마이데이터 그리고 잊혀질 권리

유럽연합(EU)에서 2018년 5월 25일 발효된 일반개인정보보호법(General Data Protection Regulation, GDPR)의 시행으로 정보주체인 개인에게로 개인정보에 대한 권리가 이동하게 되었다. EU의 GDPR은 개인정보 이전권과 잊혀질 권리를 법으로 인정하고 있다.

‘마이데이터(MyData)’란 정보주체인 개인이 본인의 정보를 적극적으로 관리, 통제하고, 이를 신용관리, 자산관리, 나아가 건강관리까지 개인생활에 능동적으로 활용하는 일련의 과정을 말한다.

마이데이터를 통해 정보주권이 개인에게로 이동하면서 새로운 패러다임의 전환기를 맞이하였다. 또한, 마이데이터는 새로운 산업을 촉발시켰다. ‘마이데이터 산업’은 개인의 효율적인 본인정보 관리, 활용을 전문적으로 지원하는 산업을 의미한다. 세계 각국은 법과 규제를 정비하면서 새로운 시장에 선점하기 위해 한창 열을 올리고 있다. 개인정보 보호와 관리에 오래 전부터 준비해 온 유럽과 핀테크 산업 선진국인 미국, 그 뒤를 일본과 중국, 그리고 한국이 바짝 뒤쫓고 있다. 이 책을 통해 각국의 진행 상황을 살펴본다.

한편, 개인들 중 자신의 SNS계정을 통해 혹은 인터넷상에 올린 악성 댓글 등 지우고 싶은 과거가 있는 이들은 디지털시대에 잊혀질 권리를 요구하고 있다. 이 책은 마이데이터를 통해 데이터 산업의 새로운 전환을 맞이한 지금, 우리의 삶은 어떻게 변할 것인지를 미리 알아보고, 디지털 시대에 지우고 싶은 과거의 기록을 삭제할 수 있는 ‘잊혀질 권리’와 이를 둘러싼 쟁점을 다루고 있다.

유럽연합(EU)의 일반정보보호법(GDPR)이 지난 5월 25일부로 발효되었다. General Data Protection Regulation의 약자인 GDPR은 유럽의 일반정보보호법령으로 EU 내에서 법으로 효력을 가진다. 이 법령을 위반할 경우 과징금 등 행정처분이 부과될 수 있어 EU와 거래하는 각국 기업들은 이 법에 위반되지 않도록 주의가 필요하다.

GDPR의 시행은 그동안 개인정보의 권한이 정보주체인 개인에게로 이동하게 됨으로써 정보주권 패러다임에 새로운 전환을 맞이하고 있다. 그동안 개인들로부터 정보를 수집하여 이를 활용하여 막대한 수익을 올린 곳은 기업이었다. 특히, 가입회원 수를 많이 확보한 기업들일수록 정보를 가공하여 의미 있는 분석을 내놓는 빅데이터 등의 기술을 활용하여 시장을 선점하는 것이 가능했다. 하지만 더 이상 거대 공룡 기업들이 독점하는 시대가 오래 지속될 것이라고 장담하기 어렵게 됐다. 기업 등의 제3자가 개인정보를 이용할 때 개인으로부터 허가/승인을 받아야 하기 때문이다.

마이데이터는 개인이 본인의 정보를 적극적으로 관리 및 통제하고 이를 신용관리나 자산관리 등 개인 생활에 능동적으로 활용하는 일련의 과정을 말한다. 마이데이터 산업은 이를 지원하는 산업이다. 마이데이터 산업은 현재 영국을 비롯한 유럽 선진국과 미국에서 급격히 성장하고 있다.

영국은 MiData(마이데이터) 제도를 2011년부터 시행했다. MiData(마이데이터) 제도는 고객(개인)이 자신의 거래내역을 ‘MiData(마이데이터)’ 파일 형식으로 다운로드 받을 수 있도록 한 것이다. 핀테크 선진국인 미국은 자신의 의료데이터를 다운받을 수 있도록 블루버튼을 2012년부터 시행했다. 그에 비해 우리나라는 내년에 마이데이터 시범사업에 착수한다는 정부 발표가 있긴 하지만, 영국과 미국과 비교해도 이미 6~7년이나 뒤쳐진 상태다. 정부의 발 빠른 대처가 필요한 대목이다.

디지털 시대에 데이터가 곧 자산이다. 개인이 SNS, 블로그 등에 올린 글, 사진, 영상이 모두 데이터에 해당한다. 여기에 스마트폰 통화 내역과 카드사용 내역까지 개인이 삶을 영위하는 동안 이루어지는 행동 하나하나가 데이터로 기록된다. 지금껏 빅데이터는 수많은 양의 데이터를 가공하여 의미 있는 분석을 하는데 주로 이용되었지만, 이제 개인이 생활하면서 생산한 데이터 자체에 무게중심이 이동하고 있다.

특히, SNS와 블로그는 개인의 생활을 기록하고 이를 통해 친구와 지인들과의 소통 창구로 기능해왔다. 그러나 그러한 SNS가 생각지도 못한 기능을 하고 있다. ‘잡코리아’가 기업 인사담당자 372명을 대상으로 한 조사에 의하면, 전체 인사담당자의 73.7%가 지원자들의 SNS를 방문한다고 한다. SNS가 또 하나의 스펙으로 간주되고 있는 셈이다.

SNS로 인해 취업에 실패한 지원자가 있다면 그 순간 ‘나를 잊어주세요’라고 외치고 싶을 것이다. 잊혀질 권리는 가령, 학창시절 잘못된 순간의 선택으로 올린 글이나 사진 등이 성인이 되어서도 여전히 피해를 입는 이들에겐 절실한 해결방법이 될 수 있다. 다만, 잊혀질 권리가 개인정보 보호 차원에서 가치가 있더라도 표현의 자유, 알권리 등의 다른 가치와 충돌한다는 맹점이 있다. 또, 표현의 자유 침해와 관련해 그 연장선에서 잊혀질 권리를 어디까지 적용할 것인가의 범위 논란도 여전히 남아있다.

인간은 망각하지만 인터넷은 잊지 않는다. 땅속에 묻은 비닐이 100년이 넘어도 썩지 않는 것처럼 인터넷상에서 데이터를 지우지 않으면 영원히 남아 있을 것이다. 그 선택의 기로에서 개인은 자신에게 보다 유리한 선택을 할 것임은 자명하다.

지은이 : 김상목 

마크리더컨설팅 대표이사
전) SK그룹 채용 담당
서강대학교 사회문화정책 석사
서강대학교 경영학과
 

 

들어가는 글

1. 내 데이터 내 맘대로
프라이버시의 종말
다윗과 골리앗의 한 판 승부
마이데이터(MyData) 신호탄, GDPR

2. 데이터 생태계 융합과 시너지
데이터 민주주의
데이터 경제와 데이터 생태계
데이터 거래소의 등장
국가별 마이데이터 추진 현황
영국
미국
일본
핀란드
프랑스
국내 추진 현황
데이터 산업 발목 잡는 개인정보 보호법

3. 미국의 3가지 버튼
블루 버튼
그린 버튼
오렌지 버튼

4. 데이터가 주도하는 사회
빅데이터의 활용과 가치
데이터가 곧 자산
마이데이터, 어떻게 활용되나

5. 잊혀질 권리
워마드와 잊혀질 권리
잊혀질 권리 VS. 알 권리
개인정보의 안전한 활용

6. 영국과 아일랜드의 GDPR 홍보 사례
영국
귀하의 권리
귀하의 접근 권한
데이터를 수정할 수 있는 권리
데이터를 삭제할 수 있는 권리
조직에서 데이터를 사용하는 방법을 제한할 수 있는 권리
데이터 이식성에 대한 귀하의 권리
데이터 사용에 반대할 권리
사용자의 개입없이 이루어지는 결정에 대한 사용자의 권리
공공 기관에서 정보에 접근하는 방법
조직에 대한 우려 제기
데이터 보호 권한 요청에 대한 응답 시간 제한
아일랜드
‘개인 데이터’란 무엇입니까?
귀하의 권리에 대한 안내
데이터 보호란 무엇입니까?
이 권리는 언제 적용됩니까?
이 권리의 목표는 무엇입니까?
데이터 보호 감독관에게 언제 연락해야 합니까?
내 권리는 무엇입니까?
데이터 보호 책임자의 역할은 무엇입니까?

7. 부록
1. 일반개인정보 보호법(GDPR) 제3장 개인정보 주체의 권리
1. 제III장 개인정보주체의 권리
제1절 투명성 및 형식
제2절 정보 및 개인정보 열람
제3절 정정 및 삭제
제4절 반대할 권리 및 자동화된 개별 의사결정
제5절 제한
2. GDPR 더 자세히 살펴 보기
1. 고객 동의 자동화 : 데이터 자본주의 시대의 데이터 개인정보 보호
2. GDPR, PSD2 & ePRIVACY : 금융권에서 혁신을 주도하는 데이터 권한 관리 규정
3. 마케터, GDPR 미준수로 인해 가장 큰 자산을 잃어버림에 주의하십시오.
3. GDPR주요 변경 사항
증가된 영토 범위 (국가 관할권 적용 범위)
처벌
동의
데이터 주체 권한
데이터 이식성
프라이버시 설계
데이터 보호 담당관
4. GDPR에 대해 자주 묻는 질문(FAQ)

참고문헌