내 손안의 금융 비서로 출발한 마이데이터가 기존 금융, 공공 분야에서 의료, 통신, 에너지로 확대되는 개인정보보호법 개정안이 지난 3월 13일 시행됐다. 마이데이터는 국민이 여러 기관에 산재한 본인의 정보를 본인이 원하는 곳에 쓰이도록 해 삶을 보다 윤택하게 만들 수 있도록 하기 위해 도입됐다. 그동안 정보주체는 기업 등이 제공하는 서비스를 이용하려면 기업 등이 제시한 개인정보 활용에 동의하거나 하지 않을 선택만이 가능했고 기업 등도 데이터가 기업 간 칸막이에 가로막혀 있어 데이터 유통 활성화에 애로가 있었다. 그러나 마이데이터를 통해 정보주체는 자신의 통제하에 본인의 개인정보를 관리하고, 본인이 원하는 서비스에 활용할 수 있게 된다. 또한 분야 간 데이터 융합이 활성화돼 데이터 경제도 한 단계 혁신될 것으로 기대된다.
마이데이터 주무 부처인 개인정보보호위원회는 우선 전 분야 마이데이터 중 의료, 통신 분야를 시행하고 내년 6월에는 에너지 분야를 추가하기로 했다. 그 외에도 위원회는 마이데이터 우선 도입 대상으로 의료, 통신, 에너지, 교통, 교육, 고용, 부동산, 복지, 유통, 여가 등 국민 생활과 밀접한 10대 중점분야를 선정하고, 의료·통신·에너지 외에 나머지 중점분야에 대해서도 점진적, 단계적으로 마이데이터를 확대할 계획이다.
◇전 분야 마이데이터 확대
의료, 통신, 에너지 등 전 분야 마이데이터 제도의 주요 내용과 의미를 살펴보면 다음과 같다. 먼저 마이데이터는 두 가지 방향으로 진행된다. 하나는 본인전송으로 정보주체가 본인 개인정보를 개인정보 보유 사업자 등으로부터 직접 전송받는 것이고, 다른 하나는 제3자 전송요구로 맞춤형 서비스를 제공하는 마이데이터 사업자 등 제3자에게 전송하도록 하는 것이다. 본인전송의 전송의무자는 개인정보 처리능력 등을 고려해 대통령령으로 정하고, 제3자 전송의무자는 매출액, 개인정보의 규모, 개인정보 처리능력 등을 고려해 대통령령으로 정하도록 돼 있다. 이 규정에 따르면 본인전송이 제3자전송보다 범위가 넓을 것을 예정하고 있지만, 시행령에서는 본인전송과 제3자전송의 범위를 일치하도록 규정했다. 본인전송의 범위를 넓히는 경우 수범자가 늘어나는 문제를 고려한 것인데, 법률상 명백히 다른 범위를 예정하고 있음에도 이를 시행령에서 동일하게 처리한 것은 법리상 문제가 있다.
전송대상 정보는 정보주체 본인의 정보로서 컴퓨터 등 정보처리장치로 처리되는 개인정보인데, 구체적으로 보면 정보주체의 수집이용 동의를 받아 처리되는 정보, 계약체결을 이행하거나 계약 체결하는 과정에서 정보주체 요청을 이행하기 위해 처리되는 개인정보 등이다. 다만, 개인정보처리자가 수집한 개인정보를 기초로 분석·가공해 별도로 생성한 정보는 제외된다. 이는 정보주체가 아닌 개인정보처리자에게 정보에 대한 권리가 있기 때문이다. 의료법상 진단정보 등도 생성정보이지만 의료법상 전송대상으로 규정돼 있어 예외가 인정되고 있다.
◇마이데이터 주요 쟁점은
마이데이터 제도와 관련된 쟁점을 살펴보고자 한다. 첫째, 전송의무자와 전송정보이다. 보건의료정보전송자는 질병관리청, 국민건강보험공단, 건강보험심사평가원, 상급종합병원이며, 전송정보는 예방접종정보, 건강검진정보, 진료내용정보, 투약이력정보, 진단정보 등이다. 통신정보전송자는 이동통신 3사이며, 전송정보는 고객정보, 가입정보, 이용정보, 청구정보, 납부정보 등이다, 에너지정보전송자는 전기판매사업자(한국전력공사), 도시가스사업자·도시가스사업 관련 기관, 법인 및 단체 중 고시하는 자이며, 전송정보는 에너지 사용량 정보, 전기요금·가스요금의 청구정보 및 납부정보 등 고시로 정하는 정보이다. 상급종합병원이 47개이기 때문에, 이번에 당장 새롭게 전송의무가 부여된 기관은 총 53개이다. 통신정보에 데이터 사용량 등의 정보가 포함되지 않아 실제 유용성이 떨어지는 문제가 있다. 현재도 마이데이터 없이 최적요금설계가 이루어지고 있기 때문에 동 제도의 실익이 부족해 보인다.
둘째, 정보수신자이다. 정보수신자는 크게 개인정보관리전문기관과 일반 수신자로 구분된다. 개인정보관리전문기관은 제3자 전송요구권에 따라 전송된 개인정보를 안전하게 전송받아 개인 맞춤형 서비스 제공 등에 활용하는 전문기관과 개인정보 전송 중계에 필요한 시스템 운영 및 기능을 제공하는 등 정보전송자의 전송을 지원하는 업무를 수행하는 전문기관으로 구분된다. 후자의 전문기관을 중계 전문기관으로 부르며, 전자는 다시 일반 전문기관과 특수 전문기관으로 구분되는데, 특수 전문기관은 보건의료정보를 관리·분석해 통합조회, 맞춤형 서비스, 연구, 교육 등에 이용하는 업무를 수행한다. 즉 '특수'의 의미는 의료정보인데, 그렇다면 특수전문기관이 아니라 의료전문기관으로 명명해도 좋을 듯하다. 통상 마이데이터사업자로 부를 수 있는 건 일반 개인정보관리 전문기관과 특수 개인정보관리 전문기관이다.
일반수신자는 정보를 본연의 업무 수행을 위해 확인 목적으로 전송받은 자이다. 예컨대, 국립 공원에서 장애인에 대한 입장료 면제를 위해 장애인 여부에 관한 정보를 보건복지부로부터 받는 경우이다. 일반 수신자는 전문기관과 달리 지정이라는 절차가 없다. 다만, 일반 수신자도 마이데이터 플랫폼에 등록을 해야 하는데, 이때 요건 충족 여부를 심사하게 되므로 사실상 지정과 유사한 진입규제를 받게 된다.
셋째, 전문기관 지정에 관한 것이다. 전문기관 지정을 위해서는 기술 수준 및 전문성, 안전성 확보조치, 재정능력, 손해배상책임보험 또는 공제에 가입할 것의 요건이 필요하다. 중계전문기관의 경우 10억원, 일반·특수 전문기관의 경우 1억원의 자본금 보유가 필요한데, 스타트업 진입에는 다소 애로가 될 전망이다. 전문기관 지정을 받기 원하면 개인정보보호위원회 또는 관계 중앙행정기관의 장에게 지정 신청을 한다. 기존의 금융, 공공 부문 마이데이터사업자도 다시 지정을 받아야만 의료, 통신 등 정보를 제공받을 수 있다. 심사 과정에서 운영의 묘를 발휘하여 중복적, 낭비적 요건을 요구하지 않도록 해야 할 것이다. 지정에 대한 유효기간은 3년이며, 재지정 심사에 관하여는 기존 지정 절차를 준용한다. 재지정 신청 없이 유효기관 경과 시 전문기관 지정의 효력은 상실된다. 3년마다 최초 심사에 준하는 재심사를 받은 것은 행정적으로 비효율적이며 기업에도 부담이 된다는 점에서 절차를 간소화할 필요가 있다.
넷째, 전송방법에 관한 내용이다. 정보전송자는 정보주체의 전송 요구가 있는 경우 지체없이 개인정보를 전송하여야 하고, 안전성 및 신뢰성이 보장될 수 있는 전송 방식으로 전송해야 한다. 이런 방식은 정보 전송시 암호화, 정보전송자와 개인정보관리 전문기관 및 일반수신자 간에 미리 협의하여 정하는 방식 및 상호 식별·인증할 수 있는 방식 등이다. 암호화, API 방식이 허용되며, 스크래핑 방식은 금지된다.
또한 정보전송자는 반드시 중계 전문기관을 통해 전송해야 한다. 제3자 전송요구는 정보주체가 정보수신자를 통해 전송을 요구한다. 본인전송이 직접 정보제공자에게 전송을 요구하는 것과 다르다. 부당한 전송요구에 대한 거절 및 중단·철회도 가능하다. 정보전송자는 정보주체 본인 여부가 확인되지 않는 등 특정한 경우 전송요구 거절 및 전송 중단이 가능하다. 이 경우 해당 사실 및 그 사유를 정보주체에게 통지해야 한다.
끝으로 수수료에 관한 규정이다. 전송의무자는 개인정보 전송을 위해 필요한 정보의 특성, 설비 구축 비용, 운영 비용 등을 고려해 정보수신자에게 수수료를 청구할 수 있다. 이 수수료 기준은 개인정보보호위원회가 마련한다. 제3자 전송의 경우에는 정보전송자가 정보주체를 대리하여 개인정보 전송을 요구하는 수신자에게 수수료를 청구할 수 있다.
◇맞춤형 서비스 통한 수익모델 활성화 고려해야
이번 마이데이터 정책은 보건의료 분야로의 확대에 의미가 있다. 보건의료 분야는 전자의무기록 등 세계적으로 우수한 인프라와 훌륭한 의료인을 보유하고 있음에도 불구하고 민감한 정보라는 이유로 데이터 활용에 제한이 있었다. 이번 의료 마이데이터 도입으로 국민의 건강권 보호와 헬스케어 산업의 발전이 기대된다. 다만, 소관 부처는 의료 마이데이터 사업자는 공익 목적으로만 데이터를 활용하도록 하고, 기존 금융 마이데이터 사업자에 대해서는 특수 전문기관 지정을 하지 않을 것이라는 전망이 있다. 이렇게 되는 경우 이종 데이터 결합을 통한 이용자 편익 제공이 불가능해지고, 안 그래도 데이터 기반 맞춤형 서비스가 제한되어 수익모델이 부족한 마이데이터 사업이 다시 어려움에 빠질 가능성이 있다.
지금도 일부 금융 마이데이터 사업자는 사업 면허를 반납하고 있다. 향후 계속 분야 확대가 예정된 마이데이터 사업이 데이터를 모으기만 할 뿐 마땅한 수익모델을 제시할 수 없다면 이 정책을 더 이상 지속할 필요가 없다. 정보주체의 개인정보 자기결정권을 강화하고 데이터 기반의 혁신을 통해 정보주체의 편익과 데이터 산업의 성장을 목표로 했던 마이데이터 사업이 다시 한번 도약할 수 있도록 관계 당국의 진지한 고민이 필요하다.
이성엽 고려대 기술경영전문대학원 교수·기술법정책센터장 dysylee@korea.ac.kr
고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 뉴욕주 변호사 자격을 취득했고, 서울대에서 법학박사 학위를 받았으며 하버드 로스쿨 방문학자를 거쳤다. 1991년 제35회 행정고시 출신으로 정보통신부, 국무조정실과 김앤장 법률사무소를 거쳐 고려대 기술경영전문대학원 교수로 재직 중이다. 한국데이터법정책학회장, 한국공법학회 부회장, 플랫폼법정책학회 부회장을 맡고 있고 고려대 기술법정책센터장과 데이터·AI법센터 대표를 겸하고 있으며, 국가데이터정책위원회 위원, 개인정보보호위원회 규제심사위원장 및 범정부 마이데이터협의회 위원으로 활동하고 있다. 행정 경험과 법률 실무를 기반으로 AI, 데이터, 개인정보, 인터넷, 정보보안, 방송, 통신 등 ICT 분야 법과 정책에 정통한 권위자다.
