하승철 개인정보보호위원회 범정부 마이데이터 추진단장이 11월 25일 정부서울청사 4층 대회의실에서 열린 마이데이터 제도 관련 출입기자단 설명회에서 발언하고 있다.(사진=개보위)
마이데이터는 △본인 전송요구권과 △제3자 전송요구권으로 나뉘는데, 개정안은 본인 전송요구권에 대해 기존 의료·통신·에너지 분야에 한정된 전송 의무를 연매출 1500억 원 이상, 정보 주체 수 100만 명 이상의 정보 처리자로 확대하는 것이 골자다. 개정안이 통과되면 정보 주체(본인)가 본인 정보를 인터넷 홈페이지에서 내려받고, 필요할 경우 ‘개인정보관리 전문기관’에 이를 위임해 활용할 수 있게 된다.
하승철 개보위 범정부마이데이터추진단장은 “마이데이터는 기존 기관 중심의 데이터 체계를 개인 중심으로 전환해 실질적인 자기 통제권을 보장하는 제도”라고 강조했다.
특히 “이미 국민이 인터넷 홈페이지에서 아이디와 비밀번호로 접속해 볼 수 있는 정보를 본인이 내려받는 것인 만큼 정보 민감성 문제가 적고, 정보 처리자 입장에서도 인프라 구축 비용이 거의 들지 않는다”며 “대리인에게 위임하더라도, 사전 협의되지 않은 스크래핑(자동 수집) 방식은 제한하는 근거를 만들고 있다”고 설명했다.
실제 마이데이터 활용 기업들은 제도의 효용성을 강조했다. 정책 추천 플랫폼 ‘웰로’의 김유리안나 대표는 “기존에는 이용자가 일일이 정보를 입력해야 했지만, 마이데이터가 도입되면 동의 한 번만으로 자신에게 맞는 정책을 정확히 추천받고 신청할 수 있다”고 설명했다. 헬스케어 기업 ’메디에이지‘의 양수정 이사 또한 “기존의 불안정한 스크래핑 방식에서 안전한 애플리케이션 프로그래밍 인터페이스(API) 방식으로 전환함으로써 서비스의 보안성과 안정성을 강화할 수 있다”며 마이데이터 도입에 힘을 실었다.
◇업계 “구매·이용 정보는 영업비밀”…반대 여전
그러나 산업계의 표정은 여전히 어둡다. 특히 스타트업이나 플랫폼·이커머스 등 데이터 활용이 중요 경쟁력인 분야에선 마이데이터 의무 확대가 생태계 성장을 저해하는 규제로 작용할 수 있다며 우려의 목소리를 내고 있다.
하 단장은 “인터넷 홈페이지에 조회되는 개인 정보가 영업비밀에 해당할 정도라고 보기 어렵다”며 “혹시나 영업비밀이 있다면 제외하고 전송할 수 있다”는 입장이다. 반면 산업게는 실제 개정안에서 본인 전송 대상으로 보는 구매 내역·이용 정보·지불 정보 등도 모두 영업비밀에 속한다고 반박하고 있다.
업계 관계자는 “플랫폼 비즈니스 특성상 개인의 구매 이력이라도 데이터가 축적되고 수치화되면 지식재산권에 해당한다”며 “개정안은 이를 다른 경쟁 사업자에 넘길 수 있는 권리를 준 셈”이라고 지적했다.
‘본인 전송’을 대리하는 전문기관의 권한 범위도 도마 위에 오른다. 특히 대리인이 스크래핑(자동 수집) 등 자동화된 툴을 사용해 정보 처리자의 시스템에 접근할 수 있게 한다는 점에서 위법성 논란까지 번지고 있다.
하 단장은 “사전 협의 하에 안전하게 스크래핑할 수 있는 방법들이 있고, 실제 건강보험공단이나 정부 24 등 공공 홈페이지들은 거의 스크래핑을 허용하고 있다”며 “정보 주체들은 자신의 데이터가 어디로 전송됐는지 쉽게 확인하고 원할 경우 전송을 철회할 수 있는 플랫폼도 구축돼 있다”고 강조했다. 다만 사전 협의되지 않은 일방적인 스크래핑은 제한하도록 근거를 마련하고, 더 안전한 표준 API 호출 방식을 권장한다는 설명이다.
권세화 한국인터넷기업협회 실장은 “사업자 입장에선 외부로부터의 스크래핑 자체가 자사 시스템에 대한 침입을 허용하는 것이나 마찬가지고, 스크래핑 대신 API를 호출한다 해도 그 비용이 수억 원이라 부담이 크다”며 “금융 분야 마이데이터에선 보안을 이유로 전면 금지한 스크래핑이 다른 분야에서 사전 협의라는 이름으로 허용되는 것은 법적 일관성을 해치는 것”이라 지적했다.
