[바른 한서희 변호사의 테크로우] 가명정보 활용과 마이데이터 사업

최근 개정된 데이터3법이 시행됐다. 개정 데이터3법이란 개인정보보호법, 정보통신망 이용촉진 등에 관한 법률(정보통신망법) 그리고 신용정보의 이용 및 보호에 관한 법률(신용정보법) 이 3개 법을 의미한다. 과거에는 3개 법률이 각각 개인정보에 관련된 상이한 규제를 두고 있었다. 개정안은 3개 법률의 내용을 정비했고 빅데이터 활용을 위한 근거 규정을 신설했다.

가장 많이 논의된 건 가명정보다. 이번 개정법에서 처음으로 개인정보 중 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 '가명정보' 개념이 도입됐다. 개인정보라 하더라도 개인을 식별할 수 있는 요소를 삭제한 가명정보는 상업적 목적을 포함한 통계작성과 산업적 목적을 포함하는 과학적 연구, 공익적 기록 보존 등을 위해서는 정보주체의 동의 없이도 처리(수집, 저장, 보유, 가공, 이용, 제공 등)할 수 있도록 하고 규정하고 있다.

과거 익명화 된 정보는 통계작성 등을 위해 유의미한 정보가 모두 삭제돼 사실상 데이터로서의 가치가 없었다. 빅데이터 활용을 전제로 한 AI 등 발전이 불가능하다는 지적이 많았던 이유다.

가명정보는 빅데이터 활용이 가능할 정도로 일정 지표를 남기고 개인식별이 가능한 정보는 삭제해서 활용을 할 수 있도록 했다. 이를 활용할 경우 개인의 동의를 받지 않고 이전 등이 가능해진다.

개정안은 가명정보 제한도 뒀다. 우선 기업이 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고 지체 없이 회수하거나 파기해야 한다.

이를 위반할 경우 5년이하의 징역 또는 5000만원 이하의 벌금형에 처해질 수 있다. 서로 다른 기업이 보유한 가명정보를 결합하기 위해서는 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 이를 수행해야 한다.

마지막으로 개인정보보호 관련 기능을 개인정보보호위원회로 최대한 일원화했다. 정보통신망법에 산재돼 있던 규정은 모두 삭제해 개인정보보호법으로 통합했다. 이에 따라 개정된 정보통신망법은 개인정보보호법과 동일하게 8월 5일부터 시행된다.

또 익명 처리된 정보의 경우는 목적에 상관없이 자유롭게 활용할 수 있다. 신용정보회사 등은 자신이 보유하는 정보(법률 용어는 정보집합물입니다)를 제3자의 다른 정보와 결합하고자 할 때 데이터 전문기관을 통해야 한다.

데이터 전문기관은 금융위원회가 지정하는 기관으로 최근 신용정보원과 금융보안원이 지정됐다. 데이터 전문기관은 데이터 결합을 전문적으로 지원할뿐 아니라 익명 정보의 익명처리 적정성도 평가한다.

그리고 데이터전문기관이 결합된 정보집합물을 해당 신용정보회사 등 또는 제3자에 전달하는 경우에는 가명조치 또는 익명조치가 된 상태로 전달해야 한다. 결합을 의뢰할 회사는 신용정보원이나 금융보안원에 정보결합을 신청하고, 데이터전문기관은 각 정보를 결합한 후 가명·익명처리 및 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관인 회사에게 데이터를 제공해야 한다.

신용정보법 개정안에는 본인신용정보관리업, 다시말해 마이데이터 사업 규정도 생겼다. 본인 신용정보관리업은 금융기관이나 공공기관이 보유한 개인신용정보의 전부 또는 일부를 수집해서 신용정보주체가 조회나 열람할 수 있는 서비스 제공이다.

개정 신용정보법에서는 각 개인이 금융회사나 공공기관에게 자신의 신용정보를 본인 또는 자신이 지정하는 다른 금융회사, 마이데이터사업자 등에게 전송할 수 있도록 개인정보 전송요구권이 생겼다. 마이데이터사업자는 개인의 개인정보전송요구권을 통해 금융회사·공공기관 등으로부터 받은 신용정보를 받은 후 각종 정보를 일정한 방식으로 통합해 정보주체 본인에게 또다른 서비스를 제공할 수 있게 됐다.

예를 들어 A라는 사람이 갑 은행, 을 보험회사, 병 카드사의 고객이라고 가정해 보자. A는 개인정보전송요구권을 행사해 갑, 을, 병으로부터 마이데이터 사업자인 d로 모든 정보의 전송를 전송해 달라고 각 사업자에게 요청할 수 있다.

그렇게 되면 갑, 을, 병은 d에게 A라는 사람의 신용정보를 이전해야 한다. 마이데이터 사업자는 전송받은 개인정보를 통합, 가공해서 금융정보 통합조회 서비스, 소비성향에 따른 맞춤형 금융상품 자문 및 추천 서비스 등을 제공할 수 있게 된다.

이때 자문은 로보어드바이저 이용만 가능하다. 그리고 통합과 가공은 모두 이용자인 A의 동의를 전제로 한다. 마이데이터 사업자는 A 를 위해 신용정보 관리 및 금리인하 요구권의 대리행사 등을 할 수 있다.

그간 많이 들어본 인공지능(AI)를 통한 자산관리가 가능해지는 것이 바로 이 개인정보 전송 요구권 및 마이데이터 사업자의 등장으로 인한 것이다.

마이데이터 사업자가 되기 위해서는 금융위원회로부터 허가를 받아야 하는데 금융위원회는 8월 4일까지 예비허가 사전신청서 접수를 받고 그 이후부터 예비허가 정식접수를 진행한다. 심사는 최소 3개월이 소요될 것으로 예상된다. 심사는 한 번에 최대 20개 기업까지 차수별로 진행하는데, 1차 8~10월, 2차 11월~내년 1월, 3차 내년 2~4월 등으로 예정돼 있다.

2020년 5월 13일 이전에 마이데이터 서비스를 출시한 기업은 2021년 2월 5일까지 허가를 받지 못하면 서비스를 중단해야 하는 상황이다. 위 사업자들을 우선 심사 대상으로서 먼저 심사를 받게 된다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

한서희 변호사는 법무법인 유한 바른에서 2011년부터 근무한 파트너 변호사다. 사법연수원 39기로 서울대학교 법과대학과 동대학원 공정거래법을 전공했다. 현재 바른 4차산업혁명대응팀에서 블록체인, 암호화폐, 인공지능(AI) 등과 관련된 업무를 하고 있다. 이외에도 공정거래, 지적재산권 전문가다. 한국블록체인산업진흥협회 자문위원, 한국블록체인협회 자문위원, 블록체인법학회 이사, 한국인공지능법학회 이사, 대한변호사협회 IT블록체인 특별위원회 제1소위 위원장 등으로 활동하고 있다.