신용평가에만 활용될 마이데이터
프라이버시 침해 우려 큰 '구매이력'
시행령서 삭제해 시장혼란 줄여야

김민호 < 성균관대 법학전문대학원 교수 >
[시론] 마이데이터, 쇼핑정보는 제외해야

‘마이데이터’에 대한 관심이 뜨겁다. 마이데이터는 자신의 개인신용정보를 보유하고 있는 기관에 자신의 정보를 본인 신용정보회사(마이데이터 사업자)에 전송해 줄 것을 요청할 수 있는 제도를 말한다. 흩어져 있는 개인신용정보를 마이데이터 사업자가 한꺼번에 모아 적극적으로 관리·통제하게 하고, 이런 정보를 신용평가 등에 능동적으로 활용하도록 하자는 취지다.

마이데이터 제도는 신용정보보호법의 개정을 통해 우리나라에서도 가능해졌다. 데이터의 집중관리가 허용된 것이므로 데이터 활용이라는 순기능은 있는데, 데이터 집중화에 따른 개인정보 침해 또한 우려되는 양날의 검과 같은 제도다. 그래서 모든 개인정보가 아니라 신용평가관리에 필요한 정보만을 그 대상으로 하고, 마이데이터 사업자도 수집한 데이터를 신용평가관리 등의 업무에만 활용하도록 엄격히 제한을 두고 있다. 그래서 신용정보보호법은 금융위원회로 하여금 정보의 종류와 시장 상황을 잘 살펴서 신용평가관리와 관련이 있는 마이데이터의 구체적 범위를 정하도록 대통령령(시행령)에 위임해 둔 것이다.

그런데 마이데이터의 전송을 요구할 수 있는 구체적 범위를 정한 시행령 규정을 보고 개인정보보호법을 연구하는 학자로서 크게 놀랄 수밖에 없었다. 마이데이터 사업자에게 제공해야 하는 신용정보 범위에 개인 쇼핑정보, 즉 ‘주문내역정보(구매이력정보)’가 포함된 사실 때문이다. 신용정보보호법이 마이데이터의 대상이 되는 정보를 ‘모든 신용정보’로 하지 않고 대통령령(시행령)에서 따로 정하도록 한 것은 이유가 있다. 현행 신용정보보호법은 ‘신용정보’의 범위를 너무 넓게 규정하고 있어서 사실상 거의 모든 개인정보가 신용정보에 해당하게 된다. 이처럼 방대한 신용정보 모두를 마이데이터의 대상으로 할 경우 개인정보 침해 우려가 크다고 판단했기 때문에 마이데이터의 대상 정보를 현실에 맞게 조정해 시행령으로 정하라는 취지다. 그런데도 개인의 프라이버시 침해 우려가 큰 쇼핑정보를 시행령에 포함시킨 것은 이해할 수 없다.

구매이력정보는 상품의 유형과 개인의 상황에 따라 민감한 프라이버시가 될 수 있다. 그런데도 개정된 시행령대로라면 자체 간편결제를 운영 중인 오픈마켓이나 간편결제 사업자들이 고객의 쇼핑정보를 마이데이터 사업자에게 전송할 수밖에 없다. 참으로 어처구니없는 일이다. 개인이 쇼핑을 통해 구입한 상품에 관한 정보가 신용평가관리와 무슨 관련이 있는지 이해할 수 없다. 마이데이터 사업자는 전송받은 개인의 신용정보를 신용평가관리 업무에만 쓸 수 있는데 이처럼 방대한 개인의 구매이력정보를 수집해서 어디에 쓰려고 하는지도 의문이다.

금융위원회는 그동안 마이데이터에 관해 “신용정보법은 금융거래정보 등 ‘신용정보’를 다루는 법률로 원칙상 정보기술(IT)기업 등이 보유한 일반 개인정보는 전송요구권 대상정보가 아니다”는 입장을 견지해 왔다. 그런데 시행령 개정안을 입법예고할 당시에는 없던 쇼핑정보를 슬그머니 시행령에 넣어 통과시킨 배경도 의심스럽다. 입법예고 당시에는 없던 새로운 사항이 변경됐을 때는 이해관계자의 의견을 다시 수렴하기 위해 재입법예고하거나 최소한 직접 이해당사자의 의견 청취 정도는 거쳐야 하는 것이 행정절차법의 기본원칙이다. 관련 업계에 새로운 부담을 지우는 중요한 사항을 개정할 때에는 이런 절차가 더욱 중요하다.

내용 면에서나 절차 면에서나 문제가 있는 현행 신용정보보호법 시행령은 조속히 재개정돼야 한다. 다행히 개인신용정보 전송요구 관련 규정의 시행일이 내년 2월이므로 재개정에 시간적 여유는 있다. 금융위는 당장 시행령을 재개정해 마이데이터의 대상 정보에 쇼핑정보를 포함한 해당 조항을 삭제해 시장 혼란을 최소화해야 한다. 그래야만 정보주체의 금융주권을 확보하겠다는 마이데이터 사업의 본질적 취지가 훼손되지 않을 것이다.

ⓒ 한경닷컴, 무단전재 및 재배포 금지