Law J. 2024; 87:77-112

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..87.202410.77

헌법

개인정보이동권

김창조 *
A Study of the Right to Personal Information Portability
Chang-Jo Kim *
Author Information & Copyright
*경북대학교 법학전문대학원 교수/법학연구원 연구위원
*Prof. Kyungpook National University Law School

© Copyright 2024, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Oct 27, 2024; Revised: Oct 23, 2024; Accepted: Oct 24, 2024

Published Online: Oct 31, 2024

국문초록

개인정보이동권은 정보주체의 통제권 보장의 관점에서 인정된 새로운 권리이다. 이것은 종래 개인정보자기결정권의 소극적·수동적 모델에서 적극적·능동적 참여모델로 전환하기 위한 효율적인 수단이라고 할 수 있다.

개인정보이동권은 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송하여 줄 것을 요구하는 권리이다. 이러한 개인정보이동권은 헌법의 해석을 통해 인정된 개인정보자기결정권에 근거한 것으로 이 제도도입을 통하여 정보주체의 개인정보자기결정권을 강화하고 동시에 데이터 분야에 있어서 신산업 육성과 진입장벽 해소를 통해 데이터산업 활성화를 도모하고 있다. 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 인정하고 있다. 이러한 여러 권리에 추가하여 새롭게 인정된 권리가 개인정보권 이동권이다.

개인정보이동권은 신용정보법의 규정을 통해 금융분야에 선도적으로 도입되고, 그후 전자정부법 등을 통해 공적분야에서 인정되게 되었고, 계속하여 개인정보에 관한 일반법인 개인정보보호법에 이에 관한 규정을 신설함으로써 이에 관한 체계적 법규제 시스템을 갖추게 되었다. 이러한 개인정보이동권 도입을 통한 개인정보자기결정권을 강화와 관련산업육성은 정부주도로 실현된 것으로 향후 이 분야에서 지속가능한 발전을 도모하기 위해서는 민간부분의 능동적 참여와 이를 통한 적극적 시장형성과 발전이 될 수 있도록 계속된 혁신이 필요할 것 같다. 아울러 각 분야별 마이데이터 산업이 발전될 수 있도록 분야별 산업특성을 고려한 신속하고 계속적인 제도의 정비가 필요하다.

Abstract

The right to personal information portability is a new right recognized from the perspective of guaranteeing the data subject's right to control. This can be said to be an efficient means to change from the conventional and passive model of personal information self-determination to an active participation model.

The right to personal information portability is a right that requires the data subject to transmit his or her personal information to the person or a third party.This right to personal information portability is based on the right to self-determination of personal information recognized through interpretation of the Constitution. Through the introduction of this system, the information subject's right to self-determination of personal information is strengthened, and at the same time, the data industry can be promoted by fostering new industries and eliminating barriers to entry in the data field.

The right to self-determination of personal information is the right of the information subject to control information about himself or herself by accessing and viewing his or her information held by others or requesting correction, deletion, or blocking of that information. To ensure this, the Personal Information Protection Act recognizes the information subject's right to consent, the right to request access to personal information, the right to request correction and deletion or blocking of personal information, the right to request suspension of processing of personal information, and the right to claim compensation for damages. In addition to these various rights, a newly recognized right is the right to personal information portability. The right to personal information portability was first introduced in the financial sector through the provisions of the Creat Information Use and Protection Act and was later recognized in the public sector through the Electronic Government Act. Afterwards, new regulations regarding this were established in the Personal Information Protection Act, a general law regarding personal information. Through this process, a systematic legal system regarding the right to portability of personal information was established. Strengthening the right to self-determination of personal information and fostering related industries through the introduction of the right to personal information portability were realized under the leadership of the government. In order to promote sustainable development in this field in the future, continued innovation will be necessary to enable active participation of the private sector and active market formation and development through this. In addition, it is necessary to quickly and continuously establish a system that takes into account the industrial characteristics of each field so that the My Data industry in each field can develop.

Keywords: 개인정보이동권; 정보주체의 통제권 보장; 개인정보자기결정권; 데이터산업 활성화; 마이데이터
Keywords: Right to portability of personal information; Guarantee of data subject's right to control; Right to self-determination of personal information; Revitalization of data industry; My Data

Ⅰ. 머리글

개인정보이동권1)은 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송하여 줄 것을 요구하는 권리이다. 개인정보이동권은 개인정보주체의 기존의 다른 권리와는 차원이 다른 권리라고 할 수 있다. 종래의 개인정보주체의 권리들은 주로 개인정보의 오·남용 통제의 관점에서 인정된 권리로서 개인정보가 특정 개인정보처리자의 시스템에서 다른 개인정보처리자의 시스템으로 자유롭게 이전되는 것을 제약하는 방향으로 작용하여 왔다. 이에 반해 개인정보이동권은 정보주체의 통제권 보장의 관점에서 인정된 새로운 권리이다. 이것은 개인정보자기결정권의 소극적·수동적 모델에서 적극적·능동적 참여모델로 전환하기 위한 효율적인 수단이라고 할 수 있다.

데이터 경제활성화로 개인정보가 대량으로 수집·유통되고 있는 환경에서 기존의 수동적이고 방어적인 권리만으로는 본인의 개인정보를 자기주도적으로 유통·활용하는 데 한계가 있다. 이러한 상황를 타개하고 데이터 사용억제가 아닌 개인의 정보통제권을 강화하여 적극적으로 활용하고자 설계된 제도이다. 개인정보이동권은 일면에서는 개인정보자기결정권의 능동적 기능을 강화하고, 타면에서는 데이터 산업의 육성과 경쟁촉진을 도모하는 것으로서 향후 데이터 기반의 산업발전에 핵심적 역할을 할 것으로 기대된다.

우리법제에서 규정한 개인정보이동권은 2018년 5월 25일 시행된 유럽의 GDPR(General Data Protection Regulation)에서 처음 규정된 데이터 이동권(Right to data portability)에 큰 영향을 받은 것으로 최초로 신용정보법에서 규정하게 되었고 그 후 민원처리법과 전자정부법에 도입되고, 계속하여 개인정보에 관한 일반법인 개인정보보호법에 이에 관한 규정을 신설함으로써 이에 관한 체계적 법규제 시스템을 갖추게 되었다.

Ⅱ. 개인정보이동권 제도의 도입 경위

1. 입법경위

개인정보이동권 제도화는 2020년 12월 23일 개인정보보호위원회가 디지털 환경의 변화에 따라 국민의 정보주권을 강화하기 위한 목적으로 개인정보이동권의 도입을 의결한 이후 지속적으로 추진되었다. 개인정보보호위원회는 이 발표 이후 2021년 1월 6일 개인정보이동권 및 전문기관이 포함된 개인정보보호법을 입법 예고하였고 약 2년간의 논의 끝에 개정 개인정보보호법이 입법화되면서 제도화 되었다.

이에 앞서 2019년부터 마이데이터 시범사업이 실행되었다. 개인의 동의를 받아 개인데이터를 활용하는 새로운 서비스 모델 발굴 및 실증사업 지원을 목적으로 하는 정부사업으로 매년 사업자를 선정하여 지원하였다. 서비스 분야는 의료, 금융, 통신, 에너지, 유통, 기타 등으로 개인 일상과 밀접한 분야로 한정하였으며, 이종 분야 간 서비스도 허용하였다. 이중에서 국내 마이데이터는 금융분야에서 가장 먼저 실행단계 논의로 진전되었다. 2018년 7월 금융위원회는 「금융 분야 마이데이터 산업 도입방안」 을 발표하고, 「본인신용정보관리업」 으로서의 금융 분야 마이데이터 산업 추진을 공표하였으며, 이것을 실현하기 위한 법적 근거를 마련하기 위해서 2018년 11월 신용정보법 개정안에 「개인신용정보 전송요구권」 을 신설하는 내용을 규정하게 되었다. 그 후 이 법안은 데이터 3법 개정으로 최종적으로 확정되고, 신용정보법 상 개인정보 전송권이 규정되게 되었다.2)

종래 공공분야에서는 행정기관 보유기관 동의에 기반한 「행정정보 공동이용제도」 를 통해 자기정보를 민원처리 등에 활용해 왔다. 2019년 관계부처 합동으로 발표한 「디지털 정부혁신 추진계획」 에서는 공공부분 마이데이터를 활성화를 위한 자기정보 활용을 위한 제도개선, 공공부문 자기정보 다운로드 서비스를 위한 「마이데이터 포털 구축」등의 내용이 포함되었다. 이러한 과정을 거쳐, 행정기관 간 민원처리에서 민원인 본인정보를 활용하기 위한 근거를 마련하기 위해서 민원처리법이 2020년 10월에 개정되었고 그 후 2021년 10월 21일 시행되었다. 또한 행정기관 등이 보유한 개인정보를 민간을 포함하는 제3자 전송을 위해 전자정부법이 2021년 6월에 개정되어 2021년 12월 9일에 시행되었다.3)

2. 개인정보이동권의 주요입법례
1) 유럽의 GDPR

유럽의 경우 정보주체의 권리로서 데이터 이동권을 GDPR 제20조에서 규정하고 있다. 이와 함께 금융분야에 있어서 마이데이터 사업에 대한 법적 근거는 PSD24)에서 별도로 규정하고 있다. GDPR 제20조는 데이터이동권을 정보주체가 정보처리자(Controller)에게 제공한 본인 개인정보를 체계적이고 통용되며 기계판독이 가능한 형태로 수령하거나 정보처리자의 방해 없이 다른 정보처리자에게 당해 정보를 직접 이전할 수 있는 권리라고 규정한다.5) 정보처리자에게 제공한 개인정보의 범위에 관하여 회원가입 등의 절차에서 정보주체가 정보처리자에게 제공한(또는 입력한) 계정데이터 정보 이외에 정보주체의 활동에 관한 정보도 포함된다고 해석되고 있다. 정보처리자에게 제공한 개인정보의 범위에 관하여 회원가입 등의 절차에서 정보주체가 정보처리자에게 제공한(또는 입력한) 계정데이터 정보 이외에 정보주체의 활동에 관한 정보도 포함된다고 해석되고 있다. 동 규정에 따르면 데이터이동권은 첫째, 정보주체의 동의에 근거하거나, 둘째, 특정 범주의 개인정보인 경우 반드시 명백한 동의에 근거하거나 셋째, 정보주체가 당사자인 계약의 이행 또는 계약 체결 전 정보주체의 요청에 따른 경우에, 자동화된 기기를 통해 수행되는 경우에 행사할 수 있다. 다만 이 권리는 GDPR 제17조에 규정된 삭제권(Right to erasure)을 침해하지 않는 범위에서 행사되어야 하며, 공익상 업무를 수행하기 위하여 혹은 정보처리자에게 부여된 공식 권한의 행사를 위하여 필요한 처리는 배제된다.

유럽데이터 보호위원회(European Data Protection Board)의 전신인 Working Party 29은 데이터이동권에 관한 가이드라인(Guidelines on the right to data portability)을 2017년 4월 5일 발표하여 권리실현을 위한 구체적인 이행 지침을 마련하였다. 동 가이드라인은 데이터이동권의 핵심요소, 이동권이 적용되는 상항, 정보주체의 이동성 통제를 위한 일반원칙, 이동권 보장을 위해 제공되는 정보의 유형 및 방법 등에 대해 권고사항을 제시하고 있다. 특히 가이드라인은 개인데이터를 수령할 권리, 정보처리자가 다른 정보처리자에게 이전시킬 권리, 통제권, 데이터 이동과 정보주체의 권리와 관계를 데이터이동권의 핵심으로 규정하고 있다.6)

2) 미국 캘리포니아주 CCPA(California Consumer Privacy Act)

미국의 경우 연방법 차원에서는 금융 분야, 아동 개인정보 처리규제 등 특수한 영역의 개인정보처리에 관하여 규율하고 있지만, 우리 나라의 개인정보보호법과 같은 일반법은 존재하지 않는다. 일반적인 개인정보 처리에 관한 사항은 각 주별로 주법에서 규율을 하고 있다. 그 중에서 캘리포니아주에서 개인정보 일반을 규율하는 CCPA가 2018년 제정되었다. 그 후 2020년 소비자 권리와 기업의무를 강화하는 내용을 대거 포함한 개정이 행하여지고, 2023년부터 시행되고 있다. 이 법은 정보주체의 권리와 관계하여 소비자의 개인정보 공개요구권(Right to close)과 접근요구권(Right to access)을 규정하고 있다.7)

소비자는 개인정보 수집 사업자에게 수집대상 정보의 범주, 출처, 개인정보를 수집 및 판매하는 사업상·상업상 목적, 공유 가능한 제3자의 범위, 대상정보의 구체적인 항목 등의 공개를 요구할 수 있다. 그리고 개인정보를 판매하는 사업자에게 수집 및 판매한 개인정보의 범주, 이를 구매한 제3자의 범위, 사업상 목적 하에 공개한 개인정보의 항목 및 범주 등의 공개를 요구할 수 있다.8)

소비자는 공개요구에서 나아가 본인 정보에 대한 접근을 요구할 권리를 가진다.9) 이것은 소비자 본인에게 개인정보의 사본을 요구하거나 소비자가 지정한 제3자에게 정보를 이전하는 형태로 행사할 수 있다. 개인정보에 대한 접근요구권은 데이터이동권과 유사한 점이 있다. 다만 CCPA 상의 정보접근요구권은 정보의 본인에게로 환수요구만을 인정하고 있고, 정보이전에 대해서는 명시하고 있지 아니하는 점에서 GDPR의 데이터 이동권의 일부 권원만을 부여한 것으로 보인다.10)

Ⅲ. 정보주체의 개인정보이동권의 법적 근거

1. 정보주체의 개인정보자기결정권과 개인정보이동권
1) 개인정보자기결정권의 강화 내지 확장으로서 개인정보이동권

개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다. 개인정보자기결정권은 정보주체가 개인정보의 내용을 스스로 형성한다는 의미라기보다는 자신에 관한 사항을 남에게 알릴지 말지, 알린다면 어떤 사람에게 어느 정도로 알릴 것인지 등에 관하여 스스로 결정한다는 개념이다. 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단 등을 요구함으로써 자신에 관한 정보를 통제할 수 있는 권리를 의미한다.11) 이것은 단순히 개인정보에 대한 타인의 접근이나 활용을 차단하는데 그치는 것이 아니라 경우에 따라서는 일정한 범위의 사람들에게 접근하거나 활용할 수 있도록 권리를 부여하는 측면도 내포한다. 즉 타인에 의한 개인의 개인정보의 취급을 억제하는 이외에도 개인이 자신에 관한 정보의 유통을 적극적으로 형성하고 조절한다는 측면에서 이해될 수 있는 것이다. 이러한 점에서 개인정보의 자기결정권은 소극적 성격뿐만 아니라 적극적 성격도 동시에 가진다고 할 수 있다. 가령 개인정보의 수집, 축적, 보관, 제공 등에 대한 거부는 개인정보자기결정권의 소극적 측면이라고 할 수 있다. 반면에 개인정보의 수집·이용에 대한 동의, 열람, 또는 정정·삭제의 청구 또는 개인정보의 자발적 공개나 제공 등은 개인정보자기결정권의 적극적 측면이라고 할 수 있다.12)

컴퓨터의 등장과 보급으로 개인정보를 대량으로 수집하여 보관하다 용도에 맞게 처리할 수 있게 되면서 새로운 법률문제가 발생하였고, 이를 해결하기 위하여 도입된 개념이 개인정보자기결정권이다. 개인정보자기결정권의 법적 성격에 대하여 여러 가지 논란이 있다, 독일 등 유럽에서는 개인정보의 수집, 보관 및 이용을 개인의 인격권 보호의 관점에서 접근하고 있는데 반하여, 미국에서는 개인정보를 재산권의 대상으로 이해하는 견해가 유력하다. 개인정보자기결정권의 헌법적 근거에 관하여 여러 가지 견해가 있으나 헌법재판소는 독립한 기본권으로 이해한다.13)

개인정보자기결정권의 헌법적 근거에 대하여 헌법재판소는 다음과 같이 설시하고 있다. 즉, 「인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다」고 하였다 그리고 개인정보자기결정권의 대상에 관하여 「개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다」 고 하였다.14)

개인정보자기결정권은 주관적 공권으로서 다른 기본권과 마찬가지로 공권력에 대하여 직접 효력을 미친다. 이는 개인정보자기결정권의 보장에 대한 요청이 행정권·입법권·사법권 등에 대하여 직접적인 구속력을 가진다는 것을 의미한다. 헌법상 보장되는 개인정보자기결정권에 기하여 개인은 자신의 개인정보에 대한 통제를 방해하거나 불가능하게 하는 공권력의 행사에 대하여 일정한 작위 또는 부작위를 청구할 수 있다고 해야 할 것이다. 이것은 부당한 개인정보의 수집·보유·제공의 거부, 자신의 개인정보에 대한 열람요구, 사실과 다른 개인정보의 정정요구, 더 이상 불필요하게 된 개인정보의 삭제요구 등으로 나타날 수 있다. 15)

개인정보자기결정권은 개인정보보호법이 지향하는 목적을 달성하기 위한 중요한 개념이지만 무한하게 인정되는 것은 아니며, 공익을 위하여 제한되는 것은 당연한 전제라고 볼 수 있다. 개인정보보호법의 개정의 적절성은 사적 영역의 이익과 공적 영역의 이익을 비교형량하여 통합적 측면에서 평가하는 것이 필요하다.

주관적 공권으로서 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 인정하고 있다.

이러한 여러 권리에 추가하여 새롭게 인정된 권리가 개인정보권 이동권이다. 개인정보전송요구권의 도입은 정보주체에게 자신의 정보에 관한 흐름을 파악하고 이동대상을 선택할 수 있도록 하고 있다. 이것은 개인정보자기결정권의 심화 확대의 한 형태로서 긍정적 평가가 가능하다. 다만, 무분별한 데이터 전송으로 정보처리자와 소비자 사이에 혼란을 초래하고 시간, 비용 등이 가중되지 않도록 데이터 표준화, 안전조치 등 사회적 인프라를 우선적으로 갖추어야 할 필요가 있는 것 같다.

2) 정보주체의 동의권·열람권과 개인정보이동권

정보주체는 자신에 관한 정보를 자발적으로 타인에게 알리거나 이용하게 할 수 있고, 자신이 원할 경우 그 정보에 대한 타인의 접근이나 이용을 제한할 수 있다. 동의는 정보주체 스스로 개인정보의 자기관리, 통제권을 제한하거나 일부 포기하는 것이라 할 수 있으며, 또 다른 측면에서는 개인정보 수집·이용을 정당화할 수 있는 가장 근본적인 근거라 할 것이므로 개인정보 수집·이용에 있어 가장 핵심적인 것이라 할 수 있다. 정보주체는 자신에 관한 정보에 대한 처분권을 가지고 있는데. 이러한 정보주체의 권능은 일차적으로 개인정보 처리에 대한 동의권으로 발현된다.16)

그리고 개인정보보호법은 정보주체가 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 개인정보처리자에게 요구할 수 있도록 규정하고 있다.17) 이 규정은 정보주체가 그 자신에 관한 어떠한 개인정보를 개인정보처리자가 어떻게 활용하고 있으며, 동 정보가 정확한지 여부 등을 확인하도록 하기 위한 것으로써 이러한 개인정보열람권은 개인정보자기결정권의 전제조건으로 이해된다. 열람청구권은 정보주체로 하여금 자신에 관한 정보가 어떤 내용으로 기록·보유되고 있는지, 어떠한 목적을 위해 이용되고 있는지, 그 관리상의 안전상태는 어떠한지 등에 대해 확인할 수 있게 한다. 이를 위해 정보주체의 요청이 있는 경우 개인정보처리자는 그 정보의 내용이나 안전성에 대해 충분한 설명을 해주어야 한다. 이러한 요청이 거부된 경우에는 그 이유를 제시하도록 하고, 나아가 그러한 거부에 대하여 이의를 제기할 수 있는 권리도 보장되어야 할 것이다. 그리고 이러한 열람청구권은 가급적 저렴한 비용으로 용이하게 행사될 수 있어야 한다.18)

이러한 종래에 동의권과 열람권에 의거하여 개인정보의 활용을 의도할 경우에도 개인정보 보호를 넘어 부분적인 데이터 활용이 가능하였다. 개인정보이동권이 도입되기 이전에 열람권에 기초하여 정보주체는 정보처리자에 대해서 본인정보를 열람할 것을 요구하는 형태로 다운로드권이 인정될 수 있었고, 제3자에게 정보를 전송하는 것도 정보주체의 동의를 얻어 정보처리자가 제3자에게 전송하는 형태로 가능하였다. 그러나 이러한 제도운용은 개인정보의 보호에 중점을 둔 것으로, 특히 제3자에 대한 개인정보이동에는 많은 시간과 비용이 요구되었고 제도상 어려움도 존재하였다, 이러한 점을 감안하여 개인정보이동권이 법제화되었고 이를 통하여 데이터의 적극적 활용, 더 나아가 데이터 산업의 육성과 경쟁 촉진이 가능하게 되었다고 평가할 수 있다.

2. 데이터 오너십과 개인정보이동권

개인정보자기결정권은 개인정보가 그 정보주체의 인격의 자유로운 발현과 프라이버시에 미칠 악영향을 고려하여 정보주체에게 준 통제권으로서 인격권에 중점을 둔 입장인 반면에, 데이터 오너십은 데이터를 재산권으로 파악할 수 있는가 여부에 전제하여 중점을 둔 개념이다. 만약 해석상 현행법상 규정된 재산권의 일종으로 데이터 오너십을 긍정할 수 있다면 이 권리로부터 개인정보이동권의 도출가능성도 검토될 수 있을 것이다.

많은 경우, 개인들이 통신, 금융, 포털, 쇼핑몰, SNS 등 기업체의 서비스에 가입하고 이용하기를 원한다면 성명, 주소, 전화번호 등 개인정보 데이터를 제공해야 한다. 그리고 고객들은 서비스유형에 따라 글, 댓글, 클릭 등을 통해 사생활, 위치, 취향, 인적관계, 창작물, 의견 등 다양한 데이터를 생성한다. 만약 데이터가 물건에 해당한다고 보면 당해 데이터에 대해서 소유권이나 그 밖의 물권이 성립할 수도 있다.

우리 나라의 경우 민법상 소유권의 대상은 물건으로 제한되어 있다. 이러한 물건에는 유체물 뿐만 아니라 전기 기타 관리할 수 있는 자연력도 포함된다. 전기 기타 관리할 수 있는 자연력을 물건으로 파악하는 것은 다른 나라에서는 흔하지 않은 접근이다. 이것은 지난 세기 초반 전기가 중요한 자산으로 대두하였을 때 권리자를 보호하기 위하여 둔 규정인데, 실제로는 별 의미가 없었다. 전선으로 통하는 전기에 대해서 소유권이나 각종 제한물권을 관념하여 보호하기는 것이 쉽지 않았고 이미 침해가 이루어지면 손해배상을 받으면 충분한데, 손해배상을 청구하기 위하여 소유권이 전제되어야 하는 것도 아니기 때문이다.19)

최근 데이터의 중요성이 강조되면서 이 규정을 활용하여 데이터 오너십을 인정할 가능성이 논의되었다. 그러나 결론적으로 이 규정을 활용하여 데이터 오너십을 인정할 수 없다는 것이 일반적인 이해이다. 데이터는 경제학에서 공유재의 속성으로 파악하는 비배재적, 비경합적 성질이 있기 때문이다. 유체물에 해당하는 물건은 법에서 개인이 소유할 수 없는 것으로 따로 정한 유체물이 아닌 한 당연히 소유권의 대상이 되거나 용익물권이나 담보물권 등의 제한물권의 대상이 된다. 어떤 유체물이 어느 한 곳에 존재하면, 그와 동시에 다른 곳에 존재할 수 없다. 그 유체물을 점유하면 다른 사람이 동시에 그 유체물을 점유할 수 없다. 유체물에 배타적 재산권이 없어도 유체물은 누군가가 사실상 배타적으로 지배하기 쉬운 것이다. 그러므로 차라리 그 사람에게 배타적 재산권을 부여하는 것이 더 효과적이다. 민법상 유체물에 대한 소유권이 이러한 이유에서 인정된 것이라면 「전기 기타 관리할 수 있는 자연력」 도 비슷한 조건을 충족하는 경우에 인정되어야 한다. 그러므로 관리할 수 있다는 것은 배타적으로 지배할 수 있음을, 즉 경합성, 배제성 및 독자적 존립가능성이 있음을 의미한다. 경합성과 배재성은 각각 한 사람이 이용하면 다른 사람의 동시 이용이 필연적으로 배제되고, 한 사람이 다른 사람의 이용을 배제할 수 있어야 한다는 뜻이고, 독자적 존립가능성은 그 대상이 어느 누구의 의사나 협력에 의하여 존재하는 것이 아니라 그 자체 독자적으로 존재한다는 뜻이다.

이에 반하여 데이터에는 이러한 성질이 없다. 디지털 데이터는 코드를 가리킴으로 데이터 오너십도 코드 자체의 보호를 의미할 수 밖에 없다. 디지털 코드의 중요한 특징 중의 하나는 손상없이 복재할 수 있다는 점이다. 같은 데이터를 여러 사람이 동시에 사용할 수 있다. 일단 복제가 이루어지면 누군가가 다른 사람의 동시 사용을 배제하기는 어렵다. 데이터 중에는 내 것이라 하더라도 클라우드에 저장된 경우와 같이 다른 누군가의 서비스의 계속에 그 존속이 달려 있는 것도 있다. 일반적으로 데이터는 유체물에 준하는 성질을 가지지 아니한다. 데이터는 적어도 민법상 소유권의 대상이 되지 못한다.20)

데이터가 지적재산권의 보호대상이 되는가 여부도 검토가 필요하다. 경제적 가치가 있는 모든 무형의 자산이 반드시 재산권의 보호대상은 아니다. 경합성과 배제성이 없는 지식과 정보는 누군가가 만든 것이라 하더라도 원칙적으로 자유롭게 공유할 수 있는 공유재이다. 이러한 공유가 인류의 발전과 진보를 가능하게 한다. 우리가 하는 모든 말과 행동은 정보를 생산하며 우리의 상호작용은 정보의 교환을 수반한다. 누군가가 만든 정보라도 그 사람에게 그 정보를 혼자 이용하게 해준다면 표현의 자유도, 알 권리도, 사회생활도 불가능할 것이다. 그러나 정보의 생산에 상당한 노력과 비용투입을 하였음에도 불구하고 그 정보가 비경합적이고, 비배제적이어서 누구나 자유롭게 사용하는 것을 승인한다면, 정보 생산를 위한 투자를 포기하거나 당해 정보를 비밀로 유지할 가능성이 존재한다. 지적재산권은 이러한 경우에 당해 권리를 보호하기 위해서 개별적으로 도입된 제도이다.

그러나 개별 데이터가 상당한 노력과 비용투입의 결과인 경우는 드물다. 데이터가 되기 위해서는 정보를 코딩하여야 하나 그러한 코딩에는 어떤 창작성도 어떤 고도의 비용도 소요되지 아니하는 경우가 대부분이다. 그러므로 데이터가 현행 지적재산권법이 보호하는 개별 지적재산권 중 어느 하나에 해당하는 경우는 극히 드물다. 데이터가 정형데이터이고, 동종 데이터가 상당량 모이면 데이터베이스로 보호될 수 있으나 이는 개개의 데이터보호와 차이가 있다. 그 외에 데이터 일반에 대해서 인정될 수 있는 지적재산권은 거의 생각할 수 없는 것 같다.21)

데이터 오너십은 일반적으로 도입하려는 시도는 무엇보다도 데이터가 본질상 비경합적, 비배타적이라는 점에 부딪혀 좌절되었다. 비경합적, 비배타적인 정보에 배타적 재산권을 설정하는 것은 어디까지나 예외이고 그럴만한 이유가 있어야 하는데 데이터 일반은 그러한 요건을 충족하지 못하였던 것이다. 그런데 최근 블록체인의 기술 발전으로 경합성, 배재성, 독립적 존립성이 확보된 데이터가 나타났다. 특히 블록체인상의 비대체적 토큰(Non Fungible Token)의 경우 각 토큰에 특정성이 있고 동시에 한 토큰의 권리자로 한 사람이 존재할 수 있을 뿐이어서 유체물이 아닐 뿐 물건과 비슷한 성질을 갖고 있다. 이러한 기술 발전은 재산권의 대상으로서 물건 개념의 변화를 가져올 수 있다.22)

개인정보이동권은 인격권적 요소와 재산법적 요소를 함께 가진다고 보여 진다. 그러나 기존의 재산권과 관련된 법제에 이것을 포섭하기 어렵워 보인다. 이와 관련된 영역에서 데이터가 가지는 재산법적 성격을 반영할 수 있는 제도와 이론의 발전을 기대한다.

Ⅳ. 개인정보 이동권 법제화의 제도적 의의

1. 개인정보자기결정권을 강화와 정보비대칭성 해소

첫째, 개인정보이동권은 우리 헌법 해석상 인정된 개인정보자기결정권을 강화한다. 이를 통하여 정보주체와 정보처리자의 힘의 균형을 재조정하여 개인정보의 활용체계를 기업위주에서 정보주체중심으로 개편할 수 있다. 종래 개인정보 이동은 기업이 정보주체로부터 제3자에 대한 동의를 취득하여 활용하거나 개인정보처리자가 비식별처리를 거쳐 직접 이용하거나 제3자에게 제공하는 것이 일반적이었다. 이에 비하여 개인정보이동권의 제도화는 데이터 활용체계 전반에서 정보주체 스스로가 데이터를 적극적으로 통제·관리하여 능동적인 주체로 역할할 수 있도록 하게 되었다. 개인정보이동권은 정보주체가 개인정보 제공에 대한 소극적인 동의를 하는데 그치는 종래 제도의 한계를 넘어서 개인정보자기결정권의 패러다임을 정보주체의 통제권 관념을 강화하는 방향으로 전환시킨다.

둘째, 종래 통상적인 디지털 서비스는 각 수집 주체별로 개인정보가 분산되어 있을 뿐만 아니라 정보파악을 위한 통합적인 접근시스템이 부재하였다. 이것은 전체 상품가격이나 조건을 명확히 비교하기 어렵게 하였고 데이터 활용에 상당한 제약이 존재하였다. 그러나 개인정보이동권의 도입을 통한 마이데이터 서비스는 데이터를 관리할 수 있는 다양한 도구를 제공함으로써 투명한 관리가 가능한 상태에서 정보주체의 자유로운 선택을 보장한다. 이에 따라 마이데이터 서비스를 통해 정보비대칭성을 해소하고, 보다 최적화되고 차별화된 상품의 추천으로 소비자의 효용과 편익이 증대된다.

데이터 활용기반의 수익구조에서 배제되던 개인에게도 일정한 이익이 환수될 수 있는 기회를 제공함에 따라 데이터 경제의 주체로서 역할 제고에 기여할 것이다. 즉, 기존에는 데이터 활용에 따른 이익을 기업이 독점하였으나 마이데이터 서비스 도입은 본인 정보활용에 따른 편익과 인센티브를 정보주체도 향유할 수 있는 구조로 변화하게 하고 있다.23)

2. 데이터 산업의 육성과 경쟁촉진

첫째, 개인정보이동권은 경제적 측면에서 데이터 전송비용 절감과 다른 출처의 데이터의 결합 가능성을 제공한다. 개인정보이동권의 주요 효과는 고객기반이 확립되지 않은 신규 또는 기존조직이 더 낮은 비용으로 데이터를 획득할 수 있어 데이터 시장의 진입장벽을 낮추게 하는 효과를 기대할 수 있다 그리고 잠재적으로 전환비용을 크게 낮추어 소비자가 서비스 제공업체를 쉽게 변경할 수 있다. 즉 디지털 플랫폼 간의 전환을 촉진하여 시장 지배적 기업의 독점력을 완화하는 기능을 한다. 새로운 서비스 제공자가 고객의 과거 거래 데이터에 접근하는 즉시 더 많은 개인화된 서비스와 연계할 수 있어 경쟁적인 제안을 통해 업체를 변경할 만한 원동력을 얻을 수 있다. 이처럼 개인정보이동권의 도입은 동종 업체 간 경쟁을 유발함으로써 서비스 혁신을 통해 소비자 이익을 배가시키며, 특정 대규모 플랫폼에 집중하여 있는 고착화 현상을 약화시킴으로써 기업간 경쟁을 촉진할 것이다.

둘째, 특정 조직과 산업계 전반에 걸쳐 새로운 방식으로 데이터를 결합함으로써 얻는 데이터 혁신을 전략적으로 촉진할 것이다. 개인정보 이동권의 도입은 새로운 비즈니스 모델 및 데이터 흐름과 접근 용이성을 향상시켜 혁신적인 서비스를 창출하는 효과가 있다. 특히 정보주체가 그들이 제공한 정보를 얻거나 재사용하는 것뿐만 아니라 동일한 사업부분 내 다른 서비스 제공업체에게 자유롭게 전송할 수 있는 기회를 부여한다. 이것은 디지털 공간에 집적된 유휴 정보를 빅데이터 분석, AI 등에 유용하게 활용할 수 있어 서비스 제공에 유익할 것이다. 아울러 서비스 증진과 이용자 경험을 확장시켜 주어 소비자에게도 편익을 확장한다.24)

셋째, 경쟁법적 차원에서도 개인정보 이동권의 도입은 긍정적 평가가 가능하다. 데이터는 기본적으로 비경합적 또는 비배제성의 특징을 가지므로 특정을 가지므로 특정 기업이 데이터를 독점하고 있다고 해서 또 다른 기업이 그와 유사한 지배력을 확보하는 것이 불가능하지 않다. 따라서 경쟁정책 관점에서 독점적 플랫폼 사업자에게 데이터 이동을 강제하는 것은 무리가 있다. 그러나 통상의 데이터 활용환경에서 데이터를 주고받을 기업 상호간의 관계에 따라 데이터 이동이 갖는 의미가 다를 수 있다. 예를 들면 두 기업이 대체 관계라면 데이터 이동에 비협조적일 것이고, 보완관계이 있다면 협조적일 가능성이 크다. 데이터 이동의 권리화는 이처럼 독과점 기업의 비협조로 인해 공정경쟁을 해치는 것을 방지하는 법적 근거로 기능할 수 있다.

3. 데이터의 현지화촉진

개인정보 이동권의 제도화를 통한 데이터 자유이동성의 제고는 데이터 현지화를 촉진하는 기능이 있다. 그 이유는 데이터 이동성의 확대는 유동성의 증진으로 이어지므로 막대한 비용을 지급하고 해외로 이전을 장려하기 어렵다. 예를 들어 개인정보 이동권의 제도화로 인해 데이터 서버와 클라우드 서비스 등 저장공간의 용량이 크게 증가할 것이다. 이 때문에 국가차원에서 현지화를 시도하는 판단이 증가할 것으로 보인다.25)

Ⅴ. 현행법상 개인정보이동권의 법적 규제

1. 개인정보보호법상 개인정보 전송요구권
1) 제도도입배경

개인정보전송요구권의 도입에는 몇 가지 측면에서 제약 요인들이 있기 때문에 전면적이고 일반적인 개인정보 전송요구권을 도입하는 것보다 우선적으로 금융분야와 의료분야에 도입하고 다른 분야는 점진적으로 도입하는 것이 바람직하다는 의견이 있었다. 그러나 개인정보 전송요구권의 전면적인 도입에 대한 필요성이 강하게 제기되어 개인정보보호법에 도입되게 되었다.26) 데이터의 생산, 거래 및 활용촉진에 관하여 필요한 사항을 정함으로써 데이터로부터 경제적 가치를 창출하고, 데이터산업 발전의 기반을 조성하여 국민생활 향상과 국민경제 발전에 이바지함을 목적으로 하는 데이터산업법이 추진되면서 개인정보 전송요구권을 담으려는 시도가 있었다. 그러나 개인정보 전송요구권은 데이터 활용이라는 효과를 개인정보자기결정권의 실질적인 확보를 통해서 실현하고자 하는 정보주체의 권리를 규정한 것이므로 개인정보보호의 일반법인 개인정보 보호법에 규정하는 것이 타당하다는 견해가 받아들여져 개인정보보호법에 일반적 개인정보전송권이 규정되게 되었다. 27)

데이터산업법에는 당초 논의에 포함되어 있었던 개인정보 전송요구권과 마이데이터 산업에 대한 규정 대신 정부에게 데이터 이동의 촉진을 위한 제도적 기반을 구축하도록 노력할 것을 요구하는 규정이 마련되어 있다. 28)

개인정보 보호법은 동법 제1조에서 규정하고 있는 바와 같이 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하고 있어 개인정보보호에 중점이 있다. 이점을 고려하면 개인정보 전송요구권에 대한 시각을 개인정보에 대한 정보주체의 통제권확보와 개인정보의 유통 및 활성화 중 어느 한쪽의 측면만 강조하는 것은 타당하지 않은 것 같다. 데이터산업법의 마이데이터 사업에 대한 비판이 제기되는 이유도 역시 같은 맥락일 것이다. 데이터의 이용이나 활용으로 인한 가치에 대한 아무런 언급이 없는 개인정보보호법의 목적 조항도 같은 이유에서 비판받을 수 있다. 개인정보보호법제는 개인정보자기결정권의 적극적 실현과 데이터활용의 가치실현, 이 두 개의 목적의 달성을 위한 것이 되어야 하고, 이 두 개의 목표는 결코 모순되는 것이 아니기 때문이다.

2) 전송대상정보

개인정보 전송요구권의 대상이 되는 정보는 다음의 요건을 갖추어야 한다.

첫째, 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보에 해당하여야 한다. 이에 해당하지 않는 정보는 전송요구권의 대상이 되지 않는다.

둘째, 개인정보 처리능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 처리하는 개인정보 중 컴퓨터 등 정보처리장치로 처리되는 개인정보로서 다음 중 어느 하나에는 해당하여야 한다. 즉, ① 개인정보 보호법 제15조 제1항 제1호에 따라 정보주체의 동의를 받아 수집된 일반 개인정보와 개인정보 보호법 제2조 제1항 제1호, 제24조 제1항 제1호에 따라 별도의 동의를 받아 수집된 민감정보 및 고유식별정보, ② 개인정보 보호법 제15조 제1항 제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보, ③ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 또는 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우에 해당하여 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의·의결하여 전송요구의 대상으로 지정한 개인정보 등이다.29)

셋째, 이들 요건을 갖춘 정보에 해당한다고 하더라도, 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생성한 정보인 경우에는 대상에서 제외된다.30) 이것은 정보주체의 이익과 개인정보처리자의 이익의 적절한 균형을 확보하기 위한 것이다. 개인정보 전송요구권의 취지와 도입 경위를 고려할 때, GDPR에서 데이터 이동권 대상으로 규정하고 있는 정보주체가 직접 제공한 정보, 정보주체가 개인정보처리자의 서비스를 이용하면서 발생한 이용기록 등의 정보는 개인정보에 포함된다고 해석된다. 개정 개인정보보호법에 따르면 별도의 동의를 받은 경우에는 일반개인정보 뿐만 아니라 민감정보와 고유식별정보도 전송요구의 대상에 포함되는 것으로 명시하고 있다. 이것은 데이터 이용 측면에서 민감정보와 고유식별정보가 갖는 가치가 높기 때문에 마이데이터의 이용활성화를 위한 측면에서 고려된 것이다. 다만 전송요구가 정보주체의 의사에 기반을 두고 있는 것에 정당성을 두고 있더라도 대리인에 의하여 전송요구가 이루어질 수 있기 때문에, 경우에 따라서는 의도하지 않게 민감정보나 고유식별정보가 제3자에게 전송되어 정보주체의 프라이버시를 침해하게 될 우려가 제기될 수도 있다. 주민등록번호는 개인정보 보호법 제24조의 2 제1항에 규정된 예외사유에 해당하는 경우 이외에는 정보주체의 동의가 있어도 처리가 제한되는 엄격한 규율을 받고 있으므로 개인정보 전송요구권의 대상에서 제외된다.

3) 전송상대방

개인정보보호법은 정보주체 본인에게로의 개인정보전송과 정보주체 이외의 제3자에 대한 전송을 구분하여 규정하고 있다. 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 개인정보를 자신에게로 전송할 것을 요구할 수 있다. 이와 함께 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 동법 제35조의3 제1항에 따른 개인정보관리 전문기관이나 동법 29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있다.31)

정보주체 본인에 대한 전송요구는 종래 개정 전 개인정보보호법상 인정되고 있던 정보주체의 열람요구권의 강화된 형태로도 이해할 수 있다. 정보주체는 개인정보처리자에게 그가 처리하는 자신의 개인정보에 대한 열람을 요구할 수 있는데, 열람에는 당해 정보를 확인하는 것 외에 사본을 발급하는 것도 포함되고, 개인정보처리자가 열람요구 방법과 절차를 마련하는 경우에는 당해 개인정보의 수집방법과 절차에 비하여 어렵지 않도록 전자우편, 인터넷 등을 포함한 정보주체가 쉽게 활용할 수 있는 방법으로 제공하고 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 규정하고 있다.32)

이 규정에 따르면 컴퓨터 등 정보처리장치로 처리되는 디지털화된 개인정보의 다운로드나 인터넷 등을 통한 전송도 열람요구권에 근거하여 요구할 수 있는 것으로 해석할 수 있다. 다만, 디지털화된 개인정보의 경우에도 인터넷 등을 통한 전송방식이 강제되는 것이 아니라 당해 개인정보의 수집방법과 절차에 비하여 어렵지 아니하게 하는 한 서면 등 다른 방법과 함께 선택적으로 채택할 수 있는 것인데 반하여, 전송요구에 따른 전송의 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 당해 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다고 규정하고 있다.33) 다른 측면에서는 정보주체가 전송받은 개인정보를 자신의 컴퓨터로 처리하거나 다른 개인정보처리자에게 전송하게 하는 것을 전제로 하는 것이어서 기존의 열람권의 형태에 약간의 제한을 가한 것이라고 볼 수 있다.

제3자에 대한 전송요구를 인정하는 것은 본격적인 전송요구권의 도입을 의미하는 바, 정보주체 주도의 데이터 유통 생태계를 도모하는 마이데이터가 갖는 또 하나의 함의, 즉 일부 플랫폼기업으로 데이터가 집중하는 독점현상을 완화하고 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반을 마련한다는 측면에서 살펴볼 필요가 있다. 이를 위해서는 전송 중에 발생할 수 있는 해킹 등의 보안 이슈가 더 중요성을 갖게 될 뿐만 아니라 표준화 된 API 규격의 마련과 전송 인프라의 구비 등 관련 당사자들의 기술적, 경제적 능력이 중요한 고려사항이 될 수밖에 없다. 나아가 과금 등 전송에 관여하는 개인정보처리자들 사이의 비용부담이나 이해관계의 해결이 필요하고, 중계기관의 지원이나 관련 부처의 감독 등 추가적인 제도 마련이 필요하다.

추후 시행령 개정으로 구체화 되겠지만 본인에 대한 전송요구와 제3자에 대한 전송요구를 별도로 규정하고 그 대상이 되는 개인정보처리자의 기준과 전송범위를 차별적으로 두고 있는 법의 체계는 적절하다고 평가된다. 정보주체에 대한 전송은 좀 더 완화된 기준을 적용하여 대상이 되는 개인정보의 범위를 확대하고 이를 정보주체가 주도적으로 다른 개인정보처리자에게 제공하는 형태로 데이터의 활용이 이루어지게 되면 개인정보처리자간의 직접적인 이해충돌을 피하면서 마이데이터 활용의 폭을 넓힐 수 있을 것이다. 신용정보법은 이와 달리 제33조의 2에서 개인신용정보의 전송요구를 규정하면서 제22조의 9에서 본인신용정보 관리회사에 대한 전송에 대해서 따로 규정하고 있는 것 외에는 신용정보주체 본인과 제3자에 대한 전송을 구분하지 않고 동일한 내용을 적용하고 있어 이로 인해 마이데이터 서비스의 효율적인 운용이 어렵다는 지적이 있다.

4) 전송체계

정보주체는 문서 등 대통령령으로 정하는 방법, 절차에 따라 대리인을 통해 전송요구를 할 수 있고, 만 14세 미만의 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 전송요구를 할 수 있다. 개인정보처리자는 정보주체가 전송요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 이 경우 전송요구의 방법과 절차는 당해 개인정보의 수집방법과 절차보다 어렵지 아니하도록 하여야 한다. 또한 개인정보처리자는 정보주체가 전송요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.34)

개인정보처리자는 개인정보의 전송요구를 받은 경우에는 개인정보의 전송요구를 받은 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다.35) 이때 국세기본법 제81조의13과 지방세기본법 제86조, 기타 그와 유사한 규정으로서 대통령령으로 정하는 법률의 규정에 따른 비밀유지의무는 적용되지 아니한다.36) 개인정보처리자는 정보주체의 본인여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 전송요구를 거절하거나 전송을 중단할 수 있다.37)

그 밖에 전송 요구의 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정한다.38) 구체적인 내용은 추후 시행령 등 하위법령에 의하여 구체화 되겠지만, 다양한 마이데이터 서비스가 이루어지기 위해서는 개인정보처리자 간에 원활한 데이터 전송이 이루어져야 하므로 데이터의 형식, 용어, 단위 등을 표준화하여 데이터 클린징, 구조분석 등의 추가적인 작업 없이 데이터의 구조를 바르게 이해하고 활용할 수 있도록 제도적 기술적 지원을 할 필요가 있다. 또한 마이데이터 전송이 API를 통해 이루어지는 경우 정보항목별로 API규격이 마련될 필요가 있는데, 특히 금융, 공공 등과의 마이데이터 전송시 상호운용성을 보장하기 위한 금융 및 공공분야의 API 작성기준과 정합성을 감안하여 작성하는 것이 바람직하다고 생각된다.

5) 타인의 권리나 정당한 이익의 침해금지

정보주체는 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하여서는 아니 된다.39) 개인정보 전송요구권은 정보주체에게 자신의 개인정보에 대한 강화된 통제권을 부여하였지만, 이를 보유하면서 데이터를 처리하고 활용하고 있던 개인정보처리자 입장에서는 반가운 소식이 아니다. 개인정보 전송요구권의 행사는 정보주체의 개인정보자기결정권과 정보처리자의 데이터에 대한 권리가 충돌하는 양상을 야기하므로 그 이해관계를 어떻게 조정할지가 문제된다. GDPR 역시 데이터 이동권은 다른 개인의 권리와 자유를 침해하지 않아야 한다고 규정하고 있다.40) 다른 개인의 권리와 자유로 생각할 수 있는 것은 개인정보처리자 또는 제3자의 저작권, 데이터베이스권, 영업비밀 등이다. 이 점은 데이터 이동권에 관한 Working Party 29 가이드라인도 같은 취지인 것으로 보인다. 다만 GDPR은 다른 개인의 권리와 자유를 침해하지 않아야 한다고만 규정하고 있고, 가이드라인도 두 권리가 충돌할 때 어떻게 해결할 것인지에 대해서는 명확하게 밝히지 않고 있어 이해관계의 조정문제는 아직 애매한 상태이다.

개인정보보호법 제38조 제3항은 개인정보처리자는 전송요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료를 청구할 수 있고 수수료 산정 시에는 전송을 위해 추가로 필요한 설비 등을 함께 고려하여 수수료를 산정할 수 있다고 규정하여 전송요구 시 비용을 부담시키고 있다. 다만 원칙적인 부담의무에도 불구하고 합리적인 수수료 등 적절한 과금 체계를 마련하는 데에는 상당한 진통이 있을 것 예상된다. 이에 대한 적절한 대비가 필요하다. 신용정보법에 따른 개인신용정보의 전송요구와 관련하여 금융당국은 마이데이터 과금 세부기준 마련과정에 어려움이 있는 것으로 알려져 있다.41)

2. 신용정보법상 개인정보이동권
1) 제도도입배경

개정 신용정보법은 제33조의 2에서 개인인 신용정보주체는 신용정보제공·이용자등에 대하여 그가 보유하고 있는 본인에 대한 개인신용정보를 당해 신용정보주체 본인과 본인 신용정보관리회사 및 일정 범위의 신용정보제공·이용자에게 전송하여 줄 것을 요구할 수 있는 것으로 규정하였다. 개인정보이동권이 제도적으로 도입되기 이전에 금융분야에서는 이미 핀테크 사업자를 중심으로 민간 주도의 마이데이터 서비스가 제공되고 있었다. 하지만 이것은 고객의 인증정보를 직접 보관하는 스크린 스크레이핑 방식을 기반으로 하고 있어 정보주체의 통제권이 보장되지 않았고 안정성·보안성도 부족한 한계가 있었다. 이를 해결하기 위하여 신용정보법상 개인정보이동권을 도입하는 과정에서 GDPR과 PSD2 등 외국의 유사사례들을 고려하고 정보주체의 개인정보 자기결정권을 극대화하는 방향으로 논의하여 신용정보법 상 개인정보이동권을 도입하여 이를 바탕으로 API에 기반한 마이데이터를 제도화하였다.42)

우리나라에서 마이데이터라는 용어가 처음 사용된 것은 2017년 7월 미래창조과학부(현재의 과학기술정보통신부)에서 K 마이데이터 사업을 추진한 것이 최초이다. 그 당시 미래창조과학부의 마이데이터 사업은 큰 결실을 보지 못하고 종료되었다. 그 후 2018년 7월 금융분야에서 본인신용관리업을 도입하겠다는 계획이 발표하면서 본인신용관리업을 지칭하는 용어로 마이데이터를 사용하였다. 이때부터 마이데이터라는 용어가 본격적으로 사용된 것 같다. 신용정보법 제12조43)에서는 본인신용정보관리업자로 허가 받지 않은 자가 「마이데이터(MyData)」 라는 용어를 상호 또는 명칭으로서 사용하는 것을 금지하고 있다. 금융분야에서 마이데이터 제도를 도입하고 육성하기 위해서 2020년 2월 4일 신용정보법의 개정을 통해 개인정보 전송요구권을 신설하고 한국형 마이데이터 제도라고 하는 본인신용관리업 등을 새롭게 법상 규정하게 되었다.44)

2) 전송대상정보

신용정보법은 신용정보주체가 전송을 요구할 수 있는 본인에 관한 개인신용정보의 범위는 다음의 사항을 모두 고려하여 대통령령으로 정하도록 규정하도록 하고 있다.

첫째, 전송요구대상정보가 컴퓨터 등 정보처리장치로 처리된 신용정보에 해당하여야 한다.

둘째, 전송요구대상정보는 해당 신용정보주체와 신용정보제공·이용자 등 사이에서 처리된 신용정보로서 다음 중 어느 하나에 해당하여야 한다. ① 신용정보제공·이용자등이 신용정보주체로부터 수집한 정보, ② 신용정보주체가 신용정보제공·이용자등에게 제공한 정보, ③ 신용정보주체와 신용정보제공·이용자등 간의 권리·의무 관계에서 생성된 정보 등이다. 셋째, 이러한 정보 중에서 신용정보제공·이용자 등이 개인신용정보를 기초로 별도로 생성하거나 가공한 신용정보에 해당하면, 전송요구대상정보에서 제외된다.45)

이상의 사항을 모두 고려하여 신용보호법 시행령 제28조의3 제6항에서 구체적으로 그 범위를 규정하고 있다.46) 이에 따르면 전송대상에 해당하는 정보는 ① 신용정보법 제2조 제9호의2 각 목에 따른 정보, ② 국세, 관세 및 지방세 납부정보. ③ 고용보험, 산업재해보상보험, 국민건강보험, 국민연금 및 공적연금에 관한 정보로서 보험료 납부 정보, ④ 신용정보법 시행령 제18조의6 제4항 제6호에 따른 전기통신사업자에 대한 통신료 납부정보, 소액결제정보 및 이와 유사한 정보로서 신용정보주체의 거래내역을 확인할 수 있는 정보 ⑤ 그 밖에 신용보호법 시행령 제28조의 3 제6항 제1호부터 제4호까지의 규정에 따른 정보와 유사하고 개인인 신용정보주체의 거래내역을 확인할 수 있는 정보로서 금융위원회가 정하여 고시하는 정보 등이다.

3) 전송상대방

개인인 신용정보주체는 신용정보제공·이용자등에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 본인 및 제3자에게 전송하여 줄 것을 요구할 수 있다. 이러한 개인 신용정보 전송요구의 대상자에는 ① 해당 신용정보주체 본인, ② 본인신용정보관리회사, ③ 대통령령으로 정하는 신용정보제공·이용자, ④ 개인신용평가회사」, ⑤ 그 밖에 신용정보법 제34조의 2 제1항 제1호부터 제4호까지의 규정에서 정한 자와 유사한 자로서 대통령령으로 정하는 자 등이 포함된다.

「본인신용정보관리업」 이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 신용정보법 제2조 9의2호 각 목에 규정된 신용정보의 전부 또는 일부를 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말하며,47) 「본인신용정보관리회사」 란 본인신용정보관리업에 대하여 금융위원회로부터 허가를 받은 자를 말한다.48) 본인신용정보관리업과 본인신용정보관리회사는 개인신용정보를 통합하고 관리하여 이 정보들을 개인인 신용정보주체에게 제공하는 사업과 이러한 사업을 영위하는 회사이다. 예컨대 개인의 대출, 예금, 신용카드 거래 등의 정보를 취합하여 어떠한 금융상품에 투자하는 것이 좋은지, 어떠한 대출상품을 선택하는 것이 좋은지, 어떠한 신용카드를 선택하는 것이 좋은지 등에 대한 정보를 제공하는 금융분야의 마이데이터 사업으로 이해할 수 있다.49)

본인신용정보관리업을 하기 위해서는 금융위원회의 허가를 받아야 하며, 금융위원회는 허가 부여시 필요할 경우, 조건을 붙일 수 있으며, 허가심사의 구체적 절차는 신용정보법 시행규칙에 규정하고 있다.50) 신용정보법은 본인신용정보관리업의 특수성을 고려하여 엄격한 물적 허가요건을 규정하고 있다.그 주된 내용은 ① 본인신용정보관리업을 하기에 충분한 전산설비 등 물적 시설을 갖출 것, ② 본인신용정보관리업을 하려는 경우(5억원 이상), ③ 사업계획이 타당하고 건전할 것, ④ 주주가 충분한 출자능력, 건전한 재무상태 및 사회적 신용을 갖출 것, ⑤본인신용정보관리업을 하기에 충분한 전문성을 갖출 것, ⑥ 개인신용정보관리회사는 해당 영업을 하는 동안에는 법상 규정된 허가요건을 계속 유지할 것 등이다.51)

본인신용정보관리회사가 그 사업의 전부 또는 일부를 양도·양수 또는 분할하거나, 다른 법인과 합병하려는 경우에는 대통령령으로 정하는 바에 따라 금융위원회의 인가를 받아야 하며,

본인신용정보관리회사가 영업의 전부 또는 일부를 일시적으로 중단하거나 폐업하려면 총리령으로 정하는 바에 따라 미리 금융위원회에 신고하여야 한다.52)

4) 개인신용정보 전송시스템

개인인 신용정보주체는 개인신용정보의 전송요구권을 행사하는 경우에는 서면, 전자문서, 유무선 통신 등, 신용정보법 제32조 제1항에 규정된 방법으로 해야 한다. 다만, 개인인 신용정보주체의 요청으로 특약사항을 기재하거나 약정하여 해당 정보의 제3자 제공을 금지한 경우 또는 비대면 정보 조회를 금지한 경우에는 해당 정보에 대하여 대면으로 전송요구권을 행사해야 한다.53)

개인인 신용정보주체로부터 개인신용정보의 전송요구를 받은 신용정보제공·이용자등은 전송요구를 받은 개인신용정보를 컴퓨터 처리가 가능한 방식으로 즉시 전송해야 한다. 다만, 최근 5년 내의 개인신용정보가 아닌 경우에는 신용정보제공·이용자등이 정하는 방식으로 제공할 수 있다. 개인신용정보의 전송이 전산시스템 장애 등으로 지연되거나 불가한 경우에는 전송이 지연된 사실 및 그 사유를 개인인 신용정보주체에게 통지하고, 그 사유가 해소된 즉시 개인신용정보를 전송해야 한다. 그리고 개인신용정보의 전송이 전산시스템 장애 등으로 지연되거나 불가한 경우에는 전송이 지연된 사실 및 그 사유를 개인인 신용정보주체에게 통지하고, 그 사유가 해소된 즉시 개인신용정보를 전송해야 한다.54)

신용정보주체 본인이 개인신용정보의 전송을 요구하는 경우, 신용정보제공·이용자등에 대하여 해당 개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다. 개인인 신용정보주체가 신용정보제공·이용자등에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 본인 혹은 법령이 규정하는 제3자에게 전송하여 줄 것을 요구할 때에는 다음의 사항을 특정하여 전자문서나 그 밖에 안전성과 신뢰성이 확보된 방법으로 하여야 한다. 이러한 특정성이 요구되는 사항은 ① 전송을 요구하는 개인신용정보, ② 전송요구에 따라 개인신용정보를 제공받는 자, ③ 정기적인 전송을 요구하는지 여부 및 요구하는 경우 그 주기, ④ 기타 법령으로 정하는 사항55) 등이다.56)

5) 개인신용정보 전송요구의 거절과 중지 및 중단

본인으로부터 개인신용정보의 전송요구를 받은 신용정보제공·이용자 등은 신용정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 전송요구를 거절하거나 전송을 정지·중단할 수 있다57).

이러한 대통령령이 정하는 개인신용정보 전송요구의 거절과 중지 및 중단 사유에는 ① 개인인 신용정보주체 본인이 전송요구를 한 사실이 확인되지 않은 경우, ② 신용정보주체 본인이 전송요구를 했으나 제3자의 기망이나 협박 때문에 전송요구를 한 것으로 의심되는 경우, ③ 본인신용정보관리회사가 신용정보법 제22조의9 제6항에 따른 비용을 부담하지 않은 경우, ④ 신용정보법 제33조의 2 제1항 각 호의 자가 아닌 자에게 전송해 줄 것을 요구한 경우, ⑤ 신용정보법 제33조의 2 제5항에서 정한 사항이 준수되지 않은 경우, ⑥ 개인인 신용정보주체의 인증정보 탈취 등 부당한 방법으로 인한 전송요구임을 알게 된 경우, ⑦ 그 밖에 신용정보법 시행령 제28조의3 제11항 제1호부터 제6호까지의 규정에 따른 경우와 유사한 경우로서 금융위원회가 정하여 고시하는 경우 등이 있다.58)

전송요구를 받은 신용정보제공·이용자등이 전송요구를 거절하거나 전송을 정지·중단한 경우에는 지체 없이 해당 사실을 개인인 신용정보주체에게 통지해야 한다.59)

3. 공공부분의 개인정보이동권(86)
1) 제도도입배경

공공부분의 개인정보이동권 인정를 통한 마이데이터 시스템 구축은 공공서비스로서 공익추구를 본질로 하므로 민간 영역의 마이데이터 비즈니스와 본질적으로 달리 취급되어야 할 것이다. 공공분야의 마이데이터 추진은 민간에서 추진하는 마이데이터 비즈니스와 그 규제와 정책방향에 있어서 차이를 두고 신중히 진행할 필요가 있다.

종래 공공분야에서는 행정기관 보유기관 동의에 기반한 「행정정보 공동이용제도」 를 통해 자기정보를 민원처리 등에 활용해 왔다. 2019년 관계부처 합동으로 발표한 「디지털 정부혁신 추진계획」 에서는 공공부분 마이데이터를 활성화를 위한 자가정보 활용을 위한 제도개선, 공공부문 자기정보 다운로드 서비스를 위한 「마이데이터 포털 구축」등의 내용이 포함되었다. 이러한 과정을 거쳐, 행정기관 간 민원처리에서 민원인 본인정보를 활용하기 위한 근거를 마련하기 위해서 민원처리법이 2020년 10월에 개정되었고 그 후 2021년 10월 21일 시행되었다. 또한 행정기관 등이 보유한 개인정보를 민간을 포함하는 제3자 전송을 위해 전자정부법이 2021년 6월에 개정되어 2021년 12월 9일에 시행되었다.60)

2) 민원처리법상 행정정보제공요구권

2020년 10월에 개정 민원처리법에 따르면 민원인이 행정기관에서 민원사무를 하는 경우 해당 행정기관에서 다른 행정기관이 보유 중인 개인정보에 대해서 민원인에게 직접 서류를 구비하도록 하고 있는 불편함을 해소하기 위하여 민원인 본인 신청이 있는 경우, 민원의 접수·처리기관이 행정정보 보유기관으로부터 직접 행정정보를 제공받아 민원을 처리할 수 있도록 하는 근거를 마련하였다. 이를 통해 국민들은 개인정보의 자기결정권을 강화하여 보장하는 동시에 증명서류 또는 구비서류의 제출·보관에 따른 국민의 불편과 사회적·경제적 비용을 감소시킬 수 있을 것으로 기대 된다.

민원처리법에 따르면 민원인은 행정기관이 컴퓨터 등 정보처리능력을 지닌 장치에 의하여 처리가 가능한 형태로 본인에 관한 행정정보를 보유하고 있는 경우, 민원을 접수·처리하는 기관을 통하여 행정정보 보유기관의 장에게 본인에 관한 증명서류 또는 구비서류 등의 행정정보를 본인의 민원 처리에 이용되도록 제공할 것을 요구할 수 있다. 이 경우 민원을 접수·처리하는 기관의 장은 민원인에게 관련 증명서류 또는 구비서류의 제출을 요구할 수 없으며, 행정정보 보유기관의 장으로부터 해당 정보를 제공받아 민원을 처리하여야 한다. 행정정보 제공요구를 받은 행정정보 보유기관의 장은 해당 정보를 컴퓨터 등 정보처리능력을 지닌 장치에 의하여 처리가 가능한 형태로 본인 또는 본인이 지정한 민원처리기관에 지체 없이 제공하여야 한다.61) 다만, 「개인정보 보호법」제35조 제4항에 따른 제한 또는 거절의 사유에 해당하는 경우에는 예외를 인정한다.

3) 전자정부법상 개인정보제공요구권

민원처리법이 민원인의 개인정보를 행정기관 상호 간 전송을 가능하게 하였다면, 행정기관 등이 보유한 개인정보를 민간을 포함하는 제3자에게 전송할 수 있는 근거 마련을 위해 전자정부법에 이에 관한 규정을 새롭게 규정하게 되었다. 전자정부법에서는 정보주체가 행정기관 등이 보유·관리하고 있는 본인에 관한 행정정보를 본인 또는 본인이 지정하는 제3자에게 제공할 것을 요구할 수 있도록 「정보주체 본인에 관한 정보제공요구권」 을 도입하였다.62) 한편 제도의 실효성을 높이기 위해서 제공가능한 행정정보의 종류는 행정안전부 장관과 보유기관의 장이 협의하여 정하도록 규정하는 등 관계부처의 협의를 통해 다양한 공공부분의 데이터가 제공될 수 있는 법적 기반을 마련하였다.63) 또한 행정안전부장관은 중앙행정기관등의 장에게 해당 기관이 보유하고 있는 본인정보의 종류를 제출하도록 요구할 수 있고, 제출받은 본인정보의 종류를 종합하여 고시하고, 법 제20조에 따른 전자정부 포털 등에 게재하는 방법으로 공개해야 한다.64)

(1) 개인정보이동권의 정보수신자

전자정부법과 민원처리법은 신용정보법과 달리 정보를 수신받는 기관을 본인신용정보관리업처럼 별도로 구분하여 라이선스를 부여하는 방식(허가)을 취하지 않고, 행정정보의 전송요구권과 수신받을 수 있는 기관만 명시하고 있다. 전자정부법 제43조의 2에 따르면, 행정정보를 제공받을 수 있는 자로서 ① 행정기관등, ② 은행법 제8조 제1항에 따라 은행업의 인가를 받은 은행, ③ 그 밖에 대통령령으로 정하는 개인, 법인 또는 단체 등을 직접 규정하고 있다. 그리고 동법 시행령에서 신용정보법에 따른 ① 신용정보회사, ② 신용정보집중기관, ③ 본인신용정보관리회사 등을 추가적으로 행정정보 수신자로 포함시켰다. 그 밖에도 동법 시행령에서는 행정안전부 장관이 부령으로 정하는 자도 수신자가 될 수 있도록 규정하여 향후 수신기관을 지속적으로 추가할 수 있는 여지를 두고 있다.65)

(2) 개인정보이동권 대상정보

전자정부법 개정을 통해 공공분야 개인정보이동권이 인정되었지만, 행정기관이 보유한 모든 정보가 그 대상은 아니다. 이러한 권리의 대상이 되는 본인정보는 기본적으로 정보처리능력을 지닌 장치에 의하여 판독이 가능한 형태로 보유하는 본인에 관한 증명서류 또는 구비서류 등의 행정정보이다.66) 법원의 재판사무·조정사무 및 그 밖에 이와 관련된 사무에 관한 정보는 제외된다.

행정안전부장관은 정보주체가 본인 또는 제3자에게 제공하도록 요구할 수 있는 본인정보의 종류를 해당 본인정보를 보유하고 있는 행정기관등의 장과 협의하여 따라 공개하여야 한다. 행정안전부장관은 본인정보의 종류를 공개하기 위하여 중앙행정기관등의 장에게 해당 기관이 보유하고 있는 본인정보의 종류를 제출하도록 요구할 수 있고 이러한 요구를 받은 중앙행정기관등의 장은 특별한 사유가 없으면 이에 따라야 한다. 이 경우 중앙행정기관등의 장은 제출하려는 본인정보의 종류가 제3자에게 제공됨에 따라 정보주체의 권리침해 우려는 없는지에 관하여 개인정보 보호위원회와 협의해야 한다. 행정안전부장관은 제출받은 본인정보의 종류를 종합하여 정보주체가 본인 제3자에게 제공하도록 요구할 수 있는 본인정보의 종류를 고시하고, 전자정부 포털 등에 게재하는 방법으로 공개해야 한다.67)

(3) 개인정보 제공 방법과 절차

정보주체가 본인정보를 제공하도록 요구할 때에는 해당 본인정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 본인정보를 제공하여 줄 것을 행정기관등의 장에게 요구할 수 있고, 필요한 경우 해당 제공 요구를 철회할 수 있다.

정보주체는 본인정보의 제공을 요구하려는 경우에, 본인정보를 보유하고 있는 중앙행정기관의 장에게 그것을 신청해야 한다. 개인정보 제공요구할 때에 정보주체는 다음 사항을 모두 특정하여야 한다. 이러한 특정이 요구되는 사항은 ① 제공 요구를 받는 행정기관등의 장, ② 제공 요구하는 본인정보, ③ 제공 요구에 따라 본인정보를 제공받는 자, ④ 정기적인 제공을 요구하는지 여부 및 요구하는 경우 그 주기, ⑤ 그 밖에 전자정부법 제43조의 2 제3항 제1호부터 제4호까지의 규정에서 정한 사항과 유사한 사항으로서 대통령령으로 정하는 사항 등이다.68)

그리고 정보주체가 본인정보의 제공을 요구하는 경우에는 법령에서 규정한 방법으로 해당 본인정보가 본인에 관한 것임을 증명하여야 한다. 이러한 증명 방법으로는 ① 전자정부법 제10조에 따른 민원인 등의 본인 확인 방법, ② 행정기관등이 보유하고 있는 지문 등의 생체정보를 이용하는 방법, ③ 주민등록법 제35조 제2호, 도로교통법 제137조 제5항 또는 여권법 제23조의 2 제2항에 따라 신분증명서의 진위를 확인하는 방법. ④ 그 밖에 대통령령으로 정하는 방법 등이 있다. 69)

본인정보의 제공 요구를 받은 행정기관등의 장은 해당 본인정보를 정보주체 본인 또는 제3자에게 지체 없이 제공하여야 한다. 그리고 본인에 관한 행정정보 제공 요구에 따라 행정기관등의 장이 정보처리능력을 지닌 장치에 의하여 판독이 가능한 형태로 본인정보를 제공하는 경우에는 다른 법률에도 불구하고 수수료를 감면할 수 있다.70)

Ⅵ. 개인정보이동권과 마이데이터

1. 개인정보이동권과 데이터산업의 발전

마이데이터란 정보주체가 본인정보를 적극 관리·통제하고, 이를 신용, 자산, 건강관리 등에 주도적으로 활용하는 서비스, 또는 그렇게 전달·활용되는 데이터 자체를 의미한다. 마이데이터를 구현하기 위한 핵심은 정보주체의 개인정보이동권 내지 전송요구권에 기반한다. 이것은 정보주체가 정보제공자로 하여금 본인이 원하는 서비스를 제공받기 위해 데이터이 전송을 요구하는 권리이다. 마이데이터를 위한 데이터 전송요구권도입은 일면에서는 정보주체의 개인정보자기결정권을 강화하는 의미를 가지고 있고 타면에 있어서는 신산업 등장과 진입장벽 해소를 통해 데이터산업 활성화에 기여할 수 있다.

과거 정보주체는 본인 개인정보를 업체가 요구하는 경우, 활용에 동의하는 등 수동적 방식으로 개인정보를 활용하였다. 그러나 마이데이터를 통해서 정보주체가 능동적으로 개인정보의 제공과 활용을 선택할 수 있게 되었고, 정보주체는 본인의 데이터를 본인의 의지에 따라 활용할 수 있게 됨으로써, 정보주체에 대한 개인정보의 자기결정권을 확장·강화하게 되었다. 이를 통하여 정보주체는 본인정보를 원하는 곳으로 이동시킴으로써 본인에게 적합한 개인정보처리자를 선택할 수 있게 된다. 그리고 개인정보처리자들이 보유하고 있는 개인정보의 유지여부도 정보주체가 판단하고 정할 수 있어 마이데이터를 통해 자기정보에 대한 통제권을 보다 확실히 실행할 수 있게 된다.

개인정보이동권을 통해 서비스 제공자간 경쟁활성화도 기대된다. 데이터 이동이 자유로워지면, 소비자가 서비스를 보다 쉽게 갈아탈 수 있게 됨에 따라 사업자에 대한 구속을 완화할 수 있다. 기존에 기업이 주도하고 활용해왔던 개인정보 및 데이터에 관한 권리를 개인이 가지게 되면, 소비자는 본인의 개인정보 이전을 통해서 보다 혜택이 많은 서비스로 전환할 수 있다. 이 과정에서 사업자들은 소비자들의 선택을 받기 위해 보다 치열하게 서비스 경쟁을 할 수 밖에 없다. 이러한 과정에서 사업자들의 데이터 독점문제가 해소되어 서비스 및 가격경쟁이 촉진된다. 그리고 이를 통해 산업효율성 및 후생이 전반적으로 증가할 것으로 예상된다.

진입장벽 해소를 통한 신규시장의 창출 역시 기대되는 부분이다. 개인정보이동권을 통한 데이터 이동권의 확대는 신규 사업자들이 시장 진입장벽을 낮춤으로써 소비자의 데이터 부족으로 인한 시장진입의 어려움을 해소할 수 있다. 따라서 기존 사업자 외에 다양한 신규공급자 의 시장참여 기회를 제공할 것으로 기대된다. 기존의 데이터 유통구조에서 플랫폼 사업자, 대기업은 고객유치를 많이 하면 할수록 축적되는 정보량은 방대해진다. 그리고 이러한 정보를 활용하여 보다 차별화된 상품을 제공하여 다시 고객의 유치를 확보함으로써 승자 독식의 시장구조를 고착시킬 우려가 있었다.

개인정보이동권제도의 도입은 다양한 정보가 각 분야의 신규사업자에게도 이전될 수 있다. 그뿐만 아니라, 소비자가 당해 서비스를 위해 필요한 정보를 제공함에 따라 신규사업자도 서비스에 대한 아이디어만 있다면 다양한 상품 개발 및 제공이 가능해졌다. 개인정보이동권 제도가 정착되면 사회 전반의 데이터 유통을 촉진시키면서 풀랫폼에 의한 데이터 독점효과를 완화시킨다. 이를 통해 시장 왜곡문제 역시 개선할 수 있을 것으로 기대된다. 또한 서비스 제공자는 고객별 데이터를 기반으로 데이터의 결합, 활용이 가능해진다. 따라서 고객의 다양한 수용에 부합하는 혁신적이고 유용한 서비스를 제공할 수 있을 것으로 전망된다.71)

2. 향후 제도개선 과제

첫째, 개인정보이동권의 도입을 바탕으로 마이데이터의 편익을 체감하려면 데이터 개방의 수준이 임계점을 넘어야 한다. 분절된 데이터 산업으로 인하여 불가능했던 혁신서비스가 가능해지려면 데이터의 범위와 양, 이동의 속도가 확보되어야 혁신서비스 제공이 가능하다. 이를 위하여 인터넷 플랫폼을 중심으로 산업 구분없이 개인의 삶이 연결되듯이 마이데이터도 업권 전체를 관통하는 포괄성과 이들을 연결하기 위한 인증 및 인터페이스의 표준화가 필요하다.

둘째, 개인정보이동권 혹은 데이터이동권의 도입은 개인정보자기결정권의 강화를 통한 정보주권의 강화와 관련산업의 육성발전을 의도하고 있다. 이를 실현하기 위하여 마이데이터 사업자가 개인정보를 충분히 활용하고 안전하게 보호하기 위해서는 마이데이터 유통체계 또한 민간이 참여하고 경쟁이 가능한 체계까지 완비하여야 한다. 지금까지 우리나라의 경우 정부 주도로 데이터 유통체계를 구축하고 마이데이터 산업을 조기에 안착하기 위한 마중물 역할을 하고 있다. 장기적으로는 정부에 대신하여 민간 주도적 마이데이터 유통체계 구축이 가능하도록 제도를 발전시킬 필요가 있다. 현재까지는 대부분이 정부주도로 마이데이터 유통체계가 설계·구축되고 공공기관이 그 역할을 담당하고 있다. 이러한 구조 때문에 민간이 데이터 시장경제에 창의적으로 접근할 가능성을 제한한다는 문제점이 지적되고 있다.72)

Ⅶ. 맺음말

개인정보이동권은 정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송하여 줄 것을 요구하는 권리이다. 이러한 개인정보이동권은 헌법의 해석을 통해 인정된 개인정보자기결정권에 근거한 것으로 이 제도도입을 통하여 정보주체의 개인정보자기결정권을 강화하고 동시에 데이터 분야에 있어서 신산업 육성과 진입장벽 해소를 통해 데이터산업 활성화를 도모하고 있다..

개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 인정하고 있다. 이러한 여러 권리에 추가하여 새롭게 인정된 권리가 개인정보권 이동권이다.

개인정보이동권은 신용정보법의 규정을 통해 금융분야에 선도적으로 도입되고, 그후 전자정부법 등을 통해 공적분야에서 인정되게 되었고, 계속하여 개인정보에 관한 일반법인 개인정보보호법에 이에 관한 규정을 신설함으로써 이에 관한 체계적 법규제 시스템을 갖추게 되었다.

이러한 개인정보이동권 도입을 통한 개인정보자기결정권을 강화와 관련산업육성은 정부주도로 실현된 것으로 향후 이 분야에서 지속가능한 발전을 도모하기 위해서는 민간부분의 능동적 참여와 이를 통한 적극적 시장형성과 발전이 될 수 있도록 계속된 혁신이 필요할 것 같다. 아울러 각 분야별 마이데이터 산업이 발전될 수 있도록 분야별 산업특성을 고려한 신속하고 계속적인 제도의 정비가 필요하다.

Notes

1) 현행법상 개인정보이동권에 관하여 개인정보전송권이라는 용어를 사용하는 경우가 많다. 양자는 구별되는 개념이지만, 전자가 후자를 포함하는 일반적 개념이므로 본고에서는 개인정보이동권이라는 개념을 사용한다.

2) 조성은, “마이데이터의 등장 배경과 주요국 정책을 통한 고찰”, 이성협 편, 마이데이터화 법, 박영사, 2022, 33면.

3) 최경진 외 12인 공저, 개인정보보호법, 박영사, 2024, 603-606면.

4) PSD2( PSD2(Payment Services Directive 2)는 유럽은행감독청(EBA)이 규정한 결제 서비스 지침 개정안으로, 2018년 1월 13일부터 유럽연합에서 시행되고 있다.

5) GDPR 제20조 제1항 The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

6) 정원준, “데이터이동권의 법적 함의와 주요국 입법례 분석”, 마이데이터와 법, 박영사, 2022, 61-66면.

7) 정원준, 전게논문, 70-71면.

8) CCPA §1798.100. (a), 1798.110.(a), 1798.115.(a)

9) CCPA §1798.100. (d)

10) 정원준, 전게논문, 67-73면.

11) 김창조, “비공개상한제도 도입에 수반한 정보공개법상 검토과제”, 법학논고 67집(2019), 89면 이하.

12) 권건보, “정보주체의 개인정보자기결정권” 「개정판 개인정보보호의 법과 정책」 (서울: 박영사, 2016), 60-65면.

13) 김주영·손형섭, 개인정보보호법의 이해, 법문사, 2012, 198-200면.

14) 2005. 7. 21. 2003헌마282․425(병합) 전원재판부

15) 권건보, 전게논문, 65면.

16) 신종철, 개인정보보호법과 신용정보법 해설, 진한엠앤비, 2023, 62면 이하.

17) 개인정보보호법 제35조

18) 신종철, 전게서, 298면 이하.

19) 이동진, “데이터의 법적 성질과 오너십”, 데이터법, 인하대학교 법학연구소 AI·데이법 센터, 세창출판사, 2022, 98면.

20) 이동진, 전게논문, 99면.

21) 이동진, 전게논문, 100면.

22) 이동진, 전게논문, 109-110면.

23) 정원준, 전게논문, 55면.

24) 정원준, 전게논문, 53-57면.

25) 정원준, 전게논문, 56면.

26) 개인정보이동권에 관하여 개별법에 규정하는 경우도 있다. 예컨대 의료법은 환자가 의료인, 의료기관의 장 및 의료기관 종사자에게 본인에 관한 기록의 전부 또는 일부에 대하여 열람 또는 그 사본의 발급 등 내용의 확인을 요청할 수 있고, 요청을 받은 의료인, 의료기관의 장 및 의료기관 종사자는 정당한 사유가 없으면 이를 거부하지 못하며(의료법 제21조 제1항) 일정한 경우에는 환자가 아닌 다른 사람에게도 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하였으며(의료법 제21조 제3항), 이를 전자서명법에 따른 전자서명이 기재된 전자문서를 제공하는 전자적 방법으로도 가능하게 하고 있다.(의료법 제21조 제5항)

27) 최경진 외 12인 공저, 전게서, 610-611면.

28) 데이터산업법 제15조(데이터 이동의 촉진) 정부는 데이터의 생산, 거래 및 활용 촉진을 위하여 데이터를 컴퓨터 등 정보처리장치가 처리할 수 있는 형태로 본인 또는 제3자에게 원활하게 이동시킬 수 있는 제도적 기반을 구축하도록 노력하여야 한다.

29) 개인정보보호법 제35조의 2 제1항 제1호

30) 개인정보보호법 제35조의 2 제1항 제2호

31) 개인정보 보호법 제35조의 2 제2항

32) 개인정보보호법 제35조 제1항, 제4조 제3호, 동법 시행령 제41조 제2항

33) 개인정보보호법 제35조의 2 제3항

34) 개인정보보호법 제38조

35) 개인정보보호법 제35조의2 제3항

36) 개인정보보호법 제35조의2 제4항

37) 개인정보보호법 제35조의2 제6항

38) 개인정보보호법 제35조의2 제8항

39) 개인정보보호법 제35조의2 제7항

40) Art. 20, para 4. GDPR

40) 1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

40)

  • (a)the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

  • (b)the processing is carried out by automated means.

40) 4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

41) 최경진 외 12인 공저,전게서, 614-615면.

42) 정보를 이전하는 방식에는 스크린 스크래핑(screen sacarping)방식과 표준 API(Application Programming Interface)으로 구분된다. 전자는 이용자의 로그인 정보 혹은 공인인증서를 확보하여 마이데이터 사업자가 사업자가 대신 사이트에 접속하여 정보를 불러오는 방식이고, 후자는 데이터 간 이전 시 상호운용성 확보를 위하여 공통 표준 API를 통해 제공하는 방식을 지칭한다. 이 중에서 신용정보법상 전송요구권은 표준 API방식을 취하고 있다.

43) 제12조(유사명칭의 사용 금지) 이 법에 따라 허가받은 신용정보회사, 본인신용정보관리회사, 채권추심회사 또는 신용정보집중기관이 아닌 자는 상호 또는 명칭 중에 신용정보·신용조사·개인신용평가·신용관리·마이데이터(MyData)·채권추심 또는 이와 비슷한 문자를 사용하지 못한다. 다만, 신용정보회사, 본인신용정보관리회사, 채권추심회사 또는 신용정보집중기관과 유사한 업무를 수행할 수 있도록 다른 법령에서 허용한 경우 등 대통령령으로 정하는 경우는 제외한다.

44) 윤주호/정원준, “개인정보 이동권과 마이데이터의 제도화 그리고 그 시사점”, 데이터와 법(제2전정판), 박영사, 2024, 268면 이하.

45) 신용정보법 제33조의 2 제2항

46) 신용정보법 시행령 제28조의 3 ⑥

47) 신용정보법 제2조 9의 2호

48) 신용정보법 제2조 9호의3

49) 신종철, 전게서, 334면 이하.

50) 신용정보법 제4조

51) 신용정보법 제6조

52) 신용정보법 제10조

53) 신용정보법 시행령 제28조의3 제3항

54) 신용정보법 시행령 제28조의3

55) 신용정보법 시행령 제28조의 3 ⑧ 법 제33조의2 제5항 제5호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다.

55)

  1. 전송요구의 종료시점

  2. 그 밖에 금융위원회가 정하여 고시하는 사항

56) 신용정보법 제33조의 2 제5항

57) 신용정보법 제33조의2 제8항

58) 신용정보법 시행령 제28조의3 제11항

59) 신용정보법 시행령 제28조의3 제12항

60) 최경진 외 12인 공저,전게서, 608-609면.

61) 민원처리법 제10조의 2

62) 전자정부법 제43조의 2 제1항

63) 전자정부법 제43조의 2 제5항

64) 전자정부법 시행령 제51조의 2 제6항, 제8항

65) 전자정부법 시행령 제51조의 2

66) 전자정부법 제43조의 2 제1항

67) 전자정부법 시행령 제51조의 2

68) 전자정부법 제43조의 2 제3항

69) 전자정부법 제43조의 2 제7항

70) 전자정부법 제43조의 2 제6항

71) 조성은, 전게논문, 32면 이하.

72) 조성은, 전게논문, 35면 이하.

[참고문헌]

1.

고학수/임용 편, 데이터오너십, 박영사, 2019.

2.

고학수/김병필/구본효/백대열/박도현/정종구/김은수. 인공지능 시대의 개인정보 보호법, 박영사. 2021.

3.

김경곤, 마이데이터 비즈니스, 박역사, 2023.

4.

김명희/오세창/이동렬, 마이데이터 제대로 알기, 바이북스, 2022.

5.

김창조, “정보주체의 개인정보자기결정권 보장과 개인정보활용”, 법학논고 75집(2021)

6.

김창조, “비공개상한제도 도입에 수반한 정보공개법상 검토과제”, 법학논고 67집(2019)

7.

김태훈/고환경/김현경/손지윤/심현섭/오강탁/이동범/이성엽/전재식/정성구/조영서/조재박/배일권/이종림/최재성/장순호/이영종, 마이데이터의 시대가 온다, 지식공감, 2022.

8.

백남정/한혜선/고대민/ 홍성환/ 이욱희/ 최미연, 디지털 뉴딜 시대 리더가 꼭 알아야 할 데이터 3법, 지식플랫폼, 2020.

9.

신종철, 개인정보보호법과 신용정보법 해설, 진한엠앤비, 2023.

10.

정원준, “데이터이동권의 법적 함의와 주요국 입법례 분석”, 이성엽 편, 데이터와 법(제2전정판), 박영사, 2024.

11.

조성은, “마이데이터의 등장배경과 주요국 정책을 통한 고찰”, 마이데이터와 법, 박영사, 2022.

12.

윤주호/정원준, “개인정보 이동권과 마이데이터의 제도화 그리고 그 시사점”, 이성엽 편, 데이터와 법(제2전정판), 박영사, 2024.

13.

이대희/박경신/박영우/이상직/정성구, 제4차 산업혁명시대의 개인정보, 세창출판사, 2018.

14.

이동진, “데이터의 법적 성질과 오너십”, 데이터법, 세창출판사, 2022.

15.

이성엽, 마이데이터와 법, 박영사, 2022.

16.

이성엽 편, 데이터와 법(제2전정판), 박영사, 2024.

17.

이원복 편, 보건의료와 개인정보, 박영사, 2021.

18.

이재영, 데이터주권과 마이데이터, 커뮤니케이션북스, 2021.

19.

인하대학교 법학연구소AI·데이터법 센터, 데이터법, 세창출판사, 2022.

20.

인하대학교 법학연구소, AI·데이터법 센터, 데이터법의 신지평, 세창출판사, 2023.

21.

임태훈/오희영/김규억/이영환/박진, 마이데이터 B.L.T.S, 메이킴북스, 2022.

22.

최경진 외 12인 공저, 개인정보보호법, 박영사, 2024.

23.

EU Working Party 29, 「Guidelines on the right to data portability」, 2017.4.5.

24.

European Data Protection Board, 「Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR」,

법학논고
(우41566) 대구광역시 북구 대학로 80 경북대학교 법학연구원(416호)
Tel : 053-950-6824 | Fax : 053-950-6884 | lawinsreview@knu.ac.kr

Copyright © Law Research Institute, Kyungpook National University. 2024. Powered by Guhmok