[미래포럼]우리나라가 마이데이터를 선도하려면

2011년 세계경제포럼(WEF, 일명 다보스포럼)에서 개인 데이터를 21세기 사회 모든 분야를 연계할 수 있는 새로운 경제 자원이라고 예측했다. 미국에서 블루버튼 또는 그린버튼 서비스가 등장하면서 여러 마이데이터 사례가 나타났다. 유럽에서는 마이데이터와 함께 오픈뱅킹이 시작되면서 개인 데이터 활용 기회가 확대됐다. 마이데이터 정책을 통해 오픈뱅킹이 시도됐고, 새롭게 제정된 개인정보보호규정(GDPR) 법안에 마이데이터 규정이 포함됐다. 최근에는 마이데이터 생태계를 운영하기 위한 이른바 '마이데이터 오퍼레이터' 기업도 나타났다. 지난 10년 동안 세계가 마이데이터 분야에 공을 들였지만 우리나라는 빅데이터 분야에만 많은 관심을 쏟았다.

우리나라 마이데이터 정책은 늦게 시작했다. 그러나 최근 각 부처가 적극 추진하고 있다. 금융위원회는 2020년에 신용정보법 개정에 따라 신용정보 마이데이터 사업자를 선정하는 등 내년부터 금융융합 서비스를 본격화하기 위해 준비하고 있다. 과학기술정보통신부는 지난해부터 마이데이터 실증사업을 추진하고, 행정안전부는 공공 마이데이터 포털을 구현하고 있다. 보건복지부는 민간병원 중심으로 마이헬스웨이 사업을 계획하고 있다. 주목할 점은 우리나라의 데이터이동권 정책이 전 세계를 선도하고 있다는 사실이다.

그러나 우리나라 정책은 부처 중심으로 이뤄지기 때문에 산업별 마이데이터에만 초점이 맞춰져 있다. 예를 들면 개정된 신용정보법에서는 개인 신용정보의 전송요구권(데이터이동권)을 신설했다. 즉 금융 산업에서만 데이터이동권이 명확히 규정돼 있고 타 산업에서는 명확하지 않다. 최근에 개인 신용정보 범위에 대해 전자상거래 업계와 마찰을 빚는 이유도 여기에 있다. 전체 산업을 포괄하는 우리나라 개인정보보호법은 데이터이동권을 규정하고 있지 않다.

유럽 GDPR 법안은 특정 산업에 한정된 법이 아니다. 개인 데이터 주도권을 확립하기 위해 열람권, 이동권, 삭제권 등 모든 권리를 규정한다. 우리나라도 개인 데이터 포괄 권리를 정의해 놓아야 한다. 반면에 GDPR 법은 데이터보호법을 기본으로 하기 때문에 마이데이터 사상이 일부 포함돼 있을 뿐이다. 개인 데이터 생태계를 조성하기 위한 마이데이터 법을 우리나라가 먼저 제정하는 것은 의미가 매우 크다.

금융위가 신용정보법 개정을 통해 우리나라 마이데이터 산업을 일으켰다는 점에서 찬사를 보내고 싶다. 그러나 금융위로부터 허가를 받아야 신용정보 이동을 할 수 있는 마이데이터 사업자가 될 수 있다는 점은 아쉬운 대목이다. 해외에서는 허가제 없이 마이데이터 사업자가 될 수 있다. 개인 동의만 받으면 금융데이터를 비롯해 다양한 개인 데이터를 받아서 창의 형태의 융합 서비스를 할 수 있다.

신용정보는 개인 금융에 관한 데이터이기 때문에 매우 조심스럽다. 따라서 금융위가 신용정보 마이데이터 사업자를 허가제로 시행하는 것은 타당할 수도 있다. 문제는 타 부처에서 금융위 정책을 참조하면서 허가제 방향으로 가는 것이다. 많은 산업이 마이데이터 허가제로 간다면 창의 형태의 융합 서비스 창출은 불가능할 것이다.

마이데이터의 중요한 방향은 개인 데이터 주도권을 기업이나 기관에서 개인에게 돌려주는 것이다. 즉 기업이 확보한 다양한 나의 데이터를 내가 통제할 수 있게 되는 것이다. 마찬가지로 분산신원증명(DID)의 중요한 방향은 신원 확인의 주도권을 공공에서 개인에게 돌려주는 것이다. 그동안 우리는 공인 신분증을 활용해 신원을 제공했다면 앞으로는 DID를 활용, 맞춤형 신원을 제공할 것이다. 마이데이터와 DID 방향은 일치하며, 새로운 디지털 세상을 열어 가는데 상호보완 형태로 작용할 것이다. 따라서 우리나라가 마이데이터 사상과 DID 사상을 포함해 개인정보보호법을 개정하는 것이 바람직하다.

박주석 경희대 교수·마이데이터코리아허브 대표 jspark@khu.ac.kr