마이데이터 서비스, 현행 법체계에서도 가능한가? (현행법, 2019년 11월 기준)
상태바
마이데이터 서비스, 현행 법체계에서도 가능한가? (현행법, 2019년 11월 기준)
  • 서지은 수석
  • 승인 2019.11.21 02:56
  • 조회수 1806
  • 댓글 0
이 콘텐츠를 공유합니다

 

- 마이데이터법이 있는가? 마이데이터는 제도적으로 반드시 준수해야 하는 것인가?
- 마이데이터 서비스를 제공하기 위해서 사업자 허가를 받거나 등록해야 하나?
- 마이데이터의 주관부처는 어디인가?
- 마이데이터 사업을 위해 어떤 법을 준수하여야 하나?

법제도와 관련하여 마이데이터 서비스를 준비하고 있는 기업들이 궁금해하는 대표적 질문들이다.


마이데이터법?

마이데이터는 데이터의 주체인 개인이 본인 정보에 대한 결정권을 가지고 필요하고 원하는 방식으로 활용하여 그 혜택을 얻도록 하는 개인정보 활용의 새로운 패러다임이다.

행정안전부, 과학기술부, 금융위원회, 보건복지부 등 관련부처에서는 개인정보의 주체인 개인을 데이터 시대의 중심 이해관계자로 인정하고 데이터 제공∙공유∙활용에 주도적으로 참여할 수 있도록 마이데이터 관련 사업을 적극적으로 추진하고 있다.

그러나 현재 마이데이터 기본법과 같이 마이데이터만을 위한, 마이데이터가 중심이 되는 신규 법률이 준비되고 있지는 않다.

다만 개인신용정보에 한해 개인정보 이동권을 보장하고 본인신용정보관리업을 허가제로 도입하는 내용을 「신용정보의 이용 및 보호에 관한 법률」 개정안(2018. 11. 15 의안번호 16636)에 포함하여 의결을 추진하고 있다.

또한 행정안전부는 개인정보 이동권 등을 「개인정보보호법」에 포함시켜 「개인정보보호법」이 유럽 개인정보보호법(GDPR)에서 요구하는 내용에 부합할 수 있도록 법을 개정할 계획을 가지고 있다.

따라서 「신용정보의 이용 및 보호에 관한 법률」, 「개인정보보호법」 등이 마이데이터와 관련하여 법을 개정하거나 개정할 계획을 가지고 있는 상황이다.

이러한 마이데이터는 아직 법률적∙제도적으로 준수하여야 하는 대상이 아니다. 단, 개인정보를 이용한 서비스가 주요 비즈니스이므로 서비스 구축∙운영 시 개인정보보호와 관련된 현행법(「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」, 「의료법」 등)을 준수하여야 한다.


허가를 받아야 마이데이터 사업자가 될 수 있나?

마이데이터 서비스는 서비스 모델과 개인정보만 있다면 누구나 할 수 있는 서비스이다. 다만 「신용정보의 이용 및 보호에 관한 법률」 개정안(2018. 11. 15 의안번호 16636)에서 개인신용정보에 한해 본인신용정보관리업을 허가제로 도입하고자 의결을 추진중이나 아직 법률이 통과되지 않고 있다.

따라서 현행법(2019. 11) 기준, 마이데이터 서비스 사업자는 별도의 허가나 라이센스가 필요하지 않다. 누구나 개인정보를 활용한 마이데이터 서비스 제공기업이 될 수 있다.

그런데 만약 마이데이터 서비스에서 수집∙이용∙제공하고자 하는 개인정보가 개인신용정보에 해당하는 경우, 「신용정보의 이용 및 보호에 관한 법률」 개정안의 의결 여부를 모니터링 할 필요는 있다.

「신용정보의 이용 및 보호에 관한 법률」 개정안이 통과될 경우 개인신용정보를 일정한 방식으로 통합하여 그 본인에게 제공하는 행위를 영업으로 하는 ‘본인신용정보관리업’이 허가제가 된다.

금융위원회로부터 ‘본인신용정보관리업’ 허가를 받기 위해서는 5억원 이상의 자본금 또는 기본재산을 갖추어야 하며 타당하고 건전한 사업계획을 준비해야 하는 등의 허가 요건이 있으므로 이를 숙지하여야 한다.

「신용정보의 이용 및 보호에 관한 법률」 개정이 되더라도 마이데이터 서비스를 위해 허가를 받아야 하는 개인정보의 범위는 개인신용정보에 국한되며, 개인신용정보 이외의 개인정보는 누구나 활용하여 마이데이터 서비스를 제공할 수 있다.


마이데이터 주관 정부부처는 어디인가?


개인정보는 어느 부처에서나 발생•처리되고 있는 것이므로 마이데이터는 모든 부처와 연관성이 있다. 따라서 현재 마이데이터 주관 부처가 별도로 있는 것이 아니라 부처별 필요성에 따라 관련 정책이나 법제도를 수립하고 있다.

금융위원회(개인신용정보), 과학기술정보통신부(마이데이터 생태계 조성 및 활성화를 위한 개념•가이드라인 제공), 행정안전부(정보주체의 개인정보 주권 강화), 산업통상자원부(마이데이터 기반 개인정보 판매), 보건복지부(의료분야 개인정보)등이 각각의 이해에 따라 마이데이터 사업을 추진 중이다.

마이데이터는 일부 분야(금융, 의료 등)에서 활성화되고 있는 단계로 관련 법제도는 아직 미비한 상황이다. 타 분야에 비해 활성화 되어있는 금융∙의료 분야에서도 현행법을 어떻게 적용 할 것인가에 대해 입장을 잡아가는 중이다.

한 예로 개인건강정보와 관련한 보건복지부의 입장은 ‘개인정보 활용’ 보다는 ‘개인정보 보호’에 치중해 있기 때문에 의료법을 매우 보수적으로 해석한다.

따라서 마이데이터 서비스를 준비하는 기업들은 어떠한 개인정보가 서비스의 중심인지 판단 후 해당 개인정보 활용에 대한 소관부처의 입장을 파악하여야 한다.


마이데이터 서비스 관련 법률

 

투이톡_마이데이터_1.jpg


마이데이터는 법제도적으로 준수하여야 하는 규제사항이 아니다. 누구나 원하면 마이데이터 개념을 적용한 서비스를 제공할 수 있다.

단지 개인정보를 다루는 서비스이므로 서비스 제공 시 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」, 「의료법」 등 개인정보 관련 법률을 준수하여야 한다.

개인정보와 관련된 일반법은 「개인정보보호법」이다. 서비스에 필요한 개인정보 중 기본적인 개인정보 이외에 개인건강정보가 포함되어 있다면 「의료법」, 개인신용정보가 포함되어 있다면 「신용정보의 이용 및 보호에 관한 법률」, 정보통신망을 통해 서비스가 제공된다면 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」등 특별법을 준수하여야 한다.

또한 동일사항에 대해 일반법과 특별법이 충돌하는 경우 특별법을 우선 적용하여야 한다. 특별법에서 규정되어 있지 않은 모든 사항은 일반법인 「개인정보보호법」을 따른다.

이러한 현행법들은 마이데이터 서비스를 지원하거나 활성화하기 위해 제정된 법률이 아닌 개인정보보호가 목적인 법률이다. 따라서 각 법의 모든 내용이 마이데이터 서비스와 관련되지는 않고 필요한 모든 내용이 법에 있지도 않다.

마이데이터 사업자가 서비스 제공을 위해 반드시 알아야 할 포인트는 동의, 개인정보 이용, 인증, 개인정보 이용내역알림, 개인정보 관리이다.

▶ 동의: 개인이 서비스 제공 기관이 정보주체의 개인정보를 처리(수집∙이용∙제공∙위탁∙접근)하는 것에 대한 동의 여부, 동의 범위 등을 선택하고 결정하게 하는 활동

개인정보 이용: 각 이해관계자 간에 개인정보를 수집, 전송, 공유하는 물리적∙전자적 방식

인증: 서비스 이용 시 보안을 위해 필요한 본인인증, 서비스 간 인증 활동

개인정보 이용내역알림: 개인이 마이데이터 서비스를 이용함에 있어 자신의 데이터가 어떻게 이용되었는지, 어떻게 제3자에게 공유되었는지 그 내역을 개인에게 제공하는 활동

개인정보 관리: 개인이 서비스 이용을 위해 동의한 내역 및 동의 의사 표시 후 서비스 제공기관이 획득한 개인정보의 관리 활동

마이데이터 사업자에게 공통으로 요구되는 사항 중 개인정보 동의, 개인정보 이용내역알림, 개인정보 관리 등 개인정보의 보호 및 권리에 대한 내용은 현행법에 많지만 서비스 인증이나 제공방법 등과 관련된 내용은 거의 없다.

마이데이터 서비스를 준비중인 기업들은 합법적인 서비스 제공을 위해 준수해야 할 관련법이 무엇인지 확인하고 동의∙이용내역알림∙데이터관리 등 마이데이터 사업자가 반드시 확인해야하는 내용을 검토하여 서비스를 설계하여야 한다.

- 끝 -

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.