기사 공유하기

금융위원회(이하 ‘금융위’)가 마이데이터 사업에 제공해야 할 신용정보 범위에 소비자가 인터넷쇼핑을 하면서 물품을 구매한 정보인 ‘주문내역 정보 등과 전용카드 이용내역 등’(이하 ‘주문내역 정보’)이 포함된다고 하면서 논란이 되고 있다.

금융위가 지난 8월 공포한 신용정보의 이용 및 보호에 관한 법률 시행령(이하, ‘신용정보법 시행령’)에 금융사업자(은행·카드·보험·증권)나 전자금융업자(핀테크 업체)가 정보주체가 원할 경우 마이데이터 사업자에 제공해야 하는 신용정보의 범위 ‘쇼핑정보(주문내역 정보)’가 포함되었다. 그러나 이는 개정 시행령안 입법 예고 당시에는 없었던 조항이다.

쇼핑정보까지 마이데이터 사업자에 제공하겠다?
개인의 쇼핑정보까지 마이데이터 사업자에 제공하겠다?

마이데이터 사업이 뭐길래… 

주문내역 정보를 신용정보라고 보는 것은 허용할 수 없는 확대 해석이다. 게다가 이 정보를 마이데이터 사업을 위해 제공하겠다? 우려하지 않을 수 없다. 금융위가 신용정보보호법을 근거로 현재 추진하고 있는 소비자의 ‘주문내역 정보’ 제공과 관련해 충분한 협의와 대안이 마련될 때까지 추진을 중단해야 한다.

마이데이터 사업은 소비자가 동의한다면 흩어져 있는 은행이나 카드, 보험, 결제, 증권 정보 등을 모아 맞춤형 금융서비스를 받을 수 있는 사업으로 정보주체의 데이터 이동권을 기반으로 새로운 금융서비스 제공이 가능할 것이라고 주장한다. 문제는 마이데이터 사업은 신용정보보호법에만 그 근거가 있고, 주문내역 정보를 개인 신용정보로 확대 해석해서는 안 된다는 점이다.

[box type=”info”]

마이데이터(MyData)?

“‘마이데이터(MyData)’란 정보주체인 개인이 본인의 정보를 적극적으로 관리, 통제하고, 이를 신용관리, 자산관리, 나아가 건강관리까지 개인생활에 능동적으로 활용하는 일련의 과정을 말합니다.” (최종구 금융위원장, 2018. 7. 18.)

마이데이터 산업? 

“‘마이데이터 산업’은 개인의 효율적인 본인정보 관리, 활용을 전문적으로 지원하는 산업을 의미합니다.” (최종구, 위와 같음)

정책 입안 사례

  • 미국, 국가과학기술자문위원회의 ‘스마트 공시'(Smart disclosure): 복잡한 데이터를 표준화하고 기계가 읽을 수 있는 정보 파일로 만들어 소비자의 의사결정에 도움이 되도록 하는 것.
  • 영국, 기업에너지과학전략부의 ‘Midata’ 정책 등
midata https://www.midata.coop/en/home/
midata
  • 우리나라는 과기정통부가 의료·금융·통신 분야에서 마이데이터 시범사업을 추진 중이다.

[/box]

금융위의 ‘개인정보 상업화’… 명확한 해명 필요   

민감한 개인정보인 거래내역을 이렇게 확대 적용한다면, 소비자 입장에서 개인정보보호법과 신용정보보호법 중 어떤 것을 적용해야 할지 혼란스러울 수 있고, 이는 향후 개인정보보호 체계를 위협할 것이다. 노골적으로 개인정보 상업화를 추진하는 금융위 관할로 들어갈 때 개인정보가 제대로 보호될 수 있으리라 기대하기 힘들다.

전자상거래 시장이 지속적으로 확대되고 모바일 거래까지 활발해지면서 전자상거래를 통한 거래가 광범위해지고 있어 인터넷쇼핑몰 주문내역 정보 등을 통해 개인의 일거수일투족이 노출될 가능성이 매우 높아진다. 무엇보다 소비자가 호텔 등 숙박, 여행, 취미생활, 콘텐츠 구매 등 개인이 민감하게 생각하는 정보까지 마이데이터 사업에 제공할 수 있다고 생각하기 어렵다.

게다가 그렇게 모아진 데이터가 가명화된 형태로 상업적 활용 대상이 된다는 걸 충분히 알고 있을지 의문이다. 특히 우려되는 점은 시계열로 분석한 정보를 마이데이터 사업자가 수집해 저장한다는 점이다. 소비자 입장에서는 이 정보들이 어떻게 활용될지 전혀 예측하기 어렵다. 

지난해 통과된 데이터3법 중에서 소비자·시민사회단체 안에서 특별히 신용정보보호법에 대한 우려가 매우 컸다. 신용정보보호법의 경우 시행령의 많은 조항이 법에서 위임받은 주요 부분을 다시 고시로 재위임하고 있어 법령의 정확한 내용을 파악하기 힘든 문제점이 있고, 개인정보의 목적 외 활용을 지나치게 확대하려는 부분에 대한 우려가 있다.

특히 이번 주문내역 정보 등의 경우 지난 3월 시행령 입법예고안에는 관련 내용이 없었으며 8월 공표된 시행령에 갑자기 등장하며 논란이 되고 있는데 금융위는 주문내역 정보 등이 신용정보라고 주장하며 문제가 없다는 입장이다.

금융위의 개인정보 상업화 드라이브가 그 정도를 넘어서고 있다.
금융위의 개인정보 상업화 드라이브가 그 금도를 넘어서고 있다.

신용정보보호법은 신용정보를 ‘상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보로서…’라고 규정하고 있으며, 더구나 문제가 되는 시행령 제2조 제23항의 위임 법률인 신용정보법 제2조 1의3호는 “신용정보주체의 거래내용을 판단할 수 있는 정보에 대하여 신용정보제공ㆍ이용자에게 신용위험이 따르는 거래로서 다음 각각의 거래의 종류, 기간, 금액, 금리, 한도 등에 관한 정보”로 특정하여 위임하고 있다는 점에서 주문내역 정보 등은 신용정보주체의 거래내용에 포함될 수 없음은 명확하다.

금융위가 위임입법의 한계를 일탈하면서까지 소비자가 “무엇을, 언제, 얼마에 샀는지”가 개인의 신용평가를 위해 왜 필요한지 또 소비자가 그 정보를 마이데이터 사업자에 제공하도록 규정한 이유에 관해 명확하게 해명해야 한다.

만일 확대 해석해 ‘쇼핑 정보’를 신용정보라고 한다면 마이데이터 사업자에 제공되고 활용된다는 내용에 관해서는 정보주체인 소비자의 별도 동의절차가 필요할 것이다.

개인정보 이동권의 ‘진짜’ 취지 

유럽연합 GDPR(일반 데이터 보호 규칙)의 개인정보 이동권의 취지정보주체의 권리를 보호함과 동시에 데이터 독점을 막고 경쟁을 촉진하기 위한 것이었다. 그러나 한국의 마이데이터 사업은 개인정보의 상품화를 촉진하는 것으로 변질되었다.

마이데이터 사업 활성화 이전에 소비자 개인정보의 엄격한 보호를 위한 제도적인 보완이 우선되어야 한다. 이런 측면에서 지난 8월5일 통합 개인정보보호위원회가 출범했지만, 금융위가 담당하는 금융 분야는 개인정보보호위원회 권한이 미치지 못하는 것으로 해석하고 있어 이에 대한 개선이 필요하다.

개인정보보호와 활용의 조화와 균형이 어느 때보다도 중요한 시기이다. 흩어져 있는 개인정보의 문제를 일관성 있고 종합적으로 판단할 수 있도록 금융 분야도 개인정보보호위원회로 일원화하고 역할을 강화하는 것이 필요하다.

위임입법의 한계를 벗어나면서까지 ‘주문정보 등’을 신용정보로 확대해석하는 금융위의 이번 조치에서 신용정보 ‘보호’ 역할을 제대로 할 수 없을 것이란 그간의 우려가 기우가 아니었음을 확인할 수 있다. 금융위는 즉각 시행령 재개정에 착수하고 신용정보보호 업무를 개인정보보호위원회에 이관해야 한다.

유럽연합(EU) 일반 데이터 보호 규칙(GDPR)
유럽연합(EU) 일반 데이터 보호 규칙(GDPR)

[divide style=”2″]

[box type=”note”]

이 글은 아래 시민단체 연대체 및 시민단체의 논평을 바탕으로 원문 작성자와의 협의 하에 슬로우뉴스 편집 원칙에 따라 다시 정리한 글입니다. (편집자)

  • 한국소비자연맹
  • 경제정의실천시민연합
  • 민주사회를 위한 변호사모임 디지털정보위원회
  • 서울YMCA
  • 소비자시민모임
  • 진보네트워크
  • 참여연대

[/box]

 

관련 글