마이데이터 제도는 이미 영국과 미국, 일본 등에서 실행 중이다. 우리 정부도 이를 실현하기 위해 정책적 노력을 기울인다. 다만 현행 법령 해석상 마이데이터를 새로운 입법 없이 실현할 수 있는지 여부는 법적 이슈가 발생할 수 밖에 없다.

마이데이터는 개인이 자신의 정보를 적극적으로 관리·통제하는 것은 물론 자신의 정보를 신용이나 자산관리 등에 능동적으로 활용하는 과정을 말한다.

마이데이터 제도는 개인정보처리자(기업)가 수집한 개인정보를 정보주체(개인)가 원하는 마이데이터 사업자에 제공 또는 통합해 마이데이터 사업자로부터 데이터 비교·분석 등 각종 서비스를 제공받거나 마이데이터 사업자가 제3자에 재제공해 데이터를 활용하도록 하는 제도다.

마이데이터는 정부주체 의사를 전제로 데이터를 공유해 새로운 비지니스를 창출하는 등 데이터 활용도를 올릴 수 있다. 동시에 정보 주체 개인정보 통제권을 강화할 수 있는 제도다.

◇ 각 법적 근거 마다 제약 존재

마이데이터 제도 법적 근거는 무엇일까. 이에 대해 ▲정보주체 제공 의사로 보는 견해 ▲정보주체 열람청구권으로 보는 견해 ▲정보주체 개인정보 이동권으로 보는 견해 등이 있다.

정보주체 제공의사를 근거로 보는 견해는 정보주체가 개인정보처리자가 보관·관리하는 개인정보를 마이데이터 사업자에 제공하는 것에 동의할 수 있다는 점을 근거로 한다.

하지만 현행 개인정보보호법 제17조 제1항을 해석하면 정보주체로부터 동의를 받는 자는 마이데이터 사업자가 아니라 개인정보처리자이어야 한다.

하지만 정보주체가 마이데이터 사업자에 동의를 하는 경우는 법령상 포섭이 어렵다. 또 정보주체가 개인정보처리자에 제공 동의를 하는 경우라도 개인정보처리자가 마이데이터 사업자에 개인정보를 이전하지 않고 정보주체에게 개인정보를 건네주는 경우 매우 번거로울 수 있다.

뿐만 아니라 개인정보 제공동의는 개인정보처리자를 위한 제도이지 정보주체를 위한 제도가 아니다. 개인정보처리자가 정보를 내주는 것을 거부하면 사실상 이를 강제할 수단이 없다는 점에서 한계가 나타난다.

정보주체 열람청구권을 근거로 보는 견해는 정보주체가 열람청구권을 행사함으로써 자신의 정보를 받아 마이데이터 사업자에 넘길 수 있다는 점을 근거로 한다.

하지만 정보주체가 열람을 요구하면 개인정보처리자는 정보주체에게만 열람시키면 된다. 마이데이터 사업자에 건네줄 의무가 없다. 따라서 정보주체는 자신의 정보를 받아 마이데이터 사업자에 다시 건네주어야 한다는 점에서 한계가 있다.

정보주체 개인정보 이동권을 근거로 보는 견해도 있지만, 현행법에는 이러한 권리가 인정되지 않는다. 다만 금융위원회에서 추진하는 마이데이터 사업은 개인정보 이동권을 전제로 입법이 추진 중이다. 아직까지는 입법이 되지 않았기에 당장 근거는 될 수 없다. 만일 이 권리가 입법화된다면 개인정보 제공이나 정보주체 열람청구권이 갖는 단점은 상당 부분 극복될 수 있다.

◇ 개인정보 유출 및 이전 시 발생 문제 해결해야

개인정보 처리자로부터 마이데이터 사업자에 데이터가 이전되는 과정에서도 법적 이슈가 발생할 수 있다. 데이터 호환성은 법적으로 보장해야 하기 때문이다. 또 개인정보처리자가 개인정보를 마이데이터 사업자에 이전하지 않은 경우 법적으로 이를 강제할 수단이 없다는 점도 이유다. 개인정보 이전 과정에서 생길 수 있는 개인정보 유출 문제, 개인정보 이전시 발생할 수 있는 비용의 부담자 결정 문제 등도 같은 맥락이다.

마이데이터 사업자가 여러 유형의 개인정보를 통합, 관리하고 있어 법적 이슈도 생길 수밖에 없다. 마이데이터 사업자 관련 법령이나 감독기관 선정 문제가 있을 수 있기 때문이다. 또 마이데이터 사업자 개인정보 이용 범위가 불명확하다면 그로 인한 오남용 문제도 발생할 수 있다.

◇ 쌓여가는 고민거리들

마이데이터 사업자 정보주체에 대한 보상이나 그 기준, 보상 방법에 대한 논의도 전제돼야 한다. 정보주체가 개인정보 일부에 대해 이용 등 동의를 철회할 경우 마이데이터 사업자가 취해야 할 조치나 파기 문제 등도 고민해야 한다.

마이데이터 사업자가 이전받을 수 있는 범위 또는 정보주체가 이전을 원할 수 있는 범위가 개인정보처리자가 정보주체로부터 수집한 원래 데이터에 한정되는지 아니면 개인정보처리자가 가공한 데이터까지 포함하는지에 대한 문제도 발생한다.

마이테이터 제도를 운영하는 경우, 민간 데이터에 한정할 것인지 아니면 공공데이터까지 확장할 것인지에 대한 논의도 필요하다. 바람직하게는 공공데이터도 포함시키는 게 맞다. 다만 공공데이터 계층화에 대한 접근권 선별화 작업이 전제돼야 한다.

마이데이터 제도는 데이터 산업 영역에서 새로운 비지니스를 촉진시킬 수 있고 그로 인한 데이터 혁명을 앞당기는 데 기여할 수 있다. 하지만 비식별조치 가이드라인 관련업체에 대한 시민단체 고발 사건에서 볼 수 있듯, 탈 없고 지속적인 비지니스를 위해서는 관련 입법이 선행돼야 한다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

김경환 법무법인 민후 대표변호사는 서울대 전자공학과에서 학·석사를 했고, 조지워싱턴대 국제거래법연수를 마쳤습니다. 사법연수원 제36기를 수료하고, 국회사무처 사무관(법제직)과 남앤드남 국제특허법률사무소(특허출원, 특허소송, 민사소송 변호사), 서울지방변호사회 법제위원회 위원을 거쳤습니다. 현재는 방위산업기술보호위원회 위원, 연세대 법학전문대학원 개인정보보호 최고전문가과정 강의, 지식재산위원회 해외진출 중소기업 IP전략지원 특별전문위원회 전문위원, 한국인터넷진흥원 민원처리심사위원회 위원 등 다양한 분야에 조정 자문을 맡고 있습니다.

관련기사