김경환 법무법인 민후 대표변호사가 지난 18일, '2019디지털 이니셔티브 정책 세미나'에서 발표한 자료입니다. 김경환 변호사는 세미나에서 데이터공유데 대한 중요성을 강조하고, 이를 실현할 수 있는 마이데이터의 활성화를 위한 법제도 개선방향에 대해 설명하였습니다.

1. 마이데이타 활성화를 위한 법제도 개선 방향
법무법인 민후 김경환 변호사

2. - 2 -
제4차 산업혁명과 데이터 공유
○ 데이터 관점에서의 제4차 산업혁명의 3대 키워드 이해
제4차 산업혁명의 3대 키워드 데이터 관점
지능
데이터를 통한 지능화
데이터를 통한 의사결정
융합 데이터의 융합
연결 데이터가 흐르는 상태
○ 제4차 산업혁명의 성패는 데이터, 특히 ‘거대 데이터’에 달려 있음
○ ‘거대 데이터’는 ‘데이터 공유(data sharing)’ 방법으로 달성할 수 있음

3. - 3 -
○ 데이터법의 4대 법영역 중 ‘데이터 공유법’이 가장 중요한 분야로 거론됨

4. - 4 -
데이터 공유의 장단점
○ ODI의 데이터스펙트럼 : 폐쇄데이터(closed data) < 공유데이터(shared data) < 공개데이
터(open data)

5. - 5 -
○ 폐쇄데이터에 비하여 데이터의 가치를 상승시킬 수 있음 (폐쇄데이터는 데이터의 가치를
떨어뜨리고 거대 데이터를 이룰 수 없어 경쟁력을 저하시킴)
○ 공개데이터에 비하여 의도하지 않는 공개를 방지할 수 있음 (무분별한 데이터 공개는 특
히 개인정보의 경우 정보주체의 자기결정권을 침해할 수 있음)

6. - 6 -
데이터 공유의 실현방법
○ 법령에 의한 실현 : 처리목적, 정보의 형태, 정보주체의 권리 등
예) 공익목적, 가명처리정보, 데이터 이동권(portability), 개인정보 열람권
○ 행정기관의 결정에 의한 실현 : 공익데이터 지정 등
예) 가칭 데이터위원회의 공익데이터 지정, 데이터 공유 명령 등
○ 정보주체 의사(동의)에 의한 실현 : 정보주체의 동의 등
예) 스마트디스클로우저, 마이데이터

7. - 7 -
데이터 공유의 구체적인 제도
<영국>
○ Health and Social Care Act 2012
- 이 법률은 의사들에게 환자의 개인정보와 의료정보를 보건복지정보센터(Health Social
Clinical Information Centre, 이하 HSCIC)에 제공하도록 하는 의무를 부여함으로써, 의
료정보의 공유를 달성하고 함
- 모아진 의료정보는 3가지 형태로 처리되는데, 그린 데이터(green data), 황색 데이터
(amber data), 적색 데이터(red data)가 그것임
- 하지만 홍보부족과 국민들의 거부감으로 인하여 2016년 폐지됨
○ 마이데이터(midata) 제도
- 배경 : 2011년 4월부터 추진되고 있는 소비자 권한 강화(customer empowerment) 정책
에서 시작됨. BIS(비즈니스 혁신부)가 2011년 소비자들의 권한강화를 위한 보고서로서

8. - 8 -
발간한 ‘나은 선택: 나은 협상(Better Choices: Better Deals)'에 담겨 있었음. 소비자들의
권력을 강화하여 보다 나은 선택권과 보다 나은 협상권을 갖도록 하는 것임
- 기능 : 첫째, 경제적으로 마이데이터는 기업들 간에 가치와 서비스 경쟁을 촉진하고 혁
신을 유도함으로써 지속가능한 경제성장을 독려한다. 둘째, 비즈니스적으로 마이데이터
는 기업과 소비자들간의 대화 개선과 신뢰증진을 통하여 새로운 비즈니스 기회를 창출
하고, 혁신적인 새로운 개인정보 서비스와 도구를 제공하는 기회를 창출한다. 셋째, 소
비자 측면에서 마이데이터는 소비자들에게 자신들의 데이터에 안전하고 안심하게 접근
하도록 해줌으로써 자신들의 기대와 욕구를 반영하는 의사결정을 하도록 해줌
- 예시 : 에너지 비용 감소 프로젝트
Account Provider – Account Holder – Comparison Provider

9. - 9 -
<미국>
○ HIPPA 프라이버시 규칙
- 비식별화를 통한 의료정보의 공유 제도
- 전문가 결정 방식(Expert Determination Method) 및 세이프하버 방식 (Safe Harbor
Method)의 비식별화 기준이 존재함
○ Smart Disclosure
- 데이터는 소비자의 의사결정에 유용한 정보를 제공하는 강력한 수단이 될 것이라는 인
식하에 오바마 정부는 데이터를 스마트하게 공개하기 위해 각별한 노력을 하고 있는데,
스마트한 공개란 시장에서 소비자들이 보다 쉽고 직접적으로 데이터를 활용하도록 하는
데에 목적이 있음
- 예시 : 블루버튼, 그린 버튼, Dodd-Frank Wall Street Reform and Consumer Protection
Act에 의한 금융정보 공유
- 블루버튼 이니셔티브 : 환자가 자신의 건강정보를 열람하고 다운로드 받을 수 있도록 하

10. - 10 -
는 국가적 프로그램. 2010년 재향군인부, 국방부, 건강 및 인간 서비스부 등을 포함한 몇
개의 부처로부터 시작하였고, 2013년 1월 ONC(Office of the National Coordinator for
Health Information Technology)는 블루버튼 구현을 위한 데이터 표준 가이드를 발표하
였으며, 2014년 건강정보에 대한 접근성 확대와 안전한 공유를 지원하기 위해 전국 최
대 규모의 약국 체인점과 유통업체 및 관련 협회들이 연방정부와 민관 파트너쉽을 체결
함. 블루버튼 이니셔티브에 참여하는 의료기관 등은 웹페이지 등에 블루버튼을 표시함

11. - 11 -
<EU>
○ GDPR
- GDPR의 처리목적에 의한 데이터공유 : 공익을 위한 기록보존 목적ㆍ과학 또는 역사 연
구 목적ㆍ통계 목적의 개인정보 공유 (제5조 제1항 (b), 제89조 제1항)
제5조 (개인정보 처리 관련 원칙)
1. 개인정보는 아래의 원칙에 의하여 처리되어야 한다.
(b) 특정되고 명시적이며 적법한 목적으로 수집되어야 하며, 수집 목적과 일치하지 않은 방식의 추
가처리는 금지된다. 제89조 제1항을 준수하면서 공익 목적의 기록 보존ㆍ과학적 또는 역사적 연구
또는 통계 목적의 추가처리는 최초의 목적과 일치하지 않는 것으로 보지 않는다(“목적 제한”).
- GDPR의 데이터이동권(portability) : 정보주체의 수령권 + 다른 컨트롤러에게의 전송권
제20조 (개인정보 이동권)
1. 정보주체는 자신이 컨트롤러에게 제공한 자신에 관한 개인정보를 체계화되고 일반적으로 사용
되며 컴퓨터 판독이 가능한 형식으로 수령할 권리를 가지고, 다음의 경우 개인정보가 제공된 컨트
롤러의 방해 없이 다른 컨트롤러에게 해당 개인정보를 전송할 권리를 가져야 한다.

12. - 12 -
2. 제1항에 따른 개인정보이동권을 행사함에 있어 정보주체는 기술적으로 가능한 경우 개인정보를
한 컨트롤러로부터 다른 컨트롤러에게 바로 전송하게 할 권리를 가져야 한다.
○ Revised Directive on Payment Services (PSD2)
- 고객 동의하에 API를 통한 제3자의 ‘읽기(read)’와 ‘쓰기(write)’ 기능을 허용하고 있음

13. - 13 -
<일본>
○ 개인정보보호법의 개정
- 우선 익명가공정보의 개념을 신설하고,
- 나아가 익명가공정보를 제공하는 경우에는 정보주체에 대한 동의 의무를 면제함으로써
익명가공정보의 공유를 인정
○ 민간데이터활용추진기본법
- 국가ㆍ지자체ㆍ민간 기업이 보유한 데이터를 효과적으로 활용하여 자립적이고 개성 있
는 지역사회 형성, 새로운 사업 창출, 국제경쟁력 강화 등을 목표로 함
- 정보은행(일본식 마이데이터 제도)의 ’추상적‘인 도입 근거가 되는 법률임
- 일본 총무성은 2018. 6. ‘정보신탁기능의 인정에 관한 지침 ver 1.0’라는 정보은행 제도
의 가이드라인을 발표하였고, 2018. 9. 일본IT단체연맹이 정보은행 인정사업을 시작하였
으며, 2018. 11.부터는 미츠비스UFJ신탁은행이 DPRIME이라는 정보은행 서비스를 시범
운영함

14. - 14 -
○ 차세대의료기반법
- 각 의료기관이 독자적으로 보유한 의료정보를 익명가공정보화하여 대학 등의 연구기관
이나 행정기관, 제약회사, 의료기기 개발기업과 인공지능ㆍ로봇을 활용하는 차세대 의료
시스템 관련 기업 등과 공유할 수 있게끔 하는 목적이 있음

15. - 15 -
마이데이터의 개념
○ 한 개인정보처리자가 수집한 개인정보를 정보주체가 원하는 마이데이터 사업자에게 제공
ㆍ통합하여,
○ 마이데이터사업자로부터 데이터 비교, 분석, 각종 서비스 등을 제공받는 제도
○ 또는 마이데이터사업자가 제3자에게 재제공하여 데이터 활용을 할 수 있게끔 하는 제도

16. - 16 -
마이데이터의 한계
○ 정보주체의 의사를 전제로 하므로, 정보주체의 의사나 노력이 없는 경우는 데이터 공유가
어려움
○ 정보주체에게 보상이 있어야 한다는 한계가 있음
○ 이런 이유로 ‘공익적 목적’의 데이터 공유나 ‘데이터의 구조적 편재 현상을 풀 수 있는 사
회적 인프라’로서 공유데이터 확보에는 한계가 있음

17. - 17 -
우리나라의 마이데이터 제도 (2018. 7. 금융분야 마이데이터 산업)
○ 추진배경
- 제4차 산업혁명의 핵심자원으로서 데이터의 중요성이 부각되는 가운데, 정보주체의 개
인이 소외되는 현상이 발생함
- 금융분야의 복잡한 구조의 상품 특성상, 정보 열위에 있는 금융소비자의 보호 문제가
부각됨

18. - 18 -
○ 마이데이터 서비스의 유형
본인 신용정보 통합조회 재무현황 분석
맞춤형 재무 컨설팅 제공 최적화된 금융상품 추천

19. - 19 -
○ 도입에 따른 법적 문제점
- 기존의 신용조회업(CB)과 마이데이터 서비스와의 구분이 불명확함
- 신규 핀테크업체들의 서비스 제공에 필수적인 고객 데이터의 안정적인 확보가 어려운
상황
- 대부분 핀테크업체들은 고객계정에 대리 로그인하여 정보를 수집하고 있는 상황
○ 도입에 따른 법적 문제 해결방안
- 신용조회업과의 명확한 구분을 통해 독자적 산업으로 육성함
- 소비자의 신용관리ㆍ자산관리 및 자기정보통제권 행사 등을 적극 지원할 수 있는 부수
ㆍ겸영 업무를 허용함
- 정보주체가 본인정보를 능동적으로 활용할 수 있도록 하는 ’개인신용정보 이동권‘ 도입
- 금융회사와 마이데이터 사업자 간 안전하고 신뢰할 수 있는 API 방식을 통한 정보제공
도입

20. - 20 -
○ 2018. 11. 더불어민주당 김병욱 의원 등 13인에 의해 ’본인신용정보관리업‘ 등의 도입이
담긴 신용정보법 개정안이 발의되었으며 현재 위원회 심사가 진행 중임
- 가명정보 도입, 제3의 전문기관을 통한 가명정보의 결합 가능
- 개인인 신용정보주체의 신용관리를 지원하기 위하여 본인의 신용정보를 일정한 방식으
로 통합하여 그 본인에게 제공하는 행위를 영업으로 하는 본인신용정보관리업을 도입
- 데이터이동권 도입 (개인인 신용정보주체가 금융회사, 정부·공공기관 등에 대하여 본인
에 관한 개인신용정보를 본인이나 본인신용정보관리회사, 다른 금융회사 등에게 전송하
여 줄 것을 요구할 수 있는 개인신용정보의 전송요구권을 도입하여 신용정보주체가 능
동적으로 본인 정보를 통제하고 활용할 수 있도록 하는 기반을 마련함)

21. - 21 -
마이데이터와 법적 이슈
○ 정보주체의 의사
- 정보주체의 제공 동의 : 개인정보를 제공하는 ’개인정보처리자‘가 정보주체로부터 동의
를 받아야 하므로 정보주체가 ’마이데이터 사업자‘에게 동의를 하는 경우 마이데이터 사
업자가 제공받는 것이 법적으로 실현 불가능. 정보주체가 제공 동의를 하는 경우 정보
주체가 받아서 마이데이터 사업자에게 건네주어야 한다는 점에서 매우 번거로움
개인정보보호법
제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정
보를 제3자에게 제공할 수 있다.
1. 정보주체의 동의를 받은 경우

22. - 22 -
- 정보주체의 열람 청구 : 정보주체를 열람청구를 하는 경우 ’정보주체‘에게 열람하는 제
도이지 ’마이데이터 사업자‘에게 제공하는 제도는 아니며, 열람청구를 하는 경우 정보주
체가 받아서 마이데이터 사업자에게 건네주어야 한다는 점에서 매우 번거로움
- 제공동의나 열람청구 범위를 수집 데이터에 한정할 것이지 개인정보처리자의 가공데이
터까지 포함할지 모호함
- 데이터이동권은 현행법에 존재하지 않음
○ 개인정보의 제공
- 정보주체가 동의를 하더라도 개인정보처리자의 제공시 데이터 호환성이 보장되지 않음
- 정보주체의 제공 동의의 경우, 개인정보처리자가 마이데이터사업자에게 제공하지 않더
라도 강제 수단이 없음
- 정보주체가 열람청구 하더라도, 정보주체에게만 제공하겠다고 고집하면 사실상 방법이 없음
- 제공 과정에서의 유출 문제 발생 (스크래핑 방식 vs API 방식)
- 비용발생에 대한 부담자 결정 문제 발생

23. - 23 -
○ 개인정보의 통합관리
- 마이데이터 사업자에게 여러 유형의 개인정보가 뒤섞여 있기에 관할 법령이나 감독기관
의 관할분장 문제가 발생함
- 마이데이터 사업자의 개인정보 이용범위가 불명확할 수 있어 오남용 문제가 발생함
- 마이데이터 사업자의 개인정보 통합에 따른 관리 부실이나 유출 문제가 심각할 수 있음
- 통합관리로 인하여 소비자의 통제권이나 개인정보자기결정권이 오히려 약화될 수 있음
○ 마이데이터 사업자의 보상
- 마이데이터 사업자의 정보주체에 대한 보상이나 그 보상기준이 정해져 있지 않음
- 보상 방법도 고민해야 할 문제임
○ 개인정보의 파기
- 정보주체의 일부 동의 철회에 따른 파기 문제가 발생함
- 제공 목적을 달성한 경우의 파기 규율 문제도 존재함

24. - 24 -
마이데이터 사업에 관한 바람직한 법적 개선방향
○ 마이데이터 사업에 대한 입법이 바람직함
- 데이터이동권 또는 마이데이터 요구권 등
- 개인정보처리자의 호환가능 형태로의 제공 의무 부여
- 마이데이터 사업자에 대한 감독관할 결정
- 마이데이터 사업자에 대한 관리 강화 및 보상 규정 신설
- 마이데이터 사업자의 파기 외에 비식별화에 의한 보관 가능하게 함
○ 민간데이터에 한정하지 않고 공공데이터까지 포함하는 것이 바람직함
- 공유성에 따른 데이터 계층화에 대한 제도 개선도 병행되어야 함

25. - 25 -
결 론
○ ’데이터 공유‘에 대한 법적 기초 형성은 제4차 산업혁명 시대에 있어 가장 우선적으로 추
진되어야 하고 가장 중요한 과제임
○ 데이터 공유의 가장 초기적인 형태이고 가장 조속한 실현가능성이 높은 것이 ’마이데이터‘
제도라 할 수 있음
○ 현재로서도 해석상 어느 정도 실현은 가능하지만, 사회적 합의를 전제로 하는 입법적 도
입이 되어야만 그 기능을 제대로 그리고 ’지속적으로‘ 발휘할 수 있음 (예 : 비식별조치 가
이드라인 관련업체에 대한 시민단체의 고발 사건)
○ 혁신 달성 및 경쟁력 강화를 위해서 마이데이터 등 데이터 공유에 대한 지속적인 입법 노
력이 있어야 할 것임