나의 데이터에 대한
권리는 누구에게 있는가··· 마이데이터 산업

4차산업혁명 시대에서 데이터는 선택이 아닌 필수가 되었고 데이터는 21세기 ‘석유’에 비유되기도 한다. 한국데이터산업진흥원은 데이터 산업의 규모를 약 15조 원(2018년)으로 추정했으며, 컨설팅 기관 인터내셔널데이터코퍼레이션(IDC)의 연구결과에 의하면 디지털 데이터에서 개인 데이터가 차지하는 비중이 약 70%라고 한다.

우리는 다양한 스마트 디바이스, 전자 장비, 인터넷/모바일 환경에서 소위 빅데이터1)라고 불리는 데이터가 각종 센서를 통해서 수집되고 있다. 스마트폰을 통해서 이루어지는 일련의 개인 생활 활동 과정에서 다양한 데이터가 수집, 저장, 활용되고 있으며 통화, 병원 진료, 쇼핑 등 우리 실생활 전반에 걸쳐 있다.

한 개인이 집에서 병원으로 가는 과정을 살펴보자. 집에서 출발하여 병원에 도착하여 진료를 받는 동안 다양한 행위들이 일어난다. 병원까지 이동하는 동안 스마트폰은 통신 기지국과 끊임없이 신호를 주고받고, 대중교통을 카드로 결제하고, 스마트폰으로 기사 검색과 SNS 서비스를 이용한다. 병원 진료는 대부분 전자 기기를 통해서 이루어지고 진료 내역은 전자문서 형태로 기록되어 저장(Electronic Medical Record, EMR)된다. 우리는 자신도 모르는 사이에 모든 개인 데이터가 생성, 수집, 저장, 공유되는 환경 속에 살고 있다.

내가 스마트폰으로 기사검색을 하거나 지인의 소식을 보는 순간 최근에 내가 알아보았던 관광지의 호텔이 추천되고, 더 저렴한 여행 가방과 항공권을 추천받게 된다. 나의 기호와 상황에 딱 들어맞는 상품을 추천받았다는 신기함을 넘어 무섭다는 생각이 든다. 이것은 빅데이터로 수집된 정보를 알고리즘을 통해서 분석 및 추천되는 개인 맞춤형 서비스이다. 그렇다면 나에 대한 데이터가 이렇게 수집되고 활용되어도 괜찮은 것일까. 나와 관련된 이 데이터의 소유 주체는 누구인가.

내가 통화하고, 검색하고, 구매하고, 진료받아 생성된 개인 데이터는 나한테는 없고 내가 이용한 주체, 즉 통신사, 포털기업, 금융기관, 병원 등 해당 기관의 서버에 고스란히 저장되어 있다. 그렇다면 우리는 개인 데이터를 언제든지 열람할 수 있고, 다운받을 수 있고, 다른 기관에 전달하거나 심지어 우리가 원할 때 데이터를 삭제하거나 폐기할 수 있는 것인가? 그러나 현실은 그렇지 않다. 개인은 데이터를 제공했지만 그 이후부터 배제된 채 기관(기업)들은 개인 데이터를 자신들의 서버에 저장해놓고 자신들의 업무나 사업 목적에만 배타적으로 활용하고 있다.

기존에는 스마트폰 통화를 하고 병원 진료를 받고 쇼핑 결제를 하면서 발생된 데이터는 수집한 주체(기업, 기관 등)에 소유권이 있다고 생각해 왔다. 하지만 이제는 개인의 데이터에 대한 소유권이 수집 주체에만 있지 않고 개인에게도 소유 권한이 있다는 새로운 접근 방식이 나타났다. 즉, 마이데이터는 데이터에 액세스하고 제어할 수 있는 권한의 주체가 기관(기업)에서 개인으로 이동하는 패러다임이다.

<그림 1>를 보면 API 에코시스템(API ecosystem)에서는 기업과 기관은 개인 정보를 수집하여 자신의 서비스에 활용했다. 고객 관계 관리(CRM)의 중요성이 부각되면서 통신사, 쇼핑몰, 병원, 공공기관 등 대부분의 기업과 기관에서 개인 데이터와 정보를 수집했다. 이때는 수집 기업과 기관의 경영관리 등 내부 자료로만 활용되었다. 애그리게이터 모델(Aggregator Model)에서는 국내 네이버나 미국의 구글, 애플 등 플랫폼 기업이 등장하면서 데이터 기반의 사업모델이 점차 대세를 이루게 된다. 이들 기업은 개인 데이터를 기반으로 하는 다양한 서비스와 사업 모델을 제공한다. 이전과 다른 점은 경영관리 등의 내부 관점에서 벗어나 데이터를 기반으로 개인에게 직접 서비스를 제공하게 되었다.

마이데이터 모델(My data Model)에서는 각 개인의 특성을 고려한 ‘개인 맞춤형 서비스’를 제공한다. 이전에는 플랫폼을 중심으로 데이터의 흐름이 있었다면, 마이데이터 모델에서는 개인을 중심으로 데이터가 이동하고 개인은 데이터에 대한 엑세스와 통제 권한이 부여되어 개인이 직접 데이터를 수집, 공유, 활용하는 의사결정을 한다. 마이데이터 산업은 의료, 금융, 통신, 유통, 에너지 등 각 산업분야에 있는 개인이 직접 자신의 데이터에 대한 통제권(수집, 저장, 이동, 공유, 활용, 삭제 및 철회 등)을 갖도록 하며 데이터 기반의 개인 맞춤형 서비스를 제공하는 모든 서비스로 포괄할 수 있다.

EU는 ‘일반개인정보보호법(General Data Protection Regulation, GDPR)’을 통해서 개인정보의 보호와 활용에 대한 규정을 마련하여 2018년 5월부터 시행하고 있으며, 영국은 에너지와 통신 분야에서 우선 ‘Mydata’를 도입하였고 금융분야에서는 ‘PSD2’ 도입과 오픈뱅킹을 통해서 전환점이 되었다. 프랑스는 ‘Mes INFOS’, ‘Rainbow Button’ 등 파일럿 프로젝트를 중심으로 국민이 마이데이터를 경험하도록 하였으며, 핀란드는 실증 프로젝트를 통해서 마이데이터 모델과 기술적 인프라 등 수립을 시도하고 있다. 미국은 정부의 주도하에 의료, 통신, 교육, 에너지 등의 분야에서 ‘스마트 공시(Smart Disclosure)’를 통해서 개인 데이터 정책을 추진하고 있다.

구체적인 사례로 미국은 2011년부터 환자가 개인 의료정보를 병원으로부터 직접 다운받거나 다른 병원에 진료 기록을 전달할 수 있도록 소비자의 접근을 가능하게 했다. 미국의 블루버튼(Blue Button) 서비스는 미국 퇴역군인들이 자신이 거주하던 곳에서 먼 곳으로 이사갔을 경우 진단서를 발급받는데 물리적인 한계로 인해 불편함을 없애고자 온라인으로 진료 내역을 다운받아서 다른 병원에 전달할 수 있도록 하는 것에서 처음으로 시작되었다. 특히 미국 기업인 휴메트릭스가 개발한 아이블루버튼(iBluebutton)은 환자 개인이 자신의 건강 기록에 대해 접근할 수 있고, 진단 및 복용 약물 목록, 검사 내용, 의사 방문 일정, 입원 내역 등을 열람할 수 있고, 각종 약품, 예방 접종, 알레르기 및 병역을 요약하여 정리해서 보여주기도 한다.

또 다른 사례를 보면, 미국 기업인 민트(Mint.com)는 개인 맞춤형 금융서비스로서 개인의 자산을 관리해주는 서비스를 제공한다. 이전에 대부분의 금융기관은 자사 고객의 정보만을 이용한 제한된 서비스를 해왔다. 하지만 민트는 개인이 가입되거나 거래하는 금융기관의 정보(ID와 PW)를 받아 해당 기관의 개인 데이터를 대신하여 수집한다. 민트는 개인의 은행 계좌 정보, 증권 계좌 정보, 대출 계좌 정보, 기타 자산 정보 등을 입력하면 통합해서 그래프 등 시각화하여 보여준다. 지출 내역과 소비 패턴 분석을 통해서 자산이 얼마나 증가·감소했는지를 사용자가 일일이 가계부를 기록할 필요가 없이 자동으로 수집되어 제공해준다. 은행뿐만 아니라 증권사, 카드사 등 모든 금융기관의 데이터를 수집하여 한번에 나의 금융 거래 내역을 보여주고, 이를 통해서 맞춤형 금융서비스를 제공하거나 금융 상품을 추천해 줄 수 있다. 내가 현재 사용 중인 신용 카드 및 증권 계좌를 비교해서 추천해주고 이를 통해서 얼마의 자산을 증식하거나 예산을 절약할 수 있는지 알 수 있도록 해주는 서비스이다.

우리나라의 마이데이터 산업 발전과 인간 중심의 데이터 기반의 사회를 위해서는 ‘마이데이터 포럼’에서 제시한 ‘디지털 사회 구현’을 위한 접근을 고려할 필요가 있다.

첫째, 사회적 인식변화이다. 개인이 정보 주체로서 데이터에 대한 개인의 권리를 보호하고 개인이 데이터를 통제하고 제어할 수 있도록 해야 한다. 개인은 데이터에 대한 주인의식을 갖고 적극적인 태도로 권리를 행사해야 한다. 이를 위해서는 개인 데이터를 보유한 주체는 개인에게 데이터 소유권을 환원해주는 분위기가 사회 전반에 확산되어야 한다.

둘째, 정부의 제도적 기반 마련이다. 정부가 주도하여 개인의 데이터에 대한 소비자 권한을 강화하고, 개인 데이터를 보유한 기관이 적극적으로 개인에게 데이터와 그 권한을 주도록 제도를 마련해야 한다. 우리나라는 다른 나라에 비해 개인정보보호법 등 강력한 개인정보 정책을 취하고 있다. 개인 데이터 통제권 및 이동권에 대한 원칙과 가이드를 제공하여 중복적인 부분을 통합하거나 조정하는 등의 노력이 필요하다.

셋째, 기업들의 노력과 투자이다. 기업은 개인과 데이터에 대한 신뢰 관계를 우선 구축하도록 해야 한다. 개인 데이터를 독점하지 않고 개인에게 개방하여 개인 데이터를 활용한 다양한 혁신 서비스를 개발하여 개인의 편의성을 높이고 데이터 제공 비용을 낮추도록 해야 한다. 개인 데이터의 보호와 활용을 위한 기술 개발과 인프라 구축에 투자해서 데이터 산업의 수익을 창출하도록 해야 한다. 특히 보안 사고에 대해서는 핵심 소재를 명확히 하여 스스로 책임지는 자세를 보여야 한다.

끝으로 마이데이터 산업은 개인 데이터를 생성하거나 활용하는 모든 분야에서 이종 데이터의 융합을 통해서 제공하는 개인 맞춤형 서비스로 정의할 수 있다. 빅데이터를 기반으로 하는 인공지능 기술의 개인 맞춤형 서비스는 모든 산업 분야에 적용될 것이고 개인과 기관 사이에는 데이터의 권한을 둘러싼 갈등과 분쟁이 증가하게 된다. 따라서 우리는 사업적 기회 창출과 리스크 관리 차원에서 개인에게 정보 주체로서 권한을 부여하는 마이데이터에 대한 이해와 대응을 개인, 기업, 정부 등 모든 사회 구성원들이 함께 노력해야 할 것이다.