"마이데이터법 스타트업 다 죽는다" 논란…정부 "데이터 개방, 오히려 기회"

본인전송요구권을 강화하는 개인정보보호법 시행령 개정안을 둘러싸고 스타트업과 유통업계를 중심으로 부담과 위험을 호소하는 목소리가 커지자, 개인정보보호위원회가 정면 대응에 나섰다. 데이터 이동 의무가 커지면 정보전송자 비용 부담과 영업비밀 유출 가능성이 높아지고, 대리인과 전문기관을 통한 전송 과정에서 대규모 개인정보 유출이 발생할 수 있다는 우려가 핵심이다. 업계 일각에서는 마이데이터법이 이대로 시행되면 스타트업이 타격을 입을 것이라는 비판까지 제기한다. 이에 대해 개인정보위는 연매출 1500억 이상 또는 정보주체 수 100만명 이상 사업자에 한정된 제도라는 점을 강조하며 대부분 스타트업은 의무 대상이 아니라고 선을 그었다. 동시에 특정 대기업에 집중돼 있던 개인 데이터를 개인에게 돌려주는 구조를 통해 중소기업과 스타트업의 데이터 접근성을 넓히는 것이 제도의 본질이라고 설명한다.

개정안은 현재 규제개혁위원회 심사를 앞두고 있다. 핵심 내용은 일정 규모 이상의 공공기관과 기업이 운영하는 홈페이지에서 조회 가능한 개인정보를 정보주체가 암호화된 형태로 내려받거나, 본인이 지정한 곳으로 전송하도록 요구할 수 있게 하는 것이다. 연매출 1500억 이상 또는 정보주체 수 100만명 이상 사업자가 주요 대상이며, 공공기관 역시 포함된다. 개인정보위는 이 같은 본인전송요구권 확대가 금융 분야 중심이던 마이데이터를 전 산업으로 넓히는 토대가 될 수 있다고 본다. 데이터 주권을 개인에게 돌리고, 개인이 자신의 데이터를 여러 서비스에 가져가 맞춤형 추천, 가격 비교, 건강관리 등 다양한 서비스를 이용할 수 있다는 구상이다.

기술 구현 방식에서도 최소한의 기능을 요구하는 수준이라고 강조한다. 개인정보위는 정보전송자에게 요구되는 조치는 기존에 홈페이지에서 조회되던 정보를 암호화된 파일로 다운로드할 수 있도록 구현하는 수준이라고 설명한다. 별도 대규모 시스템을 구축하는 것이 아니라, 이미 보유한 조회 기능을 기반으로 전송 기능을 붙이는 구조이기 때문에 도입 비용이 크지 않을 것이라는 판단이다. 다만 대리인이 자동화된 도구를 써서 대량 전송을 요구하는 경우에는 보안성과 안정성을 고려해 사전에 합의된 방식으로만 허용하도록 했다. 애플리케이션프로그래밍인터페이스 API 등 표준화된 전송 방식을 우선으로 하되, 산업계 현실을 감안해 과도기적으로는 스크래핑 기반 수집도 제한적으로 인정하는 식이다.

데이터 범위를 둘러싼 논란도 제기됐다. 기업이 수집한 개인정보를 기반으로 분석·가공해 만든 데이터까지 전송 대상이 되면 사실상의 영업비밀 유출이 될 수 있다는 주장이다. 개인정보위는 전송 대상은 홈페이지에서 이용자가 직접 조회할 수 있는 개인정보에 한정되며, 기업이 내부 알고리즘과 모델로 가공해 만든 분석 값, 예측 점수 등은 본인전송정보 대상에서 제외된다고 설명했다. 여기에 더해 타인의 권리나 기업의 정당한 이익을 침해할 우려가 있는 경우에는 개인정보보호법에 따라 전송을 거절할 수 있다고 재차 강조했다. 전송 과정에서 기업의 핵심 노하우나 영업 전략이 노출될 수 있다는 우려에 대해 제도 설계 단계에서 이미 차단 장치를 둔 셈이다.

전문기관과 대리인을 통한 전송 구조를 악용해 본인 모르게 데이터가 대량 수집되는 것 아니냐는 지적도 나온다. 이에 대해 개인정보위는 정보주체가 위임한 대리인을 통해 권리를 행사하는 구조는 이미 개인정보보호법에 존재하는 일반 규정이며, 개정안은 이를 구체화해 더 안전하게 만들려는 조치라고 설명한다. 대리권을 악용해 무단 수집이 이뤄질 수 있다는 우려와 관련해서는 대리 위임 절차와 동의 절차를 명시하고, 전송 받은 데이터는 정보주체만 접근 가능한 저장소에 보관하는 것을 원칙으로 해 통제력을 높인다고 했다. 전문기관은 법에 따른 지정 요건을 충족해야 하고, 사업계획과 개인정보 관리 계획 등에 대한 심사를 거쳐 지정된다. 지정 후에도 감독과 통제를 받는 만큼 무단 활용이나 대규모 유출 가능성은 낮다는 주장이다.

업계에서 특히 민감하게 보는 부분은 스크래핑과 같은 자동화된 수집 도구의 처리 방향이다. 일부에서는 브라우저 자동 조작, 화면 크롤링 방식은 보안 조치가 취약하고 서버 부담도 커지기 때문에 금지해야 한다는 의견을 낸다. 개인정보위는 현실에서 많은 마이데이터 서비스가 이미 스크래핑 기반으로 작동하고 있고, 당장 이를 전면 금지해 API만 허용하면 서비스 붕괴와 과도한 전환비용이 발생할 수 있다고 본다. 그래서 장기적으로는 API 중심 구조로 전환하되, 과도기에는 정보전송자와 전문기관이 사전 협의를 통해 허용된 방식과 범위 안에서만 자동화 도구를 활용하도록 하는 절충안을 택했다. 업계 표준 API가 자리 잡기 전까지는 자동화 도구가 사실상 유일한 대체 수단인 만큼, 무조건 금지보다는 관리·감독 아래 활용하는 쪽이 현실적이라는 판단이다.

스타트업 업계가 제기한 또 다른 쟁점은 정보전송자와 데이터 수신자의 역할 분담이다. 스타트업 입장에서는 자신들이 언젠가 정보전송자로 묶일 수 있다는 우려와, 동시에 데이터 수신자로서의 기회를 실질적으로 누릴 수 있을지에 대한 회의가 공존한다. 개인정보위는 법령상 정보전송자 기준을 연매출 1500억 이상 등으로 설정해 스타트업과 대부분의 중소기업은 의무 대상이 아니며, 오히려 이들이 대형 사업자로부터 데이터를 전송받아 혁신 서비스 개발에 활용하는 수혜측에 자리하게 될 것이라고 본다. 규제가 아닌 데이터 인프라로 접근하면, 과거 대기업 내부에 갇혀 있던 로그인 기록, 구매 이력, 멤버십 포인트 내역 등을 개인 승인 하에 외부 서비스로 옮겨와 가격 비교, 자산 통합 관리, 맞춤형 추천과 같은 기능을 구현할 수 있다는 시나리오다.

글로벌 차원에서는 데이터 이동과 포터빌리티가 경쟁정책과 디지털 시장 규제의 핵심 도구로 떠오르고 있다. 유럽 일반개인정보보호법 GDPR은 이미 데이터 이동권을 규정하고 있고, 각국 규제기관은 특정 플랫폼에 집적된 데이터를 개인과 경쟁 서비스에 개방하는 구조를 통해 독점 완화와 혁신 촉진을 동시에 도모하고 있다. 한국이 추진하는 본인전송요구권 강화는 이러한 국제 흐름에 맞춰 데이터 주권과 경쟁정책을 결합하려는 시도로 해석된다. 다만 한국의 디지털 생태계는 대형 플랫폼 중심 집중도가 높고, 스타트업 상당수가 대기업 API나 스크래핑에 의존하는 구조라 제도 설계가 잘못될 경우 역으로 진입장벽이 높아질 가능성도 있다는 지적이 나온다.

향후 쟁점은 실제 시행령 문구와 세부 고시에 담길 기술적 기준과 책임 범위가 될 전망이다. API 전환 일정, 스크래핑 허용 범위, 전문기관 지정·탈락 기준, 전송 거절 사유 판단 기준 등에 따라 스타트업과 대기업 간 이해관계가 갈릴 수밖에 없기 때문이다. 데이터 유출 발생 시 정보전송자와 전문기관, 수신 서비스 간 책임 분담 구조도 명확히 정리되지 않으면 법적 분쟁이 이어질 소지가 있다. 개인정보위는 제도 도입 초기부터 업계와 소통해 기술적 구현 비용을 최소화하고, 안전성 확보 조치를 유연하게 적용하겠다는 입장이다. 산업계는 이번 개정이 말뿐인 기회가 아니라 실질적인 데이터 개방 생태계로 이어질 수 있을지, 시행령 최종안과 후속 가이드라인의 내용을 예의주시하고 있다.