[디지털데일리 최민지기자] 내년 3월 전분야 마이데이터(개인정보 전송요구권) 제도를 시행한다. 마이데이터의 점진적 안착을 위해 의료, 통신, 유통부문부터 우선적으로 추진한다.

이와 관련 개인정보보호위원회(이하 개인정보위)는 지난 25일 서울 양재 엘타워에서 산업계 대상 마이데이터 제도 설명회를 개최하고, 개인정보 전송요권 세부기준과 마이데이터 선도서비스 지원사업을 안내했다.

이날 설명회에는 다양한 질문들이 쏟아졌다. 당초 예정된 1시간 질의응답 시간을 30~40분 이상 넘길 정도로, 사업자들 관심이 뜨거웠다. 가이드라인과 고시 발표 시점부터 제재안을 비롯해 비용 부담 절감 방안, 과금 체계 등을 묻는 질문들이 이어졌다.

특히, 개인정보위는 이번 설명회에서 마이데이터 제도와 관련한 여러 우려에 대해 전면에 나서 반박했다. 우선, 중소기업과 스타트업 부담에 대해서는 이들은 전송 의무 대상이 아니라, 정보전송에 대한 부담이 발생하지 않는다고 못 박았다. 수수료 부담을 줄이기 위한 노력도 경주하겠다는 설명이다.

또한, 정보전송자 영업비밀 침해 우려에 대해서도 말을 꺼냈다. 먼저 인과관계를 명확히 파악하고, 영업비밀 유출 우려가 있다면 전송정보 판매 제한 조건을 규정하는 등 방안을 검토할 계획이다.

다음은 범정부 마이데이터 추진단과의 일문일답.

Q. 가이드라인과 고시 발표 예정 시점에 대해 말해달라.

▲(황지은 개인정보보호위원회 범정부 마이데이터 추진단 전략기획팀 과장) 실무 협의체를 통해 관계부처 및 이해관계자들과 협의를 진행 중이다. 협의가 완료되는 대로 최대한 빨리 고시를 행정예고하겠다. 1차적으로 전문기관 관련 고시를 먼저 오픈하고, 이후 정보전송자 항목 관련 고시를 공개할 것으로 보인다. 전문기관 관련 고시는 7~8월경 행정예고할 수 있도록 노력하겠다. 기본적인 제도가 마련되는 시점에 가이드라인이 나올 것이다.

Q. 타인의 거절 중단 사유에서 타인의 권리 침해 행위에 정보 전송자 권리도 포함되느냐?

▲(황지은 과장) 요즘 논란이 되는 것이 정보 전송자의 영업비밀 침해 우려다. 일단은 정보 전송 요구를 통해서 영업비밀 유출된다는 인과관계를 정확하게 파악할 예정이다. 이미 공개된 상품명이나 가격 통해서 할인 시기나 영업전략을 분석하는 회사들이 있다. 전송 요구를 통해서 영업비밀 유출된다는 주장의 인과관계를 명확히 파악할 계획이다. 영업비밀 유출 우려가 있다면, 전송정보 판매 제한 조건을 규정하는 등 방안을 검토할 계획이다. 영업비밀 유출 우려가 나오지 않도록, 다양한 방안을 강구할 계획이다. 다른 사람의 권리 침해에 대한 구체적인 법리 해석에 대해서는 추후 가이드라인을 통해서 안내하겠다. 기본적으로 금지 행위에 대한 구체적인 해석은 가이드라인을 통해 안내할 예정이다.

Q. 전문기관 행위를 중단할 때 제재 근거가 있느냐?

▲(황지은 과장) 금지행위 제재에 대해선 과태료 규정이 있다. 실제 금지행위에는 개인정보법상 규정된 금지행위가 있다. 이 부분을 명확히 강조하고자 금지행위에 다시 넣었다. 개인정보보호법상 목적의 금지 등 조항에 대해서 위배가 된다면, 과징금이나 시정명령, 홈페이지 공표 명령 등 기존 개인정보위가 갖고 있는 제재 수단을 활용하게 된다. 금지행위 위반을 하게 되면 전문기관 지정이 취소될 수 있다.

Q. 내년 3월 제도 시행인데, 시스템 구축에도 상당히 시간이 걸릴 것으로 보인다. 구체적으로 언제까지 시스템을 구축해야 하는지 궁금하다.

▲(이상민 범정부 마이데이터추진단장) 시기 관련해서 원칙적 목표는 정보전송자는 내년 3월까지 구축해야 한다. 의료는 보건복지부에서 운영하는 시스템을 활용하기에 별도로 구축할 필요 없다. 통신 경우, 3개사라서 조율 중인 항목이 몇 개 남지 않았다. 하고자 하면 구축할 수 있는 상황이라고 믿는다. 유통이 문제인데, 항목과 형식을 빨리 정해야 한다. 실무 협의체가 있지만, 엔지니어급 실무 논의를 이제 시작했다. 기업들 요청이 빨리 정해져야, 어느 정도 비용이 들어갈지 책정되고, 회사 내부 구매 절차를 하려면 내년 3월까지 빠듯하다는 이야기를 듣고 있다. 다만, 산재된 데이터베이스(DB)를 추출해 개발하더라도 4개월이면 충분하다고 본다. 서두르겠다. 전송자 입장에서 전송절차 및 애플리케이션 프로그래밍 인터페이스(API) 스펙이 빨리 공개돼야 한다. 절차는 거의 완성됐다. API 스펙안은 있기 때문에 합의만 이뤄지면 된다. 제3자 전송은 속도를 내고 있지만, 본인대상 전송 경우 막연하다. 기간을 명시할 수는 없지만, 일정기간 유예를 두려고 한다.

Q. 정보 전송자와 일반 수신자 범위에 해외 기관‧기업이 포함되나?

▲(황지은 과장) 해외 기관은 배제되지 않는다. 정보 전송자에 있어서 해당하면 포함된다. 의무를 이행하지 않으면 제재를 받게 된다.

Q. 정보전송자 지위로 중계기관 통해 정보를 전달하고 있는데 수수료 부담이 상당히 크다. 매년 연회비도 많이 낸다. 중소사업자 부담이 있다. 개인정보보호법 전송 요구에 있어 수수료를 또 내야 한다면 이중 부담이 생긴다.

▲(김은경 개인정보보호위원회 범정부 마이데이터 추진단 서비스혁신팀 과장) 전송 비용 부담을 좀 낮추기 위해서 중계전문기관을 지원을 한다든지, 정보 전송자에 구축하는 시스템에 기본적으로 최소 요건을 미리 가이드를 한다든지 방안들에 대해 고민하고 있다. 비용부담을 낮출 수 있는 방안을 고민해 추후 안내하겠다.

Q. 기존 금융 마이데이터 경우, 마이데이터 사업자들이 구축 비용까지 합산해 1/n 배분 개념으로 가져갔기에 굉장히 큰 비용 부담이 있었다. 이번에는 어떤 과금 체계를 적용할 것인가?

▲(이상민 단장) 이전처럼 합산 후 분배하는 방식을 할지, API 기준 건당 과금 기준으로 할지 검토 중이다. 금융 경우, 총 들어가는 비용을 모두 조사했지만 저희같은 경우 전수조사가 불가능하다. 이에 API 건당 얼마로 과금할 것인지에 대해 도출하고, 협의체를 구성해 적정성 등을 논의할 것이다.

Q. 전문기관이 개인정보를 전송받은 후 정보주체 동의를 별도로 받았다면, 제3자 제공이 가능한가?

▲(황지은 과장) 전문기관 지정 때 사회적인 영향력을 봐야 한다. 개인정보를 전송받아서 제3자 제공을 가능하게 하는 구조 자체가 갖고 올 수 있는 부작용 또는 효과가 있을 수 있다. 제한 또는 허용 여부는 추후 알리겠다.

▲(이상민 단장) 제3자 제공 경우, 시행령까지는 별도 동의를 받아 제공할 경우 개인정보 전송 지원 플랫폼에 동의받은 그 내역을 알리게끔 돼 있다. 제한을 할지, 원천적으로 금지할지는 논의를 해야 한다. 영업비밀 침해 우려가 얼마나 큰 지와 결부돼 있어서다. 정보 활용 입장에서는 필요에 의해 제3자 제공이 필요하다고 주장하겠지만, 정보 전송자 입장에서는 수신자까지는 괜찮아도 그 다음부터는 통제가 돼야 한다는 입장들이 있어 논의를 거쳐야 한다.

Q. 중계전문기관과 정보 수신자를 같이 할 경우, 각각의 인증을 받아서 진행해야 하는가?

▲(황지은 과장) 같이 하게 되면 중계전문기관이 데이터 흐름을 볼 수 있어 불공정 이슈가 생길 수 있다. 동시에 못 하도록 규정돼 있다. 공공기관과 같은 극히 예외적인 경우에만 허용한다.

Q. 본인 대상 정보 전송자 기준 중 영리를 목적으로 하는 법인이라는 언급이 있다. 비영리 기관인 병원은 본인에게 직접 정보 전송을 하지 않는 것이 맞는가? 제3자 전송만 허용되는가?

▲(황지은 과장) 제3자 정보 전송자라면, 의무적으로 본인 대상 정보 전송자가 된다. 병원은 제3자 정보 전송자로 규정됐기에, 이러한 제3자 정보 전송자에 해당하는 기업이나 기관들은 자동적으로 본인 대상 정보 전송자가 된다. 비영리법인 병원 경우에도 본인 전송 의무가 생긴다.

Q. 일반 수신자 사례가 궁금하다.

▲(황지은 과장) 장애나 소득을 확인하는 경우, 데이터를 받을 수 있는 형태가 있다. 회사에서 어학성적 등을 개인이 가져온 증명서가 아니라, 기관에서 데이터를 바로 확인해 채용 목적으로 확인할 수 있다.

Q. 의료분야 정보전송자 경우, 상급종합병원 및 그밖에 고시로 정하는 기준에 해당하는 자다. 보건복지부와 협의 중일 것 같은데, 병‧의원급도 포함되는가?

▲(황지은 과장) 보건복지부는 현재 상급종합병원뿐 아니고 병‧의원급에 대해서도 이제 정보전송사 계획이 있다. 사업 진행 상황에 따라 고시를 하게 될 것이다.

Q. 신용카드 회사들이 쇼핑몰을 운영하는 경우가 있다. 신용카드 또는 쇼핑몰 중 어떤 것을 기준으로 삼아야 하는가?

▲(황지은 과장) 관련 사업 매출액으로 정한다. 카드사 전체 매출액이 아니라, 쇼핑몰에서 발생하는 매출액이다. 실제 카드사 매출이 크고 쇼핑몰 매출이 적다면, 전송자가 되지 않는다.

Q. 의료데이터를 취급하는 특수 전문기관은 다른 통신‧유통 데이터도 동시에 취급할 수 있는가?

▲(황지은 과장) 특수 전문기관과 일반 전문기관은 다른 개념이다. (의료) 특수 전문기관으로 허가를 받았다고, 통신이나 유통 분야 데이터를 받을 수는 없다.

▲(이상민 단장) 통신이나 유통 분야 정보까지 받겠다고 한다면, 일반 전문기관 지정을 한 번 더 받아야 한다. 다만, 상당 요건들이 대부분 비슷하다. 중복 요건에 대해서는 따로 보지는 않는다.

Q. 의료법 관련해 이미 특례를 받아 의료 마이데이터 서비스를 보건복지부에 매년 보고하며 서비스를 하고 있다. 마이데이터 선도 서비스 지원 사업에 참여하려면, 다시 규제샌드박스 심사를 받아야 할까?

▲(김은경 과장) 구체적 내용을 검토해봐야겠지만, 다시 받을 필요 없을 것으로 보인다.

Q. 개인정보 전송 요건에 따라서 의료기관도 관련 부분을 전송할 수 있도록 시스템을 도입해야 할 것으로 보인다. 마이데이터 플랫폼과 반드시 연결해 동작해야 하는가?

▲(황지은 과장) 보건복지부에서 기존에 운영하는 시스템과 연계한다. 의료기관이 직접 시스템을 구성해 개별로 연결하는 구조 아니다.

Q. 특수전문기관은 결합에 대한 가점이 없다고 하는데, 유통‧통신과 달리 의료만 가점을 받지 못하는 역차별이 생길 수 있지 않나?

▲(김은경 과장) 의료‧통신‧유통 활용 정보는 쿼터제로 사업을 선정한다. 의료는 가점을 받지 않더라도, 의료서비스 중 사업을 선정한다. 적정성 검토를 할 구체적 내용은 공고문에 포함시켜 보고할 예정이다.

Q. 금융 마이데이터 사업 라이선스가 있다면, 개인정보 전문기관 지정 때 일부 또는 전부 면제를 받을 수 있는가?

▲(황지은 과장) 라이선스가 있다고 해서 심사를 면제할 수는 없다. 다만, 금융 마이데이터로 이미 활용하고 있는 데이터베이스(DB)‧서버 경우, 금융기관과 협의를 거쳐 실제 심사 운영 과정에서 간소화된 형태로 심사를 하는 방안을 고려할 수 있다.

Q. 마이데이터와 금융마이데이터 전송 정보 항목이 동일하거나 유사‧중첩될 경우, 어떻게 해야 하나?

▲(황지은 과장) 동일한 항목이라 하더라도 신용정보법이 적용되는 목적이 있고 개인정보법이 적용되는 목적이 있다. 예를 들어 통신 요금 정보 같은 경우, 신용정보 관리 목적으로 받을 수 있으나, (마이데이터 제도 관련해서는) 통신 요금제 추천을 위해 받을 수 있을 것이다. 통신요금 절감 목적이라 개인정보보호법상 전송 요구 대상이 된다. 법상 목적이 다르기에 양법이 적용된다.

Q. 입법예고된 개정령을 보면, 부가통신 정보 제공자도 포함된다. 플랫폼 기업도 대상이 될 수 있는가?

▲(황지은 과장) 부가통신 영역은 향후 포털‧소셜미디어(SNS) 등 다양한 영역을 포함할 수 있는 법률적 유형화가 필요해 규정한 것이지만, 당장 고시로 규정하지는 않는다.

▲(이상민 단장) 시행령에서 향후 유형화를 할 필요가 있다. 마이데이터는 점진적이고 단계적으로 추진하는 것이라, 현재는 의료‧유통‧통신분야에서 먼저 진행한다. 플랫폼 기업에 대해서는 관련 기업과 논의하면서 정할 것이다.

Q. 유통 관련 정보전송자는 매출액 1500억원 이상으로 한다고 했다. 온라인 매출액만 이야기 하는 것인가?

▲(황지은 과장) 온라인 쇼핑 관련해 1500억원 매출 기준은 최소 기준이다. 매출액 기준은 통신 판매하거나 관련 매출액으로 한정한다. 전체 매출액이 아니고, 유통 관련한 매출로 한정된다. 다양한 사업을 한다면 쇼핑 관련 매출액만 계산해서 고려하면 된다. 법인 단위로 할지, 브랜드 단위로 할지 여부는 고시 과정에서 이해관계자 의견 수렴 후 결정할 계획이다.

Q. 오픈마켓, 종합쇼핑몰 등 의무 정보전송자를 지정해 공표할 예정인가?

▲(황지은 과장) 기준 마련해 놓고, 실제 사업자에게 기준에 해당되는지 여부를 확인받은 후 리스트를 관리해 홈페이지에 공개하는 방식을 생각하고 있다. 구체적으로 결정된 것은 아니다.

Q. 표준화 처리에 있어서 각사 데이터 파편적인데, 어느 정도까지 이행할 계획인가. 예를 들어, 유통 관점에서 해외 쇼핑몰이 들어오면 데이터를 보내야 하는 것이 의무인가?

▲(이상민 단장) 온라인 쇼핑몰을 우선 대상으로 한다. 전송하기 위한 표준화는 충분히 가능하다. 오프라인상 유통 관련된 정보들은 그룹 내에서도 여러 이질적 정보가 있다. 온라인부터 먼저 한다. 초안은 갖고 있다. 관계 기업들과 논의 중이다. 이와 관련해서 전송 주기를 얼마나 해야 할지, 보내야 할 기간 등은 업종별로 특성이 다르다. 유통 경우, 대표 기업들과 논의 중이다. 해당되는 기업 리스트가 나온다면 다 같이 참여하는 협의체 마련하겠다.

Q. 전송 항목으로 열거된 항목 중, 개인을 식별할 수 있는 정보가 아닌 주문 상품 코드, 지불 정보, 배송유형 코드 등이 있다. 개인정보 전송 요구권에 근거한 전송 요구가 되는가?

▲(김은경 과장) 주문 상품코드 등 정보들은 기본적으로 API 단위로 정보 전송이 이뤄진다. 특정 상품과 정보에 대한 추가 정보 전송이 필요한지 등을 식별하기 위한 식별자 주 상품코드 등이 포함된 것. 구체적으로 정보 하나하나, 실제 확보 필요성에 대해서는 보유 기관과 논의 중이다.

▲(이상민 단장) 내가 어떤 카드로 얼마를 지불했다고 하면 당연히 개인정보다. 내가 주문한 상품이 어떤 형태로 배송된다고 하면, 개인정보에 포함될 수 있다. 다만, 이게 전송 대상으로 적합하냐에 대해서는 계속 논의할 수 있다는 것이다.

Q. 마이데이터 선도서비스 사업자 유지 기간은?

▲(김은경 과장) 최소 1년 이상 서비스를 할 수 있는 기업들을 선정할 계획이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -