[마이데이터 명과 암③] "내 정보는 내가 통제"...고객 주권행사 '구멍', 재정비 시급
[마이데이터 명과 암③] "내 정보는 내가 통제"...고객 주권행사 '구멍', 재정비 시급
  • 장은진 기자
  • 승인 2022.07.12 07:40
  • 수정 2022.07.12 14:15
  • 댓글 0
이 기사를 공유합니다
법적 강제력 구축 및 보안·관리 전문기관 지정 필요성 대두

유의미한 데이터는 기업들이 새로운 부를 창출할 수 있게 한다. 최근 여러 기업이 마이데이터 사업에 열을 올리는 이유도 고객들의 개인 데이터를 신사업 먹거리로 판단했기 때문이다. 하지만 정작 개인 데이터를 공급해주는 고객들도 이득을 보고 있을까. 기업과 달리 정보를 제공한 개인 고객들이 누릴 수 있는 혜택은 제한적이다. 오히려 개인의 데이터가 유출돼 스팸에 시달리거나 각종 피싱 위험에 노출된 사례도 적지 않게 찾아볼 수 있다. [편집자 주]

[사진=연합뉴스]
[출처=연합뉴스]

마이데이터 사업은 개인정보를 정보 주체인 고객 개인이 직접 통제할 수 있게 한다는 취지에서 시작됐다. 하지만 기업에서 다양한 서비스를 미끼로 이용자들의 개인정보를 요구하기 때문에 사실상 개인에게 주어진 선택권은 거의 없는 것이나 마찬가지다. 그렇다면 개인이 행사할 수 있는 권리는 무엇이고, 권리행사 기준을 어디까지 설정해야 하는지에 대한 논의가 필요한 시점이다. 

팔려나간 개인정보, 고객들과 공유해야 

12일 업계에 따르면 다양한 서비스를 이용하기 위해 기업에게 개인정보를 제공했지만, 활용여부는 개인이 감시할 수 있도록 해야한다는 목소리가 높다.

이를 위해선 개인이 기업에게 데이터를 어디에 어떤 방식으로 사용했는지 받아볼 수 있도록 활로를 열어주는 게 중요하다.  

현행 개인정보보호법 35조는 '정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다'고 규정하고 있다. 여기서 정보 제공 주체가 제공받을 수 있는 정보의 형태는 사본의 발급을 포함하고 있기 때문에 겉보기엔 문제가 없어 보인다.

하지만 법률에서는 파일 형태의 데이터 제공을 의무로 강제하고 있지 않다. 또 개인정보보호법 조문을 자세히 살펴보면 '개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리'라고 써 있는데, 여기서 '사본'으로 컴퓨터 파일을 인정할 것인지도 현재 의견이 엇갈린 상태다.

강제의무가 없다보니 기업은 고객정보를 활용한 방식에 대해 모두 공개할 필요도 없다. 공개 내용에 명확한 기준이 없다보니 일부만 고객에게 제공해주더라도 기업은 해당 권리를 중촉시켜 준 셈이다. 이 구조는 결국 고객들은 알지 못하는 사이에 데이터 '매매'가 일어난 토스 고객정보DB 판매사건 발단 원인으로 작용하기도 했다.   

기존의 구조적 모순을 해결하기 위해 정부 차원의 개인정보 이동권(전송요구권) 강화에 대한 논의가 시작됐다. 

전송요구권이란 정보 주체가 개인정보를 본인이나 '제3자(개인정보처리자 혹은 개인정보관리 전문기관)'에게 이전하도록 요구할 수 있는 권리다. 개인이 본인정보를 적극 관리‧통제하고 본인이 원하는 서비스를 제공받기 위해 데이터 전송을 요구하는 행위 일체를 뜻한다. 즉 '내 데이터는 내 것이므로 내 뜻대로 활용한다'는 개념이다. 

보안업계 관계자는 "구조적 모순을 해결하기 위해 정부에서 나섰다는 점은 굉장히 긍정적으로  볼 수 있다"면서 "개인의 정보 이동권 행사를 위한 방법에 대한 논의가 필요함에도 후순위로 미뤄지면서 개인의 권리가 여러모로 침해받고 있던 상황"이라고 말했다. 

 

금융위원회는 마이데이터 및 데이터 결합, 활용 활성화를 위해 관련 규제를 합리적으로 개선했다고 밝혔다. 시스템 설비 구축의무를 일부 완화하면서 관련 업체들의 사업참여가 한층 수월해질 전망이다. [출처=픽사베이]
 [출처=픽사베이]

◇ '개인정보관리 전문기관'도 지정 필요 

현재 국회에 계류된 개인정보보호법(이하 개보법) 개정안은 정부안과 의원 입법안을 포함해 10여개다. 지난달에도 개인정보 전송요구권 도입을 골자로 한 개정안이 접수되면서 비슷한 내용의 법안들이 쏟아지고 있는 상황이다. 

개보법 개정 정부안에는 제35조의2와 3에 전송요구권과 개인정보관리 전문기관 관련 내용이 각각 신설됐다. 국내 신용정보법과 유럽연합(EU)의 일반개인정보보호규정(General Data Protection Regulation, GDPR)에 기반해 데이터 이동권 범위를 확장한다는 방침이다. 전송방법과 전송 요구 거절, 전송 중단 등 구체적인 사항은 시행령으로 위임한다.

EU의 경우 지난 2016년 개인정보 보호지침을 GDPR로 개정하면서 '개인정보 이동권(Right to data portability)'을 신설했다. 정보 제공 범위는 ▲정보 주체의 동의 ▲계약 이행 ▲자동화된 수단에 의한 경우다. 처리자가 생성 파생한 정보는 제외된다.

개정안 제35조2에 따르면 정보주체는 개인정보처리자에게 자신의 개인정보를 ▲본인 ▲개인정보관리 전문기관 ▲안전조치의무를 이행하고 대통령령으로 정하는 시설·기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있다.

개인정보관리 전문기관은 위원회 혹은 관계 중앙행정기관으로부터 전문기관 지정을 받아야 한다. 해당 기관은 개인정보 전송시스템의 구축과 표준화·관리 등 업무를 담당하고 개인정보 안전성 확보 조치 등을 갖춘 곳(기업)을 지정할 권리를 얻게 된다. 

[위키리크스한국=장은진 기자]

jej0416@wikileaks-kr.org

저작권자 © 위키리크스한국 무단전재 및 재배포 금지
장은진 기자
장은진 기자 다른기사 보기
기자가 쓴 기사
  • 서울특별시 마포구 마포대로 127, 1001호 (공덕동, 풍림빌딩)
  • 대표전화 : 02-702-2677
  • 팩스 : 02-702-1677
  • 청소년보호책임자 : 소정원
  • 법인명 : 위키리크스한국 주식회사
  • 제호 : 위키리크스한국
  • 등록번호 : 서울 아 04701
  • 등록일 : 2013-07-18
  • 발행일 : 2013-07-18
  • 발행인 : 박정규
  • 편집인 : 박찬흥
  • 위키리크스한국은 자체 기사윤리 심의 전문위원제를 운영합니다.
  • 기사윤리 심의 : 박지훈 변호사
  • 위키리크스한국 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 위키리크스한국. All rights reserved.
  • [위키리크스한국 보도원칙] 본 매체는 독자와 취재원 등 뉴스 이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알립니다.
    고충처리 : 02-702-2677 | 메일 : laputa813@wikileaks-kr.org
ND소프트