1. 마이데이터 개념
마이데이터를 직역하자면 나의 데이터라고 해석할 수 있는데요. 그렇다면 마이데이터는 단순히 개인정보를 지칭하는 것일까요? 그렇지 않습니다. 마이데이터는 개인데이터 활용 체계의 새로운 패러다임으로 개인데이터의 활용과 관리의 권한이 정보주체인 개인에게 있음을 강조하여 개인의 자기정보 결정권을 강화화는 개념을 포괄하고 있습니다.
즉, 정보의 주인인 내가 스스로 결정하여 내 정보를 다른 기관에 보내기도 하고 신용, 자산, 건강관리에 활용하기도 하는 등 정보주체인 개인이 주도적으로 데이터를 관리하기 위한 일련의 과정을 모두 포괄하고 있는 개념이라고 할 수 있는 것이지요.
여기서 중요한 것이 바로 '동의' 입니다. 동의는 데이터의 주인인 '개인'이 자신의 데이터 활용에 대한 긍정의 의사를 표현하는 것을 의미합니다. 개인 데이터 활용에 대한 허가를 받는 가장 필수적인 절차 입니다.
개인정보 활용 시 동의 절차는 굉장히 중요합니다. 개인정보보호법에서도 개인데이터 수집, 이용, 제공할 경우 개인의 동의를 기반으로 하도록 되어 있으며, 유럽의 일반개인정보보호법인 GDPR에서는 강화된 동의조건을 제시하여 개인정보 활용에 있어 개인의 통제권과 선택권을 보장하고 있습니다.
데이터를 보유한 기업에 데이터 제공을 요구하여 데이터를 PC나 스마트폰 등으로 직접 내려받고,
뿐만 아니라 데이터를 제3자에게 전송하도록 요구하여 활용하는 데 있습니다. 그리고 기업은 개인데이터를 제공받아 개인의 편의성을 증대하는 다양한 서비스를 제공하게 됩니다.
2. 마이데이터 원칙
그렇다면 이제부터 마이데이터 도입과 확산을 위해 지켜야 할 주요 원칙에 대해 살펴보겠습니다. 마이데이터의 원칙은 크게 3가지로 구분할 수 있습니다. 첫 번째는 데이터 권한으로 개인이 개인 데이터의 접근, 이동, 활용 등에 대한 통제권 및 결정권을 가져야 한다는 것입니다. 두 번째는 데이터 제공입니다. 기업은 개인이 요구할 때 개인 데이터를 안전한 환경에서 쉽게 접근하여 이용할 수 있도록 제공해야 합니다. 세번째는 데이터 활용으로 개인의 동의에 의해서 데이터의 자유로운 이동과 제3자 접근이 가능해야 합니다.
그럼 마이데이터 주요 원칙에 대해 좀더 자세히 살펴볼까요. 이전까지는 데이터의 권한이 기업의 소유라는 인식이 강했으며 기업이 데이터 활용에 대한 동의를 주도적으로 수행하였습니다. 마이데이터 도입을 위해서는 개인이 본인 데이터를 종합적으로 관리하며 데이터에 접근, 이동, 활용, 모니터링 등에 대하여 자기결정권을 가질 수 있도록 데이터 권한이 보장되어야 합니다.
또한 필요한 개인 데이터를 다운로드받거나 편리한 방식으로 접근할 수 있는 방안이 미비했던 과거와 달리 안전한 환경에서 개인데이터를 쉽게 접근하고 전송할 수 있도록 보장해야 합니다.
그리고 기업 간 데이터 제휴를 하지 않는 경우에는 열람권만 있어 서비스 이용에 제약을 받은 과거와 달리 개인 동의에 의한 데이터의 자유로운 이동과 제3자 접근이 가능하도록 데이터 활용을 보장해 줘야 합니다. 데이터 권한/제공/활용 등 마이데이터의 주요원칙들이 보장될 수 있도록 정부는 관련 법/제도 기반 확립 등 다양한 정책을 펼치고 있습니다.
또한, 마이데이터 서비스를 제공하는 기업들이 꼭 유의해야 할 점들이 있는데요. 기업은 사용자의 데이터가 언제, 어떻게, 어떤 목적으로 사용되었는지 정확한 정보를 제공하여야 하며 활용되는 데이터의 범위와 활용처를 사용자가 직접 통제할 수 있도록 해야 합니다. 또한 기업은 데이터 활용시 발생하는 다양한 가치를 데이터 주체가 실감하고 공유할수 있도록 해야하며, 적절한 보안 네트워크를 구축하고 정확한 정보를 제공하여 사용자에게 신뢰감을 주어야 합니다.
하나씩 좀더 자세히 살펴볼까요. 기업은 개인이 기만당하거나 착취당했다는 오해를 하지 않도록 개인데이터의 수집과 활용정보를 명확하게 공개해야 합니다. 예를 들어 개인 데이터의 얼람 및 조회, 다운로드, 데이터의 처리 내역 제공 내역을 공개하는 것입니다.
또한 데이터 활용이나 제공에 대해 동의할 때 개인이 원하는 내용만 선택하여 동의할수 있도록 선별적 동의 기능을 구현하여야 하며 개인이 어떤 내용인지 알기 쉽게 내용을 구성하여 개인의 통제권을 보장해야 합니다.
또한 개인에게 명확하고 가시적인 보상을 제공하도록 해야 합니다. 수익 중에 일부는 개인에게 돌려주고 개인에게 제공되는 혜택은 가시적으로 제시하는 것입니다.
마지막으로 신뢰성을 높이기 위해 개인데이터에 대한 보호체계를 마련하고, 개인데이터의 활용과 서비스 제공 과정에서는 마이데이터 서비스 제공자를 신뢰할 수 있는 방안을 구축해야 합니다. 예를 들면 맞춤형 상품은 추천할 때 어떤 기준에
의해서 추천을 한것인지 근거를 제시해주는 것이죠.
3. 마이데이터 기술
앞서 개인이 원할 경우 기업은 개인 데이터를 다른 기관으로 전송하여 활용할 수 있다고 말씀드렸는데요. 그렇다면 이제부터 마이데이터의 중요한 핵심 내용 중 하나인 데이터 제공 방법에 대해 알아보겠습니다. 개인 데이터를 전송하는 방법으로는 크게 두 가지가 있습니다. 첫 번째는 제3자 제공동의에 의한 정보제공 방식이 있으며 두번째로 전송요구에 의한 정보제공 방식이 있습니다.
제3자 제공동의 방식은 기업에서 제3자에게 정보를 제공하기 위하여 개인에게 데이터 활용에 대한 동의를 요청하여 데이토를 전송하는 구조입니다. 전송요구에 의한 정보제공 방식은 정보주체가 전송 의지를 갖고 기업의 데이터 전송을 요청하는 방식입니다.
마이데이터 정책 도입 전에는 기업이 데이터 전송을 결정하고 개인은 단지 동의여부만 결정할 수 있었지만 마이데이터 정책이 도입되며 개인의 의사에 의한 데이터 이동이 가능하게 되었습니다.
전송 방식이 정해지면 기업에서는 개인 데이터를 다른 기업으로 보내야 합니다. 어떻게 기업은 데이터를 다른 기업으로 전송하는 걸까요? 여러 방법이 있지만 현재 가장 권고하고 있는 방식은 API를 통한 데이터의 전송입니다. 특히 신용정보법에서는 정보 제공자가 개인 데이터를 전송할 경우 API와 같이 안전하고 표준화된 방식을 이용하도록 의무화하고 있습니다. 그렇다면 여기서 잠깐 ! API 란 무엇일까요?
API 는 특정 어플리케이션, 데이터 등에 접근하여 사용할 수 있도록 개발한 인터페이스로 다른 프로그램과 데이터를 연결하는 매개체 역할을 합니다.
흔히 API를 식당 종업원에 비교하는데요. 고객이 식당에서 종업원을 불러 음식을 주문하면 종업원은 쉐프에게 주문을 전달합니다. 그리고 쉐프는 종업원에게 음식을 전달하고 종업원은 고객에게 음식을 전달합니다. 즉 고객이 마이데이터 서비스에서 데이터 전송을 요청하면 API를 통해 정보 제공자를 호출하고 정보 제공자는 API로 데이터를 전달하는 것이죠.
이러한 방식이 가능하려면 데이터를 전송하고자 하는 기관은 데이터에 접근할 수 있도록 API 시스템을 구축해야만 하며, API를 통해 안전하게 데이터를 주고 받을 수 있게 됩니다.
API를 통해 전송 방식을 구체적으로 살펴볼까요. 스마트폰 어플리케이션에서 환율 정보를 보여주는 서비스를 제공하려고 합니다. 어플리케이션에서 미리 정해 놓은 API 명령어를 통해 은행에 환율 데이터를 요청합니다. 은행서버에서는 호출한 API 명령어를 확인하여 이에 해당하는 환율 정보를 어플리케이션으로 전송해 줍니다.
그리고 또 하나 마이데이터 사업 추진시 중요한 것이 바로 '인증' 입니다. 데이터를 제공하는 기업은 데이터를 요청한 개인이 누구인지 그 신원을 정확하게 확인하고 인증해야 합니다. 요청한 사람이 아닌 다른 사람의 정보를 보내면 정말 큰일이니까요. 고객이 본인인증을 하는 방법으로는 개별 본인인증 방식과 통합 본인인증 방식이 있습니다.
개별 본인인증은 정보 제공자가 제공, 또는 인정하는 인증수단인 아이디와 패스워드, 퓨대폰인증, 지문 등을 이용하여 정보제공자가 개별로 인증 및 정보 전송 요구를 수행하는 방법입니다.
통합 본인인증은 통합 인증 기관이 제공하는 인증 수단입니다. 예를 들면 공동 인증서 등을 이용하여 한 번만 인증을 하면 다수의 정보 제공자에게 일괄적으로 인증이 가능한 방식입니다.
현재, 정보제공자는 고객의 선택권을 고려하여 고객에게 두 가지 인증 방식을 모두 제공할 수 있도록 권고되고 있습니다. 하지만 정보제공자가 각기 다른 인증방식을 사용할 경우 이용자가 매번 다른 방식으로 인증을 해야 하기 때문에 편의성이 저하되며 기업의 입장에서도 상호운용성이 저해될 수 있습니다. 이런 이유로 통합 인증의 필요성이 제기되고 있으며, 통합인증을 어떤 수단으로 어떻게 하면 좋을지 활발한 논의가 진행 중입니다.
한편으로는, 마이데이터 정책 시행 시 보안 및 개인정보 유출에 대한 우려의 목소리도 존재하는데요. 마이데이터에 대한 대중의 신뢰 확보를 위해서는 개인정보 보호화 보안이 전제되어야 합니다.
이 때문에 정보제공자 및 정보 수신자에게 철저한 보안 요건 준수가 요구됩니다. 신용정보법령 및 신용정보 감독 규정에서는 구체적인 보안 요구 사항을 제시하고 있는데요. 기업은 기술적 보안 사항, 물리적 보안 사항, 관리적 보안 대책 등을 수립 및 시행해야 합니다. 실태점검, 접근권한 관리, 이용자 보호 등 관리적 보안 사항을 준수하여야 하며 전산설비 분리, 물리적 보안 사항을 준수하여야 하며 망분리, 침입 차단/탐지 시스템 운영 취약점 점검 등 기술적 보안 사항을 준수하여야 합니다.
4. 마이데이터 발전단계 및 효과
마이데이터 산업에 대한 논의가 활성화 되면 4차산업혁명위원회에서는 데이터/개발 활용 정도에 따라 마이데이터 발전 단계를 구분하여 마이데이터의 발전 방향을 제시하였습니다.
초기 단계인 0단계에서는 스마트폰이나 컴퓨터로 기관 홈페이지에 접속해 정보를 열람할 수 있습니다.
1단계에서는 기관 홈페이지나 어플리케이션을 통해 내 데이터를 내려받아 저장할 수 있습니다.
2단계에서는 기관에서 다른 기관으로 내 데이터를 전송하도록 요구하고 이를 이행할 수 있습니다.
3단계가 되면 전송요구를 내 데이터를 한곳으로 모으고 이를 활용해 맞춤형 서비스를 제공받을수 있습니다.
4단계에서는 모든 분야에서 내 데이터를 내 뜻대로 안전하게 편리하게 활용할 수 있습니다.
현재는 금융, 의료 등 산업별로 마이데이터 진행 수준이 상이한 상황이지만 궁극적으로 데이터가 자유롭게 이동하고 활용되는 4단계로 나아갈수 있도록 하기 위해 공공, 민간, 시민사회 등이 다양하게 협력하며 의견을 모아가고 있습니다. 그렇다면 마이데이터는 우리에게 앞으로 어떤 영향을 줄까요.
마이데이터가 가져오는 긍정적인 변화에 대해 살펴보도록 하겠습니다. 첫째, 정보주체의 자기 결정권 확립이 가능해집니다. 이전에는 소극적으로 본인 정보의 활용에 동의하는 수동적인 태도에서 정보주체가 능동적으로 본인정보의 활용과 범위를 선택한다는 점에서 자기결정권이 제고됩니다.
나아가 개인 사용자는 자신의 데이터에 대해 열람권, 정정권, 삭제권, 반대권, 처리거부권 등을 포함한 정보주체의 권리가 한층 강화될 수 있습니다.
또한, 마이데이터가 활성화되면 에코시스템도 변화하게 될것 입니다. 이전에는 API가 다 흩어져 있어 서비스가 많아질수록 연결의 복잡도가 증가하거나 서비스를 연결해주는 플랫폼이 있어도 플랫폼간에는 데이터를 공유할 수 없었습니다.
하지만 마이데이터는 한 기관이나 인프라스트럭처에 종속되지 않고 개인을 중심으로 모든 데이터들이 연결됩니다. 즉 개인 데이터의 활용방법과 공유대상을 데이터의 주인인 개인이 선택할수 있게 되는 것이죠.
두 번째로 우리 생활을 편리하게 만들어준 다양한 서비스를 제공받을수 있습니다. 데이터의 이동이 자유로워지면서 소비자가 서비스를 보다 쉽게 "이동" 할수 있게 되어 사업자에 대한 구속이 완화되면서 기업의 건전한 서비스 경쟁이 활성화 되고
사업자간 경쟁 과정에서 서비스 개선과 가격합리화가 촉진되어 산업의 효율성, 소비자 혜택이 증가할 것으로 전망됩니다.
셋째, 데이터 이동권이 확대되면서 시장의 진입장벽이 낮아져 기존 사업자 외에 다양한 신규 후발 공급자의 시장참여기회가 늘어날 것으로 전망됩니다.
이와 함께 데이터의 결합/활용이 가능해짐에 따라 고객의 다양한 수용에 부합하는 혁신적인 맞춤형 서비스가 등장하여 신규 시장 창출효과가 크게 나타날 것입니다.
5. 마이데이터 서비스
그렇다면 마이데이터를 활용해서 어떤 서비스들이 제공될 수 있을까요?
첫번째 사례는 최근 급속도로 증가한 빅테크, 핀테크 및 금융사의 신용정보 통합조회 서비스인데요. 이 서비스는 개인의 신용정보를 통합 조회할수 있게 해주는 다음 네이버페이의 화면에서 볼수 있듯이 한눈에 개인이 가진 금융정보를 포함한 신용정보를 보여줍니다. 예를 들어 증권을 클릭하면 내 증권이 얼마나 있는지 카드결제는 어떤 금융기관에 얼마나 결제되는지 모두 확인이 가능합니다.
두번째는 미래의 쇼핑에 관련된 예시입니다. 이제는 TV자체가 하나의 플랫폼이 된 시대가 되었어요. TV의 수많은 디바이스를 설치를 하고 TV프로시청을 하면서 라이브커머스 자체가 들어가 있으면서 TV 리모컨으로 결제도 할수 있고 이에 대한 평가 등도 소셜 서비스로 연결하여 사용할 수 있습니다.
다음은 미국의 농구 경기 중계 화면인데요. 농구선수가 신고 있는 신발의 종류와 가격에 대한 정보가 화면에 표시되고 이를 시청자가 바로 구매를 할수 있습니다.
TV에 설치되어 있는 앱을 이용하여 가능한데요. 더불어 이와 관련한 평가들을 소셜 네트워크를 통해 제공받을 수 있도록 구현하였습니다.
세 번째 사례는 영화 정보에 대한 마이데이터 적용입니다. 영화를 즐겨보는 개인이 해당 웹에 접속할 경우 개인이 이미 보았던 영화 정보가 제시되는데요. 여기에서 그치는 것이 아니고 금융 쇼핑 소셜 분야의 이 데이터를 결합하여 활용하게 되는 것이죠.
현재에는 법적 제한으로 시행되고 있지 않지만 마이데이터의 활용 방법 중 하나라 할 수 있습니다.
< O, X 퀴즈 문제 >
1. 마이데이터는 '개인데이터'를 지칭하는 개념이다. (X)
(해설) 마이데이터는 정보의 주인인 개인의 자기정보 결정권을 강화하여 정보주체의 결정에 따라 본인정보를 다른 기관에 보내기도 하고, 신용, 자산, 건강관리에 활용하기도 하는 등 정보주체인 개인이 주도적으로 데이터를 관리하기 위한 일련의 과정을 모두 포괄하고 있는 개념이다.
2. '전송요구에 의한 정보제공' 방식은 기업에서 제3자에게 정보를 제공하기 위하여 개인에게 데이터 활용에 대한 동의를 요청하여 데이터를 전송하는 방식이다. (X)
(해설) 전송요구에 의한 정보제공 방식은 정보주체가 전송의지를 갖고 기업에 데이터 전송을 요청하는방식이다.
- 제3자 제공동의에 의한 정보 제공 방식: 기업에서 제3자에게 정보를 제공하기 위하여 개인에게데이터 활용에 대한
동의를 요청하여 데이터를 전송하는 방식이다.
- 전송요구에 의한 정보제공 방식: 정보주체가 전송 의지를 갖고 기업에 데이터 전송을 요청하는 방식이다.
3. 마이데이터에서 본인인증 방식으로는 '개별 본인인증', '통합 보인인증' 방식이 있다. (O)
(해설) -개별 본인인증: 정보제공자가 제공 또는 인정하는인증 수단인 아이디와 패스워드, 휴대폰 인증, 지문 등을 이용
하여 정보제공자가 개별로 인증 및 정보전송 요구를 수행하는 방법이다.
-통합 본인인증: 공동인증서 등과 같은 통합인증기관이제공하는 인증수단을 이용하여 한번만 인증을 하면 다수의
정보제공자에게 일괄적으로 인증이 가능한 방법이다
< 주요 내용 정리 >
- 마이데이터(MyData)란 개인데이터의 활용과 관리의 권한이 정보주체인 '개인'에게 있음을 강조하는 개인데이터 활용첵계의 새로운 패러다임
- 마이데이터의 주요 원칙은 데이터 권한, 데이터 제공, 데이터 활용을 다루고 있음
. 데이터 권한 : 개인이 개인데이터의 종합관리(접근, 이동, 활용 등)에 대한 자기결정권을 가짐
. 데이터 제공 : 개인 데이터를 안전한 환경에서 쉽고 편리하게 이용할수 있는 형식으로 제공
. 데이터 활용 : 개인 동의에 의한 데이터의 자유로운 이동과 제3자 접근이 가능하여야 함
- 마이데이터 도입 시 정보주체인 개인은 나의 데이터를 보유한 기업/기관에 요구하여 내데이터를 다운로드 받거나 제3자에게 전송하라고 요구할 수 있음
- 마이데이터 도입이 가져올 긍정적인 변화는 정보주체의 자기결정권 확립, 다양한 서비스 제공, 신규시장 창출 효과 등이 있음
'신기술분석 > 마이데이터' 카테고리의 다른 글
iCareMe - 마이데이터서비스 활동후기 (0) | 2022.09.11 |
---|---|
마이데이터 사업화 상시자문 지원 안내 (0) | 2022.09.10 |
2022 마이데이터 컨설팅 지원 안내(8/29(월) 16시 접수마감) (0) | 2022.09.10 |
마이데이터 개념 - 03. 마이데이터 추진현황 (1) | 2022.09.10 |
마이데이터 개념 - 01. 마이데이터의 등장과 확산 (1) | 2022.09.09 |
댓글