‘My Data’와 ‘Personal Data’는 동의어일까?
상태바
‘My Data’와 ‘Personal Data’는 동의어일까?
  • 김인현 대표
  • 승인 2020.02.24 10:31
  • 조회수 2420
  • 댓글 0
이 콘텐츠를 공유합니다

 

GDPR의 Personal Data

EU의 GDPR은 Personal Data에 대한 법률이다. GDPR은 Personal Data라는 용어를 사용한다. GDPR에서 ‘Personal Data는 살아있는 개인을 식별하는 또는 식별할 수 있는 모든 정보이다’라고 정의한다(Personal data is any information that relates to an identified or identifiable living individual).

예를 들면 이름, 주소, 이메일 주소, 신용카드 번호, IP주소, 쿠키ID, 위치데이터 등이다. 주목할 부분은 살아있는 개인에 대한 데이터라는 점이다. 이는 기업이나 공공기관 등 조직은 대상이 아니다. 또한 개인이라 하더라도 죽은 사람의 데이터는 Personal Data가 아니다(즉, 데이터 보호의 대상이 되지 않는다).

Personal Data에서 식별할 수 있는 속성을 제거하거나, 암호화거나 또는 가명화했다고 하더라도 특정인을 식별할 수 있다면 이는 GDPR의 규제를 받는다. 즉, 가명화한 데이터는 Personal Data에 포함된다. 데이터 주체를 더 이상 식별할 수 없도록 조작한 데이터는 익명데이터라고 한다. 익명데이터는 Personal Data에 포함되지 않는다. 가명데이터는 공익을 위한 기록 보존의 목적, 과학이나 역사적 연구의 목적, 또는 통계 목적인 경우 추가적인 개인정보 처리가 가능하다(우리 기업을 위한 EU 일반 개인정보보호법 가이드북, 한국인터넷진흥원, 2018년 8월).


PSD2의 Consumer Data

오픈뱅킹을 규정하고 있는 EU의 PSD2는 소비자(Consumers)라는 용어를 사용한다. ‘소비자가 새로운 서비스를 이용하려고 할 경우에 기존에 거래하고 있는 은행은 이를 방해하지 않아야 한다’라고 규정하고 있다(Consumers who want to use such new services cannot be prevented by their banks from doing so). 모든 은행은 핀테크 또는 다른 은행이 소비자의 계좌 정보를 온라인으로 접근할 수 있어야 한다고 정하고 있다.

PSD2는 Person이라는 용어 대신에 Consumer라는 용어를 사용하고 있다. Consumer를 광의로 해석하면 ‘계좌를 개설하고 있는 개인 또는 법인’이 될 것이다. 오픈뱅킹 서비스의 대상은 개인으로 한정하는 것이 아니라고 볼 수 있다.

 

MyData 2016의 Data Subject

마이데이터 2016 컨퍼런스에서는 ‘개인/데이터주체/계좌소유자’의 용어를 사용하고 있다. 설명에서는 사람(person), 개인(individual) 등의 용어도 사용한다. 동의 흐름과 데이터 흐름을 설명하는 문맥으로 보면 마이데이터의 ‘마이’는 개인을 뜻하는 것으로 볼 수 있다. 
 

[그림 1] 마이데이터 아키텍처 / source: MyData 2016
[그림 1] 마이데이터 아키텍처 / source: MyData 2016


개인정보보호법의 개인정보

올해 2월에 개정된 개인정보보호법은 개인정보라는 용어를 사용한다. 동법 2조에서 개인정보란 살아 있는 개인에 관한 정보로 규정하고 있다. 개인을 직접 알아볼 수 있는 정보와 결합 등을 통해서 알아볼 수 있는 정보 그리고 가명정보도 개인정보의 범주에 포함시키고 있다.

더 이상 개인을 식별할 수 없는 정보를 익명정보로 정의하고 있고, 익명정보의 경우 개인정보보호법의 적용을 받지 않는다. 가명정보는 개인정보 법령에 의해 처리해야 하며, 통계작성, 과학적 연구, 공익적 기록보존 등의 목적 내에서만 정보주체의 동의없이 처리할 수 있다. 


신용정보법의 본인신용정보관리업

신용정보법에서는 마이데이터사업을 본인신용정보관리업이라고 표현하고 있다. ‘본인신용정보관리업은 개인인 신용정보주체의 신용관리를 지원하기 위하여 본인의 신용정보를 일정한 방식으로 통합하여 그 본인에게 제공하는 행위를 영업으로 하는 업’이라고 정하고 있다.

신용정보법의 ‘마이’는 개인이면서 신용정보주체를 뜻한다. ‘데이터’는 신용정보주체로부터 수집한 정보, 신용정보주체가 제공한 정보, 생성된 정보 등을 포함한다. 신용정보는 개인정보법에서 정한 개인정보보다 범위가 넓다. 신용정보법에서는 개인의 동의 없이 가명정보를 처리할 수 있는 경우에 상업적 목적의 통계 작성과 산업적 연구를 포함한다(개정신용정보법 간담회, 2020년 2월20일, 금융위원회). 


앞으로 문제

EU의 GDPR과 PSD2 그리고 우리나라의 개인정보보보호법과 신용정보법은 큰 맥락에서는 차이가 없는 것으로 보인다. 하지만, 가명정보의 활용 방법과 범위에 대해서는 논란이 있다. 데이터3법이 통과된 것은 데이터 경제로 나아갈 수 있는 계기가 되었다는 점에서 큰 의미가 있는 것은 분명하다. 마이데이터가 개인을 위한 서비스로 활발하게 진화하고, 또한 데이터의 원활한 유통과 활용을 통해 새로운 경제 성장 동력을 창출하기 위해서는 세부적인 논의가 활발하게 이루어져야 할 것이다.

 

 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.