[전승재 변호사의 IT 인사이트] 가명정보 결합과 마이데이터

[전승재 변호사의 IT 인사이트] 가명정보 결합과 마이데이터 "해커 출신 변호사가 해부한 해킹판결" 저자 전승재 / 법무법인 바른 데이터 3법의 시행일은 지난 8월 5일인데, 개인신용정보 전송요구권 제도(이하 '마이데이터')를 신설한 신용정보법 규정은 좀 더 늦은 내년 2월 4일에, 마이데이터 사업자의 행위규칙에 관한 일부 조항은 내년 8월 4일에 각각 따로 시행된다. 그만큼 시행에 앞서 많은 준비가 필요한 제도라는 뜻이다. 마이데이터의 강력함은 가명처리 제도와의 비교를 통해서도 잘 드러난다. 첫째, 가명처리의 기본 전제요건은, 개인 식별자를 가명으로 대체하는 등 처리를 한 후 원래 개인정보와 가명정보 간 연결정보(matching table)가 새어 나가지 않도록 비밀로 유지한다는 것이다. 마이데이터 제도하에서는 개인신용정보 원문 그대로를 전송요구 할 수 있으니 가명처리를 반드시 해야 한다는 제약이 없다. 둘째, 가명정보는 특정 개인을 알아볼 목적으로 처리하는 것이 금지된다. 즉, 1대 1 맞춤형 서비스를 제공 받을 특정 조건의 고객을 식별하기 위해 가명처리 제도를 쓸 수는 없다. 가명정보는 개인별 속성과 행동 사이의 상관관계 등을 연구하기 위해 활용할 수 있을 따름이다. 이와 달리, 마이데이터 제도로써 취득한 정보는 맞춤형 금융상품 추천을 비롯해 특정 개인을 알아볼 목적으로 활용하는 것이 허용된다. 셋째, 이종(異種)의 가명정보 데이터셋(data set)을 결합하려면 정부가 지정한 전문기관에 가져가야 하고, 결합 결과물을 반출하려면 특정 개인을 알아볼 수 없도록 처리하여 반출심사위원회의 승인을 받아야 한다. 예컨대 통신사에 축적된 소액결제 내역과 신용카드사에 축적된 카드승인 내역 데이터를 가명처리 후 결합해 소비성향을 분석하는 연구를 하려면, 해당 통신사나 카드사 스스로 할 수 없고 전문기관을 통해야만 하며, 그나마도 특정 개인 식별이 불가한(산업적 가치가 떨어지는) 결과물이 얻어질 뿐이다. 한편, 마이데이터 제도로써 취합된 이종의 개인신용정보에는 그러한 제약이 없다. 예컨대 마이데이터 서비스의 이용자는 통신사를 상대로 본인의 소액결제 내역을, 신용카드사를 상대로 본인의 카드승인 내역을 그 마이데이터 사업자에게 전송해줄 것을 요구할 수 있다. 이렇게 전송된 두 데이터셋은 마이데이터 사업자가 결합해 빅데이터 분석 및 타겟 마케팅 용도로 쓸 수 있다. 물론 마이데이터 제도의 한계도 있다. 일단 마이데이터 사업자 자신의 고객에 대해서만 활용(전송요구권 행사 권유)할 수 있고, 가명정보처럼 불특정 다수인의 데이터를 분석하는 데에는 쓸 수 없다. 또한 모든 유형의 개인신용정보가 아니라 법령·고시에 규정된 일부 유형의 개인신용정보만 전송요구 대상이 된다. 참고로 시행령에는 "신용정보주체의 거래내역을 확인할 수 있는 정보"가 전송요구 대상으로 규정되어 있는데, 그 범위에 '인터넷 쇼핑몰 이용자의 물품구매 내역'이 포함되는지 여부가 한창 쟁점이 되고 있다. 이처럼 마이데이터 제도가 강력해질 수 있었던 명분은 단순하다. 기존에서는 정보주체가 본인의 정보 수집에 대해 '수동적으로 동의'하는 입장이었던 반면, 마이데이터의 경우 정보주체가 본인 정보의 이동을 '능동적으로 요구'한다는 것이다. 그런데 양자가 근본적으로 다른지에 대해서는 심도 있는 논의의 여지가 있다. 마이데이터 사업자가 마련한 '금융기관에서 내 정보 가져오기' 버튼을 누를 때, 이용자는 본인이 능동적으로 개인정보 전송요구권을 행사한다고 생각할까, 아니면 마이데이터 서비스를 받기 위해 수동적으로 '개인정보 수집동의'를 한다고 여길까.