닻 올린 ‘전분야 마이데이터’ 순항할까

1. 서론

마이데이터 제도는 정보주체의 개인정보 이동권을 전제로 한다. 개인정보 이동권은 정보주체가 개인정보처리자에게 자신의 개인정보를 정보주체 자신뿐만 아니라 정보주체가 지정하는 제3자에게 전달해줄 것을 요구할 수 있는 권리로 EU에서 처음으로 도입하였다. EU 시민의 개인정보가 구글, 아마존, 페이스북, 애플 등 미국 빅테크 기업에 고착(lock-in)되어1 역내 플랫폼 시장을 장악하고 있는 상황을 타개해 보고자 도입한 것이다(GDPR2 제20조 및 전문(Recital) 제68조). 이러한 새로운 권리는 정보주체 입장에서는 개인정보에 대한 자유로운 이동을 가능하게 함으로써 정보의 효용가치를 스스로 활용할 수 있다는 장점도 있으나, 이는 정보주체가 개인정보가 이동됨에 있어서 어떻게 처리되고 있는지 명확히 인지함을 전제로 한다. 한편 개인정보처리자 입장에서 우수한 제품서비스의 제공 과정에서 획득한 이용자 또는 소비자의 개인정보는 중요한 영업자산이다. 이러한 영업자산을 정보주체의 자의적임의적 요구에 의해 경쟁하는 개인정보처리자에게 제공해야 하므로 영업의 자유 제한이 될 수 있다. 또한 대부분의 개인정보는 처리과정에서 가공되거나 집합적으로 처리되는데 특정 정보주체의 개인정보를 수집한 형태로 추출하여 제공할 경우 비용과 노력이 소모되게 된다.
한편 국내에서는 2020년 2월 개정된 신용정보법3 에 개인신용정보 전송요구권(신용정보법 제33조의2)의 형태로 도입되었다. 그러나 EU GDPR처럼 개인정보 이동권만 도입한 것이 아니라 ‘본인신용정보관리업(신용정보법 제4조, 제22조의8, 제22조의9)’이라는 형태로 마이데이터 제도도 함께 도입되었다. 또한 공공부문에서는 「전자정부법」4 과 「민원 처리에 관한 법률」5 에서 본인의 행정정보를 본인 또는 제3자에게 제공하도록 요청할 수 있는 권리를 인정하였다. 이어서 민간영역의 포괄적인 마이데이터 시행을 위해 2023년 3. 14. 「개인정보 보호법」을 개정하여 “개인정보 전송요구권” 및 “개인정보관리 전문기관”에 대한 법적 근거를 도입했다. 그리고 개인정보보호위는 2024년 5월 1일부터 6월 10일까지 전 분야 마이데이터 시행을 위한 「개인정보 보호법 시행령 개정안」(이하 “시행령안”)을 입법예고 하였다. 그러나 이러한 마이데이터 전면 시행에 대해서는 소비자·시민사회단체, 유통업계, 스타트업계 등에서 강력한 반대의견을 표명하였고,6 정치권도 강한 우려를 표명한 바7 현행대로의 시행령안의 통과는 요원한 상황이다. 이하에서는 시행령안의 주요 내용과 우려의 근거가 되는 주요 쟁점들을 검토한다.

2. 시행령안 주요내용

이번 시행령 개정은 “「개인정보보호법」개정(2023.3.14. 공포)을 통해 개인정보 전송요구권을 국민의 보편적 권리로 보장하는 근거가 마련됨에 따라 정보주체의 개인정보 전송요구권 행사가 원활하게 진행될 수 있도록 법에서 위임한 사항을 구체화하려는 것”이다.8

시행령안은 전 세계 최초로 개인정보 전송요구권의 의무 사업자를 유통, 플랫폼 사업자로 확장하고 있으며 “개인정보관리전문기관”의 지정, 중계전송기관 의무 이용 등 새로운 인허가 사업자 도입을 통한 신산업 창출의 의미도 지닌다고 볼 수 있다.
주요 내용은 (i) 전송요구권 행사에 따른 정보전송자 및 전송정보 기준, (ii) 개인정보관리 전문기관 지정 기준 및 절차, (iii) 정보 전송 방법 및 절차 등이며 다음 표1과 같다.

[표1. 시행령안 주요 내용]

3. 쟁점과 해결 과제

가. 대상사업자 선정의 형평성
시행령안은 제3자 전송대상 사업자로 일정한 기준을 충족하는 상급종합병원, 기간통신사업자, 통신판매(중개)업자, 부가통신사업자를 규정하고 있다. 그러나 금융·의료·기간통신사업자와 통신판매(중개)업자·부가통신사업자는 법적 성격이 다르다. 전자(금융·의료·기간통신사업자)는 고도의 공익성이 요구되는 서비스로 시장의 진입 역시 엄격한 허가제로 운영되며 서비스의 공익성으로 인해 정부의 강력한 규제가 정당화 된다. 반면 후자(통신판매(중개)업자, 부가통신사업자)는 자유경쟁 서비스로 특별한 시장 진입규제가 없는 것이 원칙이며, 정부의 감독 역시 예외적인 경우에만 존재한다. 특히 전자는 해외사업자의 진입을 엄격하게 금지 또는 제한하여 해외사업자와의 경쟁이 존재하지 않으나, 후자는 아마존, 알리익스프레스, 테무, 구글유튜브 등 해외사업자와 치열하게 경쟁 중이다.
이처럼 서로 법적 성격이 다른 사업자를 동일 대상으로 규제하는 것이 타당한지에 대한 검토가 선행되어야 할 것이다. 무엇보다도 매출액 1,500억 원 이상 또는 정보주체 수 100만 명 이상인 통신판매(중개)업자, 부가통신사업자를 허가사업자인 금융·의료·기간통신과 동일하게 취급해도 된다는 논리로 왜곡될까 우려된다.

[그림1. 허가사업자와 비(非)허가사업자의 법적 성격의 차이]

나. 해외사업자 적용, 집행 문제
매출액 1,500억 원 이상 또는 정보주체 수 100만 명 이상인 통신판매(중개)업자, 부가통신사업자에는 코스트코 온라인, 유튜브 쇼핑, 구글 쇼핑, 애플스토어, 아마존 등 다수의 미국과 중국 해외사업자도 포함된다. 실질적으로 “Amazon·Coupang로 하여금 김현경의 구매이력을 Ali·TEMU·SHEIN에게 전송하라”고 요구하거나, “김현경이 자신의 Google 검색기록을 네이버 또는 틱톡에게 전송하라”고 요구하였을 때 이들이 이행할지, 불이행에 대하여 제재할 수 있을지 의문이다. Google 입장에서 ‘이용자(정보주체)의 검색기록’은 맞춤형 광고나 기타 부가서비스의 기반이 되는 영업의 핵심 정보이기 때문이다.
무엇보다도 데이터 국외유출의 문제도 간과할 수 없으며 해외기업에게 데이터 국경이전을 의무화할 수 있을지도 의문이다. 고객의 구매상품정보는 물론 할부정보, 배송지점, 회원등급 정보, 포인트 정보 등까지 모두 전송대상으로 규정하고 있는 바, 이러한 정보를 경쟁대상이 되는 해외 온라인 유통사업자에게 전송하도록 하는 것이 타당한지 검토가 필요하다. 하물며 대한민국 정보주체가 미국 기업에게 자신의 데이터를 중국기업에 전송하라고 할 수 있는지도 의문이다. 즉 “국내 소비자의 개인정보가 알리익스프레스, 테무 등 C-커머스로 공유되고 이를 통해 중국으로 빠져나갈 수 있다”는 우려와 “마이데이터를 통해 국내 소비자 정보가 통째로 해외에 넘어갈 수 있는 상황”에 대한 우려의 불식이 필요하다.

[그림2. 대상정보의 해외이전]

다. 대상정보의 포괄성, 민감성
앞서 언급하였듯이 시행령안은 고객의 구매상품정보는 물론 할부정보, 배송지점, 회원등급 정보, 포인트 정보 등까지 모두 전송대상으로 규정하고 있다. 뿐만 아니라 부가통신사업자에게는 기간통신역무 외의 전기통신역무와 관련된 모든 정보를 전송대상으로 규정하고 있다.
온라인 유통 플랫폼 기업에게 데이터는 “핵심 영업자산”이며 개인정보처리자의 법익(영업의 자유, 재산권) 침해 소지가 다분하다. 정보주체의 권리는 법익 형량, 규범조화적 해석 또는 비례원칙에 따라 개인정보처리자의 권리와 조화롭게 규정돼야 한다.

[그림3. 대상정보의 광범위성, 포괄성]

뿐만 아니라, 개인정보의 여러 사업자로의 이동은 개인정보의 유출, 이용과정에서 오남용, 해킹 가능성 증대 등이 우려되므로 이러한 상황에 비추어 개인정보 보호 차원에서도 재검토가 필요하다. 성인용품 구매 내역, 여성의 임신정보, 속옷취향 등 민감한 사생활 정보가 포함된 정보가 자동으로 국내외의 수많은 업체들에게 실시간으로 전송 가능하다. 따라서 대상정보의 포괄성으로 인해 정보주체가 인지하지 못한 정보 전송이 발생할 수 있으며, 정보보안이 미흡한 기업에 데이터가 이전될 경우 글로벌 해킹의 손쉬운 대상이 될 수 있다.

라. 법률에서 위임한 범위 일탈
법률은 “정보주체의 개인정보 전송요구권”과 이러한 권리를 이행하는데 도움을 주기위한 “전문기관”에 대하여만 규정하고 있다. 그러나 시행령 안에서는 마이데이터 사업법의 내용을 구성하고 있는 바, 위임의 범위를 일탈 소지가 있다.
우선 전송대상 정보에 대하여 법률에서는 ① 정보주체의 동의를 받아 처리되는 개인정보, ② 계약을 체결·이행하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보, ③ 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보로 규정하고 있다. 단 이러한 정보라 할지라도 개인정보처리자가 분석ㆍ가공하여 별도로 생성한 정보는 제외된다. 그러나, 진단이나 복약정보는 정보주체의 생체정보 등을 분석하여 의사의 전문지식으로 가공된 정보로 볼 수 있으며, 통신서비스 이용정보(월간 또는 요일별 데이터 사용량, 사용량에 따른 요금측정, 부가서비스 이용정도 등) 역시 기간통신사업자가 정보주체의 이용을 기반으로 분석ㆍ가공하여 별도로 생성한 정보로 볼 수 있다.
또한 개인정보 보호법(제35조의3)상 ‘개인정보관리 전문기관’의 업무는 ‘정보주체의 권리행사 지원’으로 규정되어 있는데 시행령안은 안 제42조의8 제2항 제2호 및 3호의 일반・특수 전문기관에 대해 ‘정보전송자로부터 전송받은 개인정보를 관리ㆍ분석하여 통합조회, 맞춤형 서비스, 연구, 교육 등에 이용하는 업무’를 수행하는 자로 규정하고 있다. 이는 정보주체의 권리행사 지원을 넘어 별도의 사업 범위를 정하고 있는 것으로 법률의 위임 범위를 벗어날 소지가 다분하다.
뿐만 아니라 ‘정보전송자의 기준’, ‘전송 요구 정보의 범위’, ‘전송 요구의 방법’, ‘개인정보관리 전문기관 지정의 세부기준’ 등을 고시로 재위임 한 바, 제3자 정보전송자, 대상정보, 전송 방법 등이 모두 행정부에 의해 자의적·임의적으로 변경 가능하므로 사업자의 지위를 불안정하게 할 수 있다. 고시로 재위임은 헌법이 미처 예상하지 못한 방법의 규율로서, 고시로 위임된 법규적 사항들은 수범자의 권리 및 이익 침해의 소지가 더 크다. 이러한 형식으로 국민의 기본권이 제한되거나, 국가의 기타 중대한 사유가 규제되는 경우 위임입법의 한계 일탈 문제가 제기될 가능성이 존재한다. 더욱이 재위임은 법률에 따라 위임된 권한과 이에 따르는 책임을 법률이 예상하지 못한 주체로 다시 위임하는 것이어서 결국 입법의 취지가 재위임 받은 주체에 의해 최종 행사되는 결과가 되며, 이 점에서 입법자의 의사에 부합하지 않는 경우가 발생할 수 있다.9 따라서 법률이 위임한 사항은 가급적 시행령에서 구체화하되 고시에는 매우 예외적으로 재위임하는 것이 타당하다. 이러한 형식으로 국민의 기본권이 제한되거나, 국가의 기타 중대한 사유가 규제되는 경우 위임입법의 한계 일탈 문제 발생하게 된다.

마. Start up & SME에게 미칠 영향
앞서 언급하였듯이 GDPR의 개인정보 전송요구권은 미국의 거대 플랫폼 기업에서 중소기업으로의 데이터 이동을 겨냥한 것이다. 구글·페이스북 등 미국 거대 플랫폼 서비스에 고착(lock-in)되는 문제를 해결해 시장경쟁을 촉진하고 유럽 시민의 정보에 대한 권리를 강화하기 위한 것이며, 개인정보 이동권을 통해 개인정보 처리 전 과정에서 정보주체의 결정을 지원해주는 새로운 서비스가 나올 수 있다는 것을 전제로 한 것이다.10

그러나 이에 대하여는 이미 3-4년 시행한 결과 그 도입 효과가 불분명할 뿐만 아니라 여러 우려들이 제기되고 있다. 개인정보 이동권의 이행사항이 불분명하고 규제 준수에 많은 비용이 소요되어 결국 이용자의 부담이 가중되며 더 나은 서비스를 제공하는 대기업으로의 데이터 쏠림을 심화시키면서 규제 준수 비용 등의 부담으로 중소기업에 부정적 영향을 미칠 가능성이다.11

우리나라 역시 유사한 우려에 대응할 필요가 있다. 스타트업 기업이 막대한 비용의 마이데이터 서버를 유지 및 관리하는 것은 현실적으로 어려운 일이며 이제 막 데이터를 수집하여 새로운 사업을 개발하려는 스타트업 기업들이 자신들의 데이터를 경쟁사에 전송해야 하는 불합리한 상황에 처할 수 있다. 또한 벤처, 스타트업에 대한 투자 환경 악화로 이들의 동력 약화, 데이터 기반 산업의 성장을 저해할 수 있다. 뿐만 아니라 입점업체(영세 중소상공인)의 주요 데이터가 공유될 수도 있다. 유통 분야에서 제공해야 하는 정보의 범위에 온라인 플랫폼을 통해 거래되는 입점 판매자의 판매정보까지 포함되어, 영세 중소상공인들의 판매정보나 영업정보까지도 경쟁사로 제공하는 의무가 부담되는 것이나 다름없는 결과를 초래할 수 있다.

바. 새로운 ‘관치 산업’의 탄생의 적절성
시행령안에 의하면, 제3자 대상 정보전송을 하는 경우 전문기관을 통해 전송하여야 한다(시행령안 제42조6의제4항). 또한 본인대상 정보전송의 경우에도 사실상 중계전문기관을 통해 전송해야 한다(시행령안 제42조6의제5항 및 제6항). 보안의 수준이 매우 높은 금융 마이데이터의 경우, 전송의무자가 중계기관을 이용할지 여부를 선택할 수 있게 하고 있다. 개인정보 분야의 경우, 현재 데이터 활용에 대한 구체적 비전과 마이데이터 사업자도 전무한 상태에서 우선적으로 소수의 중계기관에게 연결을 강제하고 중계 전문기관이 통합조회 및 맞춤화 서비스까지 제공하게 된다면, 결국 이러한 관치 기업만이 정보 독점으로 인해 적은 비용으로 서비스 제공이 가능하여 일반기업과 불공정경쟁이 야기될 수 있다.

4. 마무리

앞서 언급하였듯이 GDPR의 개인정보 전송요구권은 미국의 거대 플랫폼 기업에서 자국 중소기업으로의 데이터 이동을 겨냥한 것이다. 즉 구글·페이스북 등 미국 기업에 고착(lock-in)되는 문제를 해결하여 시장경쟁을 촉진하고 유럽 시민의 정보에 대한 권리를 강화하기 위한 것이다. 그렇다면 현재 우리나라에서 심각한 서비스 고착(Lock-in Effect)이 발생하고 있으며 이를 완화할 필요가 있는지가 먼저 입증돼야 할 것이다. 즉 현재 소수의 서비스에 이용자가 고착되어 경쟁이 유효하게 이루어지지 않고 있는가에 대한 검토가 선행돼야 할 것이다. 또한 개인정보 이동권의 근본적 목적은 정보주체의 권리를 강화하기 위함이다. 그러나 마이데이터 제도는 데이터 공유·이동이라는 새로운 시장의 창출이 전제돼 있다. 결과적으로 마이데이터 제도를 위해 개인정보 이동권을 도입하는 것은 실제로 정보주체의 권리 보장보다는 개인정보의 상품화를 조장하는 측면이 부각 될 수 있을 것이다. 개인정보 보호법은 정보주체의 권리 보장이 핵심인데, 데이터 시장법으로 혼용돼 입법목적이 희석화될 수 있다. 입법목적과 부수적 효과는 다른 것이며, 주객이 전도돼서는 안 될 것이다.

  1. EUROPEAN COMMISSION (2012), COMMISSION STAFF WORKING PAPER Impact Assessment, SEC(2012) 72 final, 2012.1.25. p.21. [본문으로]
  2. General Data Protection Regulation, GDPR [본문으로]
  3. 신용정보의 이용 및 보호에 관한 법률(법률 제16957호) 2020. 2. 4., 일부개정, 2021. 8. 4., 시행. [본문으로]
  4. 전자정부법(법률 제18207호), 2021. 6. 8., 일부개정, 2021. 12. 9., 시행. [본문으로]
  5. 민원 처리에 관한 법률(법률 제17515호), 2020. 10. 20., 일부개정, 2021. 10. 21., 시행. [본문으로]
  6. 지디넷코리아(2024.8.7), “유통·플랫폼·스타트업계 “마이데이터 반대”, https://zdnet.co.kr/view/?no=20240807172711 (2024.9.29.최종확인) [본문으로]
  7. 전자신문(2024.8.8), “정치권도 마이데이터 유통분야 확대 ‘우려’…정무위 여야 의원들 질타” https://www.etnews.com/20240808000340 (2024.9.29.최종확인) [본문으로]
  8. 개인정보 보호법 시행령 일부 개정령안 중 “제안이유”(국무총리) [본문으로]
  9. 신영수, “독점규제법상 위임규정의 적정성”, 경제법연구 제15권 2호, 231면, 헌재도 유사한 시각을 보이고 있다. 헌법재판소 1996.9.26, 결정 94헌마21 [본문으로]
  10. EUROPEAN PARLIAMENT, DIRECTORATE GENERAL FOR INTERNAL POLICES, POLICY DEPARTMENT A: ECONOMIC AND SCIENTIFIC POLICY, Reforming the Data Protection Package, STUDY, IP/A/IMCO/ST/2012-02, PE 492.431, 2012.9. pp.16-82 [본문으로]
  11. UK Ministry of Justice. (2012). Summary Responses to the UK Ministry of Justice Call for Evidence. 2021.6.28. p.19-20 [본문으로]
저자 : 김현경

서울과학기술대학교 IT정책전문대학원 교수 / KISO저널 편집위원장 / 개인정보보호법학회 회장