데이터 접근권: 내 데이터를 확인하고 통제할 수 있는 권리
상태바
데이터 접근권: 내 데이터를 확인하고 통제할 수 있는 권리
  • 김인현 대표, 오희영 수석
  • 승인 2019.01.04 04:34
  • 조회수 2264
  • 댓글 0
이 콘텐츠를 공유합니다

용어에 대해서

 

Personal Data, 개인정보는 개인데이터로
 

Personal Data를 개인정보로 번역하여 사용하여 왔다. 데이터와 정보는 의미가 다르다. 정보는 목적에 맞게 데이터를 가공한 것을 의미한다. 예를 들어 개인의 주민등록번호는 데이터이지 정보는 아니다. 마케팅을 위해서 신상품 타케팅 대상으로 분류한 경우에 이는 정보가 된다. 은행이 개인의 소셜미디어 활동 내역을 수집해 놓은 것은 엄밀한 의미에서 정보가 아니라 데이터(data)이다. 소셜미디어 데이터를 분석한 결과가 정보(information)이다. ‘Personal Data’는 개인정보가 아니라 개인데이터이다.


Right of Access, 열람권은 접근권으로

Right of Access는 열람권으로 번역하여 사용되기도 한다. 열람은 데이터를 조회한다는 뜻이다. ‘access’의 의미는 단순히 데이터를 조회하는 이상의 의미를 갖는다. 본문에서 설명하겠지만 데이터 처리 목적, 데이터를 제공하는 곳, 데이터 보관 주기 등 데이터 주체의 개인데이터와 관련된 사항들을 확인할 수 있는 권리이다. 은행의 고객이 자신의 계좌 거래 내역을 확인하는 것은 열람(read)이지만, 은행이 고객 데이터를 처리하는 목적이나 방법 등에 대한 내용을 확인하는 것은 접근(access)이라고 부르는 것이 타당하다.

 


데이터 접근권, Right of Access

헌법재판소는 “인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 인격권과 헌법 제17조의 사생활의 비밀과 자유, 헌법의 자유민주적 기본질서 규정 또는 국민주권원리와 민주주의 원리 등을 기초로 ‘개인데이터자기결정권’ 또는 ‘자기정보관리통제권’이 나온다며 ‘자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체 스스로가 결정할 수 있는 권리’라 정의 내린 바 있다(헌재 2005. 5. 26. 선고 99헌마513 결정 참조).


국회에서 통과되지는 못했지만 2018년 초에 정부가 제안한 수정헌법 22조는 데이터 권리를 국민의 기본권으로 규정하고 있다. ②항은 국민의 개인데이터 권리를 포괄적으로 규정하고 있다. 보호받을 대상을 국민이 아니라 사람으로 규정하고 있다는 점이 특징이다. 데이터권리는 인간의 기본권이라는 것으로 해석된다.

 

투이톡_개인데이터_1.jpg
[표 1] 수정헌법안 22조 내용

데이터 처리 기술의 발전으로 국가간 무역에서도 대규모 데이터가 전송되는 경우가 빈번하게 되자 OECD는 1970년대 후반부터 연구를 시작하여 1980년에 OECD 프라이버시 가이드라인(OECD Guidelines on the protection on privacy and transborder flows of personal data)를 발표하였다. 이후 OECD의 가이드라인은 개인데이터 처리의 국제 표준으로서 활용되고 있다. 국제사회의 합의를 반영한 기준이기 때문이다.

 

투이톡_개인데이터_2.jpg
[표 2] OECD 프라이버시 가이드라인 내용

  

데이터 접근권은 OECD 8원칙 중에서 개인 참여 원칙에 해당한다. 2011년에 제정된 우리나라 개인정보보호법도 OECD 프라이버시8원칙을 참조하고 있다. 8원칙은 개인정보보호법 제3조에 그대로 반영되어 있다. 데이터접근권은 개인정보보호법에는 제3조5항, ‘개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개해야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.’로 표현되어 있다.

 

 

EU와 미국 동향

EU는 일반데이터보호법(General Data Protection Regulation, GDPR)을 통해 개인데이터에 대한 권리를 규정하고 있다. 개인데이터 처리자는 데이터주체의 요구 시 늦어도 1개월 이내에 사본을 무료로 제공해야 한다. 그리고 데이터주체의 요구가 전자적인 형태로 이루어지는 경우 일반적으로 이용할 수 있는 전자적 형태로 제공해야 한다. 데이터주체가 원격지에서도 개인데이터에 접근할 수 있는 시스템을 권고하고 있다.

 

투이톡_개인데이터_3.jpg  

[표 3] GDPR의 데이터 접근권

 
미국은 오바마 정부가 소비자 프라이버시 권리장전(Consumer Privacy Bill of Right)을 제정하여 데이터에 대한 소비자의 권리와 개인데이터의 수집과 활용에 대한 개인의 통제권을 규정하였다. 소비자의 개인데이터 통제권, 접근권, 정정권 등을 보장하였다(2012년 2월). 캘리포니아주는 소비자 프라이버시법을 통해 정보주체의 개인데이터 통제권을 보장하고자 한다(2020년 1월 시행 예정). 연방거래위원회는 2014년 5월부터 데이터브로커 사업자가 수집한 개인데이터에 대해 소비자의 접근권 및 정정권을 보장하였다. 미국의 대표적인 데이터브로커인 액시옴(Axciom)은 소비자가 자신의 개인데이터 수집 및 활용 내역을 확인하고 정보를 수정할 수 있는 사이트를 운영하고 있다(http://aboutthedata.com).

 

 

우리나라 동향


개인데이터보호법 및 정보통신망법에 개인데이터 열람권에 대한 근거가 마련되어 있다. 특히, 정보통신사업자의 경우 정보통신망법 30조(이용자의 권리)에서 정보주체가 열람을 요구할 수 있는 정보의 범위를 (1) 정보통신서비스 제공자 등이 가지고 있는 이용자의 개인데이터, (2) 정보통신서비스 제공자 등이 이용자의 개인데이터를 이용하거나 제3자에게 제공한 현황, (3) 정보통신서비스 제공자 등에게 개인데이터 수집, 이용, 제공 등의 동의를 한 현황으로 정하고 있다.


방송통신위원회는 2018년 9월에 온라인 개인데이터 처리가이드라인을 개정하였다. 개정된 가이드라인에서는 정보통신사업자에게 정보주체들이 개인데이터 열람 및 제공을 쉽게 신청하고 결과를 확인할 수 있는 홈페이지 메뉴 및 시스템 운영을 권장한다. 또한 정보통신사업자들은 개인데이터열람 신청 후 10일 이내에 회신해야 하며 비용은 실비범위에서 정보주체에게 청구할 수 있다.


그러나 이용자의 정보부족 및 사업자의 소극적인 대응으로 정보주체의 권리보장이 미흡한 실정이다. 2017년 경실련과 서울YMCA 등 시민단체 주도로 온라인 업체의 개인데이터 열람권 제공 실태를 조사한 결과 보유 중인 개인데이터 현황 및 제3자 제공현황 등에 대한 제공이 미흡한 것으로 나타났다.

 

투이톡_개인데이터_4.jpg  

[표 4] 개인데이터열람 실태조사 (출처: 경제정의실천시민연합 외, 개인데이터 열람 실태조사 보고서, 2017.9.6)

또한 글로벌 인터넷 기업의 경우 개인이 제공하였거나 개인의 활동으로 생성된 데이터는 제공하고 있으나 국내법에서 규정하고 있는 제3자 제공 내역 등에 대한 정보는 공개하지 않는다. 이에 시민단체에서 구글 및 구글코리아를 상대로 개인데이터열람권 대상 중 하나인 개인데이터 제3자 제공내역 공개 소송을 진행하였다. 소송결과 제2심에서 제공내역을 공개하라고 판결하였다(2017년 3월).

에피소드 두 가지

금융위원회는 2018년 11월 22일에 ‘데이터 경제 활성화를 위한 신용정보산업 선진화 방안’을 발표했다. 12월에 경실련과 서울YMCA등 13개 시민단체와 정의당은 금융위원회의 신용정보산업 선진화방안에 반대하는 기자회견을 하였다. 시민단체 등은 신용정보법 개정안의 세가지 문제를 지적했다. 그중 하나는 정보 주체의 동의권과 열람권 등 기본권을 보장하지 않고 마이데이터 사업을 추진하는 것은 개인데이터의 상품화를 부추기는 것이라고 주장했다.

개인데이터접근권 보장은 금융위원회가 추진하는 금융 마이데이터 산업 육성을 위한 초석이다. EU가 GDPR을 통해 개인데이터 보호 기준을 강력한 수준으로 제정한 것은 한편으로 개인데이터 활용을 높이기 위한 길을 닦는 것이라고 할 수 있다.
 

토스와 굿리치 등 핀테크회사들의 보험금 조회서비스는 2018년 11월 보험협회와 신용정보원에 의해 제동이 걸렸다. 숨어 있는 보험금을 찾아주는 ‘내보험찾아줌’은 2017년 12월에 생명보험협회와 손해보험협회가 공동으로 개발한 서비스이다. 오픈 이후 6개월 만에 2조원이 넘는 보험금의 주인을 찾아주는 성과를 올렸다. 핀테크회사들은 고객의 동의를 받은 후에 스크래핑 방식으로 데이터를 확보해서 제공해주었다. 보험협회 요구는 데이터를 가져가지 말고 링크로 협회 사이트에서 확인하도록 하라는 것이었다.

금융 마이데이터는 데이터 관점에서는 상당히 준비되어 있다. 개인의 금융데이터는 금융감독원, 은행연합회, 보험협회, 여신전문협회 등 공공 기관에 확보되어 있다. 민간 기업이 이들 데이터를 활용하여 금융소비자를 위한 서비스를 개발하고 일자리를 창출하는 것을 돕기 위해서는 데이터를 화면으로 보여주는 것이 아니라 Open API 형태로 제공해야 한다. 핀테크회사의 스크래핑을 막는 것은 거꾸로 가는 것이라고 할 수 있다.

- 끝 -

 

저작권자 © 투이컨설팅 무단전재 및 재배포 금지
김인현 대표, 오희영 수석
김인현 대표, 오희영 수석 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.