데이터3법 통과됐는데...인권위 '뒷북 규제'

["주문정보 지워라"...인권위, 마이데이터 사업 제동]

인권위 "주문내역은 사생활" ...시민단체 손 들어줘

금융위 "이동·철회·삭제 포함돼…되려 주권 강화"

세부사항도 시민단체·e커머스업체 등과 협의 중

개보위도 정보 이동권 도입 방안 검토하고 있어

/이미지투데이

마이데이터(My Data)는 개인이 여기저기 흩어진 자신의 개인정보를 본인이 원하는 곳에 한데 모아 관리할 수 있도록 한 것을 말한다. 우리나라에서는 올 초 이른바 ‘데이터3법’ 개정을 계기로 신용정보법에 개인신용정보 전송요구권이 도입되면서 제도화됐다. 이를 토대로 개인이 지정해준 정보를 받아 마이데이터 플랫폼을 운영할 수 있는 사업(본인신용정보관리업)도 신설했다. 내년 2월 새 법이 시행되면 가령 A씨가 자신의 주거래 은행이나 쇼핑몰 등에 정보 전송요구권을 행사하면 이들 기업은 A씨나 그가 지정한 마이데이터 사업자에게 해당 정보를 반드시 보내줘야 한다.

핵심은 ‘데이터에 대한 자기결정권 강화’다. 개인은 자신의 신용정보를 모아 직접 한꺼번에 관리하고 자신에게 최적화된 상품·서비스를 받아볼 수 있다. 마이데이터 사업자를 통해 인터넷 공간에 두고 싶지 않은 개인정보를 삭제하는 것도 가능하다. ‘데이터 경제 활성화’를 내건 정부는 2021년 경제정책방향을 통해 내년부터 마이데이터 플랫폼을 금융뿐 아니라 의료·교통·공공 분야 등에도 확대하겠다고 밝혔다.

데이터 주권 강화라는 취지와는 정반대로 마이데이터는 시행 이전부터 ‘개인정보 침해’ 논란을 벗지 못하고 있다. 특히 우리나라는 유럽연합(EU) 등과 달리 개인의 정보 이동권이 신용정보에 한해 우선 도입되면서 문제가 불거졌다. 마이데이터 사업자가 수집할 수 있는 신용정보의 범위에 주문 내역 정보가 포함되는지 여부를 두고 논쟁이 벌어진 것이다.

금융당국은 본래 법상 신용정보 개념에 상거래내용 정보가 포함된데다 소비자가 무엇을 얼마나 샀는지 같은 정보가 개인의 신용 판단에 활용될 수 있다는 점에서 주문내역정보도 신용정보에 해당한다고 명시했다. 실제 중국 앤트그룹의 ‘즈마신용’과 ‘마이뱅크’는 이미 개인이 알리바바에서 주문한 정보를 신용평가에 활용해 대출을 내주고 있다. 반면 시민단체와 전자상거래업계 등은 주문 내역은 신용정보로 볼 수 없고 숙박·성인용품처럼 개인이 민감하게 생각하는 정보가 사업자에게 노출될 수 있기 때문에 제외해야 한다고 반발해왔다.

국가인권위원회가 지난 17일 신용정보 범위에서 주문내역정보를 삭제하라고 권고하기로 한 것은 시민단체 측의 의견을 반영한 결정으로 풀이된다. 상임위원회에 참석한 이상철 위원은 “해당 조항은 마이데이터 사업에서 가장 중요한 조항인 만큼 삭제하게 되면 개정법의 취지가 무색해진다”면서도 “주문내역에 대한 결제·연체 여부는 신용정보지만 무엇을 구매했는지는 신용정보로 보기 어렵다”며 동의했다. 권고 초안에 관여한 김민호 비상임위원은 “형식적 동의만으로는 개인정보 자기결정권을 완전히 보장할 수 없다”고 말했다.

주무부처인 금융위원회는 권고를 수용하기 어렵다는 입장이다. 금융위는 지난 9월부터 이런 우려를 해소하기 위해 각 업권 및 소비자학회·법조계·노조 추천 대표들과 협의회를 꾸려 사생활이 노출되지 않도록 범주화된 주문내역만 개방하기로 보완책을 마련한 상태다. 금융위 관계자는 “신용정보는 개인의 요구와 명시적 동의가 있을 때만 수집된다”며 “범주화에 따라 가령 성인용품도 상품 특성에 따라 ‘의류’ ‘생활용품’ 등으로 표기되기 때문에 인권위가 우려하는 사생활 침해는 없을 것”이라고 말했다. 대인관계가 노출될 우려가 있다는 인권위 의견에 대해서도 “누구에게 선물하는지 등은 알 수 없다”라며 “자기 정보 이동권, 철회권, 삭제권을 제도화한 마이데이터는 오히려 데이터 주권을 강화하는 것”이라고 강조했다. 금융위는 형식적 동의 우려를 해소하기 위해 개인이 정보 이동권을 행사할 때 명확히 ‘알고 하는 동의’가 이뤄질 수 있도록 가이드라인도 정비하고 있다.

인권위의 권고가 시기적으로 맞지 않다는 지적도 나온다. 신용정보법 시행령이 개정된 지 이미 4개월 넘게 지난데다 정부는 마이데이터 확산을 위해 개인의 정보 이동권을 금융을 넘어 다른 분야에도 확대 도입하기로 천명한 상황이다. 인권위 상임위원들도 이런 점을 의식한 듯 회의에서 실무자에게 “시행령이 올 8월4일 시행됐는데 왜 지금 삭제 권고를 해야 하느냐” “그동안 왜 의견 표명이 없었는지 의문”이라고 언급했다.

관계부처의 한 관계자는 “개인정보보호위원회도 일반법인 ‘개인정보보호법’에 정보 이동권을 도입하는 방안을 검토하고 있다”며 “이동권이 모든 개인정보로 확대되면 주문내역이 신용정보인지 아닌지는 더 이상 중요한 문제가 아니다”라고 말했다. 최경진 가천대 교수는 “데이터3법 개정은 이전에는 못 쓰게 했던 데이터를 ‘어떻게 안전하게 쓰게 할 것인가’에 대한 고민을 담은 패러다임 전환의 시작”이라며 “이제는 어떻게 해야 데이터를 더 안전하게 활용하고 정보 주체의 통제권을 효과적으로 보장할 것인지에 대한 논의로 옮겨가야 할 때”라고 말했다. /빈난새·한민구기자 binthere@sedaily.com