백서 한글본 (The White Paper)

마이데이터 백서

사람 중심적인 개인데이터 관리 및 처리 모델

본 백서는 개인데이터를 보다 사람 중심적으로 관리하고 처리하도록 하는 프레임워크, 원칙들, 그리고 모델을 제시합니다. 마이데이터(MyData)는 개인이 자신의 데이터에 접근할 수 있는 권리를 바탕으로 한 실천적 운동입니다. 개인이 자신의 데이터를 스스로 통솔해야 한다는 점이 핵심인 사상 입니다. 더 나아가 마이데이터는 개인과 기업간 상호신뢰를 구축한 상황에서, 개인의 디지털 인권(digital human right)을 강화하는 동시에 개인데이터 기반의 혁신적 서비스를 통해서 새로운 사업기회를 열어가는 것입니다.

0 - 마이데이터 주요 원칙

1 – 마이데이터란 무엇인가?

2 – 마이데이터는 어떤 효익이 있는가?

3 – 마이데이터는 왜 인프라 수준에서의 접근인가?

4 – 마이데이터는 실제로 어떻게 작동하는가?

5 – 마이데이터는 왜 동의가 중요한가?

6 – 기업들은 왜 마이데이터에 관심을 가져야 하는가?

7 – 마이데이터는 프라이버시 관리에 있어 어떤 도움을 주는가?

8 – 다음 단계는 무엇일까?

9 – 관련 사례

링크 및 참조

MyData 원칙

1. 사람 중심적 통제 및 프라이버시:

개인은 온/오프라인 모두에서 자율적인 주체로서 사생활을 관리할 수 있어야 합니다. 이것은 데이터와 프라이버시를 관리할 수 있는 권리와 실질적 수단을 가져야 함을 의미 합니다.

2. 사용가능한 데이터:

개인데이터는 기술적으로 접근하고 사용하기 쉬워야 합니다. 안전하고 표준화된 API(Application Programming Interfaces)를 통해 기계판독가능한 포맷으로 접근이 가능해야 합니다. 마이데이터는 폐쇄되어 접근이 힘든 저장공간의 개인데이터를 의미 있고 재사용할 수 있는 자원으로 바꿀 수 있는 방법입니다. 개인데이터는 삶의 품질을 높이는 새로운 서비스를 창출하는 기반으로 활용되어야 합니다. 그러면 서비스의 제공자들은 새로운 비즈니스 모델을 만들고 사회의 경제적 성장에 기여할 수 있게 됩니다.

3. 열린 비즈니스 환경:

개방형 마이데이터 인프라 기반은 개인데이터의 분산관리를 가능하게 하고, 상호운용성 (interoperability)을 향상시키며, 기업에게는 강화되는 데이터 보호 규제준수를 지원하고, 개인에게는 서비스 제공자를 임의로 바꿀 수 있도록 합니다.

1 – MyData 란 무엇입니까?

마이데이터(MyData)라는 용어는 1) 개인데이터의 관리 및 처리에 있어 현재 조직중심적 체계(organization-centric system)를 사람 중심적 체계(human-centric system)로 바꾸고자 하는 새로운 실천적 운동의 의미를 갖고 있습니다. 또한 2) 마이데이터는 개인이 접근하고 통솔할 수 있는 자원으로서의 개인데이터를 의미합니다. 따라서 개인의 통솔 하에 있지 못한 개인데이터는 ‘마이데이터’라고 할 수 없습니다.

마이데이터는 자신의 정보가 담긴 데이터세트 - 자신의 구매 데이터, 교통 데이터, 통신 데이터, 의료 기록, 금융 정보, 그리고 다양한 온라인 서비스에서 추출한 데이터 - 에 접근, 획득 그리고 이용이 가능한 실제적인 수단을 개인에게 제공하는 것을 목표로 하고 있습니다. 또한 개인데이터를 보유한 조직(기업 또는 기관)은 개인에게 자기 데이터에 대한 통솔권을 주는데 있어 최소한 법적 요구사항 이상으로 노력하도록 하는 것입니다. 개인데이터는 사회적, 경제적, 실용적으로 그 가치의 중요성이 점점 더 커지고 있습니다. 세계경제포럼(World Economic Forum)에 따르면 “개인데이터는 새로운 경제적 자산유형이 되어가고 있으며 21세기에 중요한 자원으로 사회 모든 측면에 영향을 미치게 될 것이다.” 라고 합니다. 그러나 개인데이터의 활용 및 이용이 확대되어 갈수록 이따금씩 개인 프라이버시가 사라지는 부정적인 미래로 비추어지기도 합니다.

현재 개인들은 자기와 자신의 활동에 대한 데이터가 민간 비즈니스, 공공 정부 또는 데이터 중개인에 의해 어떻게 생성되고, 쓰여지는 지 통솔하기 어렵거나 불가능한 상태입니다. 마이데이터는 개인이 자신의 데이터가 어떻게 사용될 수 있는 지를 통솔하여 프라이버시 침해를 최소화하면서 최대한의 이익을 발생케 하는 개인데이터의 수집과 이용을 유도하는 접근입니다.

개인데이터는 새로운 서비스를 창출하기 위한 ‘원재료’ 입니다. 그러나 아직까지 여러 분야의 서비스 간에 데이터세트가 자유롭게 이용될 수 있을 만큼 충분한 상호운용성 및 이동성이 확보되지 못하고 있습니다. 따라서 개인데이터를 효과적으로 관리할 수 있는 새로운 인프라 수준에서 접근(a new infrastructure level approach)이 필요합니다.

한편 빅데이터 분석이 활발해지면서 프라이버시 이슈는 꾸준히 불거져 왔습니다. 윤리적 기준으로 볼 때, 개인데이터의 이용과 분석과 관련하여 마이데이터와 빅데이터는 서로 배타적인 개념이기 보다는 상호보완적이라 할 수 있습니다. 빅데이터의 개념은 조직 관점에서 대규모의 데이터세트를 결합하고 분석하는 것이라는 점을 강조하고 있다면, 마이데이터는 개인이 자신의 정보에 대하여 통솔이 가능한지 그리고 개인데이터의 가치로부터 어떤 혜택을 얻을 수 있는지에 중점을 두고 있습니다. 마이데이터 접근은 조직으로 하여금 빅데이터 분석 과정에서 발생하는 데이터 보호와 프라이버시 이슈를 해소할 수 있도록 실용적인 수단을 제공하고 개인들에게는 자신의 데이터가 어떻게 수집, 처리되고 있는 지를 투명하게 보여줍니다. 빅데이터 분석 과정에서 개인의 관점을 충분히 살피지 못할 경우, 개인들은 자신이 침해받는다고 생각하여 수상쩍은 일로 보고, 그리고 불쾌하게 느낀다면, 개인데이터를 포함한 빅데이터의 혁신적 이용은 불가능할 것입니다.

마이데이터 접근은 정보의 유용성과 가치는 정보를 자유롭고 투명한 형식으로 접근케 함으로써 증가한다는 오픈데이터(Open Data) 운동철학을 수용합니다. 오픈데이터는 정의상 기술적으로 및 법적으로 누구나 무료로 사용, 재사용, 그리고 배포할 수 있는 데이터입니다. 마찬가지로 어떤 사람을 대상으로 수집한 데이터의 경우도 당사자가 자기가 바라는 대로 사용, 재사용, 배포 할 수 있는 데이터로 기술적으로도 법적으로도 이용할 수 있다면 마이데이터 기준과도 부합합니다.

그림 1.1: 개인데이터는 곳곳에 흩어져 있습니다. 정부조직은 물론 모든 산업의 민간기업에 이르기까지 점점 더 많은 우리의 개인데이터가 수집되고 있습니다.**

마이데이터는:

• 데이터의 상호운용성 및 이동성을 보장하기 위한 인프라 수준의 접근(an infrastructure-level approach)입니다. 개방형 인프라는 개인이 자기 데이터 기반의 서비스 제공자를 옮겨다닐 수 있게 합니다.

• 개인과 관련된 모든 분야에서 서로 협력적인 접근을 요구합니다. 현재 건강, 금융과 같은 분야에서 주목할 만한 발전을 하고 있지만 아직은 각 분야에서 독립적으로 움직이고 있습니다.

• 개인의 동의를 기반으로 한 데이터 관리 및 통솔 방식입니다. 따라서 개인이 데이터 흐름을 통솔할 목적으로 자신의 데이터를 굳이 집중화된 저장공간에 보관할 필요가 없습니다.

그림 1.2: 개인정보와 관련한 다양한 권리가 있고 이에 상응한 통솔 수준이 필요합니다. 개인들이 자신의 데이터에 자유롭게 접근하여 이용할 수 있는 권리야 말로 마이데이터가 지키고자 하는 최소한의 권리입니다.**

• 나에 관한 어떤 정보가 있는지를 알 권리

• 나의 관한 정보를 실제로 열람할 권리

• 잘못된 나의 정보를 수정할 수 있는 권리

• 나의 정보를 누가 그리고 왜 접근하고 처리하였는 지를 면밀히 살펴볼 권리

• 나의 정보를 자유롭게 획득하여 이용할 권리

• 나의 정보를 제3자에게 공유 또는 판매할 권리

• 나의 정보를 제거 또는 삭제할 권리

2 – 마이데이터는 어떤 혜택을 제공하는가

우리는 개인들이 자신에 대한 정보를 관리할 수 있는 법적 권리와 기술적 도구를 가져야 한다고 생각합니다. 이는 개인들이 디지털ID관리를 위한 수단을 확보하고. 나아가 시민으로서 누구나 사고와 표현의 자유를 갖는 일이라 할 수 있습니다. 동시에, 기업 또는 기관(이하 조직)에게는 혁신적이고 새로운 데이터 활용 서비스 또는 응용프로그램 개발 기회를 찾았을 때, 개인데이터 이용에 대한 동의를 당사자들로부터 얻어내는 실용적 방법을 갖고 있어야 한다는 것입니다.

그림 2.1: 개인은 모든 삶의 영역과 모든 분야에 걸쳐 만들어지는 수많은 자신의 데이터(rich MyData Profile)를 얻으며, 이 가운데 선택한 부분을 서비스 제공자와 응용프로그램과 공유할 수 있습니다.

현재 벌어지고 있는 상황을 보면, 개인들은 자기데이터의 수집과 이용에 대한 법적인 동의를 표준화된 관행처럼 온라인 상에서 “예” 항목을 클릭함으로써 조직(기업 또는 기관)과 응용프로그램에 넘겨줍니다. 이 때, 전제는 개인들은 서비스 조건을 읽고 동의한다는 것인데, 대개는 그 내용을 충분히 이해하지 못하고 이를 어겼을 경우 현실적으로 강제할 수 있는 방법도 모르고 있습니다. 한편, 조직은 개인데이터를 활용한 창의적인 서비스를 창출하는 일이 엄두가 안 날 정도로 현행 데이터 보호 규정이 엄격합니다. 이렇다 보니 조직은 새로운 서비스 개발을 단념하거나 관련 규정을 우회하는 방법을 찾으려고 하는 경우가 종종 있습니다.

마이데이터는 디지털 인권과 데이터 접근을 위한 산업적 요구가 결합된 개인데이터 관리에 대한 진보적인 관점입니다. 이러한 관점은 개인, 조직 그리고 사회 일반에 걸쳐 모두에 도움을 줍니다. 마이데이터는 개인들이 다양한 분야에서 생성된 자신의 정보를 통합하게 해줍니다 (그림 2.1 참조). 이처럼 풍부한 가치가 내재된 자기데이터를 가짐으로써 개인들은 보다 더 가치있는 데이터 서비스 및 소비자 서비스를 제공받을 수 있게 됩니다.

(개인)

마이데이터는 개인이 자기데이터가 조직에서 이용되는 모습을 볼 수 있게 하는 투명한 메커니즘과 편리한 개인데이터 관리 도구를 제시합니다. 또한 개인들은 새롭고 혁신적인 서비스를 접하고 더 많은 선택의 자유를 누리는 혜택을 즐기게 됩니다.

(기업)

마이데이터는 새로운 데이터 기반 사업 모델의 기회를 가져다 줍니다. 개인이 자기데이터 이용에 동의하는 경우 기업에게 이미 존재하는 개인 데이터세트에 대한 법적, 기술적 접근이 수월하도록 지원합니다. 마이데이터는 통용되는 표준에 기반한 상호운용성을 핵심 원칙으로 지정하고 있습니다. 상호운용성에 중점을 둠으로써 새로운 비즈니스를 위한 진입 장벽을 낮추는 한편 보다 균형되고 경쟁적인 사업전망을 가능케 합니다.

(사회)

마이데이터는 개인의 권리 보호와 혁신적 서비스 개발에 개인데이터가 활용될 수 있기 위해 필요한 여러 법적∙기술적 구조, 표준화된 프로세스 및 관련 정책을 만들어 내고 있습니다.

그림 2.2 : 마이데이터가 제공하는 개인, 기업 (또는 여타 조직)과 시민 사회에 대한 혜택들

개인의 경우:

• 맞춤형 데이터 기반 서비스 이용

• 향상된 프라이버시와 개인데이터에 대한 투명성과 통솔

• 자신의 행동 패턴에 대한 통찰력 획득 (자가 기록)

• 데이터 이식성에 의한 서비스 선택범위 확대

• 소비자의 역량강화로 회사 및 공공기관과 동등한 입지로 협력 도모

• 개인데이터를 통한 수익 창출

#### 기업의 경우:

• 소비자 신뢰를 바탕으로 적극적인 사업 추진

• 여러 서비스의 통합 및 보완으로 핵심 서비스의 품질 향상

• 데이터 이식성 증가로 더 적은 수의 사용자만으로 새로운 혁신적 사업 수행 (오픈 비즈니스 환경)

• 소비자 행태와 그 파급 영향을 이해하는 통찰력 획득 (최적화된 서비스 생산)

• 데이터 보호 법규 준수를 위한 도구 보유

• 데이터 수집을 위한 거래 비용 절감

사회의 경우:

• 디지털 권리와 혁신적 사업 성장의 병행적 발전 도모

• 마이데이터 인프라 활용으로 스마트한 규제 활성화

• 보다 풍부한 데이터에 근거한 의사결정 지원

• 책임감 있고 지속가능한 시민 행동을 장려

3 – 마이데이터는 왜 인프라 수준[1]의 접근인가?

데이터를 자유롭게 이동시키는 데 필요한 네트워크, 서버, 스토리지 등 여타 장치들을 포함

마이데이터는 개인데이터의 생태계를 인프라 수준에서 개혁합니다. 하지만 이렇게 고강도의 개혁이 필요한 것인가요? 단순히 개인데이터 API를 모든 서비스에 개방하고, 조직은 그 가운데 일부 서비스가 가능하도록 협상하고 직접 연결하는 일이 훨씬 쉽지 않을까요?

API를 통한 개인데이터에의 접근은 대다수 마이데이터 기반 서비스 시나리오를 만드는 데 있어 필수입니다. “API 경제”는 이미 발전해 가면서 P2P연결을 통하여 개인데이터가 교환되는 서비스의 생태계를 유기적으로 확장하고 있습니다. 그러나 개인들은 여러 서비스들 사이에서 자기데이터가 어디서 어떻게 사용되고 있는 지 제대로 파악하기 어려운 상태이고, 조직은 제공하는 API를 통합적으로 관리하는 데 어려움을 겪고 있습니다. 궁극적으로는 어떤 시스템들은 재구축하는 일이 불가피 해 질 것입니다. 결국, 현재 API 경제는 앞으로 도래할 데이터 경제(data economy)의 배양 단계라고 볼 수 있습니다. 마이데이터에서는 단순한 API차원의 발전을 뛰어 넘는 보다 더 강건한 인프라의 필요성을 제시하고 있습니다. 오늘날, 의료분야의 Validic and Human API나 모든 산업분야 전반에 걸쳐 개인데이터를 통합하려는 구글, 페이스북, 그리고 애플과 같은 플랫폼 운영기관을 중심으로 개인데이터 수집자(aggregator)들이 출현하고 있습니다. 이들은 개인데이터가 마찰없이 흐르도록 상호운용성을 제고하기 위한 노력을 기울이고 있습니다.
개인데이터 수집자 중심의 모델은 API 경제로부터 출발하여 발전해가고 있지만 근본적인 취약점 두가지를 가지고 있습니다. 첫째로, 서로 다른 데이터 수집자 간에 상호운용성을 저하시키고 있어 개인들과 회사들이 특정 데이터 수집자에 고착되고 데이터 시장은 분할되어 혁신의 기회를 억누르고 불편을 초래합니다. 둘째, 오늘의 데이터 수집자들은 프라이버시를 충분히 인지하지 못하거나 데이터 주체인 개인들과 투명한 관계를 장려하지 않는 경우가 많습니다. 보다 개방적이고 프라이버시를 보호하는 모델(예를 들면, QiY, The Good Data, Respect Network)을 만들기 위한 시도들이 존재하지만 공동 인프라의 부재로 상호운용성이 부족하여 어려움을 겪고 있습니다.

본문에서 제시하는 마이데이터 인프라(MyData Infrastructure)의 핵심 구성요소는 마이데이터 계정입니다. 마이데이터 계정(MyData Account)은 개인에게 자기데이터를 통합관리하기 위한 허브가 됩니다. 개인은 마이데이터 계정으로 자기데이터에 대한 접근권한을 서비스 제공자에게 부여합니다. 따라서 마이데이터 계정은 개인의 데이터가 어떤 서비스들과 연계되었는지, 그리고 어떤 동의나 법적 근거에 따라 이용되는지에 대한 정보를 보유하고 있습니다.

마이데이터 접근은 개인데이터 생태계의 체계적인 단순화로 이어집니다. 하지만, 마이데이터는 배타적인 접근이 아닙니다. 오히려 마이데이터 모델은 API경제와 데이터 수집자 모델의 발전에 따라 단계적으로 구축함으로써 안착이 병행될 수 있습니다.

다음과 같은 인프라가 필요합니다:

광범위한 API의 활용과 전반적으로 늘어나는 개인데이터 수요를 수용할 수 있는 인프라

개인이 자신의 디지털 동의를 실제로 완전히 통솔할 수 있는 인프라

개인데이터의 사람 중심적인 수익창출을 지원하는 인프라

그림 3.1: (왼쪽) 구조가 없는 API 경제에서는 서비스 수가 늘어남에 따라 서비스 간 연결 수는 기하급수적으로 증가합니다. (중간) 데이터 수집자 모델은 통합된 데이터 통솔으로 조직과 개인의 삶을 더 편하게 만들어주나, 다른 데이터 수집자 간에 상호운용성을 높이기 위한 기본적인 인센티브를 갖지 못합니다. (오른쪽) 마이데이터 모델은 데이터 수집자 모델과 달리 하나의 조직 또는 기술적 인프라에 의존하지 않는 복원력이 뛰어난 시스템입니다.

4 – 마이데이터 접근은 실제로 어떻게 작동하는가?

마이데이터 아키텍처는 상호운용적인 마이데이터 계정의 표준모델에 기반합니다. 마이데이터 계정 표준 모델은 수백 가지 서비스들이 생성, 저장 및 처리하는 개인데이터를 한 곳에서 쉽게 지휘하게 해줍니다. 한편, 개발자 관점에서는 개인데이터의 접근성이 좋아지고 데이터 수집자에 의존하지 않도록 해줍니다. 일반적으로는 마이데이터 오퍼레이터(MyData operators) 역할수행조직에서 마이데이터 계정을 제공합니다. 하지만, 특정 오퍼레이터에 귀속되고 싶지 않은 조직 또는 개인의 경우, 사람들이 스스로 자체적인 메일서버를 운영하듯 스스로 운영하는 마이데이터 계정도 기술적으로 가능합니다.

마이데이터 아키텍처에서 데이터는 데이터 공급자(a data source)에서 서비스 제공자나응용프로그램으로 흐릅니다. (그림 4.1 참조). 마이데이터 인프라에서 동의/허락과 실제 데이터의 흐름의 구분을 이해할 필요가 있습니다. 아울러 마이데이터 계정과 개인데이터 저장소(PDS) 솔루션을 구분할 필요도 있습니다. PDS는 개인데이터를 안전한 공간에 보관하고 개인이 직접 통솔할 수 있게 해주는 솔루션입니다. 반면에 마이데이터 계정의 최우선 기능은 동의관리이며 마이데이터 계정을 호스팅하는 서버를 개인데이터가 반드시 거쳐가야할 필요는 없습니다.

응용프로그램 인터페이스(Application Programming Interface, API)는 데이터 공급자와 데이터 사용자 간의 상호작용을 가능하게 합니다. 마이데이터 원칙을 준수하는 API(MyData-compliant API)는 기계판독가능한 형식으로 데이터를 제공하고, 데이터 공급자와 사용자들은 마이데이터 계정을 통하여 서로 정보를 교환합니다. 그 결과로서 집중화된 대시보드 구축이 가능해지고 이것을 통하여 개인은 다수의 데이터 공급자와 서비스 제공자를 대상으로 데이터 접근 및 제공을 허락하거나 또는 취소합니다. 어떠한 서비스 제공자라도 마이데이터 API를 구축하고 마이데이터 계정과 직접 연결된 서비스를 할 수 있습니다. 혹 어떤 서비스 제공자가 마이데이터 호환 API를 갖지 못하는 경우에는 마이데이터 프록시 서비스를 통해 연결할 수 있습니다.

표준화된 마이데이터 아키텍처는 마이데이터 계정이 상호운용 가능하도록 하며, 데이터 주체인 개인은 마이데이터 오퍼레이터를 쉽게 변경할 수 있게 합니다. 이런 점이 마이데이터를 신뢰할 수 있게 하는 핵심 요소입니다. 상호운용성은 마이데이터가 제공하는 핵심 우위(core advantage)이기도 하지만 동시에 핵심 도전(core challenge)이기도 합니다. 데이터 관리시스템 내 상호운용성은 휴대전화 네트워크에서의 상호운용성과 유사하게 작동한다고 할 수 있습니다. 두 시스템 모두 분산노드를 연결해주는 공통 네트워크가 필요합니다. 마이데이터 계정의 글로벌한 상호운용성 및 이동성(그리고 이에 따른 개인의 동의)을 확보하기 위해서는 신뢰 네트워크[1], 데이터 형식 및 시맨틱[2]에 대한 추가적인 표준화 및 설계가 요구됩니다.

[1] 일종의 사회적 네트워크로 사용자(또는 노드)간에 신뢰관계를 표현함 [2] 컴퓨터가 데이터를 잘 읽을 수 있도록 데이터의 의미를 기준으로 분류하고 저장

마이데이터 접근은 실제로 다음과 같이 작동합니다:

• 마이데이터 계정은 공인된 시스템에서 데이터가 공급자에서 사용자에게 어떻게 흘러가는지를 결정하는 여러 동의의 내용을 담고 있습니다.

• 마이데이터 계정에서 승인 동의(authorization consents)가 집중화됨으로써 충분한 개인데이터 관리가 가능합니다. 데이터는 {다른 중개자 없이도} 공급자 에서 사용자로 바로 흘러갈 수 있습니다.

• 마이데이터 계정의 이식성으로 인해, 개인은 마이데이터 오퍼레이터 서비스를 쉽게 선택하고 변경할 수 있습니다. 특정 서비스 제공자에게 종속되는 경우를 줄입니다.

개인 / 데이터 주체 / 계정 소유자:

마이데이터 계정을 생성하고 이용하는 사람으로서, 새로운 서비스에 연결하고 동의 기반 하에 데이터 흐름을 승인합니다. 또한 데이터 공급자, 서비스 제공자, 오퍼레이터 등과 관계를 갖습니다.

마이데이터 오퍼레이터:

마이데이터 계정 및 관련 서비스를 제공합니다. 마이데이터 계정을 통하여 디지털 동의(권한 부여 서비스)가 가능해집니다.

데이터 공급자 및 데이터 활용 서비스:

데이터 공급자는 개인에 대한 데이터를 활용하는 서비스 제공자(데이터 싱크)에게 공급합니다. 동일한 주체가 데이터 공급자와 서비스 제공자 역할을 수행할 수 있습니다.

그림 4.1 : 마이데이터 아키텍처에서 정의하는 네 가지의 역할은 1) 개인, 2) 마이데이터 오퍼레이터, 3) 데이터 공급자 4) 서비스 제공자를 포함합니다. 데이터 사용에 대한 동의 또는 승인의 흐름은 데이터의 실제 흐름과 별개로 이루어집니다.

그림 4.2 : 개인은 마이데이터 계정 내용의 손실 없이 마이데이터 오퍼레이터를 변경할 수 있습니다. 이 방식은 마이데이터 접근에 대한 신뢰성을 높이고 새로운 데이터 흐름을 만들어 내는 일을 촉진합니다.

5 – 마이데이터는 왜 동의에 중점을 두는가?

마이데이터는 개인데이터 서비스에 대한 신뢰를 구축하고자 합니다. 이를 위해 투명성, 상호호환성, 공공 거버넌스, 존경받을 만한 기업들, 대중의 인식 그리고 보안 기술 등이 모두 합쳐져 마이데이터 생태계의 기반이 되고 있습니다. 동의 관리(consent management)는 데이터의 법적 사용을 허용하고 강제화하는 기본 메커니즘입니다. 개인은 데이터 서비스에 대하여 자신이 동의한 대로 서비스 제공자에게 데이터를 가져와서 처리하도록 지시할 수 있습니다. 기술적 그리고 법적 용어로서 동의는 승인과 동등한 의미와 효력을 갖습니다.

마이데이터 모델에서의 동의는 동적이고, 사람들이 이해하기 쉽고, 기계판독이 가능하고, 표준화되어 있고, 통합된 방식으로 관리됩니다. 상용되는 표준은 개인이 누구나 제3자에게 데이터 처리를 위임할 수 있고, 새로운 방식으로 데이터 사용의 목적을 변경할 수 있게 합니다.

그림 5.1 : 마이데이타 접근이 지원하고 있는 여러 종류의 데이터 흐름의 예로서 권한 위임, 목적 변경, 개인데이터 저장소(PDS)를 활용한 데이터 흐름 및 데이터 전송에 대한 자동 통지

마이데이터 동의 관리 구조는 메타형식의 개방형 동의(Kantara Initiative[1]의 open consent meta-format)를 사용하여 개발할 수 있습니다. 메타형식의 개방형 동의는 여러 나라의 관할권에 공통된 동의 규정을 준수하며, EU GDPR(EU 일반데이터보호규정) 하에서도 원활하게 작동할 수 있도록 디자인되어 있습니다. 이 규정에는 동의 감면 및 다른 정당한 사유가 없는 한, 데이터 주체가 자신의 개인데이터를 사용할 서비스 제공자에게 명시적으로 (explicit and informed) 동의를 하도록 요구할 것입니다. 기업은 점차 강화되는 규정을 준수하는 한편 혁신적인 서비스를 지속적으로 제공하기 위해서 기능적이고, 상호운용적이며, 사용하기 쉬운 동의 관리시스템을 만들어야 할 것입니다.

[1] 혁신, 표준화, 그리고 좋은 관행을 통하여 디지털 ID와 개인데이터에 대한 신뢰할 만한 수준의 이용을 증진하고자 조직화된 비영리단체(https://kantarainitiative.org/)

그러나 모든 개인데이터 사용이 데이터 주체의 동의를 필요로 하지는 않습니다. 그 동안 마이데이터는 법적으로 동의 없이 개인데이터 처리가 가능한 경우에도 세부적인 동의 관리를 강조함으로써 서비스의 자동화를 어렵게 하고 있다는 오해를 받기도 했었습니다. 예를 들어, 특정한 상황에서는 정부는 당사자의 동의없이도 공공기관 간에 개인데이터를 교환할 수 있습니다. 이러한 경우 마이데이터 인프라는 동의기반 데이터 관리를 강제로 따르도록 하지 않으며, 오히려 개인데이터의 활용을 당사자에게 투명하게 통지해주는 도구로서 역할을 할 수 있습니다. 공공기관이 개인데이터를 투명한 방식으로 교환할 수 있다면 모든 사람에게 도움이 됩니다. 또한 마이데이터 인프라는 공공기관에서 국민의 개인데이터 사용 및 교환이 일어나는 일반적인 공공서비스로부터, 또는 자신이 원하는 수준 이상으로 상세하게 개인데이터가 유통되는 것으로부터 자신을 제외시킬 수 있는 채널이 될 수도 있습니다.

마이데이터는 동의에 중점을 둡니다. 왜냐하면:

• 동의는 가장 중요한 (그러나 유일한 것은 아닌) 법률적인 협약으로서 사람중심적 관점에서 정보 처리를 규정하고 있습니다.

• 이와 같은 동의 관리 프레임워크는 추후 통지 및 권리의 양도를 위해서도 사용될 수 있습니다.

• 사람도 기계도 판독할 수 있는 표준화된 동의에는 기술적인 데이터 관리시스템, 법률적 협약, 그리고 사람중심적 관점이 전부 내재되어 있습니다.

데이터 처리의 위임 동의

마이데이터 계정보유자로부터 얻은 동의 A에 기반하여 데이터 공급자는 개인데이터를 서비스 제공자 (data using service)에 제공합니다. 서비스 제공자는 동의 B 에 명시된 목적에 따라 제공받은 개인데이터를 처리합니다. 이 경우 데이터 공급자와 서비스 제공자는 법률적 용어로 데이터 관리자(data controllers)입니다.

새로운 데이터 처리 목적 및 수단에 대한 동의

데이터 공급자가 동시에 지정된 목적에 따라 개인데이터를 처리하는 서비스 제공자이기도한 경우, 특정 시점에 개인에게 자신의 데이터가 새로운 목적 또는 수단으로 처리되는 것을 제안할 수 있고 개인은 이에 동의할 수 있습니다. 이 경우 데이터 공급자는 법률적 용어로 데이터 관리자입니다.

개인데이터 저장소로서 마이데이터 계정

개인데이터 저장소는 각 개인별 마이데이터 계정에 첨가하는 기능이 될 수 있습니다. 이 경우 개인데이터 저장소 기능은 추가적인 기능일 뿐, 데이터 흐름 관리를 위한 주요 도구로서의 기능을 제공하는 것은 아닙니다.

자동 데이터 전송의 통지

공공기관은 명시적인 동의 없이 데이터를 전송할 수 있는 권리를 갖고 있습니다. 이는 자동화된 공공서비스를 제공하는 데 있어 유용합니다. 마이데이터는 자동화 서비스 기능을 투명하게 하는 한편 이의 제기 기능을 제공할 수 있습니다.

6 – 회사들은 왜 마이데이터에 관심을 가져야 하는가?

회사들은 마이데이터를 통해 그들의 사업 운영을 개선할 수 있습니다. 개인데이터를 활용한 자원 할당 최적화, 서비스 경로 생성, 개인화 서비스 제공 그리고 추천 서비스 개발 등은 많은 기업들이 제공할 수 있는 일반적인 서비스 개선이라 할 수 있습니다. 이 밖에도 마이데이터 인프라는 새로운 서비스를 가능케 해줍니다. 벤더 관계 관리(Vendor Relationship Management, VRM), 잠재적 고객 발견, 대규모의 연구 데이터 은행 및 행동패턴 분석에 연결된 개인데이터 서비스들을 예로 들수 있습니다.

회사들이 특정 데이터 세트에 접근할 수 있는 마이데이터 API를 만들어 자신의 고객과 제3자에 제공하는 주된 동기는 고객에 주는 가치를 전반적으로 확장시킬 수 있기 때문입니다(그림 6.1 참조). 제3자 공급업자는 개인데이터가 포함된 데이터 세트에 접근 권한을 갖고 있다면 원천 데이터를 보유한 회사들과 효과적으로 협력할 수 있습니다.

여러 연구결과에 따르면, 점점 더 많은 사람들이 자신의 동의 없이 개인정보가 지속적으로 부당하게 이용되고 있다는 사실을 인지하고 있는 것으로 나타나고 있습니다. 회사의 행동이 수상하거나 용납할 수 없는 것으로 여겨질 경우, 회사는 여론 비판, 법적 소송, 대규모 서비스 거부 등의 위험에 직면합니다. 마이데이터 원칙을 구현하는 것은 회사들의 마케팅에도 도움을 줄 것입니다.

회사들은 새로은 상호방식으로 고객을 참여시키고 고객에게 데이터를 되돌려 주면서 공유하거나 또는 고객이 자발적으로 선택하여 제공하는 정보에 기초하여 향상된 데이터 세트를 만들어 냄으로써 고객과의 관계를 개선할 수 있습니다.

현재 데이터는 암묵적으로 팔려지면서 개인들은 무료 서비스를 얻고 있습니다, 그러나 의도적으로, 많은 경우에는 알아채지 못한 채 개인데이터가 서비스와 교환되어 서비스 제공자에게 넘겨지고 있습니다. 마이데이터 인프라는 단순하고 투명한 메커니즘을 제공함으로써 양측 모두에게 향상된 서비스와 직접적인 금전적 수익의 혜택을 주는 방식으로 데이터 판매가 눈에 보이듯이 알 수 있도록 해줍니다 이때 오퍼레이터는 데이터 판매를 활성화하고, 발생된 수익을 데이터 공급자와 데이터 주체 모두와 함께 나누게 됩니다.

마이데이터 생태계가 번창하기 위해서는 마이데이터 오퍼레이터를 위한 실행가능한 비즈니스 모델을 갖추어야 하는 것이 필수입니다. 마이데이터 오퍼레이터는 계정 및 거래 수수료를 청구합니다. 또한 마이데이터 오퍼레이터는 데이터 판매에 대한 한계율을 부과하여 수익을 창출합니다. 이밖에도 오퍼레이터가 제공하는 부가가치 서비스로는 보안 스토리지, 로컬 응용프로그램과 데이터 중심 응용프로그램을 위한 시장 형성이 있습니다 (그림 6.2 참조).

전반적으로 마이데이터 접근의 실행가능성을 높이기 위해서는 특히 마이데이터 오퍼레이터에 적용할 수 있는, 조직 및 비즈니스 차원의 표준을 마련하는 것도 중요합니다. 이러한 기준은 현재 오픈 오퍼레이터 연합에서 개발되고 있습니다. 또한, 이 연합에서는 계정의 상호운용성을 가능케 하는 기술적 기능성에 대한 표준화 작업을 촉진하고 있습니다.

마이데이터는 회사에게 :

• 제3자의 보완적 서비스를 기업의 핵심 서비스에 통합되도록 도와줍니다.

• 현재 및 항후 규제환경에서 운영이 간편화 되도록 하고 탐색적 목적에 데이터 사용을 가능케 합니다.

• 데이터 처리 및 관리와 밀접한 새로운 비즈니스 창출을 가능케 합니다.

회사는 개인에게 서비스를 제공합니다. 회사의 서비스는 제3자의 보완 서비스로 인해 향상됩니다. 제3자 서비스 제공자에게 데이터를 개방함으로써 타사 서비스를 자사 서비스와 전체적으로 통합할 수 있습니다.

그림 6.1: MyData 기반 보완 서비스 통합으로 확장 된 기존 서비스와서비스

그림 6.2: 마이데이터 오퍼레이터 스택은 마이데이터 오퍼레이터의 필수적, 선택적 기능성을 보여줍니다. 동의 관리는 오퍼레이터의 기본적인 서비스 입니다 하지만 오퍼레이터가 개인을 위해 마이데이터 인프라안에서 제공할 수 있는 다수의 보완적 부가 가치 서비스도 있습니다.

7 – 마이데이터는 나의 프라이버시 관리를 어떻게 돕는가?

마이데이터는 하나의 모델로서 데이터 수집과 처리를 보다 투명하게 하고, 회사나 다른 조직이 포괄적인 개인정보보호를 실천하도록 돕고 있습니다. 구체적으로는 개인이 자신의 데이터를 사용하는 대상을 잘 관리하도록 준비하고, 데이터가 어떤 목적으로 사용될 수 있는 지를 명문화하고, 그리고 개인데이터 보호 규정에 부합되도록 동의를 힙니다.

마이데이터 계정 서비스는 데이터 사용 권한부여의 관리 및 시각화에 중점을 둔 디지털 서비스로서 개인의 프라이버시를 관리하고 이해하기 위한 통합된 환경을 구축합니다. 이러한 서비스는 오늘날 웹에 있는 다양한 스펙트럼의 포인트 솔루션 보다도 훨씬 이용하기가 편하며 또한 온라인 서비스에 사용되는 공통적인 인증 메커니즘으로도 이용할 수 있습니다. 개인은 사용자 인터페이스를 통하여 특정 데이터의 공유를 활성화, 또는 비활성화하고, 현재 활성화된 권한부여 내용을 열거해 볼 수 있습니다. 마치 스마트폰에 어느 특정 기능을 켜거나 끄는 것처럼 쉽게 이용할 수 있습니다.

마이데이터는 데이터의 소유권 보다는 데이터의 통솔이라는 개념에 더 중점을 둡니다. 개인들이 자신들의 데이터를 소유해야 한다고 공공연히 주장하지만, 소유권에 대한 개념은 배타적 권리로서 데이터 활용을 어렵게 합니다. 대부분 경우에는 개인과 조직 모두를 포함한 여러 당사자들은 동일한 데이터 세트에 대한 정당한 이해관계를 가지고 있습니다. 예를 들어, 소매점에서는 고객 카드를 통해 수집된 고객 데이터를 사용하는 일이 정당하다고 요구하는 반면 개인 카드 소유자도 같은 데이터에 대한 권리를 가지고 있습니다.

현재와 같이 “나는 약관의 내용을 읽고 동의합니다”라는 동의 메커니즘은 적합