요즘 금융권은 물론 G마켓·11번가 같은 전자상거래 업체들 사이에서도 가장 뜨거운 감자는 ‘신용정보의 범위’다. 가령 소비자 A씨가 쓱닷컴에서 쓱페이로 기저귀를 샀는지, 고양이 간식을 샀는지와 같은 ‘주문내역 정보’가 그의 신용을 판단하는 데 필요한 정보인가를 둘러싼 공방이다.
법 제정 25년 만에 신용정보의 법적 범위가 새삼 논란이 된 것은 지난달 초부터 시행된 새 신용정보법 때문이다. 본인신용정보관리업, 이른바 ‘마이데이터(MyData)’가 제도화되면서 앞으로 A씨가 요구하면 이들 업체는 A씨 본인이나 마이데이터 사업자에게 주문내역을 포함한 신용정보를 보내줘야 한다. 흩어진 신용정보를 개인이 원하는 곳에 한데 모아 직접 관리하거나 맞춤형 서비스를 받을 수 있도록 한다는 취지다.
하지만 쇼핑 정보를 쥔 전자상거래 업체들은 이런 주문내역이 개인의 신용평가에 필요 없는데다 사생활 침해 우려가 있는 민감정보여서 개방할 수 없다고 주장한다. 이미 지난 2015년부터 개인의 알리페이 주문정보를 신용평가에 활용하고 있는 중국 알리바바의 ‘즈마신용’ 사례는 차치하더라도, A씨의 정보를 A씨가 보내달라는데도 ‘A씨의 사생활이 침해될 수 있으니 줄 수 없다’는 얘기는 뭔가 이상하다. 데이터 자기결정권 도입이 핵심인 마이데이터의 철학과도 정면으로 배치된다. “금융사 데이터는 필요도 없는데 이제껏 우리가 쌓아온 쇼핑정보를 그냥 달라는 게 말이 되느냐”는 한 업계 관계자의 말이 차라리 더 솔직하니 이해가 된다.
지난 2016년 유럽연합(EU)이 처음 입법화한 마이데이터는 ‘내가 발생시킨 데이터는 기업이 아닌 나의 것이므로 내 뜻대로 활용한다’는 개념에서 출발했다. 새 신용정보법이 개인의 신용정보 전송요구권, 제공동의 철회권, 삭제요구권 등을 만든 것도 이런 목적에서다. 누군가는 내 주문내역을 모아 보여주고 그 대가로 맞춤형 혜택을 받고 싶을 수 있다. 주문내역이 민감해서 공유하기 싫은 사람이라면 전송 요구나 제공 동의를 안 하면 된다. 일단 데이터를 줬다가 서비스가 불만족스럽거나 꺼림칙하면 즉시 철회도 할 수 있다. 어떤 정보를 제공하는지는 데이터 주인인 소비자의 선택이다. 마이데이터 산업을 둘러싼 논의를 보면서 여기저기서 “주객이 전도됐다”는 탄식이 나오는 이유다.
물론 두루뭉술한 동의 한 번에 민감한 개인정보까지 사업자가 마구잡이로 가져다 쓸 위험은 분명 있다. 류근관 서울대 교수가 지적했듯 ‘마이데이터 사업자가 프로 선수라면 주체인 개인은 아마추어’다. 규제기관과 사업자가 논의해야 할 진짜 문제는 업권별 데이터 개방 ‘땅따먹기’가 아니라 정보 제공·활용 전 단계에서 개인의 권리를 실질적으로 보호하고 정보 집중에 따른 폐해를 예방하기 위한 장치다.
binthere@sedaily.com