데이터 주권과 마이데이터

데이터 주권 시대, 무엇이 달라지나?

마이데이터 사업 2022년 1월 전면 시행 … 개인에게 개인 데이터에 대한 자기 결정권 부여

경기도, 9월 8일 데이터 주권 국제포럼 개최 … 모두가 잘 사는 공정한 데이터 세상 논의

금융소비자가 본인의 신용정보와 금융상품 등 각종 데이터를 스스로 관리할 수 있도록 하는 마이데이터(본인신용정보관리업) 사업이 올해 12월부터 순차적으로 개시돼 2022년 1월부터 전면 시행될 예정이다. 앞으로 금융 분야는 물론 의료, 헬스, 행정, 교육 등 다양한 분야에서 마이데이터가 시도될 것이다. 경기도는 9월 8일 온오프라인 병행의 ‘데이터 주권 국제포럼’ 개최하고 모두가 잘 사는 공정한 데이터 세상을 논의한다.

데이터를 이용하는 기업에서는 데이터가 새로운 원유 같은 자원임이 틀림없지만, 정작 데이터를 제공하는 개인에게는 아무런 도움이 되지 않았다. 오히려 개인 데이터가 유출되어 스팸에 시달리거나 심지어는 각종 피싱 위험에 노출된다. 이러한 불공평하고 일방적인 관계는 건강하지도 지속 가능하지도 않다. 개인은 최대한 개인 데이터 제공을 기피하게 되었고, 기업은 각종 컴플라이언스로 인해 데이터 수집은 물론 결합·처리·분석 등을 통해 가치 있게 활용하는 데 애를 먹고 있다. 이를 해결하기 위해 다양한 시도가 이루어지고 있다. 그중 가장 주목받는 것이 마이데이터다.

마이데이터는 단순히 ‘나의 데이터’를 의미하는 것이 아니다. 개인 데이터의 정보 주체인 개인이 자신의 정보를 실질적으로 관리, 통제 및 활용하는 일련의 법적, 기술적, 관리적 조치가 이루어져, 개인이 개인 데이터에 대한 결정권을 온전히 가지도록 하는 것을 의미한다. 개인 데이터의 관리 및 활용을 위한 인간 중심 모델을 지향하며 개인에게 개인 데이터에 대한 자기 결정권을 부여한다. 개인이 기업 및 기관에게 금융, 쇼핑, 의료 또는 건강 데이터와 같은 개인 데이터의 활용 권한을 직접 부여할 수 있게 한다는 개념이다. 마이데이터의 목표는 궁극적으로 개인 데이터에 대한 결정권을 당사자에게 돌려줌으로써 그들과 그들이 속한 사회가 지식을 발전시키고, 정보에 입각한 의사 결정을 내리고, 개인과 조직간, 그리고 개인 상호 간에 더욱더 주도적이고 효율적으로 소통하기 위함이다.

현재와 같이 소수의 데이터 공룡 기업들이 엄청난 양의 데이터를 독과점하며 수집하고 활용하는 환경에서 개인의 데이터 주권을 제공해줄 수 있는 기술 및 플랫폼에 대한 논의는 데이터 산업적인 측면에서뿐만 아니라 정치, 경제, 사회적 측면에서도 필요한 의제다. 그동안 ｢개인정보보호법｣을 통해 개인 데이터의 보호와 기업 윤리에 관한 규정이 마련되어 있었지만, 자기 결정권에 대한 보장은 부족했다.

이 책은 개인 데이터 주권 회복과 기업의 데이터 활용을 동시에 달성할 수 있는 새로운 마이데이터 접근법을 제시한다. 데이터 주권 시대가 가져올 변화와 마이데이터 실현을 위한 올바른 접근법 등 마이데이터 시대의 새로운 패러다임 변화에 대해 살펴본다. 마이데이터 사업의 시행을 앞두고 있는 시점에, 데이터 주체인 개인들에게 반드시 필요한 정보와 제언이 담겨 있다.

데이터를 이용하는 기업에서는 데이터가 새로운 원유 같은 자원임이 틀림없지만, 정작 데이터를 제공하는 개인에게는 아무런 도움이 되지 않았다. 오히려 개인 데이터가 유출되어 스팸에 시달리거나 심지어는 각종 피싱 위험에 노출된다. 이러한 불공평하고 일방적인 관계는 건강하지도 지속 가능하지도 않다. 개인 데이터의 주체인 개인이 개인 데이터에 대한 결정권을 가지도록 하는 것이 마이데이터다. 데이터 주권 시대가 가져올 변화와 마이데이터 실현을 위한 올바른 접근법 등 마이데이터 시대의 새로운 패러다임 변화에 대해 살펴본다.

이재영

㈜에스앤피랩 대표이사. 서울대학교 전기공학부를 졸업했고 한양대학교에서 블록체인 기반 개인정보 플랫폼을 연구하였다. 삼성전자 모바일연구소 Security팀 수석연구원으로 SW보안 및 개인정보보호를 담당하였으며, 개인정보보호를 위한 데이터 처리 기술이 주된 연구 분야다. HomePNA와 PON 기술 도입 및 국내 최초 상용서비스를 구축하였고, GSM 프로토콜 벤더인 영국의 TTPCom사와 Motorola에서 근무한 유무선 통신 전문가이기도 하다.

국제공인 유럽 GDPR 개인정보보호전문가(CIPP/E), 국제공인 보안전문가(CISSP) 및 국제공인 윤리적 해커(CEH) 등 보안 및 개인정보 관련 다수의 국제공인 자격 외에도 재무설계사(AFPK®) 등 다양한 이력이 있으며, 개인데이터 이용 메커니즘의 패러다임을 바꾸는 데 관심이 많다. (ISC)² 주관 해외보안학회에서 개인정보보호를 위한 새로운 접근법에 대한 발표로 주목을 받았으며, 국내에서는 비대면 서비스 정보보호 해커톤, 마이데이터 액팅 해커톤, 개인정보 비식별 대회 등에서 장관상, 대상, 우승 등 다수의 수상 이력을 가지고 있다. 주요 저서로 󰡔핀테크와 GDPR 1󰡕(2020), 󰡔핀테크와 GDPR 2󰡕(2020), 󰡔헬로! 핀테크(개인신용정보 관리 및 활용편󰡕(2020) 등이 있으며, 경영과 컴퓨터 및 네트워크 타임즈 등 다수 전문 기술 잡지에 기고가로도 활동하였다.

데이터 주권 시대의 도래

01 데이터 기반 사회

02 빅데이터와 개인 데이터

03 데이터의 소유권에 대한 고찰

04 데이터의 보호와 활용, 그리고 주권

05 EU의 개인정보보호법, GDPR

06 마이데이터란

07 마이데이터가 가져올 변화

08 마이데이터 실현을 위한 접근법

09 개인 데이터 주권 회복을 위한 제언

10 기업의 개인 데이터 활용을 위한 제언

마이데이터는 오랫동안 기다려온 디지털 권리와 권력을 사람들에게 가져다줄 것으로 기대되지만, 이와 동시에 개인의 책임도 커진다. 우선 개인정보보호와 데이터 공유 위치를 개인이 잘 관리해야 한다. 관리하지 않으면 결국 남용된다. 개인의 데이터 문제를 관리할 수 있는 능력과 기회는 불균등하게 분산되어 있다.

_ “서문 데이터 주권 시대의 도래” 중에서

데이터 대기업들의 플랫폼을 이용하는 대가로 우리는 거의 모든 개인 데이터를 넘겨주고 있으며, 부지불식간에 각종 플랫폼에 종속되어 가고 있다. 데이터의 통제권을 제공하는 대신 편리성을 누리고 있는 셈이다. 하지만 이런 모습이 인류가 궁극적으로 추구해야 할 이상적인 모습은 아니기 때문에 데이터에 대한 권리 논의는 앞으로도 계속 이어질 것이다.

_ “03 데이터의 소유권에 대한 고찰” 중에서

첫 번째는 개인 데이터에 대한 인간 중심적 통제다. 개인은 온라인 및 오프라인에서 개인 생활을 관리할 수 있는 권한과 수단을 부여받아야 하며, 누가 자신의 개인 데이터에 접근하며 그 데이터가 어떻게 사용되고 공유되는지를 이해하고 효과적으로 통제할 수 있는 실질적인 도구와 방법이 제공되어야 하는 원칙이다.

_ “04 데이터의 보호와 활용, 그리고 주권” 중에서

마이데이터를 사용하면 개별 은행이 독점적으로 구현하고 통제하는 가치 사슬에서 서로 다른 단계의 기업 및 기관이 개인 데이터를 활용할 수 있는 개방형 및 분산형 가치 네트워크로 전환된다. 개인 데이터 가치 사슬의 성공적인 분할의 예는 EU의 PSD2(Payment Service Directive 2)와 영국의 은행에서 찾을 수 있다.

_ “07 마이데이터가 가져올 변화” 중에서

개인이 개인 데이터를 세부적으로 제어할 수 있는 실용적인 도구가 개발된다면 개인의 데이터 활용도가 높아질 것이다. 또한, 개인이 제3자가 데이터에 접근하는 조건을 정할 것이기 때문에 서비스 제공자와의 상호작용은 더 평등할 것이다. 이는 개인 데이터의 가치에 대한 인식의 변화에 기여할 가능성이 크다. 개인 데이터는 일회용이 아닌 장기적인 가치를 창출하는 자산으로 부상할 것이다.

_ “09 개인 데이터 주권 회복을 위한 제언” 중에서