[전승재 변호사의 IT 인사이트] 마이데이터가 뭐길래
[전승재 변호사의 IT 인사이트] 마이데이터가 뭐길래 오는 8월 5일 시행될 데이터 3법에서 '개인신용정보 전송요구권'(이른바 '마이데이터') 제도가 도입된다. 그 권리는 누가 행사하는가. 신용정보주체 본인이다. 그 권리는 누구를 상대로 행사하는가. 은행, 금융투자업자(펀드), 보험회사, 여신전문금융회사(신용카드사·캐피탈 등), 전자금융거래법에 따른 전자금융업자(PG사 등), 한국거래소, 기간통신사업자(통신사·ISP 등), 한국전력공사 및 한국수자원공사 등이 개인신용정보 전송요구권 행사 대상 기관이다(이하 '데이터보유자'). 그 권리의 내용은 무엇일까. 신용정보주체는 데이터보유자에게 본인의 정보를 보내 달라고 요구할 수 있다. 모든 유형의 정보가 전송요구 대상이 되는 것은 아니고, 계좌정보, 대출정보, 카드정보, 보험정보, 금융투자 상품정보, 증권계좌 정보, 연금상품 정보, 보험대출 정보, 국세·지방세 납부정보, 4대 보험료 납부정보, 통신료 납부정보, 기타 금융위가 고시하는 거래내역정보 등으로 한정되어 있기는 하다. 데이터 전송은 API를 통해서 자동으로 이뤄지도록 하는 것이 의무사항이다. 그 데이터는 누가 전송 받을까. 신용정보주체 본인이 받을 수도 있고, 그가 지정하는 금융기관이 받을 수도 있겠지만, 마이데이터 사업자가 받는 사례가 많을 것이다. 서비스를 그렇게 만들 것이기 때문이다. 예컨대 마이데이터 사업자가 만든 가계부 앱이 '카드사에서 내 정보 가져오기' 버튼을 달아두고 가계부 이용자가 이 버튼을 누르면, 카드사 서버에서 처리되던 당해 이용자의 신용카드 사용내역 정보가 API를 통해 가계부 앱의 서버로 전송되는 구조가 될 것이다. 이 버튼의 법률적 의미는, 이용자가 데이터보유자를 상대로 행사하는 개인정보 전송요구권을 마이데이터 사업자에게 대리행사 시킨다는 뜻이다. 그 데이터를 가지고 마이데이터 사업자는 무엇을 할 수 있을까. 본인 신용정보 통합조회서비스 정도에 그치지 않는다. 빅데이터 분석을 통해 신용카드, 펀드, 보험, 심지어 대출까지 맞춤형으로 추천·광고·주선할 수 있다. 이 때 마이데이터 사업자는 여러 금융기관 등으로부터 전송받은 이용자 신용정보들을 '결합'도 할 수 있다. 이종의 개인정보(가명정보) 데이터셋 간 결합이 매우 엄격하게 규제되는 것과 대비된다. 물론 금지되는 행위도 있다. 마이데이터 사업자가 금융소비자에게 적합하지 않은 금융상품 등을 권유하거나, 금융상품의 중요한 사항을 이해할 수 있도록 설명하지 않거나, 정보주체에게 전송요구의 대리행사를 강요하거나, 또는 자신에 대하여만 전송요구를 하도록 강요·유도하거나, 정보주체의 전송요구 철회 또는 본인정보 삭제요구에 응하지 않거나 그 방법을 어렵게 하는 행위 등이다. 이처럼 마이데이터 제도 안에서는 일반법인 개인정보 보호법에 비해 데이터 활용이 상당히 폭넓게 허용될 수 있다. 그러한 매력으로 인해 금융위원회가 최근 진행한 마이데이터 사업자 허가 사전 수요조사에서 금융회사뿐만 아니라 IT·통신·유통 등 비금융회사들도 대거 지원을 했다고 한다. 개정법 시행 후 마이데이터 서비스가 출시되면 국민들의 피부에 와 닿는 변화가 생길 것으로 기대된다.
