[마이 데이터 사업의 이슈 파헤치기] 3강 김동환 변호사 ‘데이터 3법 3시간 완성’ 온라인 세미나 개최 법무법인 디라이트는 10월 6일, 서울시 서초구 드림플러스에서 ‘데이터 3법 3시간 완성’ 온라인 세미나(웨비나)를 개최하였습니다. 저희 법인이 주최하고 한화 드림플러스가 후원하여 코로나 시대의 흐름에 맞춰 비대면 온라인 세미나인 웨비나(Webinar)로 진행되었으며, 데이터 3법 시행에 따른 동향과 변화, 발전 상황을 살펴보고, 비즈니스의 핵심으로 떠오른 데이터 활용과 그에 따른 개인 정보의 법적 이슈에 대해 중점적으로 논의하는 자리였습니다. 이번 세미나는 법무법인 디라이트의 황혜진 변호사가 ‘데이터 3법 시행령/가이드라인 해설’의 주제로 발표를 하고, 박경희 변호사가 ‘가명/익명정보 활용 Best Practice’의 주제 발표를, 김동환 변호사가 ‘마이 데이터 사업의 이슈 파헤치기’, 이시항 변호사가 ‘바이오 데이터 활용의 달인되기’, 안희철 변호사가 ‘개인정보 분쟁사례 완전 정복’의 주제로 발표를 하였습니다. 마지막으로, 조원희 변호사가 Q&A 세션을 통해 데이터 3법에 대한 전반적인 궁금증을 해결하는 시간을 마련하였습니다. [세미나 세션] 1강. 데이터 3법 시행령/가이드라인 해설 - 황혜진 변호사 2강. 가명/익명정보 활용 Best Practice - 박경희 변호사 3강. 마이 데이터 사업의 이슈 파헤치기 - 김동환 변호사 4강. 바이오 데이터 활용의 달인되기 - 이시항 변호사 5강. 개인정보 분쟁사례 완전 정복 - 안희철 변호사 법무법인 디라이트 : http://dlightlaw.com

1. 김동환 변호사
마이 데이터 사업 이슈 파헤치기
현) 법무법인 디라이트, 변호사
현) NIPA, 2020년 ICT 규제샌드박스 과제화 지원 용역 PM
KAIST 전기및전자공학과 학사 졸업
연세대학교 법학전문대학원 졸업 (변시 3회)
법무부 공익법무관
주식회사 포스코아이씨티
주최
후원
법무법인 디라이트
드림플러스
3강 일타강사
Associate /
dhk@dlightlaw.com

3. 마이데이터 사업
이슈 파헤치기
변호사 김동환
법무법인 디라이트

4. 마이데이터(MyData)의 개념
• 개인정보주체 본인이 개인정보에 대한 관리 및 통제 권한을 온전히 보유하고, 이를 기반으로 개인
정보의 활용처 및 활용범위 등에 대해 능동적인 의사결정을 하는 개인정보 관리 및 활용체계
(출처: KDATA)

5. 마이데이터(MyData)의 법적 근거
• EU GDPR (General Data Protection Regulation)에서의 개인정보 이동권(Right to data portability)
• 개인정보의 이동을 요청받은 경우 정보주체의 신원을 명확하게 확인할 수 있는 인증 절차 시행
• 요청에 따라 개인정보를 이동한 처리자(컨트롤러)는 수령자의 처리행위에 대해 책임지지 않음
• 지식재산권이나 영업비밀 등 제3자의 권리가 침해되는 경우 이동권에 대한 의무 적용 X
① 정보주체가 컨트롤러에게 제공한 자신에 관한 개인정보를 체계적으로 구성되고, 일반적으로
사용되며, 기계 판독이 가능한 형식으로 제공받을 권리
② 기술적으로 가능한 경우 그 정보를 다른 컨트롤러에게 직접 이전할 것을 요구할 수 있는 권리
Article 20. Right to data Portability

6. 마이데이터(MyData)의 법적 근거
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자
에게 요구할 수 있다.
제35조 (개인정보의 열람)
(출처: KDATA)

7. 마이데이터(MyData)의 법적 근거
• EU PSD2 (Second Payment Service Directive)에서의 계좌접근 허용
(출처: 한국은행)
계좌정보서비스
제공업자 (AISP)
지급지시서비스
제공업자 (PISP)
사용자가 보유하고 있는 금융 정보에 접근하여 사용자 통합정보 조회 서비스 제공
사용자의 요청에 따라 지급 수취인의 계좌로 자금이체 서비스 제공

8. 금융분야에서의 마이데이터(MyData) 산업 추진경과
표준 API Working Group 운영
오픈뱅킹 서비스 전면 시행
본인신용정보관리업,
전송요구권 도입
• 마이데이터사업자에 관하여 허가제도 도입
• 8월 4일까지 63개의 기업이 예비허가 신청서 제출
• 작년 12월부터 오픈뱅킹 서비스 전면 시행
• 금융결제원 주도하에 은행 및 핀테크 기업들에게
Open API의 이용 허용
• 작년 4월부터 워킹 그룹 운영
• 다양한 주체들이 효율적으로 협업 가능한 환경 조성목적

9. Screen Scraping vs. Open API
• 인터넷 웹사이트 화면에서 보이는 데이터 중 필요한 데이터를 자동적으로 수집·저장하는 기술
(출처: 금융위원회)

10. Screen Scraping vs. Open API
• 정보주체로부터 (1) 정보조회 위임 동의와 (2) 개인정보 수집 및 이용 동의를 받는 방식으로 수집

11. Screen Scraping vs. Open API
• API는 함수 호출에 따른 데이터 교신 방법
• 제3자 제공 동의를 얻는 방식으로 데이터 제공

12. Screen Scraping vs. Open API
항목 Screen Scraping 표준 API
고객 인증정보 입력
• 필요
(인증정보를 저장하고 필요시
접속 활용)
• 불필요
(이용자가 직접 로그인 후 필요한
접근권한 부여 후 허용)
정보 처리
• 스크린상의 데이터 중 필요
한 데이터 추출
• 접근이 허용된 정보만을 제공
표준화 및 확장성 • 불가 • 가능
정보보호ㆍ보안
• 중요정보(ID/PW) 직접 저장
관리
• 필요 이상의 정보에 접근하
여 남용 또는 악의적 행위 활
용 가능
• 허용권한증표(token) 관리
• 이용자가 부여한 권한 내에서
정보수집이 가능하고 정보접근
통제 용이
• 사업자간 협의하여 필요한 보
안 대책 및 보안기술 적용 용이

13. 신용정보법상의 본인신용정보관리업
• 개인인 신용정보주체의 신용관리를 지원하기 위하여 신용정보제공ㆍ이용자(금융회사 등) 또는 공공
기관이 보유한 개인신용정보 등을 수집하고 수집된 정보의 전부 또는 일부를 신용정보주체가 조회
ㆍ열람할 수 있게 하는 방식으로 통합하여 그 신용정보주체에게 제공하는 업무
• ① 전자적 투자조언장치(로보어드바이저)를 통한 투자자문ㆍ투자일임업, ② 전자금융업, ③ 금융상
품자문업, ④ 신용정보업, ⑤ 온라인투자연계금융업, ⑥ 본인확인기관의 업무 등 (비금융업무 허용)
• ① 데이터 분석ㆍ컨설팅, ② 신용정보주체 본인에게 자신의 개인신용정보를 관리ㆍ사용할 수 있는
계좌를 제공하는 업무, ③ 신용정보주체의 정보관련 권리를 대리 행사하는 업무, ④ 본인신용정보관
리업 관련 연수·교육·출판, ⑤금융상품 광고·홍보, ⑥ 본인인증 및 식별확인 업무 등
고유업무
겸영업무
부수업무

14. 개인신용정보의 전송요구권
① 개인인 신용정보주체는 신용정보제공ㆍ이용자등에 대하여 그가 보유하고 있는 본인에 관한
개인신용정보를 다음 각 호의 어느 하나에 해당하는 자에게 전송하여 줄 것을 요구할 수 있다.
1. 해당 신용정보주체 본인
2. 본인신용정보관리회사
…
③ 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 신용정보제공ㆍ이용자등은 제
32조 및 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 지체 없이 본인에
관한 개인신용정보를 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 전송하여야 한다.
④ 제1항에 따라 신용정보주체 본인이 개인신용정보의 전송을 요구하는 경우 신용정보제공ㆍ이
용자등에 대하여 해당 개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은
내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다.
제33조의2 (개인신용정보의 전송요구)

15. 본인신용정보관리회사가 관리할 수 있는 개인신용정보
계좌정보 고객, 계좌자산
대출정보 일반 대출현황, 카드 대출현황, 금융투자 대출현황
카드정보 카드 상품, 카드 고객, 카드 이용
보험정보 보험 계약, 보험료 납입, 보험료 납입내역
금융투자상품정보 상품 기본, 상품 자산, 상품 거래내역, 체결 내역
증권계좌정보 고객, 계좌 및 계좌자산, 계좌 거래내역
연금상품정보 상품, 연금 납임, 연금 수령
보험대출정보 보험대출 현황, 대출 상환내역
전자지급수단 관련 정보 전자화폐, 전자자금 송금,포인트, 결제, 전용상품

16. 본인신용정보관리회사 허가 요건
자본금 • 최소 자본금 5억원
물적 요건
• 시스템 구성의 적정성
• 보안체계의 적정성
사업계획 타당성
• 수입·지출 전망의 타당성
• 조직구조 및 관리·운용체계의 사업계획 추진 적합성
• 조직구조 및 관리·운용체계의 이해상충 방지 등 건전 영업수행 적합성
대주주 적격성 • 대주주의 출자능력, 재무건전성 및 사회적 신용
임원자격 • 선임(예정) 임원이 금융회사의 지배구조에 관한 법률의 요건을 충족
전문성 • 본인신용정보관리업무 수행에 충분한 전문성
• 신용정보회사가 기존에 이용하던 DB서버와 구분되는 별도 DB서버를 갖출 것을 요구
• 개인신용정보취급자 컴퓨터에 대한 물리적, 논리적 망분리 요구

17. 본인신용정보관리회사 관련 이슈
• 하나의 기업집단에 하나의 본인신용정보관리회사만으로 시스템 구축 가능
(but 복수의 계열회사가 신청중)
• 은행의 자회사 업종에 본인신용정보관리업 추가
• 금융지주회사외의 일반 지주회사도 본인신용정보관리회사를 계열회사로 보유 가능해질 계획
• 본인신용정보관리회사가 아닌 자는 마이데이타(MyData)라는 문자를 사용할 수 없음
(본인신용정보관리업 또는 이와 유사한 서비스를 제공하지 않는 자 내지 관련 정책 추진을 위해 중
앙행정기관의 장이 인정하는 경우는 예외)

18. 본인신용정보관리회사와 관련된 규제
Screen Scraping 등의 금지 (2021. 8. ~)
• 본인신용정보관리회사는 어떠한 경우에도 스크린 스크래핑 방식을 이용하거나 제3자를 경유하여
(중계기관 제외) 정보를 수집할 수 없음
• 본인신용정보관리업과 관련이 없는 경우에도 스크래핑 방식으로 개인신용정보 수집이 제한됨
정보주체의 전송요구권 등의 침해 금지
• 개인인 신용정보주체에게 개인신용정보의 전송요구를 강요하거나 부당하게 유도하는 행위
• 본인신용정보관리회사 자신에게 전송요구를 하는 방법보다 제3자에게 전송요구를 하는 방법을 어
렵게 하는 행위
• 전송요구의 변경 및 철회의 방법을 최초 전송요구에 필요한 절차보다 어렵게 하는 행위
• 본인신용정보관리회사의 이익을 위해 금융소비자에게 적합하지 않다고 인정되는 계약 체결을 추
천 또는 권유하는 행위

19. 비금융분야에서의 마이데이터(MyData) 산업 추진경과
2019년 MyData 실증 사업 진행
2020년 MyData 실증 사업 선정
Kdata, 마이데이터 서비스 안내서
발표
• 작년 5월 의료, 금융, 에너지, 유통 등의 분야에서 총 8개
의 본인정보 활용지원 실증서비스 사업을 진행
• 금년 6월 의료, 금융, 모빌리티, 부동산 등의 6개 분야에
서 8개의 마이데이터 실증서비스 과제를 선정
• 개인이 주도적으로 데이터를 유통 활용할 수 있는 플랫
폼(PDS: Personal Data Storage) 구축 및 운영 목표
• 마이데이터 서비스를 제공하는 과정에서 이루어지는 개
인정보의 수집ㆍ이용 동의 과정 방식 등을 권고
• 정보주체가 개인정보를 통제하는 데에 중점

20. 마이데이터 서비스 안내서
• 정보를 활용하는 목적과 기관(업)을 직접 선택할 수 있도록 동의서 구성
(출처: KDATA)

21. 마이데이터 서비스 안내서
• 서비스 내에서 실시간으로 개인데이터 활용 동의의사를 확인하고 변경 가능하도록 동의서 구성
(출처: KDATA)

22. 마이데이터 서비스 안내서
• 내려받기 및 전송요청이 용이하도록 구성
(출처: KDATA)

23. 마이데이터 서비스 안내서
• 동의 및 개인데이터 활용 내역을 쉽기 이해하도록 구성
(출처: KDATA)

24. 2019년 과기정통부 MyData 실증서비스
- 본인정보 통합조회 및 생애주기별 맞춤형 금융상품 추천 서비스

25. 2020년 과기정통부 MyData 실증서비스
- 금융서비스를 연결하는 On-Device 기반 마이데이터 결합 플랫폼
(출처:NH농협 컨소시움)

26. 2020년 과기정통부 MyData 실증서비스
- 직장인 맞춤 웰니스 서비스: M-box
(출처:https://www.itdaily.kr/news/articleView.html?idxno=102007)

27. 2020년 과기정통부 MyData 실증서비스
- 포스트 코로나19 대비 공공 교통수단 클린이용 서비스
(출처:서울특별시)

28. 마이데이터 사업과 연계 가능한 ICT 규제샌드박스 사례
• SK텔레콤, KT, LG U+의 모바일 운전면허증 임시허가 (모바일 운전면허증)
• 카카오페이, 네이버 등의 행정∙공공기관 고지서 모바일 전자고지 임시허가 (CI 일괄변환)

29. 마이데이터 서비스에 관한 기타 법률이슈
• 블록체인 기반 마이데이터 사업
• DB에 대한 저작권, 저작편집권 등의 이슈
• 공정거래법상의 이슈
• 전자지급수단 관련 이슈