지난달 31일 제6차 마이데이터 표준화 협의회에 참석한 최장혁 개인정보보호위원회 부위원장(정면 가운데)과 관계 부처 참석자들이 전 분야 마이데이터 시행을 앞두고 개인정보 표준화 방안을 논의하고 있다./사진제공=개인정보보호위원회지난 2월 국회는 '개인정보 전송요구권' 도입이 골자인 개인정보보호법 개정안을 의결했다. 개인정보 소유권은 개인에 있기 때문에 정보를 내려받거나 제3자에게 전송하라고 요구할 권리가 있다는 것이다.
자녀 학교가 가진 시험, 수행평가 성적을 학원, 인강 사이트로 보내거나 다니던 헬스장 인바디 검사 정보를 옮긴 헬스장으로 전송할 수도 있다.
가능한 서비스가 무궁무진한데 중소기업계에서 우려 섞인 목소리가 나온다. 개인정보 전송이 생각만큼 간단한 일이 아니라서다.
개정안 시행령은 행정안전부 산하에 있다가 독립한 개인정보보호위원회(개보위)가 만든다. 개보위는 개인정보를 전송할 때 유출을 막을 '안전조치'를 하라고 고시했다. 개인정보를 흔히 아는 파일로 내려받아 이메일로 보내는 일은 있을 수 없다. 전송하는 기업과 받는 기업은 별도로 전송 시스템을 만들어야 한다.
시스템 구축은 시간과 비용이 많이 든다. 금융권은 2020년 신용정보법이 개정돼 마이데이터 사업을 먼저 시작했는데 개인정보 전송 시스템을 구축하는 데 2년을 썼다. 비용은 금융기업마다 적게는 10억원 많게는 50억원씩 쓰였다.
개인정보는 양식이 표준화돼 있지 않다. 어떤 기업은 고객 생년월일을 8자리, 어떤 기업은 6자리로 저장하고 성(姓), 이름을 따로, 같이 저장하는 기업도 있다. 개인정보를 활용하려면 양식에 맞게 수정하는 작업이 필요하다.
이런 시간과 비용 부담에 금융권에 개인정보 전송, 표준화를 해주는 중개 업체가 20~30곳 생겼다. 개정안이 시행되면 다른 산업 분야에도 중개 업체가 생겨날 가능성이 높지만 작업량이 많기 때문에 서비스 가격이 규모가 작은 소상공인, 중소기업이 이용할 수준일지는 미지수다.
여기에 고객의 개인정보 전송 요구가 있더라도 어느 정도 수준으로 전송해야 할지 모호하다는 지적도 있다. 개인정보 용량이 매우 클 수 있는데 전송받는 기업으로서는 이를 감당할 서버를 구축해야 할 부담을 떠안는다.
개정안은 오는 9월15일 시행되지만 전송요구권은 공표한 날부터 1년 후, 2년 이내에 시행령이 정한 날 도입된다. 개정안은 지난달 14일 공표됐다.
개보위 관계자는 "그동안 간담회를 통해 중소기업계 우려를 들어왔다"며 "전송요구권 도입 시점을 개정안 시행 후로 정한 것도 이런 우려를 알기 때문"이라고 했다. 이어 "구체적으로 결정되지 않았다"면서도 "플랫폼을 구축하거나 금전 지원을 하는 등 중소기업, 소상공인을 지원할 방안을 강구하고 있다"고 밝혔다.
가이드라인이 필요하다는 목소리에는 "서로 다른 산업 분야 간 개인정보를 전송할 때 데이터를 표준화하는 원칙·절차 등을 규정한 표준화 가이드라인과 전송 보안 가이드라인을 마련하고 있다"고 밝혔다.
