최근 금융위원회는 마이데이터 산업을 도입하고 관련 규정인 신용정보법을 개정하겠다는 계획을 발표하였습니다.
계획안은 공개되었으니 살펴보면 될 것이고, 이번 글에서는 마이데이터 산업을 준비하기 위하여 필요한 사항이 무엇인지 정리하려고 합니다.
마이데이터 산업은 EU, 미국, 일본 등에 이미 유사한 제도가 있는 서비스 형태입니다.
'본인신용정보관리업'이라 불리우는 마이데이터 산업은 신용정보법의 신용조회업(CB)과 유사하게 보이나, 개인의 신용상태를 평가해서 은행 등 필요한 기관에 제공하는 업무를 하지만, 마이데이터 산업은 정보주체의 동의 하에 은행 등으로부터 신용정보를 수령하여 하나로 모아 관리하는 서비스 형태입니다.
예를 들어 정보주체 A가 은행, 증권회사, 신용카드사, 보험회사, 통신사 등으로부터 자신과 관련된 정보를 제공받을 권리를 마이데이터 업자에게 부여하면, 마이데이터 업자는 A를 대신하여 은행 등으로부터 A와 관련된 정보를 제공받아 통합하여 관리할 수 있습니다.
이렇게 제공받고 통합된 A의 데이터는 분석하여 다시 A에게 부가가치 있는 재무정보 등으로 제공되며, A는 경우에 따라서 금융투자상품에 대하여 자문서비스도 제공받을 수 있습니다. 다만 금융투자자문을 하려면 그 전에 마이데이터 산업 허가와 별개로 투자자문업 등에 대한 라이선스가 있어야 할 것입니다.
마이데이터 업자가 되려면, 최소 5억원 이상의 자본금이 있어야 하며, 개인정보 유출 등에 대비한 배상보험에 의무적으로 가입해야 합니다. 신용정보를 관리하는 업이다 보니 신용정보를 안전하게 관리할 수 있는 보안시설을 필히 갖추어야 하고, 전문가로서 신용정보관리보호인을 두어야 합니다. 이런 조건하에 금융위원회로부터 허가를 득해야 합니다.
허가요건을 열거하면, 1) 최소 5억원 이상의 자본금, 2) 배상보험의무가입, 3) 안전관리를 위한 보안시설, 4) 신용정보관리보호인이라 할 수 있고, 향후 입법에 따라 추가될 수도 있어 보입니다.
사실 이 제도는 내용은 간단하지만 복잡한 개인정보 처리가 들어 있고, 이러한 처리 내용의 대부분이 우리나라 개인정보 보호 법령에 없는 내용이기에 실제 이 제도가 현실화되기 까지는 쉽지 않을 것으로 생각됩니다.
예를 들어, 이 제도는 우리 법에 없는 개인정보 이동권과 개인정보 프로파일링 등이 전제되어 있고, 제공동의를 개인정보를 제공하는 자의 동의가 아니라 제공받는 자의 동의를 전제로 하고 있습니다.
개인정보 이동권이나 개인정보 프로파일링, 제공받는 자의 동의 등은 현행 개인정보보호법에 없는 제도로서, 일반법인 개인정보보호법에 없는 내용을 신용정보법에 도입하는 것이 가능할지 갑론을박이 있을 수밖에 없다는 의미입니다.
하여튼 개인정보 활용보다는 보호 쪽에 치중되어 있는 현행 개인정보 규제 현황에 신선한 바람을 불러오고, 새로운 계기를 마련할 수 있다는 점에서 긍정적인 면이 매우 크다고 생각합니다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2018. 7. 24.) 기고.
