데이터를 위해서는 각 산업의 특성에 맞는 다양한 전송방식을 고려할 필요가 있다. 신용카드 결제내역과 같은 정보는 계속해 변경되므로 주기적이고 즉각적 전송이 필요하지만 통신, 교육 정보는 실시간 전송이 꼭 필요하지 않으므로 이런 분야에서는 API 방식 이외에 스크래핑 등 다른 형태로 정보를 전송하는 것도 고려해 볼 수 있다. 또한 개인정보관리전문기관의 전송중계 역할을 강화해 정보제공의무자 표준화 의무 등 전송의무 이행에 따른 부담을 경감하는 것도 고려할 필요가 있다.
셋째, 마이데이터에 대한 과금 이슈다. 전 분야 마이데이터에서도 정보제공의무자는 정보수신자에 대한 정보제공에 대한 대가를 받을 수 있도록 되어 있는 데, 이는 마이데이터 사업에 진입하려는 신규 사업자들에게 진입장벽으로 작용할 수 있다. 또한 데이터를 전송량에 따라 과금할 경우 수백, 수천 개 이상의 정보제공자와 마이데이터 사업자간 매번 정산을 해야 하는 부담 등 사회적 비용이 매우 크다. 따라서 정보제공자 입장에서 일정한 비용이 드는 것은 사실이지만, 이 비용 전체를 마이데이터 사업자가 부담하도록 하는 것은 신중할 필요가 있다. 정부가 국민의 권리가 원활히 행사될 수 있도록 이를 지원하거나, 비용을 줄일 수 있는 제도적, 정책적 접근이 필요할 것이다.
넷째, 개인정보보호위원회는 전 분야 마이데이터 추진을 위해 사회적 논의를 이끄는 협의기구로서 범정부 마이데이터협의회와 실무적으로 제도, 정책의 집행·운영을 위해 범정부 마이데이터 추진단을 운영하고 있다. 그러나 개인정보보호위원회는 아직 신생 조직으로서 인력과 예산 한계가 있다는 점을 고려할 때 다른 부처의 협조가 전 분야 마이데이터 추진에 필수적이다. 또한 마이데이터는 데이터 이동권을 기초로 한 개인정보자기결정권을 강화하는 것과 아울러 데이터 산업 정책의 일환이라는 점에서 타 부처의 진흥정책과의 조화도 중요하다고 할 것이다. 또한 이미 마이데이터 정책을 다루고 있는 디지털플랫폼정부위원회, 국가데이터정책위원회와 협력·조정도 필요하다고 할 것이다.
결론적으로 다음 3가지 전략이 중요하다. 먼저 점진적, 단계적 전략이다. 이미 전자화가 이루어진 금융 분야 마이데이터도 2년 이상의 준비 시간이 소요됐다. 전 분야 마이데이터를 전면적으로 실시하는 것은 사실상 불가능하다는 점에서 의료, 통신, 유통, 에너지 등 분야별, 단계적 전략을 취하는 것이 타당하다. 다음, 민간이 주도하고 정부가 지원하는 전략이다. 디지털 전환 시대에 공급이 수요를 창출하거나 제도가 비즈니스를 선도하는 전략은 한계가 있다. 그동안 미디어, 통신 분야의 인프라 구축, 사업자 선정 우선의 정책이 데이터 산업에서는 더 이상 유효하지 않다고 봐야 한다. 민간의 데이터 기술, 시장, 산업의 흐름을 살펴보고 정책과 법제가 이를 뒷받침해야 할 것이다. 끝으로, 데이터 프라이버시와의 조화다. 마이데이터 사업자로의 대량의 개인정보 집적은 기업의 빅브라더화 우려를 낳고 있다. 프라이버시가 보호되지 않는 마이데이터는 아무런 가치가 없다는 점을 인식해야 할 것이다.
이성엽 고려대 기술경영전문대학원 교수·기술법정책센터장 dysylee@korea.ac.kr
〈필자〉고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 뉴욕주 변호사 자격을 취득했고, 서울대에서 법학박사 학위를 받았으며 하버드 로스쿨 방문학자를 거쳤다. 1991년 제35회 행정고시 출신으로 정보통신부, 국무조정실, 김앤장 법률사무소를 거쳐 고려대 기술경영전문대학원 교수로 재직 중이다. 2020년부터 한국데이터법정책학회장을 맡고 있고 고려대 기술법정책센터장/데이터·AI법센터 대표를 겸임하고 있으며, 국무총리 소속 미디어·콘텐츠산업융합발전위원회, 국가데이터정책위원회 위원 및 개인정보보호위원회 규제심사위원장으로 활동하고 있다. 행정 경험과 법률 실무를 기반으로 행정규제, 방송, 통신, 인터넷, 데이터·AI 분야 법과 정책에 정통한 권위자다.