마이데이터, 법·제도 체계의 현주소

한국의 마이데이터 제도는 법제화 속도만 놓고 보면 세계적으로 선두권에 속한다. 2020년 데이터 3법 개정 및 시행 이후 금융권 중심으로 실행 체계가 갖춰졌고, 2025년 초부터는 의료·공공 분야까지 본격적으로 확대된 상황이다. 정부는 이를 "디지털 전환의 핵심 인프라"로 규정하고, 기업들은 마이데이터 사업자 허가를 받기 위해 경쟁하고 있다.

그러나 법이 빠르다고 해서 현실도 그만큼 빠른 것은 아니다. 법은 '가능성의 문'을 열었지만, 실제로 그 문을 통과하는 과정에서 많은 문제들과 부딪힌다. 

기술 표준, 기관 간 협력, 데이터 주체의 인식, 그리고 무엇보다 "누가 책임을 지는가"라는 민감한 질문들이 그것이다. 이번 글에서는 법과 제도의 구조를 단순히 소개하는 것이 아니라, 실제로 어떻게 작동하고 있는지, 어디서 막히고 있는지를 중심으로 현황을 정리한다.

< 마이데이터의 법과 제도 >

데이터 3법과 마이데이터의 시작

2020년 8월에 시행된 데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)은 마이데이터 제도의 법적 토대가 되었다. 핵심은 세 가지다.

1) 개인정보의 개념 구분

개인정보를 '식별 가능한 개인정보', '가명정보', '익명정보'로 나누고, 가명정보는 통계·연구 목적으로 본인 동의 없이 활용할 수 있도록 했다. 이는 데이터 산업 활성화를 위한 핵심 조치였지만, 동시에 "어디까지가 가명인가"라는 논란의 출발점이기도 했다.

2) 감독기구 일원화

개인정보보호위원회가 중앙 감독기관으로 자리 잡으면서, 기존에 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있던 권한이 통합되었다. 제도적으로는 단순해졌지만 각 부처와의 협력 체계는 여전히 복잡하다.

3) 전송요구권 신설

신용정보법에 '본인신용정보 전송요구권'이 명시되면서, 금융 분야 마이데이터의 법적 근거가 마련됐다. 개인이 자신의 금융 정보를 제3자에게 전송하도록 요구할 수 있게 된 것이다. 문제는 이 권리가 금융 이외의 분야로는 아직 확장되지 않았다는 점이다.

개별 법률의 구조적 쟁점

1) 개인정보보호법: 원칙은 명확하나 해석은 모호하다 

가명정보 활용은 이론상 가능하지만 실무에서는 여전히 보수적으로 접근된다. 

기업 입장에서는 가명처리를 했다 하더라도 재식별 가능성에 대한 책임 소재가 불명확하기 때문에 적극적인 활용을 망설이게 된다. 

특히 결합 전문기관을 통한 가명정보 결합 절차는 시간과 비용이 많이 들어, 중소기업이나 스타트업에게는 실질적 진입 장벽이 되고 있다.

또한 동의 체계는 여전히 복잡하다. 

법은 '명확하고 구체적인 동의'를 요구하지만, 실제 현장에서는 이를 어떻게 구현할지에 대한 명확한 가이드라인이 부족하다. 

결과적으로 기업은 과도하게 긴 동의서를 만들고, 소비자는 그냥 체크하는 구조가 반복된다.

2) 신용정보법: 금융 마이데이터의 성과와 한계

2021년 1월에 법적 근거가 갖춰지고, 같은 해 12월부터 본격 시행된 금융 마이데이터는 비교적 성공적으로 안착했다. 

2025년 11월 기준, 누적 이용자는 약 3,800만 명에 달하며, 주요 은행·카드사·보험사가 참여하고 있다. 

그러나 여전히 해결되지 않은 문제들이 있다.

① 데이터 범위의 제한: 법에서 정한 '본인신용정보'는 대출, 카드, 보험 등 금융거래 정보에 한정되어 있다. 통신비, 의료비, 공과금 등 실제 가계 재무를 구성하는 다른 정보들은 포함되지 않는다.

② 표준화 부족: 각 금융사가 제공하는 데이터의 형식과 범위가 달라, 마이데이터 사업자가 이를 통합·가공하는 과정에서 많은 비용이 발생한다. API 표준은 있지만, 세부 구현은 기관마다 다르다.

③ 책임 소재 불명확: 데이터 전송 과정에서 오류나 누락이 발생했을 때, 송신기관과 수신기관, 그리고 마이데이터 사업자 중 누가 책임을 지는지 명확하지 않다.

3) 정보통신망법: 역할 축소 이후의 공백

정보통신망법에서 개인정보 관련 조항이 개인정보보호법으로 이관되면서, 법 체계는 단순해졌다. 

그러나 통신·인터넷 서비스 업계에서는 여전히 "어느 법을 어떻게 적용해야 하는가"에 대한 혼선이 남아 있다. 

특히 방송통신위원회와 개인정보보호위원회 간 역할 분담이 명확하지 않아, 유사한 사안에 대해 서로 다른 해석이 나오는 경우도 있다.

< 금융 마이데이터 >

전송요구권, 법적 권리와 실행의 간극

마이데이터 제도의 핵심은 '전송요구권'이다. 

개인이 자신의 정보를 보유한 기관에 요청해 제3자에게 전송하도록 할 수 있는 권리. 이는 개인이 데이터의 '소유자'에서 '통제자'로 전환되는 상징적인 권리다.

그러나 이 권리는 금융 분야에만 명시되어 있다. 

의료정보는 의료법과 개인정보보호법 사이에서 애매하게 걸려 있고, 통신정보는 통신비밀보호법의 영향을 받으며, 공공정보는 전자정부법과 공공데이터법의 적용을 받는다. 

즉, 법적으로 보장된 권리가 실제로 행사 가능한 권리로 연결되지 않는 구조가 여러 곳에 존재한다.

게다가 전송요구권 행사를 위해서는 본인인증, 동의 절차, 데이터 형식 변환 등 여러 단계를 거쳐야 하는데, 이 과정이 기관마다 제각각이다. 

결국 소비자는 "권리는 있는데 쓰기 어렵다"는 경험을 하게 된다.

< 데이터 전송요구권 >

의료 마이데이터, 법적 근거와 현실의 과제

 

2024년 12월 의료법 개정으로 의료 마이데이터의 법적 근거가 마련되었다.

2025년 3월부터 의료마이데이터가 본격적으로 시행되면서 여러 의료기관에 흩어진 개인의 건강정보(진료기록, 검진 내역 등)를 본인 동의 하에 안전하게 통합 조회하며, 맞춤형 건강관리나 연구 등의 제공 및 활용을 목표로 진행되고 있다.

그러나 현재까지 본격적 확산은 이루어지지 않고 있는데, 그 이유는 명확하다.

 

① 민감정보 특성: 의료정보는 개인정보 중에서도 가장 민감한 정보로 분류된다. 유출 시 개인에게 미치는 영향이 크기 때문에 병원과 정부 모두 신중하게 접근하고 있다.

 

② 병원 간 시스템 차이: 대형병원과 중소병원의 전산 시스템 수준이 다르고, 전자의무기록(EMR) 형식도 통일되어 있지 않다. 표준화 작업은 진행 중이지만 실제 구현까지는 시간이 걸린다.

 

③ 일부 의료인의 우려: 일부 의료인들은 환자 정보가 외부로 전송되는 것 자체에 대해 우려를 표한다. 특히 정보 전송 과정에서 발생할 수 있는 법적 책임에 대한 불안이 크다.                       

<의료 마이데이터 >

공공 마이데이터

2021년 전자정부법의 개정 및 시행으로 공공 마이데이터의 법적 근거가 생겼다. 

그러나 현재까지 국민이 자신의 공공정보를 통합적으로 조회하고 활용하는 수준에는 아직 도달하지 못하고 있다. 

주민등록, 건강보험, 국세, 연금 등 각 공공기관이 보유한 정보는 여전히 개별 시스템에 분산되어 있고, 통합 조회 시스템은 부분적으로만 작동하고 있다.

< 공공 마이데이터 >

글로벌 지형 속 한국의 좌표

유럽(GDPR): 법은 강력하지만 실행 속도는 느리다. 

데이터 이동권(Right to Data Portability)이 명시되어 있지만, 실제로 이를 구현한 서비스는 제한적이다.

① 미국: 연방 차원의 통합법이 없고, 주별로 다른 규제가 존재한다. 캘리포니아의 CCPA, 버지니아의 VCDPA 등이 있지만, 산업 중심의 자율규제가 강하다.

② 일본: 개인정보보호법은 있지만, 데이터 이동권에 대한 명시적 규정은 없다. 금융 분야에서 제한적으로 API를 통한 정보 제공이 이루어지고 있다.

③ 한국: 법 제정 속도가 빠르고, 금융권을 중심으로 실제 서비스가 작동하고 있다. 그러나 의료·공공 분야로의 확산은 더디고, 법과 현실 사이의 간극이 여전히 크다.

제도보다 중요한 것은 실행력

한국의 마이데이터 법제는 빠르게 정비되었다. 

2020년 데이터 3법 개정 이후 불과 5년 만에 금융 분야에서는 실제 서비스가 작동하고 있고, 의료·공공 분야로의 확장도 법적 근거를 갖췄다. 

이는 분명 주목할 만한 성과다. 

그러나 법이 실제로 작동하려면 기술 표준, 기관 간 협력, 소비자 인식, 그리고 명확한 책임 체계가 뒷받침되어야 한다. 

현재 한국은 이 모든 것을 동시에 실험하고 있는 중이다.

문제는 법이 만들어졌다고 해서 현실이 자동으로 따라오지 않는다는 점이다. 

전송요구권은 법에 명시되어 있지만, 실제로 이를 행사하려면 복잡한 절차를 거쳐야 하고, 기관마다 제공하는 데이터의 범위와 형식이 달라 통합 활용이 어렵다. 

가명정보 활용은 가능해졌지만, 재식별 위험에 대한 책임 소재가 불명확해 기업들은 여전히 보수적으로 접근한다. 

의료 마이데이터는 법적 근거를 갖췄지만, 민감정보 특성과 시스템 표준화 문제로 전국적 확산은 더디게 진행되고 있다.

결국 지금 우리에게 필요한 것은 '법을 더 만드는 것'이 아니라 '만들어진 법이 실제로 잘 작동하도록 하는 것'이다. 

이는 단순히 시간이 해결해주는 문제가 아니다. 

정부는 명확한 가이드라인과 표준을 제시해야 하고, 기업은 단기 이익보다 생태계 전체의 지속가능성을 고려해야 하며, 소비자는 자신의 권리를 인식하고 적극적으로 행사할 수 있어야 한다. 

무엇보다 데이터 전송 과정에서 발생하는 오류나 침해에 대한 책임을 누가 어떻게 질 것인지에 대한 사회적 합의가 필요하다.

법은 길을 만들었지만, 그 길이 실제로 통행 가능한지는 걸어봐야 안다. 

지금 우리는 그 길을 걷기 시작한 단계다. 

그리고 이 길이 제대로 작동하는지 여부는, 앞으로 몇 년간 의료·공공·통신 등 다양한 분야에서 마이데이터가 어떻게 확장되고 정착되는지를 지켜보면 알 수 있을 것이다. 

중요한 것은 법의 완성도가 아니라, 법이 실제 국민의 삶에서 어떤 변화를 만들어내는가이다.

다음 제 3부에서는 금융을 넘어 의료·통신·유통 등 생활 전반으로 확장되는 마이데이터의 실제 사례들을 구체적으로 살펴보려 한다. 

< 마이데이터의 법과 제도 >