"마이데이터 사업 `칸막이` 쳐선 곤란…종합 플랫폼 구축 필요"

by이후섭 기자
2021.12.14 07:13:19

윤종인 개인정보보호위원회 위원장(사진=김태형 기자)

[이데일리 이후섭 기자] “국민들이 본인의 개인정보가 조금이라도 덜 빠져나가고 있다고 느꼈으면 좋겠습니다. 나아가 우리나라가 디지털 시대 개인정보를 가장 잘 활용하는 나라가 됐으면 하고요.”

윤종인 개인정보보호위원회 위원장에게 임기 내 가장 추진하고 싶은 일을 묻자 돌아온 답변이다. 윤 위원장은 전 세계 데이터의 70% 이상을 개인정보가 차지하는 상황에서 개인정보를 안 쓸 수는 없고 가장 안전하게 쓸 수 있는 환경을 만드는 게 중요하다고 했다. 개인정보를 제공하는 국민들과 기업 간, 혹은 대기업과 스타트업 간에 정보 격차로 기울어진 운동장을 평평하게 만드는 작업이 필요하다고 했다.

이런 작업의 일환이 바로 `마이데이터`를 금융, 의료, 공공 등 전 분야로 확산하는 것이다. 마이데이터는 국민이 본인정보를 스스로 관리하고 통제하면서 필요한 분야에 자신의 정보를 제공해 가치 있게 활용할 수 있도록 돕는 제도다. 금융 마이데이터는 지난 1일부터 시범 서비스를 시작해 금융권, 핀테크 기업들이 맞춤형 자산관리 서비스를 준비 중이다.

공공 분야에서도 전자정부법 시행령이 개정돼 지난 9일부터 본인의 행정정보를 전자지갑을 통해 전송할 수 있는 서비스가 나왔다. 육군에서는 현역 장병이나 군인가족의 신분을 인증하고, 휴가증 같은 증명서도 모바일로 받을 수 있는 `밀리패스`를 선보였다.

다만, 그는 이러한 마이데이터 서비스가 특정 영역에서만 이뤄지도록 하는 `칸막이`를 쳐선 곤란하다고 경계했다. `개인정보 전송요구권`을 일반법인 개인정보 보호법에 도입해 마이데이터를 전 분야로 확산시켜 자유롭게 데이터가 오갈 수 있게 만들어야 한다는 것이다.

그는 “이동권은 사일로(저장고)에 갇힌 개인정보를 광장으로 끌어내기 위한 것인데, 분야별로 서비스를 운영하면서 또 다른 사일로를 구축해선 안된다”고 강조했다.

윤종인 개인정보보호위원회 위원장(사진=김태형 기자)

개인정보위는 지난 9월 개인정보 전송요구권 등이 담긴 개인정보 보호법 2차 개정안을 국회에 제출했다. 11월에는 관계부처와 함께 `마이데이터 표준화 협의회`를 구성했다. 표준화 작업은 `마이데이터 종합 플랫폼`을 구축하기 위한 사전 단계다. 종합 플랫폼에 모든 분야의 플레이어, 금융으로 치면 은행·핀테크 등 사업자들이 참여해 데이터를 전송·조회·저장·활용할 수 있도록 하는 것이다.

윤 위원장은 이를 `엄브렐라(우산) 플랫폼`이라고 불렀다. 이를 위해 본인의 개인정보를 믿을만한 기관에 맡겨서 넘길 수 있도록 하는 신탁제도 도입도 논의 중이다.

유럽연합(EU)의 관련 법에서는 `디지털 거버넌스 액트`로 규정된 제도인데, 정보 격차를 해소하고 정보주체의 이익을 위해 행동할 전문 관리기관을 따로 두는 것이다.



윤 위원장은 “금융 마이데이터 서비스를 직접 이용해 봤는데, 내 권리를 행사한다기 보다 각 사업자의 사업을 위해 내 정보를 줬다는 느낌이 강하다”라면서 “정보를 주는 사람 중심으로 해야 통합이 가능해진다. 개인정보 전문 관리기관이나 다양한 주체들의 역할을 보다 명확하게 규정하고, 종합 플랫폼의 구성요소를 재정의하는 작업을 관계부처와 같이 해 나갈 것”이라고 말했다.

이어서 “앞으로 지금보다 훨씬 더 개인정보는 많이 사용될텐 데, 마이데이터 종합 플랫폼은 `데이터 활용 플랫폼`으로서 쓰임새가 높아질 것”이라면서 “동시에 위원회가 보호법에 근거를 두고 플랫폼을 모니터링해서 국민들이 안심할 수 있도록 만들겠다”고 강조했다.

개인정보가 워낙 많은 분야에서 쓰이면서 위원회가 모든 걸 관리하고 감독할 수는 없다. 기술의 발달로 `회색지대`에 속하는 영역이 나타나는 만큼 다른 부처와의 협력이 필수적이다.

윤 위원장은 “각 부처가 사업하는데 있어 개인정보 관련 문제가 생기면 내부 검증을 거쳐 스스로 점검하는 과정을 거칠 필요가 있다. 우리는 각 중앙행정기관이 하는 부분에 대한 컨트롤타워 역할을 하게 돼있다”며 “월패드처럼 많은 개인정보를 수집하는 사물인터넷(IoT) 기기들이 기하급수적으로 늘어나고 있는데, 해킹 사태와 관련해 개인정보 보호법상 우리가 할 수 있는 일은 없다. 열화상 카메라 제조업자를 제재할 법적 근거도 없는데, 법을 제·개정해서라도 이런 부분에 대한 법적 권한을 명확히 할 필요가 있다”고 목소리를 높였다.

그는 “디지털기기 제조업자, 앱 개발자 등이 제품·서비스 개발 단계부터 프라이버시 중심 설계(PbD)를 적용하도록 개인정보 보호 책임을 강화할 필요도 있다”고 했다.

데이터 이동에는 국경이 없는 만큼 글로벌 협력도 필수적이다. 개인정보위는 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 결정이 연내 이뤄질 것으로 기대했다. 최종 관문인 EU 회원국 승인 절차만 남겨둔 상황이다.

연내 적정성 결정이 이뤄지면 한국 기업들의 EU 진출이 늘고, 이를 위해 기업이 들여야 했던 시간 및 비용이 절감될 것으로 기대된다. EU에 진출한 지사나 현지 기업으로부터 표준계약절차 없이 고객정보를 가져올 수 있고, 법적 불확실성이 해소되면서 적극적인 영업 활동도 가능해질 것으로 보인다.

윤 위원장은 “EU집행위 전원회의를 통과하면 즉시 시행돼 우리나라 기업들이 EU에서 보다 편하게 고객정보를 가져올 수 있다”며 “적극적으로 의사를 표명하고 있는 영국과도 내년에 개인정보 이전 협정을 추진하고, 유사한 법제를 가지고 있는 호주나 뉴질랜드로도 확대할 계획”이라고 말했다.

한편 최근 열린 APPA(아태지역 개인정보 감독기관장 회의) 포럼에서 윤 위원장이 발표한 온라인 플랫폼 공동규제에 대해 캐나다 등 많은 국가들이 관심을 보였다. 공동규제는 국가의 직접 개입보다는 사업자의 자율 규제와 정부의 모니터링이 혼합된 형태로, 이번에 네이버·카카오·쿠팡·11번가 등 국내 대표 10개 이머커머스 사업자와 함께 `개인정보 보호 강화를 위한 온라인쇼핑 공동규제`을 마련했다.

윤 위원장은 “복잡한 사업 구조 속에서 지킬 수 있는 관리적·기술적 규제를 사업자 스스로 만드는 것으로, 배달앱·부동산·숙박·모빌리티 등의 플랫폼 마다 공동규제를 만들어 발전시켜 나가려 한다”며 “다른 나라의 감독기구들도 여러 집행방식에 대해 고민이 많은데 한국에서 선제적이며 효율적인 공동규제 방식 관련 사례를 공유해줘서 도움이 된다고 했다”고 전했다.