개인정보를 둘러싼 환경은 지난 수십 년간 빠르게 변해왔다. 과거 개인정보 보호의 핵심은 차단이었다. 침해를 받지 않기 위한 방어권에 가까웠고 외부의 접근을 막는 것만으로도 충분했다.

그러나 정보기술이 일상화되면서 개인정보의 성격 자체가 달라졌다. 보호해야 할 사적 영역을 넘어 인격의 일부이자 경제적 가치를 지닌 데이터로 변모했다. 이에 따라 개인정보 권리에 대한 인식도 변화하고 있다.

특히 디지털 환경에서 성장한 세대일수록 개인정보를 보호의 대상만이 아니라 직접 확인하고 관리할 수 있어야 하는 권리로 보는 경향이 강하다. 이제 개인정보 권리는 내 정보의 흐름을 통제하고 활용에 관여할 수 있는 권리로 확장되고 있다.

문제는 현실이 이를 따라가지 못한다는 점이다. 우리는 수많은 동의서에 체크하지만 정작 내 정보가 어디로 흘러가고 어떻게 쓰이는지 알기 어렵다. 원하지 않을 때 이를 멈추거나 되돌리기도 어렵다. 이 공백을 메우기 위한 제도가 전 분야 마이데이터, 즉 본인정보 전송요구권이다. 여러 곳에 분산된 내 정보를 필요할 때 안전하게 내려받아 관리·분석·활용할 수 있도록 하는 권리다.

최근 개인정보 보호법 시행령 개정으로 일정 규모 이상의 개인정보를 보유한 기업·기관의 홈페이지에서 본인 정보를 직접 내려받을 수 있게 되었다.

앞으로 무엇이 달라질까. 예를 들어 의료 분야에서는 진단·투약 정보를 바탕으로 맞춤형 건강 관리가 가능해지고 통신 분야에서는 이용 패턴에 맞는 요금제 추천으로 생활비를 절감할 수 있다. 세금 환급액 자동 안내나 전기 사용량 기반 절전 알림처럼 흩어져 있는 데이터를 모아 일상의 의사결정을 돕는 서비스도 확산할 것이다. 전 분야 마이데이터가 가져올 진짜 변화는 우리가 수동적 동의자에 머무르지 않고 내 데이터로 내 삶의 선택을 개선하는 주체가 된다는 데 있다.

개인정보에 대한 인식을 바꾸는 일이 쉽지는 않지만 세계도 이 방향으로 움직이고 있다. 영국은 오픈뱅킹을 통해 거래 데이터를 제 3자와 안전하게 공유하도록 해 혁신을 촉진하고 있다. 호주는 소비자데이터권리(CDR)를 통해 은행과 에너지 분야부터 동의 기반 데이터 이전을 제도화했다.

이 변화의 전제는 안전이다. 최근의 대규모 사고들은 데이터 활용 자체보다 대량의 개인정보를 처리하는 과정에서 기본적인 보호조치가 작동하지 않았을 때 얼마나 큰 피해가 발생하는지를 보여줬다. 규모에 걸맞은 안전조치가 현장에서 실질적으로 이행돼야 한다.

또 하나의 핵심은 누가 다루느냐이다. 전 분야 마이데이터는 본인이 원하면 신뢰할 수 있는 개인정보관리 전문기관의 도움을 받아 정보를 관리·분석할 수 있도록 하는 구조다. 전문기관은 엄격한 요건을 거쳐 지정되며 지정 이후에도 지속적인 감독을 받는다. 지정은 출발점일 뿐 사후 감독이 신뢰의 핵심이다.

전 분야 마이데이터 정책의 목적은 명확하다. 국민이 자신의 개인정보를 안전하고 투명하게 관리하고 데이터의 흐름을 한 곳에서 확인하며 필요할 때 철회·삭제까지 할 수 있도록 통제권을 실질적으로 보장하는 것이다.

개인정보를 보호한다는 것은 결국 국민의 삶을 보호하는 일이다. 그 보호는 차단과 금지만으로 완성되지 않는다. 안전·투명·통제가 함께 작동할 때 개인정보를 지키면서도 제대로 쓰는 사회로 나아갈 수 있다.

<송경희 개인정보보호위원장>