들어가며

 

 

유럽연합 개인정보보호 법제에서의 개인정보 이동권은 ‘18년도 5월 25일에 본격 적용된 General Data Protection Regulation(GDPR) 제20조(Right to data portability)에 새롭게 도입되었다. 권리창설 후, 현실에 적용된 지 채 3년이 되지 않은 매우 ‘젊은 권리’다. GDPR은 개인정보 이동권을 “개인정보 처리자에게 제공한 자신에 관한 개인정보를 구조화되어있고, 통상적으로 사용되며, 기계 판독이 가능한 형식으로 제공받을 수 있는 권리”라고 정의한다. 한마디로, 자신에 관한 개인정보를 다운로드 받을 수 있는 권리라고 할 수 있다. 또한, 기술적으로 가능한 경우에 한하여(where technically feasible), 정보 주체는 개인정보처리자에게 요청하여 자신에 관한 개인정보를 다른 개인정보처리자에게 전송하도록 요청할 수 있는 권리도 갖는다. 후자의 권리는 항상 보장되는 것은 아니지만, 일단 보장되는 상황에서는 실효성이 작지 않다. 우리나라는 올해 8월 5일 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)을 본격 시행했다. 이 가운데 신용정보법에 ‘마이데이터 산업(본인 신용정보 관리업)’을 도입하여 개인정보 이동권을 법에 반영한 것으로 평가된다(신용정보법 제33조의2).

 

 

그런데, 최근 금융업계와 전자상거래 기업 간 ‘주문 내역’ 정보가 마이데이터 신용정보 제공범위에 포함되는지 여부를 둘러싸고 발생한 논란과 마이데이터 사업 예비허가를 둘러싼 치열한 경쟁 등을 살펴보면, 우리나라의 마이데이터 제도가 과연 개인정보 이동권의 취지를 오롯이 반영한 것인지, 아니면 기존 산업에 개인정보 이동권이라는 당의(糖衣)를 씌워 놓은 것인지 혼란스럽기도 하다. 개인정보 이동권의 취지를 다시 살펴서 현재 상황에 대한 이해를 돕고자 한다.⁽¹⁾

 

 

유럽연합의 개인정보 이동권 도입 배경

 

 

유럽연합 개인정보 감독관(European Data Protection Supervisor, 이하 “EDPS”)은 GDPR이 제정되기 전, 2015년도에 발간한 <빅데이터의 도전을 맞이하여 – 투명성, 이용자 통제권, 개인정보보호 내재화 및 책임성에 대한 요청> 의견서를 통해 “개인정보의 처리로 인해 창출되는 부(wealth)로부터 개인이 어떤 방식으로, 어느 정도의 혜택을 취할 수 있을 것인지는 디지털 단일 시장(Digital Single Market) 구축의 맥락에서 생각해봐야 할 매우 중요한 사안이다.”라고 전제하면서, 빅데이터의 혜택을 개인과 공유하는 동시에 개인에게 더욱 큰 통제권을 부여하고, 개인정보의 효과적이고 투명한 처리에 대한 인센티브를 생성하기 위한 방법으로 개인정보 이동권을 제시하였다.

 

 

EDPS는 개인정보 이동권이 사업체와 개인이 더욱 더 균형적이고, 투명한 방식으로 빅데이터의 혜택을 최대화하는 데 도움을 주며, 개인정보처리자와 정보 주체 간의 경제적 불균형을 해소할 수 있을 것으로 생각했다. 개인정보의 사용으로 창출되는 가치로부터 개인이 혜택을 얻을 수 있고, 개인정보를 정보 주체 자신의 목적으로 사용할 수 있으며, 부가적인 서비스 내지 금전적 가치와의 교환을 통해 제3자로 하여금 개인정보를 추가로 이용하게 할 수도 있을 것이라는 예측도 제시하였다. 또한, 부당하거나 차별적 관행을 최소화하는 동시에, 의사결정 목적에서 부정확한 데이터를 사용하는 위험을 줄일 수도 있을 것이라는 기대도 표현했다.

 

 

또한, EDPS는 데이터 이동권이 개인정보보호 측면과 아울러, 경쟁 및 소비자 보호에서도 도움이 된다고 보았다. 특히, 소비자가 서비스 제공자를 쉽게 옮기면 경쟁적 시장 환경을 조성할 수 있다는 점을 근거로 들었다. 개인정보를 제공받은 제3자가 새로운 서비스를 만들어낼 수도 있고, 이로 인해 개인정보에 대한 접근을 요구하는 새로운 시장에 대한 진입장벽을 낮출 수 있을 것으로 보았다. 결국 경쟁적이고, 보다 덜 독점적인 시장 구조를 만들 수 있다는 기대를 표현했다.⁽²⁾

 

 

유럽연합 Article 29 Working Party(현재는 ‘European Data Protection Board’)는 개인정보 이동권이 “개인정보가 속해 있는 IT 환경에서 다른 IT 환경으로 손쉽게 이동, 복사, 전송하는 정보 주체의 능력을 지원하므로, 자신의 개인정보에 관해 정보 주체에게 권한을 부여하는 것(empowering)을 목적으로 하는 새로운 권리”라고 설명한다. 이 권리의 가장 주된 목적은 서비스 제공자를 옮기는 것을 촉진하여 서비스 간 ‘경쟁을 강화’하는 것이라고 한다. 또한, 디지털 단일 시장 전략의 맥락에서 새로운 서비스를 만들어내는 것도 가능하게 한다는 점도 고려했다고 한다. 그 뒤를 이어, 개인정보처리자와 정보 주체 간의 관계를 ‘재조정(re-balance)’할 기회를 제공한다는 점도 설명한다. 이는 기존에 정보 주체로부터 개인정보처리자에게 개인정보가 일방적으로(unilaterally) 제공되었던 것과 달리, 정보주체가 자신에 관한 정보를 개인정보처리자로부터 다시금 제공받을 수 있기 때문에 정보가 양방향(bilaterally)으로 흐를 수 있다는 점을 의미한다.⁽³⁾

 

 

경쟁적 측면에서 ‘이동권’은 특히 강력한 ‘네트워크 효과(network effects)’를 가지고 있는 산업군에서 경쟁을 촉진할 수 있는 요소로 작용한다는 점을 경험상 확인했거나 현재 경험하고 있는데, 대표적인 영역이 바로 이동통신과 금융산업(telecommunications and retail banking)이다. 전자는 2002년도에 번호 이동 제도를 도입하여 증명되었으며, 후자는 PSD2로 알려진 Payment System Directive의 도입으로 경쟁 촉진 효과를 증명하려 하고 있는 것이다. GDPR에 도입된 개인정보 이동권은 특정 산업군이 아닌, 개인정보 처리에 관여하는 산업 전반에서의 경쟁을 촉진시키기 위한 것으로 이해된다. 그러나, 현실에서의 개인정보 이동권은 이와 같은 이상을 실현시키기에는 완결성이 떨어지며, 데이터를 제공하고 수령하는 개인정보처리자 간의 ‘상호운영성(interoperability)에 대한 기준의 부재’로 인해 시장이 경험해왔던 ‘반복적인 반독점 실패(repetitive anticompetition failure’를 반복할 가능성이 지적되기도 한다.

 

 

상기의 내용에 비추어 보면, 유럽연합이 GDPR을 통해 새롭게 도입한 개인정보 이동권은 다음과 같은 목적과 배경을 가지고 있는 것으로 정리해볼 수 있다.⁽⁴⁾

 

 

· 개인정보 처리로 발생하는 부와 가치를 정보주체인 개인에게 일정부분 공유하거나 제공하기 위해 · 서비스 제공자로부터 개인정보를 옮겨, 서비스 제공자간 경쟁을 촉진하기 위해 (=lock-in 해제) · 서비스 제공자와 개인간의 기울어진 관계를 재조정하기 위해 · 디지털 단일 시장의 맥락에서 (주로 미국의 Tech Giants로 부터) 유럽연합의 우위를 회복하기 위해

 

 

우리나라의 마이데이터 산업

 

 

우리나라 금융위원회는 2018년도 3월 19일 발표한 <금융 분야 데이터 활용 및 정보보호 종합방안>의 세부 추진방안으로 마련한 <금융 분야 마이데이터 산업 도입방안>을 같은 해 7월 17일에 공개했다. 마이데이터 도입방안을 통해 제시한 추진 배경에 따르면, ① 4차 산업혁명의 핵심 자원으로서 데이터 중요성이 부각되지만, 막상 정보 주체인 개인이 소외되는 정보보호 문제가 대두, ② 특히 금융 분야의 경우, 복잡한 구조 및 비표준화 상품 특성으로 인해 정보 열위에 있는 금융소비자의 보호 무제가 지속, ③ 정보 주체의 데이터 관리 및 활용을 지원하고, 금융소비자의 구조적인 정보 열위를 완화해주는 산업적 기반 미흡 등으로 인해 “개인정보 자기결정권 보장, 금융소비자 보호 등을 위한 금융 분야 마이데이터 산업(‘본인 신용 정보 관리업’) 도입을 추진”한다는 것이 금융위원회의 입장으로 확인된다.⁽⁵⁾

 

 

그런데, 이와 같은 마이데이터 산업은 누구라도 제한 없이 영위할 수 있는 것이 아니라, 금융당국이 제시하는 매우 엄격한 기준을 충족해야 허가가 주어지는 허가제로 운영된다. 금융위원회는 “원칙적으로 마이데이터 허가 사업자 수에는 제한이 없으며, 단일 금융 그룹ㆍ지주회사 내에서 복수의 사업자 허가도 가능하다.”는 입장이나, 허가를 위한 법규상 요건으로 ▲자본금 요건(5억 이상) ▲임원 자격 요건(지배구조법상 결격사유 미 해당) ▲전문성 요건(신용정보 활용, 보호 및 금융업 전문성) ▲사업계획의 타당성(사업계획, 조직구조 적합성) ▲대주주 적격성(최대 주주 및 주요 주주 심사) ▲물적 요건(금융위 고시 설비 구비) 등 6가지의 매우 높은 기준을 제시하여 높은 산업진입 장벽을 만들어 놓았다. 특히, 전문성 요건과 관련하여 “신용조회업, 마이데이터, 금융업 및 이와 유사한 업무를 영위한 경험이 있거나, 관련 전문인력 고용 등을 통해 신용정보 산업 및 금융 분야에 대한 이해도가 소명되는지 여부를 심사”하겠다고 밝혀, 기존 금융기업이나 핀테크 산업에 먼저 뛰어들어 관련 서비스를 제공하지 않았다면 마이데이터 사업에 진입할 기회조차 원천 차단되도록 게임의 룰을 정하였다.⁽⁶⁾

 

 

마이데이터 산업이 아직 본격적으로 시작된 것은 아녀서 본격적으로 이에 대한 평가를 하는 것은 다소 섣부를 수 있다. 그러나, 현재까지 확인되는 금융당국의 입장 등을 통해 확인할 수 있는 우리나라의 마이데이터 산업은 유럽연합의 데이터 이동권과는 다소 차이가 있는 것으로 생각되는 지점이 여럿 있다.

 

 

첫째로, 개인정보 이동에 있어 ‘제한적 경쟁’을 촉진할 뿐, 실질적인 시장에서의 보편적 경쟁까지는 고려하지 않는다는 점이다. 위에서 설명한 마이데이터 사업자 허가를 위한 6가지의 법적 요건을 충족할 수 있는 기업은 기존에 시장에서 경쟁하고 있거나, 경쟁을 할 수 있었음에도 여러 이유로 시장 경쟁자로 참여를 미루고 있었던 기업들로 제한된다. 올해 8월 초 신청기한까지 마이데이터 사업 (예비)허가를 신청한 금융사는 총 63개였는데, 이들 모두가 사업 허가를 취득한다 하더라도, 그들 중 다수는 마이데이터 산업이라는 제한적 시장을 두고 경쟁을 하다가 도태가 될 것으로 예상된다. 결국 마이데이터 산업이라는 제한적 시장을 만들어두고 적은 수의 사업자가 승자독식을 하는 결론에 이른다면, 이는 개인정보 이동권 도입 배경인 시장에서의 경쟁 촉진과는 배치된다. 경쟁자를 내침으로서 경쟁을 제한하여 시장 과점자를 탄생시키는 모순적 결과를 낳게 된다.

 

 

둘째, 서비스 제공자와 개인 간의 기울어진 관계를 재조정할 수 있을 것인지 의문이다. 마이데이터 제도는 특정한 요건을 갖춘 사업체에 허가를 내어주고, 고유업무 외에도 부수 업무(정보 관리 및 데이터 산업 관련 업무 등), 겸영 업무(자산관리 등 부가서비스 제공을 위한 금융업무) 등까지도 영위할 수 있게 한다. 이 과정에서 정보 주체의 개인정보에 대한 통제권 확보 방식(예: 개인정보 권리 포털 구축 및 이를 지원하기 위한 대시보드 제공 등)에 대해서는 구체적인 요구사항을 제시하지 않는다. 마이데이터 사업 허가를 받는 사업자에게 개인이 오히려 락인(lock-in)될 수 있는 구조라서 오히려 개인정보 이동권의 정신에 반하는 제도로 변질될 것이 우려된다. 실무적으로는 마이데이터 사업자가 정보 주체에게 ‘데이터 이동을 과도하게 요청’하게 된다면, 이는 오히려 정보 주체의 권리를 형해화 할 수도 있을 것이다.

 

 

셋째, 국가경쟁력 측면에서 글로벌 확장력 없이, 국내 사업자 간의 경쟁을 부추긴다. 유럽연합이 개인정보 이동권을 법제화하면서 고려했던 ‘디지털 단일 시장’과 같은 전략은 부재하고, 국내 사업자 간 작은 시장을 두고 경쟁을 심화시키는 결과를 가져올 가능성이 높다. 보편적 상호운영성(interoperability)나 호환성(compatibility), 또는 확장성(expandability)을 고려하지 않은 채, 국내 사업자 간 사전 규격화된 API를 통해 데이터를 ‘누가 더 많이 가져올 수 있는지’를 제도화하였다. 포용적이지 않고 배타적이다. 시장에서 자율적으로 경쟁력을 갖출 기회를 제한하여 마이데이터를 관치의 영역에 두는 것이라는 우려도 제기된다.

 

 

 

나가며

 

 

유럽연합이 ‘경제 블록(economic bloc)’을 형성하여 자신들의 경제 영역을 지키기 위한 제도적 장치의 하나로 개인정보 이동권을 도입한 것은 시장의 크기, 미국 Tech Giants에 의한 시장 잠식, 활력을 잃어 혁신을 제도로나마 이끌어야 하는 경제적 상황 등을 종합적으로 고려한 것으로 이해된다.

 

 

이 와중에 미국 Tech Giants들은 Data Transfer Project를 통해 특정 시장에서만 작동하는 개인정보 이동권이 아닌, “이에 참여하는 누구라도 개인정보 이동권의 과실을 따먹을 수 있는” 프로젝트를 시작하여, 일부 현실에서 작동 가능한 결과물을 보여주기도 했다. 최근 Facebook이 서비스에 적용한 ‘photo transfer’기능이 바로 Data Transfer Project의 중간 결과물을 서비스에 적용한 사례이다. 이들은 데이터의 흐름이 법제에 의해서가 아니라, “보다 좋은 서비스를 제공하는 사업자에게 흐르는 것”이라는 것을 이해하고 있는 것처럼 보인다.⁽⁷⁾

 

 

다시금 유럽연합의 개인정보 이동권 도입 취지를 생각해볼 필요가 있다. 우리는 과연 어떤 목적과 전략을 가지고 있는 것인가? ‘우리나라 산업 전반에 걸친 경쟁력 향상’과 ‘개인정보처리자에게 기울어진 권한의 불균형 해소’를 위해 마이데이터 산업을 도입하는 것인가? 이러한 목적과 이상을 뒷받침할 수 있는 방식으로 제도를 구성하고, 시장 참여자를 모으고 있는 것인가? 이러한 질문에 답을 제시해주는, 한 매체의 조언을 옮겨본다. “‘마이데이터 사업자가 프로 선수라면 주체인 개인은 아마추어’다. 규제기관과 사업자가 논의해야 할 진짜 문제는 업권별 데이터 개방 ‘땅따먹기’가 아니라 정보 제공·활용 전 단계에서 개인의 권리를 실질적으로 보호하고 정보 집중에 따른 폐해를 예방하기 위한 장치다.”⁽⁸⁾