개보위 "소비자단체협의회 주장 마이데이터 기우"
개인정보보호위원회(위원장 송경희)는 한국소비자단체협의회가 발표한 마이데이터 추진 반대 성명에 대해 27일 아래와 같은 설명을 밝혔다. 개보위에 따르면, 앞서 한국소비자단체협의회는 반대 이유로 네가지, 즉 첫째, 전송 정보 범위 확대에도 불구하고 기준과 절차가 불명확 둘째, 개인정보관리 전문기관에 데이터가 집중되는 구조로, 대규모 유출 위험 셋째, 일상생활 데이터는 민감성이 높음에도 활용 필요성·공익성이 불명확 넷째, 소비자 동의 기반 방식은 형식적·강제적 동의 구조로 이어질 가능성이 있다고 발표했다. 이에 대해 개보위는 이날 해명같은 설명서를 발표 "우리가 추진하는 개정안은 정보전송자로 하여금 본인에게 정보를 전송해줄 것을 요구하는 것에 관한 내용으로서, 제3자에게 전송해줄 것을 요구하는 것에 관한 것이 아니다. 즉, 정보주체의 요구로 정보주체에 대한 정보를 정보주체가 받는 것"이라고 해명했다. 이어 "개인정보위는 전 분야 마이데이터를 통해 정보주체의 자기정보 통제권을 강화하고자 하며, 이 권리를 통해 플랫폼·사업자에 대한 락인 효과를 줄이고 정보 비대칭을 완화해 정보주체 선택 및 사업자 간 공정경쟁과 혁신을 촉진할 것"이라고 더붙였다. '락인(lock-in)'은 소비자가 일단 어떤 상품 또는 서비스를 구입·이용하기 시작하면, 유사한 상품 또는 서비스로의 수요 이전이 어려운 현상을 말한다. 이어 개보위는 한국소비자단체협의회가 주장하는 네 가지 사항에 대해서도 일일이 해명했다. ■ ➀ 정보전송범위 확대에도 불구하고 기준과 절차가 불명확하다는 의견에 대해.... 이번 시행령 개정안에서는 전송 정보 범위를 개인정보처리자가 운영하는 인터넷 홈페이지에서 정보주체가 이미 열람‧조회 가능한 정보로 한정, 대상 정보를 예측 가능한 범위로 제한했다. 해당 정보는 본인이 암호화된 파일 형태로 내려받을 수 있고, 대리인을 통해 내려받을 수도 있으나 본인(본인정보저장소)에게 전달돼야 한다. 또한 자동화된 방식을 통한 대리인의 개인정보 수집이 많은 분야에서 행해지고 있고, 이로 인해 과도한 정보수집, 정보유출, 오남용의 위험성이 높아지고 있다. 이러한 위험성을 최소화하기 위해 정보전송자가 최소한의 정보, 암호화, 정당한 대리인 여부 및 안전조치 등을 사전에 협의‧확인된 경우에 정보전송을 허용할 것을 명시했다. ■ ② 자동화된 방식을 통해 개인정보관리 전문기관에 데이터가 집중되는 구조로 개인정보의 대규모 유출 위험하다는 의견에 대해... 본인전송은 정보가 본인에게 전송되며, 전문기관 등에 전달되는 구조가 아니다. 또 본인에게 전송된 이후에는 본인이 직접 활용하거나 개인정보 보호법(이하 '보호법') 제35조의3에 따라 정부에서 지정한 전문기관과 위임계약을 체결해 관리 및 분석을 할 수 있게 지원받을 수 있다. 또 전문기관은 보호법 제35조의3에 따라 자본금 외에도 사업계획서, 보호체계 등을 엄격하게 심사하여 중앙행정기관의 장이 지정하며, 지정 이후에도 보호체계를 유지하는지 개인정보위가 관리·감독하고 이를 위반하는 경우 지정을 취소할 수 있다. 해킹 등 유출 위험에 대응하기 위해서는 암호화, 취약점 점검, 취약한 소프트웨어 업그레이드, 접근 탐지‧차단 등 끊임없는 정보보호 활동이 필요하다. 개인정보위는 유출사고가 발생했을 때에 조사하는 것이 아니라, 전문기관에 대해 사전예방적 정보보호 활동을 정기적으로 점검하고 관리‧감독할 예정이다. ■ ③ 일상생활 데이터는 민감성이 높음에도 활용 필요성·공공성 등이 불명확하다는 의견에 대해.... 이번 시행령상 전송정보는 본인이 인터넷 홈페이지에서 직접 조회할 수 있는 정보다. 예를 들면, 온라인 쇼핑 홈페이지에 보이는 정보는 주문‧결제‧배송 이력 등이며, 해당 이력에 민감정보가 포함될 가능성은 낮다. 소비자가 홈페이지에서 보던 주문·결제·배송 이력 등의 데이터를 본인이 내려받거나 대리를 통해 본인에게 내려받게 하고, 만약 영업비밀 등이 포함되어있다면 홈페이지 운영자는 해당 정보를 제외할 수 있다. 이후 소비자는 본인의 의사에 따라 이 데이터를 직접 활용할 수도 있고 소비자가가 원하는 경우 전문기관을 통해 관리‧분석 받을 수도 있으며, 만약 본인 의사에 따라 전문기관에 민감할 수 있는 정보를 전송할 때에도 별도의 알림창을 통해 명확히 인지하고 활용할 수 있다. 한편, 활용 필요성‧공공성 관련, 소비자가 본인정보를 활용할 때 정보주체의 의사에 따라 A사에서 B사로 일정 데이터가 흘러 들어가게 된다 해도 이것은 락인 완화, 소비자 후생 및 정보 비대칭 해소, 공정경쟁을 위한 사례로 볼 수 있다. 소비자 후생 및 정보 비대칭성 해소 활용 예시를 들면 첫째, 내 모든 쇼핑·구독 내역을 한 번에 모아 가계부·지출 분석·구독 관리(유령 구독 정리) 둘째, 통신·전기·구독 서비스 자동 비교·갈아타기로 가계 비용 절감 셋째, 리콜·위해상품·허위·과대광고에 대한 피해 입증·집단구제에 활용 등이다. ■ ④ 소비자 동의 기반 방식은 형식적·강제적 동의 구조로 이어질 가능성이 있다는 의견에 대해.... 본인에게 전송된 본인정보는 본인이 직접 활용하거나 전문기관과 별도의 위임계약을 체결하여 관리‧분석 받을 수 있다. 이 경우 포괄적 동의는 허용되지 않고 활용 시마다 세분화된 개별적‧구체적인 동의를 필요로 한다. 소비자는 보호법 제35조의4에 따라 내 정보를 언제, 어디로 전송했는지에 대한 전송이력 확인과 삭제‧철회 요청을 개인정보전송지원플랫폼(onmydata. go.kr)을 통해서 할 수 있어, 정보주체의 개인정보 자기결정권이 강화된다. ■ 그 외의 우려 및 주장 관련해.... ▲① 개인정보가 C커머스 등에 공유될 우려에 관한 의견에 대해... 이번 시행령 개정은 본인(에게)전송요구에 대한 것이며, 전송정보 대상에서 영업비밀은 제외할 수 있음을 명확히 했다. 또 개인정보 관리전문기관 등이 엄격한 보호체계 등을 갖췄는지 현장실사 해야 하므로 해외기업이 전문기관으로 지정받는 일은 사실상 없을 것이라고 개보위는 설명했다. 또 지정 이후에도 감독‧통제를 받아 중국기업에 개인정보가 전송되거나 유출될 가능성은 현실적으로 없거나 희박하다고 진단했다. 이어 본인(에게)전송의 경우 본인이 직접 또는 대리를 통해 본인에게 전송하는 것이고, 이후에는 정보주체 의사에 따라 활용이 가능하며, 이는 정보주체의 통제권을 보장하고자 보호법의 취지에 따른 것이라고 설명했다. ▲ ② 규제개혁위원회 권고에 정면으로 반한다는 의견에 대해... 작년 8월 규제개혁위원회의 개선 권고는 제3자전송에 관한 것으로, 개인정보위는 이를 받아들여 3년에 걸쳐 점진적, 단계적으로 추진하고 있다고 설명했다. 또 이번 시행령은 본인전송요구권을 더욱 폭넓게 인정한 법의 취지에 맞게 본인전송을 확대하기 위한 것이라고 덧붙였다. 개보위는 마이데이터를 확대할 방침으로, 올 3월 의료와 통신 분야를 추진한데 이어 내년에는 에너지, 교육, 고용, 문화‧여가 분야를 대상으로 시행하고 2027년에는 복지, 교통, 부동산, 유통 분야에도 적용할 계획이다. 개보위는 " 앞으로 국민의 권리 강화를 위한 전송요구권 시행과 관련해 사회 각계에서 우려하는 정보유출, 오남용 등의 부작용이 발생하지 않도록 만전을 기하겠다"고 밝혔다.
