개인정보보호위원회가 ‘마이데이터’ 제도를 교통·교육·고용·부동산·복지·유통·여가 등 산업 전반으로 확대하기 위한 법령을 강행하기로 해 논란이 일고 있다. 통신·의료·에너지로만 제한돼 있던 마이데이터 사업의 적용 범위가 확대되면 인공지능(AI)을 활용한 개인 맞춤형 상품과 서비스가 나올 수 있다는 장점이 있지만, 개인의 민감 정보를 추론할 수 있는 엄청난 ‘데이터 저수지’가 해킹 등의 위협에 처할 것이라는 우려도 나온다.
19일 개인정보위 등에 따르면 ‘본인전송요구권을 전 업종으로 확대’하는 것을 골자로 한 개인정보보호법 시행령 개정안이 이달 말 규제개혁위원회 본심사를 받는다. 개정안을 마련하고 약 4개월 만에 속전속결로 진행 중이다. 본심사를 통과하면 개인정보위가 지정한 제3자 중개 기관은 개인의 동의하에 다양한 영역의 데이터를 수집할 수 있는 권한을 부여받는다. 매출 1500억원 이상이고 가입자가 100만 명 이상인 기업은 업종을 불문하고 이에 응해야 한다. ‘데이터 허브’로서 중개 기관은 AI·빅데이터 산업을 개척할 스타트업 등에 해당 정보를 제공하는 역할을 맡는다.
논란의 대목은 개인정보위가 이번에 신설하기로 한 ‘대리권’이다. 각 개인에게 대리권을 부여해 본인 동의하에 자신의 데이터를 제3자가 수집하도록 권한을 이양할 수 있다는 의미다. 마이데이터 제도를 처음 시행한 유럽연합(EU)은 물론이고 미국에도 없는 개념이다. 이에 대해 코리아스타트업포럼 등 벤처업계는 “규제개혁위 지침을 우회하려는 전략”이라며 “인터넷 사용자 대부분이 본인도 모르는 사이에 동의 버튼을 누르는 순간, 어떤 데이터가 수집될지도 모르는 상황이 빚어질 수 있다”며 반발하고 있다. 개인정보위 관계자는 “40여 차례에 걸쳐 기업들을 대상으로 공청회를 열었고, 충분한 의견 수렴을 거쳤다”며 “‘본인 다운로드에 한해 전 업종으로 확대한다’는 내용을 구체화하자는 것이 개정안의 핵심”이라고 해명했다.
보안 이슈도 해결해야 할 과제로 꼽힌다. 이번 개정안은 전문 중개 기관의 자격 요건을 ‘자본금 1억원’으로 매우 낮게 설정해놨다. 보안업계 관계자는 “최근 대형 통신사들이 잇따라 해킹 피해를 입으면서 과학기술정보통신부가 상장사를 대상으로 정보보호 전문 인력을 상주시키고, 관련 임원의 지위를 격상시키라고 한 것과 모순된 조치”라고 꼬집었다.
김용희 선문대 경영학과 교수는 “개인정보위가 명확한 보안 대책 없이 권리 행사의 편의성이란 명목으로 이번 개정안에 금융 마이데이터 시행 당시 금지했던 스크래핑(화면을 긁어 필요한 정보를 가져오는 방식)을 허용하기로 한 것만 봐도 보안 이슈에 얼마나 허술한지 알 수 있다”며 “좀 더 충분한 사회적 논의와 공론화가 필요하다”고 지적했다.
이영애/강경주 기자 0ae@hankyung.com
◇전 세계 유례없는 ‘대리권’ 도입
19일 개인정보위 등에 따르면 ‘본인전송요구권을 전 업종으로 확대’하는 것을 골자로 한 개인정보보호법 시행령 개정안이 이달 말 규제개혁위원회 본심사를 받는다. 개정안을 마련하고 약 4개월 만에 속전속결로 진행 중이다. 본심사를 통과하면 개인정보위가 지정한 제3자 중개 기관은 개인의 동의하에 다양한 영역의 데이터를 수집할 수 있는 권한을 부여받는다. 매출 1500억원 이상이고 가입자가 100만 명 이상인 기업은 업종을 불문하고 이에 응해야 한다. ‘데이터 허브’로서 중개 기관은 AI·빅데이터 산업을 개척할 스타트업 등에 해당 정보를 제공하는 역할을 맡는다.
논란의 대목은 개인정보위가 이번에 신설하기로 한 ‘대리권’이다. 각 개인에게 대리권을 부여해 본인 동의하에 자신의 데이터를 제3자가 수집하도록 권한을 이양할 수 있다는 의미다. 마이데이터 제도를 처음 시행한 유럽연합(EU)은 물론이고 미국에도 없는 개념이다. 이에 대해 코리아스타트업포럼 등 벤처업계는 “규제개혁위 지침을 우회하려는 전략”이라며 “인터넷 사용자 대부분이 본인도 모르는 사이에 동의 버튼을 누르는 순간, 어떤 데이터가 수집될지도 모르는 상황이 빚어질 수 있다”며 반발하고 있다. 개인정보위 관계자는 “40여 차례에 걸쳐 기업들을 대상으로 공청회를 열었고, 충분한 의견 수렴을 거쳤다”며 “‘본인 다운로드에 한해 전 업종으로 확대한다’는 내용을 구체화하자는 것이 개정안의 핵심”이라고 해명했다.
◇통신사도 해킹에 당하는데…
기업의 기밀 데이터가 무방비로 노출될 수 있다는 우려도 여전하다. 개인정보위는 “개인이 기업별 홈페이지에 로그인해 들어가서 볼 수 있는 정도의 데이터가 수집 대상”이라고는 하지만 대부분 플랫폼 업체는 개인의 구매 행위에 관한 데이터 자체가 영업 비밀이라고 반박하고 있다. 인터넷기업협회가 “정부가 지정하는 중개 기관이 알리 등 C커머스 같은 해외 플랫폼에 데이터세트를 직접 이전하는 일은 없겠지만, 데이터 유통 경로가 복잡해지면 결국엔 핵심 데이터가 넘어갈 우려가 있다”고 경고하는 것도 이런 이유에서다.보안 이슈도 해결해야 할 과제로 꼽힌다. 이번 개정안은 전문 중개 기관의 자격 요건을 ‘자본금 1억원’으로 매우 낮게 설정해놨다. 보안업계 관계자는 “최근 대형 통신사들이 잇따라 해킹 피해를 입으면서 과학기술정보통신부가 상장사를 대상으로 정보보호 전문 인력을 상주시키고, 관련 임원의 지위를 격상시키라고 한 것과 모순된 조치”라고 꼬집었다.
김용희 선문대 경영학과 교수는 “개인정보위가 명확한 보안 대책 없이 권리 행사의 편의성이란 명목으로 이번 개정안에 금융 마이데이터 시행 당시 금지했던 스크래핑(화면을 긁어 필요한 정보를 가져오는 방식)을 허용하기로 한 것만 봐도 보안 이슈에 얼마나 허술한지 알 수 있다”며 “좀 더 충분한 사회적 논의와 공론화가 필요하다”고 지적했다.
이영애/강경주 기자 0ae@hankyung.com
관련뉴스
