* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

 

 

GDPR 시행 이후에 개인정보에 대한 많은 변화가 일어났다. 그동안 한국은 개인정보에 대한 법제가 강력한 법제라는 인식이 강했지만 그것은 사실 규제 일변도로 구성된 국내법상 특징에 따른 특성일뿐이라는 것이 필자의 생각이다. 정말 강력한 규제는 유럽의 GDPR이나 이제 슬슬 법이 제정되기 시작한 CCPA등 유럽과 미국에 대한 법이 더 강력한지도 모르겠다.

데이터3법 개정은 왜 이루어졌는가?

데이터 3법 개정의 핵심은 바로 2가지다.  

▶ 개인정보보호 감독기구 설립

이 두가지가 가장 핵심적인 내용이다. 첫째, 개인정보 감독기구 설립은 그동안 GDPR의 우선 협상 대상국에 2차례나 협상이 결렬된 주된 이유이기도 하다. GDPR은 개인정보 관련된 강력한 관리 감독하는 감독기구의 독립성을 강하게 요구하고 있다. 한국은 그런측면에서 개인정보의 독립된 감독기구가 없었다. 

어차피 GDPR은 시행이 될 것이고 그동안 2차례에 걸쳐 우선 협상대상국에서 결렬된 주된 원인이 되기도 했기 때문에 각 부처에 흩어져 있던 개인정보에 관련된 업무를 일원화 해 한 곳으로 집중시키는 작업이 시작된 것이다. 일반인들은 한 곳에서 관리하면 되지 않겠냐고 쉽게 생각하겠지만 이는 정부조직법 상 여러가지 법률적인 요소가 작용되는 사항이라 그렇게 간단한 일이 아니다.

■ 개보위의 설움

그동안 심의.의결 기구로만 존재했던 개보위는 아무런 힘이 없었다. 개인정보에 대한 심의.의결에만 관려를 할뿐 실질적인 역량이 미흡했다고 본다. 이에 중앙행정기관으로 격상 시켜 국무총리 산하 조직으로 만들고 장관급 위원장이 배치됨에 따라 책임과 권한 부분에서 서러움에서 탈퇴하게 됐다.  2021년 들어 강력한 드라이브를 거는 것도 이런 존재감을 위한 하나의 개보위의 의지라고 보여진다.

▶ 가명정보 도입

그동안 개인정보에 대한 규제적인 측면만 있다보니 강력한 규제라는 인식이 강했다. 그런 차원에서 최근 4차산업혁명에 따른 인공지능, 빅데이터 기술이 탄력을 받으면서 데이터 중심 경제로의 전환이 이루어지고 정부에서도 이런 데이터 뉴딜정책에 강력한 드라이브를 걸게 됐다. 이는 일본에 손정의가 방한해 대통령과 환담한 끝에 "첫째도 인공지능, 둘째도 인공지능, 셋째도 인공지능"이라고 언급해 화재가 됐다. 

데이터 활용 분위기는 조성이 됐는데 법은 그대로 규제 일변도로 가는 명분이 더 이상 힘을 얻기 힘든 가운데 2016년부터 제기 해 오던 '비식별조치 가이드라인'에 대한 익명성에 기반을 둔 비식별 기술에 관심이 쏠리기 시작했다. 그 당시에 비식별조치를 통해 가명처리 하는 방법에 대한 관심이 있었는데, 시민단체의 소송에 따라 잠시 유보되기도 했다. 그렇게 탄력을 받지 못하다가 이번 GDPR과 데이터 활용 최전선에 있는 기업들의 입장을 반영해 명분을 쌓고 '활용'에 한 발짝 진일보하게 한 발을 내 딛게 됐다.  그 첫걸음이 '가명정보'의 개념 도입이고 이는 GDPR에 모두 언급돼 있는 내용으로 활용에 포커스를 맞춘 개념이다.

또한, 동법 시행령 제 14조2항에 따라 '개인정보의 동의 없는 추가적인 이용.제공'이 허용됨에 따라 일일이 동의를 받던 기존 체제에서 다시금 한 발짝 더 나아가게 됐다. 법의 개정 목적이나 의도 자체는 좋은데 이를 사용하는 법 수범자가 오남용을 해서는 안될 것이다. 

보호위는 " 보호 없이는 활용도 없다"는 슬로건을 내 걸고 2021년 많은 개인정보 관련 사업을 추진하고 온라인 공청회를 통해 발표를 했다. 가명정보 활용센터 도입에서 부터 다양한 사업을 펼칠 예정이다.

◈ 데이터 3법 개정 이후 2차 개정 후 입법예고와 공청회 시행

데이터 3법에 이후 빠르게 법 개정이 다시 이루어지는 것은 정보통신망법과 개인정보보호법이 통합되는 가운데 시간이 없는 가운데 정보통신망법이 특례조항으로 형식적인 통합에만 그쳤다는 비판을 받게 됐다. 즉, 대상은 하나인데 법 적용에 따라 개보법인지 특례법 적용인지 현장에서 혼란이 가중되는 일이 발생했다.

공청회에 참석한 한 패널에 따르면

" 개인정보보호법과 정보통신망법은 물리적 결합이 우선 됐는데 이번 2차 개정은 화학적 결합"에 의의를 두고 있다고 표현하기도 했다. 비유야 어찌 됐던 물리적인 법 통합에 있어 빠른 시일내에 정보주체에 대한 관련 법 개정이 이루어져야 하는 시급함이 있었다고 보고있다.

■ 데이터 이동권, 프로파일링 대응권, 개인정보처리방침 심사제도, 분쟁조정모든 개인정보처리자 필수참여자 확대 등..

▶ 데이터 이동권

귤이 바다를 건너 오다가 탱자가 되는 일이 없어야 한다. 지금 신용정보법에서 먼저 시행하고 있는 일명 '마이데이터 사업'을 살펴보면 정보주체에게 개인정보에 대한 주권과 통제권이 부여가 됐다고는 하지만 GDPR에서 의미하는 데이터 이동권 원래 취지와는 조금 다른 양상을 보인다는 느낌이 든다. 

신용정보법에 따라 '마이데이터' 시범 사업을 추진하는 앱을 한번 사용해 보면 그 이유를 알 수 있다. 앱 설치 이후에 그 앱으로 인해 자신의 정보를 금융회사에서 가져 와 자신에게 맞는 상품을 추천해 준다는 컨셉으로 '개인정보 이동권'을 활용하고 있다. 자세히 들여다 보면 이것은 핀테크 업체가 자신이 보유하고 있는 가입자가 금융정보를 보관하고 있지 않으니 그냥 3자 제공에 동의 하는 형식으로 인해 금융회사에 있는 개인신용정보를 제공 받아 상품 추천해 주는 것에 지나지 않는다. 

다른측면에서 접근해 본다면

만약 금융회사가 자신의 앱으로 자신이 보유하고 있는 개인에 대한 개인신용정보를 통해 상품을 추천하는 것과 다름이 없다. 단지 금융회사 혼자가 아닌 핀테크 회사가 그 앞단에 서서 각각 다른 금융회사에 개인 신용정보를 취합하고 통합하는 것에 지나지 않는다. 

여기서 고민해 봐야할 지점은 각 주체별 이득이 무엇인가에 대한 고민이다. 정보주체, 핀테크(빅테크), 금융회사...

▣ 핀테크

핀테크(빅테크)는 그동안 개인신용정보에 대한 정보를 제공 받아 서비스를 제공 가능하게 됐다. 이것으로 인해 통합된 앱을 통해 가입자를 많이 확보해 사용자를 통한 새로운 비지니스를 창출하게 됐다. 다시 말하면 핀테크나 빅테크 등이 제공하는 서비스를 통해 금융회사 상품에 가입 했을때 수수료를 받지 않을까 하는 판단이 든다. 요즘 공짜가 어디에 있는가? 1건 가입할때 수수료에 따라 정산이 된다면 핀테크 입장에서도 나쁘지 않다고 본다.

▣ 금융회사

금융회사도 마이데이터 사업에 대해 부정적인 시각을 가지고 있지만 (그동안 독점적으로 보유하고 있던 신용정보를 제공해야 하는 입장) 결국은 각 개인은 앱 등을 사용해 자신의 금융회사 금융상품을 선택해 조금 더 선택의 폭이 넓어지고 경쟁체제로 이루어지기 때문에 상품 개발이나 상품 가입시에 아무런 조건없이 그대로 상품을 제공한다고 보지는 않는다. 수수료를 지급해 더 많은 상품 노출로 인해 자신의 금융회사 상품에 가입하도록 유치 가능한 기회가 마련된다고 본다.

▣ 정보주체

정보주체는 앱 사용 등으로 자신의 신용정보가 흩어져 있던 것을 한 곳에서 볼 수 있다. 각 상품들에 대한 비교를 통해 내가 가입하고자 하는 상품에 가입하는 선택의 폭이 넓어졌다고 본다. 그러나 각 금융회사의 금융상품을 단순 비교해 나에게 맞는 상품을 추천해 준다는 것이 어느정도 신뢰성과 나에게 맞춤형 상품을 추천해 주는지에 대한 것은 사용해 본 사용자라면 약간의 의구심이 든다.

GDPR에서 시행하고 있는 데이터 이동권은 다운로드권과 전송권이다. 다운로드권은 나의 개인정보를 다운로드 받게 해 내 정보를 다른 개인정보처리자에게 이동가능 하도록 하는 것이다. 개인정보 또는 신용정보의 통제권이 오롯이 정보주체에게 있음을 보여준다. 또한, 이렇게 다운로드 받은 개인정보를 기술적인 사항에 따라 다른 개인정보처리자에게 이동 가능하도록 기술적으로 해결하는 방식이다. 

단순히 로그인하고 나서 '제3자 제공에 동의하고 버튼 클릭'하는 것이 개인정보 이동권에 해당하지는 않는다. 이유는 그 통제권은 정보주체에게 있는 것이 아니라 개인정보처리자에게 있기 때문이다.  동의를 하는 행위가 통제권이 개인에게 있다고 보지 않는다. 동의를 하지 않아도 서비스를 사용 가능하도록 해야 함에도 불구하고 지금 국내에서 서비스 되고 있는 서비스는 동의 하지 않으면 다음 단계로 넘어가지 않는다. 

 

■ 귤이 바다를 건너 탱자가 되는 일은 없어야 한다.

선진국 제도에 대해 좋은점이 있으면 국내 실정에 맞게 잘 도입하면 된다. 하지만 초기 그 목적에 부합하지 않고 다르게 접근하게 돼 원래 취지에 맞지 않는 기형적인 형태가 된다면 차라리 시행하지 않는 것이 더 나을지 모른다. 기형적으로 법률이 흘러가게 되면 실제 실무자나 담당자는 그 많은 고통을 감내해야 한다. 법률 한줄 만들어 문구하나 만들거나 변경하는 것이 무엇 그리 그 대수인가? 라고 생각하겠지만 법을 오랫동안 들여다보면 추후 침해사고가 발생하거나 유출로 이어졌을때에 문구하나 자구 하나가 엄청한 법리 해석을 가져오고 그 몫은 오롯히 담당자가 짐여져야 할 몫이기도 하다. 그런측면에서 다양한 의견과 충분한 검토를 통해 각 주체가 균형 있는 균형추가 맞게 법 개정이 이루어지길 바랄뿐이다. 

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

댓글을 달아 주세요

  1. Favicon of https://cloud4.tvple.me/tv/c/교양 BlogIcon 파란사과 2021.02.23 16:59  댓글주소  수정/삭제  댓글쓰기

    잘 보고 갑니다~~

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

데이터 3법 개정 시행 후에 핀테크, 빅테크 기업은 더욱 더 활발한 서비스를 준비하고 있다. 신정법도 개정이 돼 시행중에 있다. 대표적인 마이데이터 사업을 준비하고 최근에는 신용평가도 점수제로 시행 하고 있다. 이렇게 금융 시장에 있어 대출 비교 서비스와 금리 비교 서비스를 제공하면서 각 개인정보가 이동하게 되는데 관련 규정을 잘 준수 하지 않는 기사가 있어 공유하고자 한다.

이미 시민단체 등에서도 데이터 3법 개정 되면 역기능이 발생하는 지점에 대해 우려스러움을 비판한 적이 있다. 그 현상이 벌어지고 있는 것이다.

즉, 관련 규정만 정비하고 신경 쓰는 것이 아니라 실제 그 규정을 제대로 적용하고 반영하는지에 대한 관리·감독이 더 주요하겠다. 규정은 정비가 됐지만 실제 현장에서는 다르게 적용되면 이는 더 혼란을 가져오게 되고 이익이 한 곳으로 쏠리는 현상이 돼 법 규정이 오히려 잘 못된 방향으로 흘러갈 가능성이 있다. 이는 법 방향성 보다는 그 법을 오,남용하거나 악용하는 수범자의 책임이다.

 

 

 

금융사가 당신을 엿보고 있다...모바일 대출로 개인정보 유출

[쿠키뉴스] 김동운 기자 =# 지난해 A씨는 모바일 금융플랫폼 ‘토스’를 이용해 여러 금융사의 금리를 비교한 뒤 B저축은행으로부터 대출을 받았

www.kukinews.com

 

기사에 따르면

핀테크 업체들이 제공하는 ‘대출비교서비스’들은 대출금리만 비교하고 대출을 실제로 실행하지 않더라도 정보 제공일로부터 영업일 최대 3개월까지 은행이나 저축은행 등 제휴 금융기관이 개인정보를 보유하거나 이용할 수 있도록 규정된 것이 확인됐다.

대출비교서비스는 금융당국이 지난 2019년 ‘혁신금융서비스’의 일환으로 토스·카카오페이·핀다 등 핀테크 금융사들이 실시간으로 개인 맞춤형 대출정보를 비교하고 원하는 상품을 선택할 수 있도록 만든 ‘금융 플랫폼’이다. 이를 통해 금융당국은 금융소비자들이 자신의 조건에 맞는 대출과 금리 비교를 한꺼번에 진행할 수 있어 편의성이 증대될 것으로 기대했다.

금융당국의 기대처럼 대출비교서비스는 금융소비자들의 편의성이 증진됐다. 하지만 문제는 제휴 금융사들에게 금융소비자들의 개인정보가 무분별하게 넘어가게 된다는 점이다.

실제로 대출금리만 확인하고 싶은 금융소비자들도 대출비교서비스를 이용하려면 다수 금융기관에 자신의 성명·주민등록번호부터 직장 및 재직정보 등을 3개월의 기간까지 제공해야 한다. 금융소비자들은 선택권을 보장받지 못한 채 모든 제휴업체에 자신의 개인정보를 강제로 공유해야 하는 셈이다.

금융사로부터 넘어간 개인정보들은 마케팅 용도로 활용되지 않도록 규정돼 있지만, 대출비교 서비스 이용 후 대출을 권유하는 전화가 이어지는 사례를 쉽게 찾아볼 수 있다. 제휴 금융사들이 핀테크사와의 협의 없이 전화번호 등 개인정보들을 마케팅에 이용할 수 있다는 우려가 나오는 이유다.

마이데이터 사업의 진정한 의미를 추구해야 

신정법 개정이 추구하는 일명 '마이데이터' 사업 개념은 정보주체에게 통제권을 넘겨 줌으로 인해 기존에 금융회사나 핀테크 회사가 독점하고 있던 개인 데이터를 정보주체나 이용자에게 그 통제권을 주는 개념이다. 그런데, 이러한 사항이 GDPR에서 데이터 이동권(Data Portability)과도 동 떨어지게 활용되고 있다. 실제 '다운로드'와 '전송권'이 제대로 구현되지 않고 [클릭]을 유도하게 해 마케팅과 영업의 목적으로 활용하는 사례가 보여진다. 기사에서도 이런 부분을 비판하고 있다. 

진정한 마이데이터를 구현하기 위해서는 ' 내 신용정보'를 다운로드 받을 수 있게 구현해야 한다. 그리고 이 금융정보를 내가 원하는 서비스 플랫폼에 제시를 했을때 어떠한 상품이 나에게 이익이 되는지를 추천 가능하도록 해야하는데 플랫폼 사업자가 수집할때 개인정보를 모두 3자 제공하는 형태로 하기 때문에 (물론, 중간에 서비스 이용하려면 동의 형태를 띈 클릭 유도를 통해 승인하는 절차를 거치긴 한다.) 진정한 신용정보주체가 내 정보를 통제한다고 보기엔 어렵다. 원래 취지인 데이터 투명성을 가지고 내 정보를 제공한다는 입장에서 '다운로드'를 가능하게 하는 기술적 구현이 아쉽다. 그렇지 않고서는 기사에서 언급한대로 3개월 안에 홍보, 마케팅 용도로 개인정보를 사용하는지에 대한 관리,감독이 쉽지 않아 보이고 그 사용유무 파악도 어려워 보인다. 

'전송권'에 대한 부분도 메시지 자체도 정확하게 이용자가 이해하도록 명시해야 한다. 이 서비스를 이용하기 위해선 자신의 신용정보에 대한 부분을 전송해야 하는데 이에 동의 하겠는가?라는 명시적인 동의가 있어야 하지만 편리성만 추구한 나머지 [대출서비스 비교] 클릭(터치) 형태로 있어 서비스 이용에만 집중한 나머지 내 정보가 3자 제공이 되는지에 대한 명시적인 동의와 이해를 하기엔 일반 사용자는 무리가 있어 보인다. 

 

 

편리성도 강조해야 하겠지만 편리성만 강조하다보면 보안성이 떨어져 좋은 취지로 개정된 데이터 3법에 대한 또 다른 규제를 위한 개정으로 이어질 가능성이 높다. 규정 하나를 두고 풀었다, 묶었다를 반복하다보면 법은 누더기 법이 된다. 이를 잘 준수하면 처음 개정된 취지를 잘 지키면서 서비스의 활용을 한다면 한 걸음 더 발전하는 금융서비스를 우린 접하게 될 것이다. 

이용자 중심 주의로 "보호 없이는 활용도 없다"는 개정 취지에 맞게 활용해야.... 안 그러면 다시 원위치로 ..

 

 

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

댓글을 달아 주세요