데이터 이동권: 내 마음대로 데이터를 옮길 수 있는 권리
상태바
데이터 이동권: 내 마음대로 데이터를 옮길 수 있는 권리
  • 오희영 수석
  • 승인 2018.12.18 05:02
  • 조회수 2454
  • 댓글 0
이 콘텐츠를 공유합니다

데이터 주체의 권리

데이터 사회가 진전되면서, 데이터를 이용할 수 있는 권리에 대한 논의가 본격화되었다. 명확한 것은 데이터를 발생시킨 데이터 주체가 권리를 가져야 한다는 것이다. 영업의 결과로 데이터를 보유하게 된 경우에, 데이터 주체의 동의 또는 승인이 없이 데이터를 사용하는 것은 불법이라는 점에 모든 국가와 경제 주체들은 동의한다.


그렇다면 데이터 주체가 갖게 되는 권리는 어떤 것들이 있을까? 2018년 5월 25일에 유럽연합에서 발효된 GDPR(General Data Protection Regulation, 개인정보보호지침)은 8가지 권리로 세분화하여 정의하고 있다.

- 정보를 제공받을 권리 (Right to be informed)
- 정보를 열람할 권리 (Right of access by the data subject)
- 정보를 정정할 권리 (Right of rectification)
- 정보를 삭제할 권리 (Right of erasure (Right to be forgotten))
- 정보 처리를 제한할 권리 (Right of restriction of processing)
- 정보를 이동할 권리 (Right to data portability)
- 데이터 처리를 반대할 권리 (Right to object to processing activities)
- 의사결정 자동화와 프로파일링에 관련된 권리 (Right to related to automated decision making and profiling)

 투이톡_개인데이터_1.jpg
[그림 1] 데이터 주체의 8가지 권리

데이터 이동권

개인 데이터 이동권(Right to data portability)은 개인이 자신의 데이터를 자신이 지정한 위치로 이동시킬 수 있는 권리를 의미한다. 의료, 금융, 행정, 여행, 에너지, 통신 등 다양한 산업이 해당된다. 데이터 이동권이 없는 경우, 개인은 자신이 원하는 방식으로 데이터를 활용할 수 있는 방법이 없었다. 데이터를 보관하고 있는 곳에서 제공하는 방식을 사용할 수 밖에 없었다.


금융을 예로 들어보자. 지금까지 은행은 개인의 데이터를 안전하게 보관하는 의무만 있었다. 앞으로는 은행은 고객이 원하는 곳으로 데이터를 이동시킬 의무를 갖게 된다. 은행은 고객이 원하면, 고객이 사용하는 앱으로 고객의 금융 데이터를 보내야 하는 것이다. 고객은 자신이 보유하고 있는 금융 자산 운영은 거래 은행이 아닌, 다른 금융 서비스 제공자의 앱을 이용할 수 있게 된다. 


투이톡_개인데이터_2.jpg

[동영상 1] 데이터이동권 (출처: 유튜브)

▶ 동영상 링크 : https://www.youtube.com/watch?v=1fG_yfz5fe8

해외 데이터 이동권 현황

 

1. 유럽
GDPR에 의하면 사업자는 정보주체의 요구에 의해 개인 데이터를 제공하는 경우 요청 시점에서 1개월 이내에 무료로 개인 데이터를 제공해야 한다. 이 때 상호운용성을 보장할 수 있도록 CSV등, 기계 판독이 가능한 형태로 제공해야 한다. 정보주체의 요구가 있고 기술적 지원이 가능한 경우 사업자 간 직접 전송도 가능하다.

 

2. 미국
2011년 9월에 발효된 소비자 프라이버시 권리법(Consumer Privacy Bill of Rights)에서 스마트 공개(Smart Disclosure)를 도입하였다. 스마트 공개는 소비자가 원하면, 소비자가 원하는 방식으로 데이터를 제공해야 한다는 의무를 뜻한다. 스마트 공개의 일환인 블루버튼 및 그린버튼 이니셔티브 등은 개인 정보를 제3의 서비스 사업자에게 직접 전송하여 개인데이터를 활용할 수 있도록 한다.

 투이톡_개인데이터_3.jpg
[그림 2] 스마트 공개 데이터 흐름

기업이 지원하는 개인 데이터 이동

글로벌 인터넷 기업인 구글, 페이스북, 이베이, 아마존 등은 각 플랫폼에서 보유한 개인의 활동정보를 재활용 가능한 형태로 다운로드 받을 수 있도록 지원하고 있다. 이들 기업은 데이터 주체에게 직접 데이터를 제공하는 방식이다. 데이터 주체가 써드파티의 앱을 이용하여 데이터를 사용하기는 쉽지 않다.

 

1. 구글
‘내 데이터 다운로드(takeout)’를 통해 구글 서비스(이메일, 일정, 사진, 웹브라우저, 드라이브 등)에 저장되어 있는 개인 데이터를 다운로드 받을 수 있는 서비스를 제공한다. 본 서비스는 다운로드 받을 데이터를 선택할 수 있으며 이메일로 다운로드 링크를 전송하거나 타 클라우드 저장서비스인 드랍박스, 원드라이브 등으로 파일을 전송할 수 있다. 지원하는 데이터 포맷은 각 서비스에서 보편적으로 이용되는 유형으로 제공한다(ex. 연락처는 vCard 및 CSV, 메일은 MBox, 지도 및 캘리더는 Json 등). 그러나 이 때문에 다운로드 받은 파일을 이용자가 로컬에서 바로 확인하기 어렵다.


 
투이톡_개인데이터_4.jpg

[동영상 2] 구글 Takeout 이용방법 (출처: 유튜브)

▶ 동영상 링크 : https://www.youtube.com/watch?v=9FjJxxlsh_I 

2. 페이스북
‘내 정보 다운로드’ 서비스를 통해 페이스북 이용자의 모든 활동내역을 다운로드 할 수 있도록 지원한다. 이 경우 다운로드 받은 파일은 로컬에서 브라우징하여 정보를 확인할 수 있다. 데이터는 html 및 Json 중 선택하여 다운로드 받을 수 있으나 html로 다운로드 받는 경우 타 서비스와 공유하는 것은 어렵다. 페이스북은 개인정보 제공 시 이용자의 활동이력뿐 아니라 이용자가 광고주에게 제공한 정보 및 광고주 목록을 함께 제공한다.

 

3. 아마존, 이베이
아마존과 이베이는 이용자의 구매내역을 파일로 다운로드 할 수 있도록 지원한다. 이베이는 ‘eBay purchase history report’를 통해 3년간의 구매내역을 CSV, JSON, XML 형태로 제공하며, 해당 파일에 상품의 썸네일 이미지 및 이베이 상세 페이지 링크를 함께 제공한다. 아마존은 ‘order history report’를 통해 이용자의 구매내역을 CSV 형태로 다운로드 받을 수 있도록 제공한다.

Data Transfer Project (DTP)

구글은 개인이 다른 종류의 플랫폼에 보관된 자신의 데이터를 자유롭게 이용할 수 있는 환경을 만들기 위해, 2017년에 ‘데이터 해방 전선(Data Liberation Front)’ 을 발족시켰다. 그 결과로 2018년 7월20일에 ‘데이터 이동 프로젝트 (DTP, Data Transfer Project)’가 출범했다. DTP에는 페이스북, 마이크로소프트, 트위터 등이 파트너로 참여하고 있다.
 
투이톡_개인데이터_5.jpg  
[그림 3] Data Transfer Project

이종의 다양한 플랫폼에 제공하는 온라인 데이터를 API로 이용할 수 있는 방식을 공유하기 위한 목적이다. 데이터를 수집하기 위한 소스코드는 깃허브(GitHub)에 업로드되고 있으며, 주로 구글과 마이크로소프트 엔지니어들이 개발하고 있다.

데이터 이동권의 첫번째 단계가 사업자들의 개인데이터 제공이라면 두번째 단계는 개인데이터의 상호운용성과 쉬운 이동이다. DTP는 이용자의 편의성을 우선적으로 고려하면서도 서비스 사업자가 DTP를 쉽게 적용할 수 있도록 3가지 원칙을 준수한다.

1. 인증 및 파일전송은 기존의 검증된 표준(ex. OAuth, REST 등)을 준수하며 새로운 표준 수립 지양

2. 서비스 사업자의 핵심 인프라스트럭처에 영향을 주지 않고 기존의 API 및 인증 메커니즘을 활용할 수 있는 방식으로 구축

3. 언제, 누구라도 DTP 인프라스트럭처를 이용할 수 있는 유연한 설계

DTP는 본 플랫폼을 통해 신규서비스 이용 시 기존 개인 데이터 활용, 서비스 탈퇴 시 개인데이터 다운로드, 클라우드 기반 개인 데이터 백업 등 웹 기반 서비스 이용 시 이용자가 겪었던 어려움을 해소할 수 있을 것으로 기대한다.

우리나라 개인 데이터 이동권 현황

금융회사, 통신사, 온라인 서점, 일부 온라인 쇼핑몰 등이 개인 데이터 다운로드 기능을 제공하고 있다. 다운로드할 수 있는 데이터 범위는 이들 사업자가 정하고 있다. 예를 들어 계좌 거래 내역은 각 은행이 다운로드를 지원하고 있지만, 기간, 항목 등은 각 은행마다 다르다. 금융 소비자가 활용할 수 있는 방식으로 데이터를 제공하고 있지는 않다. 네이버 및 다음은 개인 데이터 다운로드를 지원하지 않는다.

회사 사이에 개인 데이터 이동은 회사의 필요에 의해 이루어진다. 이때 데이터 주체의 제3자 데이터 제공 동의가 필요하다. 데이터 이용은 데이터 주체를 위해서가 아니라, 데이터 활용 회사의 목적을 위해 이루어진다. 또한 어디로 이동할 것인가에 대해서도 데이터 주체의 의견이 고려되는 것이 아니라 데이터 이용 회사와 제공 회사의 협의에 의해 결정된다. 현재 우리나라는 데이터 주체의 데이터 이동권이 보장되고 있지 않다고 볼 수 있다.

- 끝 -

 

 

 

저작권자 © 투이컨설팅 무단전재 및 재배포 금지
오희영 수석
오희영 수석 다른 콘텐츠 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.