[이성엽의 Tech & Law <3>] 마이데이터 시행 3년, 한계와 미래 과제는
마이데이터(My Data)는 2020년 8월 데이터 이용을 활성화하는 ‘개인정보보호법’ ‘정보통신망 이용 촉진 및 정보 보호 등에 관한 법률(정보통신망법)’ ‘신용 정보의 이용 및 보호에 관한 법률(신용정보법)’ 등 데이터 3법이 개정될 때 도입된 금융 분야 정책이다. 마이데이터 정책을 통해 소비자는 은행·카드·통신 회사 등에 흩어져 있는 개인 신용 정보를 한 번에 파악할 수 있고, 자신에게 특화된 금융 서비스를 합리적으로 이용할 수 있다. 사업자는 소비자가 선호하는 금융 상품을 파악해 경쟁력을 높일 수 있다. 2년간의 준비 과정을 거쳐 2022년 1월 시행됐다. 공공 분야 마이데이터는 한 달 앞선 2021년 12월부터 시작됐다. 공공 분야 마이데이터는 ‘전자정부법’ 제43조의 2에 도입된 정보 주체 본인에 관한 행정 정보의 제공 요구권를 기초로 한다. 정보 주체인 국민의 요구에 따라 행정·공공기관이 보유한 본인 행정 정보를 본인 또는 제삼자에게 제공하는 서비스다. 만 3년을 향해 가는 마이데이터의 현재 모습과 미래의 과제는 무엇이 있을까. 마이데이터 가입자 늘어도 수동적 활용 그쳐
금융 마이데이터의 경우 서비스 출범 이후 가파른 성장세를 보이고 있다. 3년간 69개 사업자가 1억1787만 명의 가입자(2024년 2월 말 기준)에게 금융 정보 통합 관리 서비스를 제공 중이다. 하지만 여전히 질적 측면에서 소비자 편익, 혁신 기업의 성장은 보이지 않는 상황이다. 마이데이터는 정보 주체가 본인 정보를 적극 관리·통제하고, 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 것을 의미한다. 핵심 원리는 정보 주체의 ‘개인 정보 이동권’에 기반한다. 정보 주체가 정보 제공자로 하여금 본인이 원하는 서비스를 제공받기 위해 데이터의 이전을 요구하는 것이다.
마이데이터 정책의 기대 효과는 크게 세 가지다. 첫째 정보의 자기 결정권 측면에서 기존에 정보 주체는 업체의 필요시 소극적으로 본인 정보를 활용하도록 동의하는 수동적 활용에 그쳤으나, 마이데이터를 통해 정보 ‘주체’가 능동적으로 본인 정보의 활용을 선택한다. 둘째 산업 경쟁력 제고 측면에서 데이터 이동으로 소비자가 서비스를 더욱 쉽게 ‘갈아탈 수’ 있게 되면서 사업자 간 서비스 질 개선과 가격 경쟁이 촉진된다. 셋째 신규 시장 창출 효과다. 데이터 이동의 확대는 진입 장벽을 낮춤으로써 기존 사업자 외에 다양한 신규·후발 사업자가 시장에 참여한다.
그런데 이런 기대에도 불구하고 마이데이터의 현재 상황은 만족스럽지 않다. 마이데이터는 3단계의 발전 과정을 거치는 것으로 본다. 1단계는 통합 조회 및 개인의 의사 결정 지원이다. 2단계는 분야별 마이데이터 플랫폼의 관리, 추천, 자문이다. 예컨대 금융 분야 자산 관리, 추천 즉, 데이터 분석 알고리즘을 기반해 은행, 카드, 보험, 증권 등을 앱 하나에 모은 자산 관리 솔루션이 그 사례다. 마지막 3단계는 개인의 전체 삶의 관리, 지원이다. 다양한 산업군 간 정보 주체의 데이터 결합을 통해 새로운 가치를 창출할 수 있는 데이터 통합 분석 관리 시스템이 등장하게 된다.
우리나라의 마이데이터는 2단계 중반에 와 있다고 평가된다. 추가 단계 진입을 위해 금융위원회는 올해 4월 ‘마이데이터 2.0 추진 방안’을 발표했고, 최근 후속 조치로 ‘신용정보업감독규정’을 개정했다. 이에 따라 영업점 등 대면 채널에서도 마이데이터를 서비스할 수 있고, 법정대리인의 동의 없이 스스로 마이데이터를 이용할 수 있는 연령을 만 19세에서 만 14세 이상으로 바꿨다. 마이데이터를 통해 수집한 정보와 사업자가 기존에 보유한 정보를 결합하거나 사업자가 제삼자에게 정보를 판매하는 것도 허용했다. 다만 제삼자 판매 시 금융보안원에 구축된 전송시스템을 이용하도록 했다.
금융 넘어 전 분야에 흩어진 개인 정보 모을 수 있어야
3단계로 진입해 마이데이터가 진정한 가치를 발휘하려면 금융을 넘어 흩어져 있는 나의 모든 정보를 모을 수 있는 환경이 조성되어야 한다. 이에 2023년 9월 15일 전 분야에 마이데이터를 도입하는 개인정보보호법 개정안이 발효됐다. 또 2025년 3월 중 전 분야에 마이데이터가 시작될 예정이다. 정부는 전 분야에 마이데이터 도입을 준비하고 있으며, 5월 1일 입법 예고를 통해 유통, 통신, 보건 의료 분야에 우선적으로 마이데이터를 도입하기로 하고 준비 작업을 진행하고 있다. 그런데 이 과정에서 예상 밖의 변수가 발생해 마이데이터 확산이 주춤하고 있다.
먼저 유통 업계의 강력 반대로 유통은 마이데이터에서 제외됐다. 이유는 유통 정보는 금융, 공공과 달리 공익성 있는 정보가 아닌 민간 기업의 정보라는 점이다. 또 고객 주문 정보와 결제 정보, 구매 패턴 규모, 빈도 등 개인의 소비성향이 고스란히 담겨 있는 유통 정보가 다른 정보와 결합하면 개인의 민감한 정보를 유추해 낼 수 있다. 국민의 민감한 개인 정보가 손쉽게 국내외 어디든 유출되는 심각한 사태가 발생할 수 있다는 의미다. 통신 업계도 마찬가지다. 이동통신사, 개통일, 서비스(요금제)명, 서비스 종류, 서비스 가입일, 서비스 과금 내역, 서비스 변경 일자, 서비스 해지 일자 등 약정 정보가 마이데이터 정보 제공 범위에서 제외된 것으로 알려진다. 이에 따라 마이데이터 사업자는 소비자가 휴대폰 변경 시 여러 요금제를 비교해 최적 요금제와 통신사 등 맞춤형 정보를 제공하는 것이 불가능하게 됐다.
데이터는 ‘기업 자산’이라는 인식 강해 이전 거부감 심해
이처럼 금융 분야를 포함해 대부분 산업에서 마이데이터가 주춤하고 있는 이유는 무엇일까. 우선 가장 중요한 것은 기업이 데이터를 오로지 기업 자산으로 인식하고 정보 주체의 자산으로 인정하지 않으려는 경향 때문이다. 기업 입장에서는 개인 데이터 자산이 필수적인 경쟁력 요소다. 이를 법으로 강제해 제삼자에게 이전하는 것에 대해 상당한 거부감을 가지고 있다. 이런 이유로 관련 법령에는 신용 평가와 같이 개인이 제공한 정보를 토대로 새롭게 만들어진 생성 정보나 가공 정보는 이동권의 대상에서 제외하고 있다. 이는 전적으로 정보 주체에게 데이터 오너십이 귀속되지 않기 때문이다. 기업이 보유하고 있는 개인 데이터 자산은 원칙적으로 정보 주체가 가져야 하지만, 일정 부분 기업의 영업 자산의 성격도 있다. 따라서 이를 제삼자에게 이전하는 것은 정보 주체의 동의가 있다고 하더라도 해당 기업에 일정한 인센티브가 있어야 한다. 금융 분야와 같이 정보 제공에 따른 대가를 수취할 수 있도록 하거나 정보 제공 기업도 마이데이터 사업자가 될 수 있어야 하는 것이다.
결국 금융, 공공에 이어 전 분야로 마이데이터를 확산하려는 정책은 관련 기업, 소비자에 대한 이해와 설득에 실패하면서 상당히 후퇴할 가능성이 크다. 사실 전 세계 어디에서도 시행되지 않고 있는 국민의 개인 정보를 실시간으로 이전하는 마이데이터 정책은 애초부터 무리한 정책이었다. 현재 가능한 범위 내에서 전 분야 마이데이터 정책을 시행하면서 마이데이터의 장단점, 가능성과 한계 등을 면밀히 짚어보고 기업과 소비자를 충분히 설득하려는 노력이 필요하다. 동시에 이미 도입된 금융, 공공 분야 마이데이터에 더욱 내실 있게 하려는 노력이 더해져야 할 것이다.
Copyright © 이코노미조선. 무단전재 및 재배포 금지.