Law J. 2025; 90:201-232

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..90.202507.201

민사법

마이데이터 활성화를 위한 개인정보 법제 개선방안*

양기진 **
A Study on improving Korean Personal Information Law for its MyData system
GiJin Yang **
Author Information & Copyright
**전북대학교 법학전문대학원 교수
**Prof., Jeonbuk National University

© Copyright 2025, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Jul 09, 2025; Revised: Jul 25, 2025; Accepted: Jul 28, 2025

Published Online: Jul 31, 2025

국문초록

한국에서 마이데이터 및 마이데이터업은 본격적으로 시작된지 수년이 흘렀으나 마이데이터를 통하여 기대되었던 데이터거래시장의 활성화는 아직 미진하다. 2025.3.13. 시행된 개정 개인정보법은 개인정보 일반에 대하여 마이데이터가 시행될 근거를 마련한 점에서 의의가 있으나 마이데이터 서비스가 활성화되려면 마이데이터 이용자의 유인을 잘 고려하여 법제를 설계하여야 한다.

마이데이터의 활성화를 위하여는 이용자(정보주체)의 마이데이터 서비스에 관한 수용성을 제고하고 동시에 마이데이터업자가 제공하는 서비스의 가치를 제고하여야 한다. 이용자의 서비스 수용성을 향상시키려면 이용자의 마이데이터에 대한 신뢰가 뒷받침되어야 한다. 마이데이터업자의 겸업과 부수업무의 범위를 확장하는 정책은 오히려 마이데이터업자에 대한 이용자의 신뢰를 떨어뜨리고 서비스 수용성을 훼손할 소지가 있다. 또한 이용자가 마이데이터 서비스 과정에서 이미 전송한 자신의 개인정보를 사후적으로 용이하게 통제할 수 있도록 정보 변경권이나 철회권를 실효적으로 행사할 수 있도록 법제를 보완하여야 한다.

마지막으로 마이데이터업자가 제공하는 서비스가 질좋은 것이어야 개인이 마이데이터 서비스에 참여할 유인을 갖게 될 것이다. 마이데이터업자가 본업의 수행과정에서 고유의 정보분석능력을 길러 이용자에게 제공하는 서비스의 질을 제고하고 질좋은 분석·가공 정보를 데이터거래시장에 유통시킴으로써 데이터 산업에도 기여하는 방향으로 유도하여야 할 것이다.

Abstract

In Korea, MyData and MyData business have launched several years ago, but the data transaction market expected to be activated through MyData has a long way to go. In order to provoke MyData, it is necessary to improve the acceptance of MyData services by users (information subjects) and at the same time to improve the value of services provided by MyData service providers. In order to improve the service acceptance, users’ trust in MyData must be supported. Policies that expand the scope of MyData service providers’ concurrent and secondary businesses is not recommendable as it might damage both users’ trust in MyData service providers and their service acceptance. In addition, the Korean related legal system should be supplemented to enable users to effectively exercise their right to change or withdraw information so that they can easily control their personal information that they have already transmitted during the MyData service process.

Lastly, data service providers should do their role to contribute to the data trading industry by fostering their own information analysis capabilities in the course of performing their main business, thereby improving the quality of services they provide to the users and distributing high-quality data to the data transaction market.

Keywords: 마이데이터; 전송요구; 보건의료정보; 서비스 수용성; 이해상충; 겸영/부수업무; 철회권
Keywords: MyData; Request for transmission; Health and medical services information; Service Acceptability; Conflict of Interest; Concurrent Business/Incidental Services; Right of Withdrawal

Ⅰ. 머리말

IT 혁신을 통하여 광범위하게 개인정보가 집적되는 오늘날 개인정보1)의 활용가치가 인식되면서 정보활용 수요 역시 크게 증가하고 있으며, 개인정보를 활용하는 사업이 각광받으면서 개인정보 분석·활용은 이제 경쟁에서의 생존을 상당부분 좌지우지하게 되었다. 동시에 개인의 자기정보 통제권을 개인에게 돌려주자는 철학을 바탕으로, 기업이나 기관이 가진 개인정보를 당사자가 관리하고 제3자에게 제공하여 활용할 수 있는 개인정보 이동권(right to data portability)이 유럽에서 시작하여 주요국에서 각광받고 있다.

마이데이터는 개인정보 이동권, 즉 개인이 본인의 정보를 직접 통제·이전할 수 있도록 하는 권리를 인정하면서 동시에 이를 기반으로 개인이 자신의 정보가 제3자에게 전송되도록 하여 활용될 수 있도록 하는 ‘마이데이터업’의 도입과 긴밀히 연결된다. 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보법’)은 개인신용정보 전송요구권을 마련하고(신용정보법 제33조의2), 본인신용정보관리업을 도입하여 일정한 개인신용정보를 대상으로 개인의 정보전송요구권을 기반으로 마이데이터업 법제를 마련하였다.2) 근래에는 「개인정보 보호법」(이하 ‘개인정보법’)이 개정되어3) 마이데이터가 개인정보 일반에 확대될 수 있는 계기가 마련되었다.4)

한국에서는 2021.12.1.부터 국내 주요 은행 및 금융, 핀테크기업을 중심으로 마이데이터의 시험 운영을 시작한 이래 2022.1.5. 세계 최초로 은행 외에 금융분야 전반에 걸쳐 금융 마이데이터 서비스가 시행되었다. 마이데이터는 개인의 개인정보자기결정권5)의 행사 지원에서 비롯한 것이긴 하지만 국가적 관점에서는 4차 산업의 원유인 데이터 이용을 활성화하기 위한 산업 전략과도 부응한다.6)

한국에서 마이데이터 서비스는 2022년도부터 본격 출범하였으나 아직 마이데이터 시장이 활성화되었다고 보기 어렵다.7) 출범 당시에 기대되었던 개인별 맞춤 서비스의 제공은 아직 활성화되지 못하고 있다. 데이터의 산업적 활용 가치가 큼에도 한국의 데이터 거래 시장의 부진으로 국내 기업 대부분은 주로 내부데이터에 의존하는 상태로, 한국에서 데이터 집중 문제는 다른 나라보다 심각할 가능성이 있으며 데이터의 독과점 내지 이로 인한 유통 미흡은 4차 산업의 경쟁력을 해칠 수 있다는 지적8)이 있다. 따라서 신용정보법이나 개정 개인정보법이 도입한 마이데이터 법제를 잘 활용하여 데이터 거래 시장에 유입되는 정보량을 늘린다면 현행 데이터 거래 시장을 활성화하는데 도움이 될 수 있을 것이다.

이러한 상황에서 최근 금융당국은 마이데이터업 활성화를 위한 개선책(소위 “마이데이터 2.0”)을 발표하였고, 개인정보보호위원회는 개인정보법을 개정하여 개인정보 일반에 적용되는 마이데이터 법제를 2025.3.13. 시행하였다. 그러나 여전히 이러한 노력들이 한국의 마이데이터 시장을 활성화할 수 있을지 의문이 든다. 이 글에서는 최근의 제도 변화를 포함한 현행 법제 하에서 개인 이용자가 마이데이터에 적극 참여할 유인이 있는지, 마이데이터 활성화를 위하여는 어떠한 방향성을 가지고 법제 개편을 하여야 할지를 살펴보고자 한다. 먼저 우리나라 마이데이터 법제와 마이데이터업 현황을 간략히 살펴보고나서, 최근 개인정보 일반에 관한 마이데이터 법제를 도입한 개인정보법을 중심으로 법제를 검토하고 마이데이터 활성화를 위한 법제 개선방향을 논의한다.

Ⅱ. 한국의 마이데이터 법제와 마이데이터업 현황

1. 마이데이터 법제 개관

마이데이터 법제는 근원적으로 헌법상 자신의 개인정보 전송요구권이 그 근거가 되며 공공정보가 아닌 민간 개인정보9)의 경우 실정법상 근거로는 신용정보법 및 개인정보법이라고 할 수 있다. 2020년에 개정되어 시행된 신용정보법(2020.2월 개정 및 2020.8월 시행)은 ‘개인신용정보의 전송요구권’을 신설하여 개인인 신용정보주체가 본인에 관한 개인신용정보를 일정한 자(본인 포함)에게 전송할 것을 요구할 수 있도록 하였다(신용정보법 제33조의2). 또한 신용정보법은 ‘본인신용정보관리업’을 도입하여 마이데이터를 영업으로 지원하는 사업을 동법의 규율대상으로 신설하였다. 신용정보법은 마이데이터로 전송가능한 데이터 범위를 오픈뱅킹보다 크게 확장하였고10) 2025년 개정 개인정보법이 시행되면서 마이데이터로 유통가능한 데이터 범위가 건강·의료 등 비금융 분야로 확대될 계기가 마련되었다.

현행법상의 자기정보 전송요구권은 주요법의 법제와 유대를 같이하고 있는데, 유럽연합(EU)의 일반개인정보보호법(규정)(General Data Protection Regulation, GDPR)의 개인정보 이동권11)과 밀접하다. GDPR은 개인정보 이동권을 명시하여 자기정보에 관한 정보주체의 결정권을 지원하고 소수 기업에 의한 데이터 독점을 완화하여 공정한 경쟁 환경을 조성하는데 마중물이 될 수 있다.

미국에서 개인정보보호에 관한 연방법이 아직 없는 상황에서 주법 중 최초로 개인정보일반법을 마련한 캘리포니아주는 소비자프라이버시법(California Consumer Privacy Act, CCPA)에 자기정보에 관한 접근권(Right to Access Personal Information)을 두어(CCPA 1798.110.)12) 본인에 대한 정보전송요구권을 규정한다. 한편 미국 연방차원에서도 개인정보 보호를 위한 일반법을 제정하려는 작업의 일환으로, 2024.4.7. 입안된 「미국의 프라이버시권법(안)(bill of American Privacy Rights Act)13)」(이하 ‘APRA(안)’)은 동법의 적용대상 개인정보에 관한 소비자의 통제권(consumer controls)를 위하여 정보처리자(covered entity)가 수집·처리·보유 중인 자신의 개인정보에 접근할 권리와 함께, 개인의 요청이 있는 경우 정보처리자는 해당 개인의 개인정보를 전송(export)하도록 하여 정보전송 요구권을 도입하고 있다. 아울러 개인정보가 제3자에게 이전된 경우 소비자는 해당 정보를 제공받은 자의 성명/상호 및 제공한 목적을 알 권리를 갖는다고 한다.

2. 마이데이터업 현황 및 활성화 노력
1) 마이데이터업의 현황

한국에서 민간정보에 관한 마이데이터가 법제화된 이래 마이데이터 서비스가 행해지고 있다. 마이데이터플랫폼을 통하여 제공되는 서비스는 건강·의료, 금융, 소비·지출, 교통, 공공·복지, 유통, 학술, 교육·취업, 문화·관광, 종합관리의 유형이 있는 등 다양하다.14) 2022년 1월 금융 마이데이터가 전면 시행된 후 2025년 5월말 기준으로 마이데이터 서비스 이용자 수는 약 1억 6,531만명(누적기준)에 달한다.15)

한국에서 마이데이터 서비스가 제공됨에 따라 이용자들에게 자신의 재산과 소비 습관을 분석하여 맞춤형 금융상품 및 서비스를 제공할 수 있는 가능성이 열렸지만, 실제로는 예상만큼의 성과를 달성하지 못하고 있다.16) 2024년부터 마이데이터업자가 사용하는 정보에 관한 과금이 시작된 이래 전체 69개 본인신용정보관리업자 중에서 6개 업체가 수익성 미흡을 이유로 허가를 반납한 상황이다.17) 마이데이터 사업자 전체 매출에서 고유 업무인 신용정보통합관리 수익이 차지하는 비율은 미미하며 마이데이터 사업자들은 마이데이터 본사업으로는 수익을 거의 내지 못한다고 한다.18)

마이데이터 사업자에 정보를 제공하는 정보제공기관은 마이데이터 표준 API를 활용하여 고객의 개인정보 전송요구동의 내역을 기반으로 마이데이터 사업자에게 요청 정보를 전송하게 되어 있다. 이 상황에서 각 사업자는 서비스 특화를 위한 부가서비스를 사업자가 그 비용을 부담하여 제공하는 경우가 많으며 데이터를 호출한 금융회사에게 데이터 사용료 납부의무를 진다. 고유업무를 통한 수익성 모델은 불투명한 반면, 부가서비스와 정보이용료 등 지출해야 하는 비용이 적지 않다는 사정이 있다.19)

2) 마이데이터업의 부진사유

한국의 마이데이터업이 부진한 사유의 하나로 현행 마이데이터 법제가 이용자 친화적인지 여부를 살펴볼 필요가 있다. 이용자 친화적으로 평가되어야 개인정보주체들이 자신의 개인정보를 마이데이터업자에게 제공하기 용이할 것이며 정보를 제공할 동기가 부여될 것이기 때문이다. 그러나 현실에서는 마이데이터업을 수행하면서 겸영업무 등에서 수익을 창출하고자 이용자의 동의를 얻지 않고 정보를 수집하는 경우가 적발되기도 하며20) 심지어 이용자를 오도하여 마이데이터 가입 동의를 이끌어내기 위한 다크패턴도 목격된다.21)

‘비즈니스’으로서의 마이데이터업은 수익성 모델의 발굴과 함께 수익 창출을 위한 자원(데이터)의 집적을 유도하는 것이 영업의 중요한 관건이다. 이를 위하여 마이데이터업자는 정보주체의 강한 신뢰를 획득하는 것이 핵심적이다. 예컨대 마이데이터업을 주인-대리인 문제에 투영한 선행연구22)에서 이용자들은 마이데이터 서비스업체의 프로파일링 및 과도한 개인정보 수집과 같은 숨겨진 행위에 대해 가장 우려하는 등 마이데이터업자를 불신하고 있었다.23) 또한 선행연구에서 한국 이용자를 대상으로 한 설문의 결과, 이용자들은 마이데이터 서비스를 이용할 만큼 매력적인 서비스를 찾지 못하였음은 물론, 나아가 이용자가 마이데이터 서비스 이용을 적극적으로 중단할 사유가 개인정보 침해 우려인 것으로 응답하였다.24) 이를 종합하면 장기적으로 마이데이터에 관한 신뢰를 다지는 것이 마이데이터 활성화를 위한 기본 전제이며, 이를 위하여 개인정보에 관한 이용자의 우려를 일소하고 정보보호를 강화할 필요가 있다.

3) 최근의 마이데이터 활성화 대책(마이데이터 2.0)

마이데이터업이 부진한 상황에서 정부에서는 마이데이터업 활성화를 위한 정책이 발표되고 있다. 정부당국 중 본인신용정보관리업자에 관한 감독권을 가진 금융위원회의 주도로 2025.6.19.부터 마이데이터 2.0이 일부(27개) 마이데이터사업자를 대상으로 시행되었다.25) 마이데이터 2.0의 주요내용은 전체 금융자산 조회 기능 강화26), 계좌정보(어카운트인포) 연계로 마이데이터앱에서 원스탑 계좌관리, 본인정보 관리 강화, 동의절차 간소화, 정기적 전송주기 구체화의 7개 사항이다.27) 마이데이터 2.0은 2022년에 발표되었던 「마이데이터 2.0 추진방향」의 일부를 담고 있다.

우선, 마이데이터 2.0은 개인의 마이데이터 가입·전송내역 열람을 지원하고자 마이데이터 종합앱을 구축하고 개별 마이데이터 앱과 연계하여 시스템을 구축함으로써 이용자가 직접 자신의 마이데이터 가입 내역 및 제3자 제공 내역을 조회·관리할 수 있도록 한다. 한국의 마이데이터업자의 수가 많고 개인이 각각 마이데이터서비스에 분산 가입하면서 다수 서비스에 가입한 이용자가 자신의 마이데이터 가입현황 및 본인정보의 제3자 제공내역을 총합적으로 볼 수요가 있다.

두 번째로 마이데이터 2.0은 제3자에게로의 정보전송 과정에서 보안(security)을 위하여 금융보안원이 구축한 시스템(마이데이터 안심제공 시스템)을 통하여 제3자에게 정보를 전송하도록 하고 있다. 마이데이터업자가 외부에 개인정보를 제공할 때 정보화일을 제공하는 것이 위험하므로28) 대신 금융보안원의 시스템에 제3자에게 제공할 정보를 업로드하고 제3자는 시스템 내에서 정보를 활용하도록 하는 방식을 활용하도록 하고 있다.29)

마이데이터 2.0에 의하면 가입유효기간이 종래의 1년에서 최대 5년까지 연장될 수 있게 되는데, 이 경우 상당기간 비접속하는 이용자의 정보가 과도하게 축적될 수 있으므로 이용자가 일정기간(6개월) 비접속시 정기적인 정보 전송을 중단하고 1년 동안 접속하지 않는 경우에는 해당 이용자의 정보를 삭제하도록 하고 있다. 마이데이터 2.0은 본인정보의 관리 강화 및 이용자 편의를 제고하는 내용을 담고 있는데 이는 개인의 자기정보 통제권(controllability) 행사를 직·간접적으로 지원하고 있다는 점에서 바람직하다.

4) 검토

2025년 6월 시행된 마이데이터 2.0이 이용자 친화적인 조치를 담고 있으나 여전히 이용자 관점에서는 이용자를 위하기보다 여전히 마이데이터업자의 수익성 추구를 지원하는 것에 치중한 것이 아니냐는 의구심을 가질 수 있다. 예컨대 현행 신용정보법상 마이데이터업자가 겸영 가능한 업무는 투자자문·투자일임법, 금융상품자문업, 대출 중개·주선업무, 금융상품 판매대리·중개업을 포함하여 12개에 달하는데 마이데이터업자가 겸영업무를 수행할 경우 본 업무와의 관계에서 이해상충 우려가 제기될 수 있다.30)

그럼에도 불구하고 마이데이터 2.0 준비단계에서 금융위원회가 과거(2024.4월) 발표한 마이데이터업 2.0 추진방향에서 마이데이터업자의 겸업·부수업무 범위를 네거티브 방식으로 획기적으로 확대하겠다는 방침이 발표된 바 있다.31) 이러한 방침은 마이데이터업자들의 수익성 확보를 위한 것이지 마이데이터(업)에 관한 이용자 신뢰의 제고나 회복과는 거리가 멀다. 오히려 이용자 관점에서 마이데이터업자가 그 이익을 위하여 이용자의 개인정보를 오·남용할 유인을 높인다고 보아(이해충돌 소지) 이용자의 신뢰를 저해할 우려가 있다. 마이데이터업자가 이용자 정보를 저장하고 이를 수익 추구 용도로 언제든지 꺼내쓸지 모른다고 생각할 수 있기 때문이다. 마이데이터 2.0이 이용자의 자기정보 통제권 행사 지원 등 바람직한 방안을 내놓았으나 그 자체로 마이데이터업을 활성화하고 이로써 데이터 거래 시장의 체질을 개선하는 것에 역부족일 수밖에 없다.

한국에서 마이데이터가 활성화하려면 마이데이터에 관한 개인정보주체의 신뢰를 강화하는 것을 고려하여 법제 개편방안을 생각하지 않을 수 없다. 특히 개인정보 전반으로 마이데이터를 도입하는 내용으로 2025년 3월 시행된 개인정보법이 이러한 필요에 부응하는지도 중요하다.

Ⅲ. 개정 개인정보법상 도입된 마이데이터 법제

개정 개인정보법(2023.3.14. 개정)은 정보주체가 자신의 개인정보 처리와 관련하여 개인정보에 대한 전송을 요구할 권리를 도입하고(개인정보법 제4조 제3호), 정보주체가 개인정보처리자에게 그가 처리하는 자신의 개인정보를 정보주체 본인은 물론, 제3자32)에게도 전송해줄 것을 요구할 수 있는 자기정보 전송요구권을 신설하고 자신의 개인정보 전송 요구를 위한 요건 등을 도입하였다(개인정보법 제35조의2).

1. 전송대상 정보
1) 전송요구대상 정보의 범위

개정 개인정보법은 개인정보전송권에 대해 제한을 두고 있지 아니하나 시행령은 마이데이터를 위한 전송요구대상 정보의 범위를 보건의료정보 등 일부 분야로 한정하고 있으며(개인정보법시행령 제42조의4 제1항) 나머지 분야는 차차 확대할 예정이라고 한다.33)

개인정보법상 도입된 마이데이터 제도에 의하면, 정보주체는 정보전송자에게 전송 요구 목적, 전송 요구 대상 정보 등을 특정하여 전송을 요구하여야 하며(개인정보법 제35조의2제1항 및 시행령 제42조의5), 제3자전송 요구시에는 개인정보 관리 전문기관 또는 일반수신자를 통하여 전송 요구를 할 수 있다.34) 정보주체가 본인에 대한 전송요구를 하거나 제3자 전송요구를 할 경우에는 전송요구하는 내용을 특정하여야 한다(개인정보법시행령 제42조의5 제1항 및 제2항).35)

개인정보법상 동법의 적용대상인 개인정보란 생존한 개인에 관한 정보로서 해당 개인을 알아볼 수 있거나 다른 정보와 쉽게 결합하여 알아볼 수 있거나 가명처리하여 추가정보를 사용하면 특정 개인을 알아볼 수 있는 정보를 말한다. 즉, 개인정보법상 보호되는 개인정보란 생존한 개인이 식별되거나 식별가능한 정보로 하여(개인정보법 제2조 제1호) 정보 일반을 가리키며 따로 개인신용정보를 동법의 적용대상에서 제외하고 있지 않다. 아울러 개인정보법은 정보주체의 권리로서 신설된 정보전송 요구권을 행사할 수 있는 대상정보를 ‘개인정보’로 하고 있으며(개인정보법 제4조 제3호), 개인정보 전송요구권을 규정한 개인정보법 제35조의2 역시 ‘개인정보’라고 할뿐 개인정보의 범위를 특별히 제한하지 않고 있다.36)

개인정보법이 마이데이터 근거를 도입하고 일부 부문이긴 하지만 마이데이터를 시행하는 것은 바람직하나 현행법의 근본적인 한계는 여전하다. 한국 법제는 일반적인 개인정보인지, 개인신용정보인지 또는 개인위치정보인지에 따라 각각 별개의 법을 제정하고 별도의 관장부처를 정하고 있다. 예컨대 마이데이터업을 수행하려는 자는 개인정보법하에서는 ‘개인정보관리전문기관’으로 개인정보 보호위원회의 ‘지정’을 받아야 하며, 신용정보법하에서는 ‘본인신용정보관리업자’로서 금융위원회의 ‘허가’를 받아야 할 수 있다. 그러나 정보의 성격이 중복될 경우 어느 법에 따라 어느 부처의 감독을 받을 것인지 알기 곤란하며 이중 규제 또는 규제갭의 발생 또는 형평에 반할 수 있으므로 개인정보 보호 및 활용에 관한 법제의 개선이 필요하다.

2) 전송요구 가능 정보의 기준

개인정보법은 개인정보주체가 개인정보처리자에게 전송요구를 할 수 있는 개인정보에 관한 기준(누적 기준)37)을 정하고 있다(개인정보법 제35조의2). 우선, ① 정보주체가 전송요구 가능한 개인정보는 정보주체 본인에 관한 개인정보이어야 함은 물론이나, 추가적으로 일정한 기준을 충족하는 것이어야 한다. 세부적으로 살펴보면 (i)정보주체의 동의를 받아 처리되는 개인정보(data from me), (ii)계약의 체결 또는 이행하는 과정에서 필요적으로 처리되는 개인정보(data about me), 또는 (iii)법령상 근거를 가지고 처리되는 개인정보 중 정보주체의 이익 또는 공익적 목적을 위하여 처리되는 정보(data for me or for public interest)인 경우이다(개인정보법 제35조의2 제1항 제1호 각목). 아울러 ② 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생성한 정보가 아니어야 한다는 조건이 붙는다(개인정보법 제35조의2 제1항 제2호). 또한 ③ 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보이어야 한다고 하여 전자적으로 처리되는 정보만을 전송요구대상으로 한다(개인정보법 제35조의2 제1항 제3호).

전송요구 대상정보 요건에 대해 개인정보법은 본인에게 전송을 요구하든 또는 제3자에게 전송을 요구하는 경우이든 전송대상 정보의 범위를 동일하게 규정한다.38) 따라서 본인전송요구대상 정보는 정보주체가 다른 개인정보처리자에게로의 전송을 요구하는 제3자 전송요구권의 대상정보에도 해당한다(개인정보법 제35조의2 제2항). 다만 현행 시행령은 몇 가지 유형의 정보로 전송대상정보를 제한한다.39) 적법한 전송요구의 효과로서 요구를 받은 개인정보처리자는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 정보처리장치로 처리 가능한 형태로 전송할 의무를 진다(개인정보법 제35조의2 제3항).

그런데 전송요구 대상정보와 관련하여 몇 가지 쟁점이 제기될 수 있다. 우선, 현행 개인정보법에 따를 경우 전송대상인 ‘정보주체의 동의를 받아 처리되는 개인정보’(개인정보법 제35조의2 제1항 제1호 가목)에서 ‘동의’ 개인정보의 수집·이용을 위한 정보주체의 동의를 말하며 문언상 개인정보법이 요구하는 민감정보의 동의방법(개인정보법 제23조 제1항 제1호), 고유식별정보의 처리방법(개인정보법 제24조 제1항 제1호)를 ‘준수’하는 동의를 말한다. 따라서 동의를 받지 않거나 동의가 있었더라도 민감정보나 고유식별정보에 관하여 개인정보법이 특별히 정하는 방식의 동의가 아닌 경우에는 불법적으로 수집·처리되는 정보이다. 그런데 불법 내지 위법하게 수집·처리되는 정보 일체에 대한 개인의 전송요구권 행사는 금지되는 것인지 확실하지 않다. 조문 구조상 ‘적법한’ 동의를 받지 않은 개인정보는 본인의 정보임에도 불구하고 전송요구 대상정보에서 제외되는 것처럼 보이기 때문이다.

두 번째로, 개인정보법 시행령이 보건의료정보를 전송대상으로 하고 있음40)에도 의료인이나 의료기관종사자가 의료정보의 전송요구에 응하여도 문제가 없을지는 여전히 법적 불확실성에 놓여 있는 것으로 보인다. 의료법은 의료정보의 민감성을 고려하여 엄격한 제한을 두고 있다. 예컨대 의료법은 의료인이나 의료기관 종사자의 의료 등 업무 등을 통하여 알게된 타인의 정보의 누설이나 발표를 금지하고(의료법 제19조 제1항)41) 예외를 인정받으려면 의료법이나 다른 ‘법령’에 특별히 규정된 경우이어야 한다(의료법 제19조 제1항).

의료법이 엄격히 금지하는 의료인등에 의한 의료정보의 유통을 개인정보법과 같은 ‘다른’ 법에 의하여 허용할지는 매우 중요한 입법적 결단 사항이므로, 허용을 한다면 법률 단계의 개인정보법에 의료법과의 관계를 명확히 규정할 필요가 있다.42) 관련하여 현행 개인정보법은 개인정보의 전송요구를 받은 경우 적용배제되는 법률규정을 동법 시행령에 위임하여 시행령으로 의료법을 적용배제하는 근거를 두고 있으나(개인정보법 제35조의2 제4항 제3호 및 시행령 제42조의7 제7호), 다른 법률이 두는 제한을 적용배제하기 위한 근거를 ‘시행령’에 두는 방식은 입법적으로 적절하지 않다.43) 개인정보법이 적용배제될 다른 법의 조항이 무엇인지를 정하는 대신 그 결정을 시행령에 포괄 위임하는 현행 방식은 국회의 심의 없이 행정청의 편의44)를 우선시하는 시행령 입법이라는 비판을 받을 소지가 크다. 아울러 현행 개인정보법 시행령이 적용배제하는 의료법 조문은 환자의 의료기록의 타인 열람이나 내용 확인을 막는 제21조 제2항45)로, 환자의 의료정보의 누설 등을 금지하는 의료법 제19조 제1항 등은 적용배제대상으로 하고 있지 아니하여 법적 불확실성이 여전하다.

환자의 의료정보를 마이데이터용 전송요구대상정보로 선해할 수 있다고 하자. 그 경우에도 어느 의료정보가 전송요구대상이 되려면 전송요구대상정보의 기준을 정하는 개인정보법의 기준을 충족하여야 한다(개인정보법 제35조의2 제1항 제1호 각 목).46) 즉, 어느 의료정보를 수집·처리할 때에 개인정보법이 요구하는 수준의 동의를 받은 것인지 확인되어야 하며 그러지 아니할 경우 적법한 동의를 받지 않고 수집된 개인정보이므로 전송요구대상정보에 포함되지 않는다는 지적이 가능하다. 결국 이러한 논란을 피하려면 개인정보법이 전송대상정보의 기준을 지금처럼 막연하게 두는 대신 의료정보의 경우 개인정보법(법률)에 기준을 마련하는 것이 필요하다.

마지막으로, 의료정보(의료기록)이 개인정보법상 전송대상 정보의 요건을 충족하는지도 문제이다. 개인정보법은 전송대상정보의 소극적 기준으로 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생성한 정보가 ‘아닐’ 것을 요구한다(개인정보법 제35조의2 제1항 제2호). 그런데 의료인이 작성한 진단서·검안서·증명서, 처방전, 진료기록, 진료기록부, 전자의무기록은 정보주체인 환자를 진단하여 측정 또는 평가하여 개인정보(측정결과)를 기초로 의료인이 그 전문지식을 활용하여 2차적으로 ‘분석’하거나 ‘가공’하여 별도 생성한 정보로 볼 소지가 있다.47) 이러한 불확실성을 해결하려면 개인정보법(법률) 차원에서 명시적인 규정을 두어야 한다.48)

2. 마이데이터 관계자
1) 정보전송자 (전송요구의 상대방)

개인정보법은 시행령을 통하여 전송대상정보의 범위를 한정하며 이에 따라 정보전송요구의 상대방이 될 수 있는 개인정보처리자의 범위 역시 제한된다. 이러한 정보전송자 및 전송 정보 기준은 서비스 수요, 전송 인프라 여건 등을 고려한 것이라고 한다.49) 정보주체의 전송 요구에 응하려면 데이터 변환, 시스템 구축, 보안 등 상당한 인프라가 소요되기 때문에 모든 정보처리자가 정보주체의 전송요구에 일일이 응하기 어려울 것이다.

현재 개인정보법상 정보주체의 전송요구에 응하여야 할 의무가 있는 개인정보처리자의 범위는 보건의료 관련 기관, 통신 관련 기관, 에너지 관련 기관으로 지정되어 있으나(개인정보법시행령 제42조의2) 개인정보 보호위원회는 조만간 시행령 개정으로 전송요구대상 정보를 확대할 계획이다.50)

한편 정보주체는 정보전송자에게 제3자 전송요구를 함에 있어서 개인정보관리 전문기관 또는 일반수신자를 통하여 하도록 하여 제3자전송요구를 받는 자의 범위를 제한하고 있다(개인정보법시행령 제42조의5 제3항 제1문). 제3자전송요구에 의한 개인정보 수신인이 만일 일반전문기관 및 특수전문기관일 경우, 즉 정보주체가 정보전송자에게 일반전문기관 및 특수전문기관에게 정보를 전송하도록 요구하는 경우에는 같은 내역의 개인정보에 한하여 정기적 전송을 요구하는 것이 허락된다(개인정보법시행령 제42조의5 제4항).

2) 개인정보관리 전문기관 (전송지원기관)

개인정보의 전송요구권 행사를 지원하는 업무를 수행하려면 ‘개인정보관리 전문기관’으로 지정받아야 하며 이때 지정권을 가진 당국은 개인정보 보호위원회 또는 관계 중앙행정기관의 장이다(개인정보법 제35조의3 제1항). 개인정보관리 전문기관의 업무범위에는 개인정보의 전송을 직접 지원하는 업무가 주된 것이지만 그 외에도 개인정보 전송시스템의 구축 및 표준화와 함께 개인정보의 관리·분석을 하는 것 등이 포함된다(개인정보법 제35조의3 제1항 제2호 및 제3호). 개인정보법은 개인정보관리 전문기관이 수행가능한 개인정보의 관리·분석 업무를 정보주체의 권리행사를 지원하기 위한 것으로 제한하므로(개인정보법 제35조의3 제1항 제2호 및 제3호) 수익 창출용으로 개인정보 관리·분석 내용을 사용하는 것은 이해상충을 넘어 위법할 것이다.

개인정보법 개정으로 도입된 개인정보관리 전문기관은 종전의 전문기관과는 구분된다. 개인정보법 제28조의3이 규정하는 전문기관은 가명정보 결합을 수행하는 전문기관으로 동일기관(개인정보 보호위원회 또는 관계 중앙행정기관의 장)으로부터 ‘지정’을 받아서 업무를 수행하지만 전문기관 지정의 목적이 다르고 지정의 요건도 다르기 때문이다.

3) 일반수신자 (정보수신자)

개인정보법은 제3자 전송요구권의 행사에 의하여 정보를 수신할 수 있는 자(제3자)의 요건을 제한한다. 정보전송요구에 따라 정보전송자로부터 개인정보를 수신한 자가 수신한 정보를 안전하게 관리할 수 없을 경우 개인정보 유출로 이어질 수 있기 때문에 수신이 가능한 자에 관한 요건을 마련한 것으로 이해된다. 이때 정보주체는 자신의 전송요구권의 행사로 인하여 타인의 권리나 정당한 이익을 침해할 수 없다는 당연한 제약을 받는다(개인정보법 제35조의2 제7항).

수신자의 요건이 제한된 결과, 정보주체의 제3자 전송요구에 따라 개인정보를 수신할 수 있는 제3자는 개인정보관리 전문기관이거나 또는 일정한 시설·기술 기준을 충족하는 자이어야 한다(개인정보법 제35조의2 제2항). 이 중 후자는 개인정보법상 ‘일반수신자’로 호칭되는데 일반수신자가 구비할 시설 등의 기준에 대하여 개인정보법은 시행령에 구체적인 내용을 위임하고 있다(개인정보법 제35조의2 제2항 제2호). 이에 따라 시행령은 일반수신자가 될 수 있는 “일정한 시설 및 기술 기준을 충족하는 자”에 관한 기준을 정하고 있다.51) 일반수신자가 되기 위하여는 위의 일정한 기준을 갖추면 되며 개인정보법은 그 외에 별도로 허가나 신고 등을 요구하고 있지 아니하므로, 개인정보법 시행령 제42조의3 제1항 각호가 정하는 일정한 시설 기준을 충족하는 자는 일반수신자로서 정보주체의 정보전송 요구 행사시 개인정보를 수신하는 것이 가능하다.52)

다만 상대적으로 일반수신자는 정보보안 능력이 약할 수 있으므로 일반수신자가 수신하는 정보의 범위를 제한할 필요가 인정될 수 있다. 이에 따라 개인정보법은 정보주체가 개인정보관리 전문기관 또는 일반수신자에게 정보전송을 요구하더라도 개인정보 보호위원회가 정하여 고시하는 일정한 정보의 경우 정보전송 요구를 금지하는 근거를 두고 있다(개인정보법시행령 제42조의4 제3항).

3. 정보전송권 행사의 효과

개인정보법에 부합하는(적법한) 전송요구를 받은 정보전송자는 지체없이 개인정보를 전송해야 한다. 다만 정당한 사유가 있는 경우에는 정보주체에게 그 사유를 알리고 전송을 연기할 수 있으나 그 사유가 소멸하면 지체없이 개인정보를 전송해야 한다(개인정보법시행령 제42조의6 제1항). 또한 정보전송자가 전송하는 개인정보의 정확성, 완전성 및 최신성을 유지하도록 하여(개인정보법시행령 제42조의6 제2항), 전송되는 정보의 질을 유지하도록 한다.

또한 개인정보의 전송방식을 제한하여, 전송요구에 따른 정보 전송시 전송의 안전성 및 신뢰성이 보장될 수 있도록 하고 있다. 개인정보법은 본인전송요구에 따른 개인정보 전송의 경우 안전한 암호 알고리즘으로 암호화하여 전송하는 방식으로 제한한다(개인정보법시행령 제42조의6 제3항 제1호).53) 제3자 전송요구가 있는 때에는 암호 알고리즘에 의한 전송 방식 외에도 다른 방식54)도 이용할 수 있다(개인정보법시행령 제42조의6 제3항 제2호 내지 제4호). 정보주체의 이익을 침해하거나 전송 처리 체계를 저해할 수 있으므,로 제3자전송요구에 따라 개인정보를 전송받는 일반수신자의 금지행위 유형도 규정되어 있다(개인정보법시행령 제42조의6 제6항).

이와 함께 정보전송자는 정보주체가 개인정보 전송을 요구하고 전송 내역 등을 확인할 수 있도록 하여(개인정보법 제35조의2 제1항)55), 개인정보 전송요구가 행해진 경우의 투명성을 확보하여 개인정보자기결정권의 행사를 지원하고 있다. 이를 위하여 정보전송요구 관련자가 자신의 업무로서 처리하는 정보와 정보전송요구를 받아 처리하는 정보를 분리할 필요가 있다. 이에 개인정보법은 개인정보관리 전문기관 및 일반수신자는 개인정보관리 전문기관 및 일반수신자로서 처리하는 정보와 다른 개인정보처리자로서 처리하는 정보를 분리하여 보관할 의무를 규정한다(개인정보법시행령 제42조의6 제8항 본문).56)

아울러 정보전송요구에 따른 집행의 투명성을 일정기간 확보하기 위하여 정보전송요구 관련자는 전송내역을 일정기간 보관할 필요가 있다. 이에 따라 개인정보법은 정보전송자, 개인정보관리 전문기관 및 일반수신자로 하여금 전송요구대상정보의 전송내역(정보 송수신 기록 등)을 일정기간(3년) 보관하도록 하는데, 정보전송자의 부담이 클 수 있으므로 중계전문기관이 대신 보관할 수 있는 길을 열어주고 있다(개인정보법시행령 제42조의6 제9항). 아울러 정보주체의 알권리를 위하여 정보전송자를 제외한 일반전문기관 및 특수전문기관이 전송 내역을 연 1회 이상 정보주체에게 알리도록 한다(개인정보법시행령 제42조의6 제10항).

정보전송 과정에서 개인정보가 탈취될 가능성이 상존하므로 개인정보법은 정보전송 방식을 제한하고 있다. 개인정보법은 정보전송자가 제3자전송요구에 따라 제3자에게 개인정보를 전송할 때에 중계전문기관을 통하여 전송하도록 의무를 부과한다(개인정보법시행령 제42조의6 제4항 제1문).57)

정보전송 요구대상인 보건의료전송정보, 통신전송정보 및 에너지전송정보를 수집하는 과정에서 일반전문기관, 특수전문기관 및 일반수신자가 정보주체의 인증서 등의 접근수단을 직접 보관하거나 접근권한을 확보하거나 사실상 확보하는 경우 정보주체의 자기결정권의 행사에 문제가 발생할 수 있으며 개인정보 유출 우려가 발생하게 되다. 개인정보법은 일반전문기관 등이 개인의 접근수단을 보관하는 행위를 명시적으로 금지한다(개인정보법 시행령 제42조의6 제7항).

4. 정보주체의 변경·철회권 행사

자기정보에 관한 결정권의 행사에는 정보주체가 자신의 전송 요구를 변경하거나 철회할 자유도 당연히 포함된다. 개인정보법도 정보주체가 자신이 행한 전송요구를 철회할 수 있음을 규정한다(개인정보법 제35조의2 제5항). 다만 개인정보법은 본인 또는 제3자에게 개인정보를 전송하도록 하는 요구에 대한 구체적인 철회방법이나 전송중단 방법 등 철회권 행사의 실효적인 지원방법은 시행령에 위임하고 있다(개인정보법 제35조의2 제8항). 그런데 개인정보법시행령은 전송요구의 변경이나 철회의 구체적인 방법은 언급함이 없이 모호한 문구만을 두고 있다. 즉 시행령은 정보주체의 전송요구 변경이나 철회의 요구 시에 정보전송자, 개인정보관리 전문기관 및 일반수신자는 전송 요구 변경 및 철회의 방법·절차가 전송 요구 당시의 방법·절차보다 어렵지 않도록 하여야 한다고 할 뿐이다(개인정보법시행령 제42조의5 제5항).58) 그러나 이러한 추상적인 문언은 모법인 개인정보법에 담되 시행령에서는 보다 구체적으로 정보주체의 변경·철회권의 원활한 행사를 지원할 수 있는 내용을 담아야 적절할 것이다.59)

개인정보의 전송요구에 의하여 정보를 전송받은 자는 경우에 따라 이를 분석·가공하여 정보주체의 동의를 받아 활용할 수 있으며 특히 마이데이터업자가 부수업무로서 데이터의 판매업무를 영위하는 과정에서(신용정보법 제11조의2 제6항 제4호, 시행령 제11조의2 제4항 제5호 및 감독규정 제13조의4 제4항 제4호) 마이데이터업자가 전송받거나 제3자에게 전송한 정보가 개인이 식별되는/식별가능한 정보로서 유통될 소지가 있는데, 정보주체가 사후에 철회권을 행사할 경우 어떠한 조치를 취하여야 할 것인가.60) 이는 해당 정보를 전송받은 자의 이해관계와 맞물리므로 쉬운 문제는 아니지만 입법적으로 해결이 필요한 문제이다. 개인정보법의 경우 제3자 전송요구는 개정 개인정보법상 ‘개인정보관리 전문기관’ 또는 ‘일반수신자’를 통하도록 한정하므로(개인정보법시행령 제42조의5 제3항 제1문) 이들 전문기관과 일반수신자가 변경 또는 철회를 집행하여야 할 의무의 일차적인 주체가 될 것이다.61)

정보주체가 전송요구로 개인정보를 유통시킨 이후 사후에 변경·철회권을 자유로이 행사할 수 있는지는 개정 개인정보법이 간과한 중요한 포인트이지만 원활한 마이데이터 시장이 돌아가기 위하여도 핵심적인 사항에 속한다. 변경·철회권 행사를 지원하는 법제는 정보주체의 입장에서 중요하게 인식할 사항이므로 지원 법제가 잘 갖춰져 있어야 정보주체는 그의 개인정보를 안심하고 제공할 유인을 가질 수 있다. 그러므로 마이데이터업자에게 이미 제공하여 유통된 개인정보라도 해당 개인이 언제라도 동의를 변경하거나 철회할 자유가 보장되어야 한다. 즉 정보를 전송받은 제3자에 대하여 개인이 정보제공 동의의 변경이나 철회를 하고자 할 경우 이러한 개인의 변경권이나 철회권이 원활히 행사될 수 있도록 확보하고자 실정법이 개입할 사항이며(소위 제한된 형태의 처분불가능성 원칙62)) 해당 권리 행사를 실효적으로 뒷받침할 수 있도록 적극적으로 장치를 마련할 필요가 있다.63)

변경·철회권의 행사를 지원할 수 있도록 개인정보 동의내역을 쉽게 열람할 수 있는 사이트의 제공, 변경권이나 철회권 행사시 이에 따른 즉각적인 변경·철회가 이루어지도록 할 의무 등의 마련이 필요하다. 마이데이터 2.0은 앱64)을 통하여 본인의 마이데이터 서비스 가입 내역과 제3자 제공 내역을 일괄 조회할 수 있게 하고 ‘마이데이터 포켓’ 앱에서는 개별 서비스의 가입 철회와 제3자 제공에 대한 동의 철회까지 가능하도록 하였다.65) 그러나 전송요구를 거두어 들이는 철회의 효과가 무엇인지는 명확하지 않다.

철회의 자유가 ‘권리’라는 점, 그리고 철회권을 규정한 입법취지를 고려하면 철회권 행사의 효과는 광범위하게 작용한다고 보아야 한다. 개인정보법상 전송요구의 ‘철회’의 의미는 단지 장래를 향하여 해당 정보의 이용을 중단하라는 것이 그치는 것이 아니라 가급적 전송요구가 처음부터 없었던 것처럼 소급하여 되돌리라는 의미로 이해하여야 한다. 따라서 마이데이터업자는 종래 전송받은 정보를 이용정지 및 삭제처리66)를 하고 자신을 거쳐서 제3자에게 전송된 정보의 경우 전송된 정보의 삭제를 담보할 조치를 취하여야 한다.67) 이때 정보주체의 철회권의 원활한 행사 지원을 위하여 마이데이터업자의 네트워크를 십분 활용할 필요가 있다. 제3자 전송정보의 경우 정보를 전송받은 제3자에 대하여 정보주체가 철회권을 행사하는 것이 원칙이겠으나 매개체, 즉 중간에서 정보유통을 매개한 마이데이터업자가 있을 경우 정보주체의 편의를 위하여 해당 정보주체의 변경·철회권 행사를 지원하도록 할 것이다. 따라서 철회권의 행사를 원활히 지원하기 위하여 정보처리자의 제3자에게의 통지의무를 규정하고 필요시 정보주체가 철회권을 단한차례 행사함으로써 해당 개인정보(제3자들이 보유한 정보 포함)의 일괄삭제를 지원할 수 있는 장치를 마련할 것이다.68)

다만 개인정보주체가 행사하는 철회권의 반대편에 있는 사업자의 이해관계는 경중에 따라 정책적으로 조율될 문제이지 어느 한쪽의 이익을 늘 우선시한 것은 아니다. 예컨대 원 개인정보가 가명정보로 변환되어 다른 정보와 결합된 상태에서 정보주체가 철회권을 행사하더라도 해당 정보를 즉각 삭제 대상으로 하기 어려울 것이며 실익이 있는지 의문이다. 특히 공익 목적으로 활용되는 정보의 경우 철회권 행사에 따른 삭제할 의무의 대상에서 제한할 필요가 더 커질 수 있다.

삭제권 행사 법제의 보완시 정보보안을 위한 방책을 함께 고려할 필요가 있다. 우선 정보를 다루는 사업자는 자체적으로 데이터 관리에 관한 내부 정책을 수립하는 것이 좋다. 또한 제3자에게 정보제공시 원 개인정보를 주는 것보다 식별정보를 제외한 가명정보의 형태로 제공하도록 하는 것이 바람직하며 민감정보의 경우 식별정보를 주는 것은 원칙적으로 지양하고 익명화 또는 가명처리하여 제공하는 것이 바람직하다.

Ⅳ. 마이데이터 활성화를 위한 법제 개선방안

1. 현행 개인정보 법제의 개선 방향

먼저, 마이데이터를 통하여 다양한 개인정보를 결합하고 활용할 수 있어야 하는데 현행법제에서는 법제상 지장이 있으므로 통합 법제를 마련하여야 한다. 민간정보에 관한 마이데이터 법제는 크게 신용정보법과 개인정보법, 그리고 「위치정보의 보호 및 이용 등에 관한 법률」(이하 ‘위치정보법’)69)으로 나뉘며 일관적인 법제나 총괄 감독기구가 따로 마련되어 있지 않다.70) 따라서 보험가입정보와 의료처방정보처럼 신용정보와 비(非)신용정보를 함께 활용하는 구조가 탄생하기가 어려울 수 있다. 예컨대 신용정보와 의료정보, 그리고 위치정보를 함께 결합하는 것이 허용될지, 결합의 요건이 무엇일지, 어느 부처에서 어느 법으로 감독하여야 할지가 명확하지 않다. 반면 해외의 경우 통합적인 개인정보 보호에 관한 일반법을 제정하는 추세이다. 유럽의 GDPR은 보호대상 정보를 개인정보 일반으로 하며, 미국도 종래 부문별 연방법을 두어오다가 통합적인 개인정보 규율을 위한 법제 마련 노력이 행해지고 있다.71) 미국의 개별 주 차원에서도 개인정보 일반을 규율하는 법을 제정한 주(州)의 수가 점차 늘고 있다.

두 번째로 정보결합 기준이 불명확하거나 결합절차가 엄격하다는 점이 개선되어야 한다. 앞서 개인신용정보끼리도 마이데이터로 수집한 정보의 ‘결합’ 기준이 명확하지 않다고 지적되었다.72) 마이데이터업자의 입장에서 수집한 정보를 비교적 자유로이 결합할 수 있는지, 그리고 해당 가공에 따른 분석이 가능한지, 제3자 제공 가부 등이 사업자로서 제공할 수 있는 서비스의 질과 양에 영향을 미친다. 현행 법제 하에서 마이데이터업자가 데이터를 가명처리하여 분석하는 것도 제약이 있다. 현행법은 정보주체의 동의 없이 가명처리하려면 일정한 목적을 요구하는데 개인정보법의 경우 통계작성, 과학적 연구, 공익적 기록보존 등의 목적(소위 ‘공익적’ 목적)에 한정한다(개인정보법 제28조의2 제1항).73) 그러나 가명처리는 원 개인정보를 그대로 두는 것보다 보안에 유리하기 때문에 가명처리 자체를 위한 목적 제한을 할 필요는 없으며 특히 민감정보는 보관시 가명처리를 하는 것이 바람직할 수 있다. 가명처리는 자유로이 할 수 있되 가명정보를 이용하는 목적을 적절히 규제하면 될 것이다.

현행법은 정보결합 절차에 엄격한 입장을 취하고 있으나 정보결합 자체를 저해할 소지가 적지 않아 이러한 법제가 타당한지는 의문이다. 예컨대 마이데이터업자가 취득한 개인정보(가명정보 포함)를 다른 정보처리자가 보유한 개인정보와 결합하려면 복잡한 절차를 거쳐야 한다. 보유한 개인정보를 가명화하고 전문기관에 보내어 다른 자가 보내온 가명정보와 결합하고 해당 결합물을 반출시 다시 승인을 얻어야 하므로(개인정보법 제28조의3 제1항 및 제2항), 반출 승인에 앞서 결합행위 자체를 제한하는 절차는 다양한 정보 간의 자유로운 결합 시도에 상당한 장애로 작용하게 된다. 그러나 정보는 결합을 해보아야 비로소 유용성 여부의 판단이 가능한 경우가 적지 않다. 이처럼 정보의 결합목적과 정보의 유형에 상관없이 결합을 제한하는 현행 법제가 다소 엄격하므로 적어도 공익 목적으로는 완화시킬 필요가 있어 보인다. 특히 현행 법제는 공익을 이유로 하는 예외사유를 인정하는 데에 인색한 입장이나74), 어느 정보결합이 모두의 ‘공익75)’을 위하여 행해지는 상황임이 명확할 경우 정보 간의 결합요건 역시 좀더 완화하여도 될 것이다. 반면 마이데이터업자의 수익성 추구 등 ‘사익’을 위한 것이라면 정보간 결합이나 반출에 가명·익명처리에 관한 적정성 평가를 받도록 하는 등 좀더 제약을 가할 정당성이 인정될 수 있다. 따라서 정보결합의 ‘목적’ 내지 ‘용도’에 따라 결합요건의 강도를 조정할 수 있을 것이다.

세 번째로, 개인정보는 민감정보와 비민감정보로 분류되는데 민감정보를 포함한 민감성 정보76)의 처리에 대해서는 상대적으로 엄격한 잣대를 적용하여 이용자의 신뢰를 이끌어낼 필요가 있다. 개인정보법의 경우 가명정보의 처리를 허용하면서(개인정보법 제28조의2 및 제28조의3) 통계작성 등 목적으로 가명정보를 처리하거나 다른 개인정보처리자가 가진 가명정보의 결합을 허용하나 정작 민감성정보에 대한 별도의 규정이 없어 가명처리만 하면 다른 일반정보와 마찬가지로 처리될 수 있다. 개인정보법이 민감정보의 처리를 제한하며 처리를 예외적으로만 허용함에도(개인정보법 제23조 제1항) 민감정보를 가명처리한다면(개인정보법 제28조의2 및 제28조의3) 민감정보를 위한 별도의 강화된 기준 없이 이를 반출하거나 다른 개인정보처리자의 보유 민감정보를 결합하는 것이 가능한 것으로 보인다(개인정보법 제23조 제1항 제2호).77)

개인의 마이데이터 서비스 수용성을 제고하려면 민감성 정보에 대한 정책을 따로 수립하는 것이 바람직하다. 민감정보 수집을 하는 마이데이터업자를 영리성이 강한 민간에도 개방할지, 내부통제는 어떻게 하도록 할지, 민감정보의 활용을 위한 정보결합 등 처리방침을 어떻게 할지, 그 결합이나 반출을 어떻게 관리할지 등이 논의되어야 한다.

2. 마이데이터 서비스 수용성 및 서비스가치의 제고 방안
1) 이용자의 마이데이터 서비스 수용성 제고

마이데이터 서비스 수용 요인에 관한 선행 연구78)는 마이데이터 서비스 이용자의 마이데이터 서비스 수용의도에 유의미한 영향을 미치는 요인은 신뢰성, 용이성, 유용성이며(이용자의 지각 기준)79) 이중 마이데이터 서비스에 대한 ‘신뢰성’에 영향을 미치는 요인은 기밀성, 무결성, 책임성과 관련성을 보인다고 한다.80) 선행연구의 결론은 개인정보 보호조치가 갖춰진 경우 마이데이터 서비스의 신뢰성을 높이며 인지된 리스크를 감소시킬 수 있으므로 마이데이터 서비스의 수용의도에 긍정적인 영향을 미친다는 것으로81), 이용자에게 그 개인정보가 안전하게 지켜지고 있다는 신뢰를 주는 것이 정보주체가 데이터 공유의 안전성을 인식하고 자발적으로 개인정보를 제공하도록 하는데에 중요하다는 것을 시사한다.

이를 위하여 마이데이터업자가 취득한 개인정보를 활용하여 개인별 자산과 소비습관을 분석하여 맞춤형 서비스를 제공하는 것과 같은 본업을 수행하는 길을 완화하되 정보누출 위험을 감안하여 가급적 익명화·가명화하는 방안을 확립하여야 한다. 또한 마이데이터 운영모델 중 전송받은 개인정보를 마이데이터업자가 스스로 보유하지 않는 방안(개인정보는 각 개인의 PDS에 분산 저장)을 권장하고 만일 정보를 직접 저장할 경우에는 정보보안을 위한 엄격한 부담을 지우는 방안이 있다.

마이데이터업자 자체에 대한 신뢰성 확보도 중요하다. 마이데이터업 활성화를 위하여 과거(2024.4.4.)에 발표된 금융위원회의 마이데이터 2.0 추진방안은 마이데이터업자의 겸업 및 부수업무 확대로 정책방향을 설정하고 있었다.82) 그러나 겸업이나 부수업무에 기한 서비스를 개인정보주체에게 서비스로 제공하겠다는 것은 마이데이터업이 아닌 다른 비즈니스일 뿐이다. 과도한 겸업이나 부수업무의 허용은 해당 업무를 영위하는 기존의 업자와의 경쟁 구도에서 마이데이터업자에게 특혜를 제공하는 것이 아닌가 하는 비판을 면하기 어렵다.

마이데이터업자가 금융상품 등을 광고하거나 판매대리하는 영업 등을 부수·겸영 업무로 영위하여 수익을 내도록 하는 현재의 방식은 이해상충 우려와 함께 금융플랫폼업과 무슨 차이가 있겠느냐는 비판에 직면하여 마이데이터업의 독자성을 희석시킴은 물론 시장에 이미 많은 마이데이터업자가 있는데 이들이 동일한 전략을 취한다면 협소한 시장에서 파이나눠먹기가 되므로 성공하리라는 기대를 하기 어렵다. 예컨대, 개인화된 재무관리솔루션을 제공하던 유명 플랫폼 Mint의 사례를 보자. Mint83)는 금융스타트업으로 출발하여 고급 알고리즘의 도움으로 이용자의 수입과 지출을 분석하고 거래를 분류하고 개인화된 예산을 생성하는 등 개인자산관리 서비스를 제공하여84) 크게 인기를 끌었다.85) 그러나 2023.10.31. Mint의 운영회사(Intuit)는 Mint 서비스를 돌연 중지하고 타 회사에 넘기기에 이르렀다. 미국처럼 시장이 큰 곳에서 인기가 있던 금융플랫폼도 수익성이 뒷받침되지 못하면 영업의 지속성이 담보되지 못한다.86)

한국의 좁은 시장에서 다수의 마이데이터업자가 운집하면서 데이터 과금비용과 시스템 유지비용을 지출하는 와중에 수익모델이 명확하지 않다면 이익을 내기가 쉽지 않을 것이므로, 현재와 같은 시장상황은 지속가능하지 않을 소지가 크다. 마이데이터를 활성화하는 명목은 좋다. 그러나 이를 위하여 마이데이터업자의 ‘수’를 늘리는 정책이 한국의 데이터산업을 실제로 키웠는지, 데이터 거래시장의 규모를 늘리고 데이터 수요자에게 데이터를 원활하게 공급하기 위한 본래의 목적에 부응하는지 의문이다.

현재와 같이 우후죽순 마이데이터업자들이 경합하면서 인적·물적 자원을 중복 투자하는 대신, 데이터거래시장을 활성화하여 합리적인 가격으로 데이터를 사볼 수 있도록 하고 마이데이터업자는 데이터를 잘 가공, 결합, 분석 그리고 제공하여 정보주체(이용자) 및 데이터시장 수요자에게 질좋은 데이터를 제공하는 역할로 가야 할 것이다.

2) 마이데이터업자 제공 서비스의 가치 제고

이용자의 정보제공을 촉진할 수 있도록 마이데이터업자가 제공하는 서비스 질의 ‘유용성’ 관점에서 살펴볼 필요가 있다. 최근 마이데이터 2.0의 시행 등 정보 투명성 및 제3자 전송방식의 신뢰성을 확보하려는 노력이 행해지고 있는 것은 바람직하나, 개인을 마이데이터의 장으로 유인하려면 아직 충분하지 않다. 개인이 자기정보에 대한 전송요구권을 행사하도록 동기를 부여하려면 마이데이터업자로부터 받는 대가가 만족스러워야 할 것이다(유용성). 대가는 반드시 유형물에 국한되지 않으며 무형의 서비스도 무방하나, 현행 법제에서는 개인에게 유용한 서비스를 하기에 장애가 존재하는 것으로 보인다.

우선, 자유로운 정보 결합이 저해되는 배경에는 현행 데이터 가버넌스 법제의 복잡성이 작용한다고 생각된다. 개인정보인 위치정보, 신용정보, 기타의 개인정보는 동일 개인을 출처로 하는 여러 정보를 관념적으로 부르는 명칭에 불과하나, 현재 개인정보 일반, 개인신용정보 또는 개인위치정보인지에 따라 규제법과 부처가 별도로 존재한다. 그러나 정보의 특성이 겹치거나 다른 유형의 정보가 결합된 경우에는 어느 법에 의하여 어느 부처의 감독 대상인지 모호할 수 있으며 효과적인 개인정보의 보호나 활용에 가시적·비가시적인 장애로 작용할 수 있다. 앞에서도 언급하였듯이 한국도 개인정보 ‘일반’을 대상으로 그 보호와 활용을 규제하는 법제 및 통합부서를 두는 방향으로 가야 할 것이다.

마이데이터업자가 제공하는 마이데이터 서비스의 가치를 제고하려면 겸업이나 부수업무에 과도하게 기대지 말고 결국 본 서비스의 질을 제고할 방안을 찾아야 한다.87) 마이데이터업자가 가진 분석기법 및 다른 정보와의 결합(가용 한도)을 통하여 마이데이터 이용자에게 해당 이용자가 반길만한 서비스를 개발하여 제공할 수 있을 것이다(유용성 관점). 그런데 마이데이터업의 본업 차원에서 정보주체에게 효용을 제공하고 데이터 거래에 기여하려면 결국 마이데이터업자의 정보처리·분석 능력을 키워야 한다. 이러한 과정에서 마이데이터업자가 자사의 보유정보와 마이데이터로 전송받은 정보를 결합할 자유를 완화할 필요가 있다. 한편 2024.9.30. 금융위원회는 마이데이터를 통해 수집한 정보와 마이데이터업자가 이미 보유한 정보 간의 결합이 허용됨을 밝혔으나88) 결합 기준은 아직 유동적인 것으로 보인다.89)

결합이 허용되더라도 마이데이터업자가 전송요구를 통하여 수집한 개인정보를 외부에 제공할 경우 원칙적으로 정보주체로부터 제3자 제공 동의를 받아야 한다. 마이데이터업자의 제3자 정보 제공이 데이터 판매 및 중개업(부수업무)를 수행하기 위한 목적에서 행해지는 것이라면 개인정보화일을 직접 제공하는 대신 금융보안원에 구축된 전송시스템(안심제공시스템)을 이용하여 전송하여야 한다. 외부 전송통로를 통제하는 것 외에도 다만 정보유출의 우려를 낮추려면 법제 마련시 정보보호 디자인(protection by design)을 촘촘이 가미해야 한다. 결합정보라도 외부 제공을 허용하되 개인식별가능정보는 가급적 익명처리나 가명처리를 하도록 의무화하고 익명이나 가명처리가 제대로 되었는지 적절히 점검하는 내부통제시스템을 수립하도록 하는 등90) 개인정보 보호와 개인정보 활용 간의 균형을 찾을 수 있는 유연한 대안이 논의되어야 한다.

V. 맺음말

한국에서 마이데이터 및 마이데이터업은 신용정보법을 개정하여 본격적으로 시작된지 수년이 흘렀으나 마이데이터 서비스가 활성화되지 못하였고 마이데이터를 통하여 기대되었던 데이터거래시장의 활성화는 아직 미진하다. 마이데이터는 한국의 부진한 데이터거래시장의 활성화를 위한 중요한 축으로 작용할 수 있기 때문에 정부에서는 마이데이터업을 키우려고 노력하여 왔다.

2025.3.13. 시행된 개정 개인정보법은 기존의 신용정보를 넘어 개인정보 일반에 대하여 마이데이터가 시행될 근거를 마련하였으나 개인들이 마이데이터 서비스에 활발히 참여하도록 유도하려면 마이데이터에 참여하는 자의 유인을 잘 고려하여 법제를 설계하여야 한다.

마이데이터는 개인인 정보주체의 협조가 무엇보다 필요하므로 마이데이터의 활성화를 위하여는 이용자(정보주체)의 마이데이터 서비스에 관한 수용성을 제고하는 방안이 마련되어야 한다. 이용자의 서비스 수용성을 향상시키려면 이용자가 제공한 개인정보에 대한 안심 및 마이데이터업자에 대한 신뢰가 뒷받침되어야 한다. 마이데이터업자가 연명할 방도를 찾아주고자 마이데이터업자가 영위 가능한 겸업과 부수업무의 범위를 확장하는 현행 정책은 장기적으로 마이데이터의 활성화에 도움이 되지 않는다. 오히려 이러한 정책은 마이데이터업자에 대한 이용자의 서비스 수용성을 훼손할 소지도 있다.

또한 이용자 입장에서 마이데이터업자나 기타 제3자에게 전송된 개인정보의 이용을 사후적으로 용이하게 통제할 수 있어야 자기정보의 전송에 동의할 유인이 있을 것이다. 현재 개인정보법과 신용정보법은 정보전송에 대한 철회의 자유를 규정하면서도 철회의 구체적인 효과에 대해서는 입을 다물고 있어서 실효적인 권리 행사를 지원하지 못하고 있다. 이용자를 안심시키되 개인정보가 제3자에게 이미 제공된 경우 개인의 철회권 자유와 데이터 유통 필요 간의 균형을 고려하는 어느 지점에서 철회권 행사의 법적 효과를 입법화하여야 한다.

마지막으로 서비스의 가치성 관점에서 마이데이터업자가 제공하는 서비스가 유용한 것이어야 개인은 마이데이터에 참여하여 자신의 정보전송에 동의할 유인을 갖게 될 것이다. 마이데이터업자가 본업의 수행과정에서 고유의 정보분석능력을 길러 이용자에게 제공하는 서비스의 질을 제고하고 질좋은 분석·가공 정보를 데이터거래시장에 유통시킴으로써 데이터 산업에도 기여하는 방향으로 유도하여야 할 것이다.

Notes

* 이 논문은 2022년 대한민국 교육부와 한국연구재단의 인문사회분야 중견연구자지원사업의 지원을 받아 수행되었으며(NRF-2022S1A5A2A01049265), 2025년도 전북대학교 연구기반 조성비 지원에 의하여 연구되었습니다.

1) 개인정보와 데이터는 엄밀히는 동일한 개념은 아니나(후자가 좀더 넓음) 실제로는 혼용되는 경우가 많으므로 이 글에서도 양자를 혼용하기로 한다. 개인 또는 정보주체, 이용자 등의 용어도 혼용하기로 한다.

2) 2025.5월말 기준 마이데이터 서비스 이용자 수는 약 1억 6,531만명에 달한다. 금융위원회, “마이데이터가 더 편리한 내 손안의 금융 비서로 거듭납니다 - 「마이데이터 2.0」 서비스 개시”, 보도자료 (2025.6.18.), https://www.fsc.go.kr/no010101/84780?srchCtgry=&curPage=&srchKey=&srchText=&srchBeginDt=&srchEndDt=.

3) 전송요구권을 도입한 개정 개인정보법은 2023.3.14. 개정 및 2025.3.13. 시행되었으며 동법 시행령은 2025.2.25. 개정 및 2025.3.13. 시행되었다.

4) 아울러 공공부문에서는 「공공데이터의 제공 및 이용 활성화에 관한 법」(2013.7.30. 제정 및 2013.10.31. 최초시행)이 별도로 제정되어 공공기관에 공공데이터 제공의무를 부여하나 이 글에서 공공정보에 관한 논의는 생략한다.

5) 헌법재판소는 주민등록법 제17조의8 등 위헌확인 결정(전원재판부 99헌마513, 2005. 5. 26.)에서 개인정보자기결정권이란 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리라고 정의하고 이를 ‘기본권’으로 인정한 바 있다. 헌법재판소, 주민등록법 제17조의8 등 위헌확인 결정(전원재판부 99헌마513, 2005. 5. 26.)

6) 과거 2018년 6월 4차산업혁명위원회는 ‘데이터 산업 활성화 전략’을 수립하면서 산업 전반에 있어 데이터 이동권 확립과 개인정보의 안전한 활용을 촉진하는 전략방안을 발표하였다. 노현주, "금융 마이데이터 도입 현황과 시사점", 연구보고서 2021-4, 보험연구원 (2021.6), 32-33면.

7) 마이데이터업 출범시 초창기의 유치성 이벤트 이후 지속적인 사용자 비중은 높지 않고 사업자 입장에서도 수익 모델이 빈약해 지속적 운영이 부담스럽다고 지적된다. 김남훈, “마이데이터, 기대와 현실의 괴리”, 「하나금융포커스」 제12권 26호, 하나은행 하나금융연구소, (2022.12.16.), 1면.

8) 강경훈/강성호/김영일, “해외 주요국의 데이터 거래 및 가격설정 사례 분석과 한국의 데이터 정책방향”, 「금융정보연구」 제13권 제2호, 한국금융정보학회 (2024.6), 84면.

9) 공공부문의 취급정보와 관련하여서는, 2021.6.8. 개정(2021.12.9. 시행) 전자정부법은 정보주체 본인에 관한 행정정보의 제공요구권을 신설하고 있다(전자정부법 제43조의2).

10) 오픈뱅킹에서는 선불충전금 현황, 카드정보와 은행정보의 조회에 불과한 반면 신용정보법 하의 마이데이터에서는 조회 가능한 정보다 은행정보, 카드정보, 선불충전금에 관한 전자금융 정보 외에도 보험정보, 금융투자정보, 통신정보와 공공정보로도 확대되었다. 오픈뱅킹 대 마이데이터의 주요 제공정보 비교에 대해서는 이기홍, “하나로 연결되는 나의 금융 데이터”, 「하나금융포커스」 제12권 20호, 하나은행 하나금융연구소, (2022.10.).

11) GDPR 이전의 지침이 데이터 주체에게 데이터에 액세스할 수 있는 권리를 부여한 반면, GDPR은 한 걸음 더 나아가 데이터 주체에게 별도의 고유한 개인 데이터 이동성 권리를 부여하였다(GDPR Art. 20). OECD, Data-Driven Innovation: Big Data for Growth and Well-Being, OECD Publishing(6 October 2015), https://dx.doi.org/10.1787/9789264229358-en.

12) CCPA 이후의 California Consumer Privacy Act (CPRA)도 같은 규정을 두고 있다.

13) 미국 상원의 상무위원장과 하원의 상무·에너지위원회 위원장이 함께 입안하였다. 법안의 내용은 H.R.8818 - American Privacy Rights Act of 2024 (APRA(안), 118th Congress (2023-2024), https://www.congress.gov/bill/118th-congress/house-bill/8818?q=%7B%22search%22%3A%22American+Privacy+Rights+Act%22%7D&s=1&r=1.

14) 이들 유형 중 건강·의료 부문의 서비스(25개)와 금융 부문의 서비스(24개)가 다수이며 기타 소비·지출 부문은 13개, 교통 부문은 6개, 공공·복지 부문은 5개, 유통 부문은 3개, 학술 부문도 3개, 교육·취업 부문은 2개, 문화·관광 부문은 1개, 종합관리 부문은 8개의 서비스가 검색된다(2025.3.12. 기준). https://www.kdata.or.kr/mydata/www/service/service_map.do?searchCate=010.

15) 금융위원회, 앞의 보도자료 (2025.6.18.).

16) 마이데이터사업의 시작과 수익성 모델 한계에 대하여, 박철희, “국내 금융 마이데이터 상품추천 서비스의 활성화를 위한 규제 개선 방안 연구: 일본의 금융서비스 중개업을 중심으로”, 고려대학교 기술경영전문대학원 석사학위논문 (2024)

17) 한경, “"데이터 사용료만 눈덩이"…마이데이터 업체 '줄폐업'”, (2025.6.4.), https://www.hankyung.com/article/2025060455331.

18) 2023년 기준 수익금액은 72억원으로 비중은 0.2% 수준이다. 전자신문,“마이데이터 자격 반납 올해만 3곳…“안정적 수익모델위해 규제 완화必”“, (2024.12.18.), https://www.etnews.com/20241218000271.

19) 한경, 앞의 기사(2025.6.4.).

20) 프라임경제, “금감원, 토스에 60억원대 '철퇴'…'개정 신용정보법' 첫 제재-'대규모 개인정보 유출' 카카오페이 제재 수위 주목”, (2024.10.25.), https://www.newsprime.co.kr/news/article/?no=660044.

21) 마이데이터 동의를 유도하기 위해서 호기심을 자극하는 문구로 마이데이터 동의를 유도하는 오도형 다크패턴 또한 많이 발견된다. 정수민, “국내외 다크패턴 규제 동향과 금융상품 분야 가이드라인의 필요성”, 「자본시장포커스」 2025-13호, 자본시장연구원 (2025.6.23.), 3면.

22) 박정관/이봉규. "마이데이터 서비스의 불확실성에 관한 연구: 한국 마이데이터 비즈니스에서의 주인-대리인 문제." 「e-비즈니스 연구」 제25권 제2호, 국제e-비즈니스학회 (2024).

23) 따라서 이용자의 프로파일링 및 과도한 정보 수집에 대한 개선이 필요하며 기업은 소비자의 신뢰를 얻기 위해 차별화를 꾀할 것을 제안하였다. 박정관/이봉규. 위의 논문, 5면

24) 조계진/김동현/이승현/정채운/최윤정/박도현. "금융 마이데이터 제도의 한계와 개선 방안 – Coase 정리와 Calabresi-Melamed 정리에 기초하여 –." 「홍익법학」 제25권 제3호, 홍익대 법학연구소 (2024), 390∼391면

25) 2024.4.4.에 발표된 마이데이터 2.0 추진방향은 마이데이터 정보 확대 차원, 마이데이터 영업 활성화, 이용자 편의성 제고 및 마이데이터 정보 보호라는 총 4가지 구분에서 추진목표를 세우고 세부과제를 선정하였다. 이 중 이용자 편의성 제고 및 마이데이터 정보 보호 부문의 과제는 이번 마이데이터 2.0 발표에서 상당정도 보완이 된 것으로 보이나 기타의 과제는 행해지지 않았거나 일부에 한정하여 시행되었다.

26) 종래에 마이데이터 이용자의 금융자산·부채, 거래내역이 불완전하게 제공되어, 장기 미사용 계좌 등의 금융자산 등의 조회가 어려웠고 결제한 내역을 확인하려고 해도 일부 결제수단에 따라서는 상세한 거래내역에 대한 정보까지는 제공되지 않는다고 지적되었다. 디지털데일리, “금융 마이데이터, 훨썬 정교해진다… 금융위 "마이데이터 2.0 전략 추진, 연내 전금법 등 개정"”, (2024.4.4.), https://m.ddaily.co.kr/page/view/2024040416465090630

27) 금융위원회, 앞의 보도자료 (2025.6.18.).

28) 마이데이터 사업자가 부수업무 등으로 제3자에 마이데이터 정보 등을 제공하는 경우 이용자의 데이터 파일 자체가 제3자에 제공되고 있어 보안에 취약하고 사후관리도 곤란한 측면이 있었다. 금융위원회, “「마이데이터 2.0」 시행을 위한 제도적 기반을 마련하겠습니다-「신용정보업감독규정」 규정변경예고(‘24.9.30.∼’24.11.8.) 실시 및 마이데이터 가이드라인 개정”, 보도자료 (2024.9.30.), https://www.fsc.go.kr/no010101/83150?srchCtgry=&curPage=&srchKey=&srchText=&srchBeginDt=&srchEndDt=.

29) 금융위원회, “마이데이터 2.0 추진 방안”(별첨), (2024.4.4.), https://www.fsc.go.kr/comm/getFile?srvcId=BBSTY1&upperNo=82061&fileTy=ATTACH&fileNo=7.

30) 금융위원회와 한국신용정보원이 발간한 가이드라인도 마이데이터업자의 겸영업무 각각에 대하여 이해상충방지체계의 수립이 필요하다고 하고 있다. 금융위원회·한국신용정보원, “금융분야 마이데이터 서비스 가이드라인”, (2025.1.21.), 12면, https://www.mydatacenter.or.kr:3441/myd/bbsctt/normal1/normal/2faf93c7-f732-40cf-b12b-4519f6248281/48/bbsctt.do.

31) 금융위원회, “마이데이터 2.0 추진 방안” 별첨 (2024.4.4.), https://www.fsc.go.kr/; 다만 아직 법제화된 것은 아니다.

32) 개인정보관리 전문기관 또는 안전조치의무를 이행하고 소정의 기준을 충족하는 자를 말한다.

33) 개인정보위원회는 마이데이터 우선 도입 대상으로 국민 생활과 밀접한 10대 중점분야(의료, 통신, 에너지, 교통, 교육, 고용, 부동산, 복지, 유통, 여가)를 선정하고, 의료·통신·에너지 외에 나머지 중점분야에 대해서도 단계적으로 확대를 추진한다는 방침으로, 초기에는 파급효과가 큰 의료, 통신 분야부터 우선 시행되고 내년 6월에는 에너지 분야가 추가될 예정이다. 개인정보 보호위원회, “전 분야 마이데이터 시행(3.13.), 국민의 데이터 주권 시대가 열린다”, 보도자료 (2025.3.13.).

34) 개인정보 보호위원회, “전 분야 마이데이터 시행(3.13.), 국민의 데이터 주권 시대가 열린다”, 보도자료 (2025.3.13.), 4면.

35) 본인전송요구시에는 전송 요구 목적 및 전송을 요구하는 개인정보를 특정하여야 하며(개인정보법시행령 제42조의5 제1항), 제3자전송요구를 하는 경우에는 전송 요구 목적, 전송 요구를 받는 자, 개인정보를 전송받는 자, 전송을 요구하는 개인정보, 그리고 일반전문기관 또는 특수전문기관에 대해 전송요구를 할 경우 정기적 전송을 요구하는지 여부 및 요구하는 경우 그 주기, 전송 요구의 종료시점, 전송을 요구하는 개인정보의 보유 및 이용기간이 이에 해당한다(개인정보법시행령 제42조의5 제2항 각호)

36) 개인정보법 시행령은 전송 요구 대상 정보의 범위를 보건의료정보, 통신정보, 에너지정보에 한정하고 있으나(개인정보법시행령 제42조의4) 추진 여건이 마련되면 차차 넓혀갈 예정이다.

37) 개인정보법 제35조의2 제1항 본문은 “다음 각 호의 요건을 모두 충족하는 개인정보”라고 하므로 누적적 요건에 해당한다.

38) 다만 정보주체는 정보전송자가 보유하는 정보로서 시간, 비용, 기술 등을 고려하여 정보주체에게 전송할 수 있다고 해당 정보전송자가 자율적으로 정한 자율전송정보도 자신에게 전송할 것을 요구할 수 있다(개인정보법시행령 제42조의4 제2항).

39) 개인정보법 시행령 입법예고안은 본인전송요구의 대상이 되는 개인정보의 범위를 산업 분야에 관계없이 법 제35조의2제1항의 요건을 충족하는 본인에 대한 정보 전체로 확대하고, 전송에서 제외할 수 있는 정보의 기준이 규정될 예정이다. 개인정보 보호위원회, 개인정보 보호법 시행령 일부개정령안 입법예고 (공고번호 제2025-50호), http://www.moleg.kr/lawinfo/makingInfo.mo?lawSeq=83132&lawCd=0&&lawType=TYPE5&mid=a10104010000

40) 보건의료정보에 관하여 개인정보법 시행령은 보건의료정보 중 “개인정보 보호위원회가 보건복지부장관과 협의하여 보건의료전송정보로 고시하는 정보”를 전송요구 대상정보로 규정한다(개인정보법시행령 제42조의4 제1항 제1호).

41) 위반시 징역이나 벌금에 처한다(의료법 제88조 제1호).

42) 전송요구대상정보의 범위와 관련하여 개인정보법 시행령이 보건의료정보를 언급하는데 구체적으로는 개인정보 보호위원회의 고시로 전송대상범위를 정하고 있다(개인정보법시행령 제42조의4 제1항 제1호).

43) 개인정보법의 처리 및 보호에 관하여 개인정보법은 ‘다른 법률’보다 보충적으로 적용되는 법이므로(개인정보법 제6조 제1항) 의료정보의 처리에 관하여 의료법이 우선 적용되어야 한다는 주장이 가능하기 때문이다.

44) 타법의 적용배제에 관한 사항은 행정청에 의존해야 할 기술적인 내용에도 해당하지 아니한다.

45) 의료법 제21조(기록 열람 등) ②의료인, 의료기관의 장 및 의료기관 종사자는 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니 된다.

46) 민감정보 처리를 위한 개인정보법상 적법한 동의를 받은 정보이거나(가목) 진료계약 등을 이행하거나 진료계약 체결과정에서 개인의 요청에 의한 조치 이행을 위하여 처리되는 정보(나목)이어야 한다.

47) 개인정보의 범위 획정에 관하여 개인정보의 범위를 좀더 확대하자는 주장, 정보주체에게 영향을 미치는 데이터(Data that impacts me)까지 넓히자는 주장도 제기된다. Wilson, C. et al., “In this together: Combining individual and collective strategies to confront data power”, (December 1, 2023), p.5, https://mydata.org/wp-content/uploads/2023/12/In-this-together-final-2.pdf

48) 의료정보를 전송대상정보로 규정하는 현행 개인정보법 시행령 제42조의4 제1호는 시행령 입법을 넘어서 모법인 개인정보법이 정한 전송대상 정보의 요건을 위반한다고 볼 소지가 크다.

49) 개인정보 보호위원회, 앞의 보도자료(2025.3.13.), 3면.

50) 한편 2025.6.23. 공고된 개인정보법시행령 입법예고에 따르면 정보주체의 전송요구에 따라 정보주체 본인에게 정보 전송의무가 있는 개인정보처리자를 산업 분야에 관계없이 일정 수준 이상의 개인정보 처리 능력을 보유한 개인정보처리자로 확대할 예정이다. 개인정보 보호위원회, 앞의 입법예고(공고번호 제2025-50호).

51) 고유의 업무를 수행하는 과정에서 수집한 정보의 진위 여부 등을 확인하기 위하여 개인정보를 전송받는 자로서 개인정보 보호위원회가 정하여 고시하는 시설 및 기술을 갖춘 자라고 한다(개인정보법 시행령 제42조의3 제1항).

52) 일반수신자가 되기 위하여 갖춰야 할 요건으로 개인정보법 시행령은 물리적인 요건을 규정하고 있는데, 전송요구 관련 시스템, 전송 이력의 기록·보관 및 전송받은 개인정보의 분리 보관을 위한 시스템, 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 탐지 및 차단 시스템, 그리고 개인정보에 대한 접근권한 관리 및 접근통제 시스템을 갖춰야 한다(개인정보법시행령 제42조의3 제1항 각호).

53) 2025.6.23. 공고된 개인정보법시행령 입법예고에 따르면 본인전송요구 대리시 전송방법으로 자동화된 도구를 이용하는 경우, 안전한 전송을 위하여 정보전송자와 해당 대리인이 사전에 협의된 방식으로 전송하도록 하고 있다. 개인정보 보호위원회, 앞의 시행령 일부개정령안 입법예고(공고번호 제2025-50호).

54) 정보전송자와 개인정보관리 전문기관·일반수신자 간에 미리 협의하여 정하는 방식, 상호 식별·인증할 수 있거나 상호 확인할 수 있는 방식도 이용할 수 있다(개인정보법시행령 제42조의6 제3항 제2호 내지 제4호).

55) 관련하여 정보전송자로 하여금 본인전송요구 방법, 전송 현황 및 내역을 확인할 수 있는 방법을 인터넷 홈페이지 등에 게재하도록 하며 보건의료정보전송자 및 에너지정보전송자의 경우에는 중계전문기관이 대신하여 게재할 수 있다(개인정보법 시행령 제42조의6 제5항).

56) 의료기관인 특수전문기관의 경우 예외가 된다(개인정보법시행령 제42조의6 제8항 단서).

57) 보건의료전송정보에 대해서는 더욱 제약이 가해져서 보건의료정보의 전송자는 중계전문기관을 거치더라도 그 수신인을 특수전문기관으로 하여야 한다는 제약을 받는다(개인정보법시행령 제42조의6 제4항 제2문).

58) 현행 신용정보법은 개인신용정보주체가 전송요구를 철회할 경우 철회의 의사표시를 하는 방법에 대해 규정할뿐(신용정보법 제33조의2 제7항 및 제9항, 동법시행령 제28조의3 제10항/법 제32조 제1항 각호), 개인신용정보의 제3자 제공 동의를 철회할 수 있도록 하면서도 이러한 제3자 제공동의의 철회의 효과에 대해서는 명확히 규정하지 않고 있다. 양기진, “개인정보주체의 잊혀질 권리 관련 법적 연구”, 「금융법연구」 제21권 제2호, 금융법학회 (2024), 378면.

59) 반면에 정보주체가 자기 개인정보의 정정이나 삭제를 요구할 경우 개인정보법은 개인정보처리자의 조치 사항에 대하여 훨씬 구체적인 내용을 규정한다. 개인정보처리자는 정보주체의 정정·삭제 요구를 받은 경우 지체없이 이를 조사하여 필요한 조치를 하여야 하는데 삭제시에는 복구·재생되지 않도록 조치하여야 하며 그 조치한 결과를 정보주체에게 알려야 한다(개인정보법 제36조).

60) 데이터를 판매한 이후 이용자가 제3자에게 전송된 정보 제공의 철회를 요구할 때에 해당 정보 삭제 여부를 확인하기 어려울 수 있다는 지적으로, 디지털데일리, 앞의 기사(2024.4.4.).

61) 이때 개인정보관리 전문기관 또는 일반수신자는 정보주체의 변경·철회권 행사시 제3자전송요구에 준하여 정보주체가 그 내용을 명확하게 인지하고 변경·철회의 요구를 할 수 있도록 미리 알려야 할 것이다(개인정보법시행령 제42조의5 제5항 및 제3항 제2문).

62) 마이데이터업자가 정보주체로부터 동의를 받고 개인정보의 수집이나 활용 등을 하는 것은 허용하되 열위에 있는 정보주체에게 거래 사후에라도 철회권 등을 행사하는 것은 제한할 수 없도록 함으로써 정보주체와 마이데이터업자의 이익을 조화시킬 필요가 있다. 조계진/김동현/이승현/정채운/최윤정/박도현, 앞의 논문, 404면.

63) 최근(2025.6.19.) 시행된 마이데이터 2.0에서는 신용정보원이 운영하는 마이데이터 포켓 등 마이데이터앱에서 개별 서비스의 가입 철회 및 정보의 제3자 제공에 대한 동의 철회도 가능하도록 한 반면 그에 따른 의무내용은 무엇인지 명확하지 않다.

64) 신용정보원이 운영하는 통합관리앱(마이데이터 포켓) 또는 개별 사업자의 마이데이터 앱이다.

65) 금융위원회, 앞의 보도자료(2025.6.18.).

66) 만일 개인저장장치(PDS)에 개인정보를 저장하는 방식의 경우 더 이상 개인의 PDS에 접근이 불가능하도록 연결을 끊는 방법이 될 것이다.

67) 반면 해외의 유명 마이데이터업자(Digi.me)의 경우 마이데이터앱 내의 계정 삭제의 효과에 대해서 명시하고 계정삭제는 물론 기존에 수집된 기록을 삭제하며 이용자의 정보 출처에 접근하는 링크 역시 제거함을 명시하고 있다. Digi.me site, https://digi.me/questions/how-to-delete-your-digi-me-and-what-happens-to-your-data.

68) 양기진, 앞의 논문, 398면

69) 위치정보의 경우 위치정보법 제24조에 규정되어 있다.

70) 각 법을 개인정보 보호위원회, 금융위원회, 방송통신위원회가 각 관장하고 있다.

71) 2024.4.7. 제출된 APRA(안)은 개인정보에 대하여 포괄적인 정의를 두고 있다(Sec.2(28) (A)(vi)).

72) 마이데이터 정보 결합과 관련된 명확한 기준이 부재하여 마이데이터를 통해 수집한 정보와 사업자가 기존에 보유한 정보의 결합이 제한되고 있다. 금융위원회, 앞의 보도자료(2024.9.30.).

73) 해당 가명정보를 제3자 제공을 하려면 식별정보를 제외하여야 한다(개인정보법 제28조의2 제2항).신용정보법 제32조 제6항 제9호의2는 가명정보로 제공 가능한 ‘목적’의 범위를 보다 넓히고 있다.

74) 예컨대 개인정보법은 개인의 동의 없이 개인정보를 수집하여 이용 가능한 사유(그 수집목적 범위 내로 한정)로 공익과 관련하여는 “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우”라고 하는데(개인정보법 제15조 제1항 제7호), 매우 제한적인 상황으로 국한하므로 사실상 공익과 관련하여 동의 없는 수집·이용의 예외가 인정되기 힘들다.

75) 개인정보법 제18조 제2항 각호는 공익 목적으로 수집 목적 외 이용·제공을 허용하나 매우 엄격하므로 입법적 개선이 필요하다. 예컨대 동조동항 제10호는 “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우”를 공익 목적으로 수집목적 외 이용·제공이 가능하도록 규정한다. 그러나 GDPR의 경우 훨씬‘다양한 공익적 상황’을 고려한다. 예컨대 정보주체의 삭제권 행사에 대한 불응사유로 GDPR에서 고려되는 공익의 소개로, 양기진, 앞의 논문, 379∼380면.

76) ‘민감성’ 정보는 개인정보법 제23조의 민감정보에 한정하지 않고 통상적인 사람의 관점에서 민감하다고 느끼는 정보를 지칭하기 위한 것으로, 마이데이터 대상정보 논란에서 적요나 주문내역정보 등은 통상인의 관점에서 민감성 정보가 될 수 있다.

77) 개인정보법은 법령에서 민감정보의 처리를 ‘허용’할 경우 민감정보의 처리를 허용하기 때문이다(개인정보법 제23조 제1항 제2호).

78) 이석호/장항배, “정보보호 관점의 금융 마이데이터 서비스 수용 요인에 관한 연구”, 「한국전자거래학회지」 제27권 제2호, 한국전자거래학회 (2022); 이 연구는 225명(최종설문응답자 기준)을 대상으로 하는 설문조사에 근거하였다. 같은논문, 144면.

79) 이석호/장항배, 위의 논문, 147면.

80) 이석호/장항배, 위의 논문, 148면.; 기밀성은 개인정보 유출방지를 위한 보안성과 연결되며, 무결성은 정보의 무단변경이나 삭제·누락 등 무단변조에 대응하는 조치와 연결되고, 책임성이란 마이데이터업자가 개인정보 처리결과를 공시하고 동의없는 정보수집을 방지하기 위한 조치를 수립하는 것과 연결될 수 있다. 같은논문, 148면.

81) 이석호/장항배, 위의 논문, 148면.

82) 금융위원회, “마이데이터 2.0 추진 방안” 별첨 (2024.4.4.), https://www.fsc.go.kr/; 겸업 및 부수업무 확대로 마이데이터업자의 지위에서 수집하게 될 개인의 정보를 ‘활용’하여 본업이 아닌 다른 영업으로 부진한 수익을 만회하는 것을 허용하려는 것으로 이해된다.

83) 플랫폼의 명칭인 Mint는 Money INTelligence에서 유래한 것이다.

84) Mint 제공 서비스의 자세한 소개로, 小泉 雄介, “情報銀行·PDSの再考(下)”, 国際社会経済研究所(IISE), (2024年12月26日), 図 4, https://note.com/nec_iise/n/n4b2ed631941d.

85) 2007년 9월 공식 출범한 Mint는 2009년 Intuit이 약 1억7000만 달러에 인수하였고(당시 사용자 100만명 이상), 4년 후 Mint는 1천만 명이 넘는 사용자를 보유, 이후 Mint의 사용자는 2천만 명을 상회하기도 하였다. The New York Times, “Mint, One of the First Budgeting Apps, Is Shutting Down”, (Nov. 3, 2023), https://www.nytimes.com/2023/11/03/business/mint-app-closing-intuit.html.

86) 인기와는 대조적으로 Mint의 수익성 불충분이 지적되었다. Ibid.

87) 마이데이터업자의 겸업·부수업무 확대에 따른 문제점은 현행 신용정보법상의 마이데이터업자에 국한되는 논의이다. 개인정보법상 마이데이터업자에 해당하는 개인정보관리 전문기관은 2025.3월 개정 개인정보법 시행으로 이제 출범하였으며 개인정보법이 따로 겸업이나 부수업무를 언급하고 있지 않다.

88) 금융위원회, 앞의 보도자료(2024.9.30.).

89) 현행 금융분야 마이데이터서비스 가이드라인은 Q&A에서 일률적으로 고객 데이터의 결합, 분석 및 활용에 대해 가능·불가능 여부를 판단하기 어렵다고 한다. 금융위원회·한국신용정보원, 앞의 서비스 가이드라인(2025.1.21.), 164면.

90) 과거 2024.9.30. 신용정보업감독규정 개정 예고에서는 개인정보의 제3자 전송시 가명·익명처리에 대한 적정성 평가를 외부에서 수행하도록(그때그때 다른 데이터전문기관에서 별도로 평가 수행) 하겠다는 입장이었으나 신용정보업감독규정 개정에는 종국적으로 반영되지 않은 것으로 보인다. 금융위원회 앞의 보도자료 (2024.9.30.).

[참고문헌]

1.

강경훈/강성호/김영일, “해외 주요국의 데이터 거래 및 가격설정 사례 분석과 한국의 데이터 정책방향”, 「금융정보연구」 제13권 제2호, 한국금융정보학회 (2024.6)

2.

김남훈, “마이데이터, 기대와 현실의 괴리”, 「하나금융포커스」 제12권 26호, 하나은행 하나금융연구소, (2022.12.16.)

3.

노현주, "금융 마이데이터 도입 현황과 시사점", 연구보고서 2021-4, 보험연구원 (2021.6).

4.

박정관/이봉규. "마이데이터 서비스의 불확실성에 관한 연구: 한국 마이데이터 비즈니스에서의 주인-대리인 문제." 「e-비즈니스 연구」 제25권 제2호, 국제e-비즈니스학회 (2024)

5.

박철희, “국내 금융 마이데이터 상품추천 서비스의 활성화를 위한 규제 개선 방안 연구: 일본의 금융서비스 중개업을 중심으로”, 고려대학교 기술경영전문대학원 석사학위논문

6.

양기진, “개인정보주체의 잊혀질 권리 관련 법적 연구”, 「금융법연구」 제21권 제2호, 금융법학회 (2024)

7.

이기홍, “하나로 연결되는 나의 금융 데이터”, 「하나금융포커스」 제12권 20호, 하나은행 하나금융연구소, (2022.10.)

8.

이석호/장항배, “정보보호 관점의 금융 마이데이터 서비스 수용 요인에 관한 연구”, 「한국전자거래학회지」 제27권 제2호, 한국전자거래학회 (2022);

9.

정수민, “국내외 다크패턴 규제 동향과 금융상품 분야 가이드라인의 필요성”, 「자본시장포커스」 2025-13호, 자본시장연구원 (2025.6.23.)

10.

조계진/김동현/이승현/정채운/최윤정/박도현. "금융 마이데이터 제도의 한계와 개선 방안 – Coase 정리와 Calabresi-Melamed 정리에 기초하여 –." 「홍익법학」 제25권 제3호, 홍익대 법학연구소 (2024)

11.

小泉 雄介, “情報銀行·PDSの再考(下)”, 国際社会経済研究所(IISE), (2024年12月26日), https://note.com/nec_iise/n/n4b2ed631941d

12.

Wilson, C. et al., “In this together: Combining individual and collective strategies to confront data power”, (Dec. 1, 2023), https://mydata.org/wp-content/uploads/2023/12/In-this-together-final-2.pdf

<자료>

13.

개인정보 보호위원회, “전 분야 마이데이터 시행(3.13.), 국민의 데이터 주권 시대가 열린다”, 보도자료 (2025.3.13.)

14.

개인정보 보호위원회, 개인정보 보호법 시행령 일부개정령안 입법예고 (공고번호 제2025-50호), http://www.moleg.kr/

15.

금융위원회, “마이데이터가 더 편리한 내 손안의 금융 비서로 거듭납니다 - 「마이데이터 2.0」 서비스 개시”, 보도자료 (2025.6.18.), https://www.fsc.go.kr/

16.

금융위원회, “「마이데이터 2.0」 시행을 위한 제도적 기반을 마련하겠습니다-「신용정보업감독규정」 규정변경예고(‘24.9.30.∼’24.11.8.) 실시 및 마이데이터 가이드라인 개정”, 보도자료 (2024.9.30.), https://www.fsc.go.kr/

17.

금융위원회, “마이데이터 2.0 추진 방안” 별첨 (2024.4.4.), https://www.fsc.go.kr/

18.

금융위원회·한국신용정보원, “금융분야 마이데이터 서비스 가이드라인”, (2025.1.21.), 12면, https://www.mydatacenter.or.kr/

19.

디지털데일리, “금융 마이데이터, 훨썬 정교해진다… 금융위 "마이데이터 2.0 전략 추진, 연내 전금법 등 개정"”, (2024.4.4.), https://m.ddaily.co.kr/

20.

전자신문,“마이데이터 자격 반납 올해만 3곳…“안정적 수익모델위해 규제 완화必”“, (2024.12.18.), https://www.etnews.com/20241218000271.

21.

프라임경제, “금감원, 토스에 60억원대 '철퇴'…'개정 신용정보법' 첫 제재-'대규모 개인정보 유출' 카카오페이 제재 수위 주목”, (2024.10.25.), https://www.newsprime.co.kr/

22.

한경, “"데이터 사용료만 눈덩이"…마이데이터 업체 '줄폐업'”, (2025.6.4.), https://www.hankyung.com/

23.

American Privacy Rights Act of 2024 (APRA(안), 118th Congress (2023-2024), https://www.congress.gov/bill/

24.

Digi.me site, https://digi.me/questions/how-to-delete-your-digi-me-and-what-happens-to-your-data

25.

OECD, Data-Driven Innovation: Big Data for Growth and Well-Being, OECD Publishing (6 October 2015),
.

26.

The New York Times, “Mint, One of the First Budgeting Apps, Is Shutting Down”, (Nov. 3, 2023), https://www.nytimes.com/

법학논고
(우41566) 대구광역시 북구 대학로 80 경북대학교 법학연구원(416호)
Tel : 053-950-6824 | Fax : 053-950-6884 | lawinsreview@knu.ac.kr

Copyright © Law Research Institute, Kyungpook National University. 2025. Powered by Guhmok