마이데이터 가이드라인, 무엇이 담겼나

금융위가 22일 마이데이터 가이드라인을 발표했다. 법과 시행령에 명확히 정해지지 않은 부분에 대해 금융위가 산업계에 제시하는 일종의 지침이다. 마이데이터 사업자 또는 개인신용정보 취급자라면 이 가이드라인에 따라 이용자의 마이데이터 서비스를 지원해야 한다.

이날 금융위는 금융분야 마이데이터 서비스 가이드라인, 금융분야 마이데이터 기술 가이드라인 등 총 2종류의 가이드라인을 발표했다. 가이드라인에는 어떤 내용이 담겨 있을까.

마이데이터사업자의 의무

지침에 따르면, 마이데이터 사업자는 오는 8월 4일부터 API(Application Programing Interface) 방식으로 정보를 수집해야 한다. 현재 마이데이터 사업자들이 주로 사용하고 있는 스크레이핑 방식의 정보수집은 금지된다. 금융위는 “마이데이터사업자는 고객의 접근수단을 직접 보관하거나, 접근권한을 확보하거나, 접근수단에 대한 지배권 등을 확보하는 방법으로 사용 및 보관함으로써 고객에게 교부할 신용정보를 수집해서는 아니된다”고 명시했다.

금융위는 마이데이터 사업자와 고객의 이해상충을 걱정하는 듯 보였다. 예를 들어 고객에 금융상품을 추천할 때 고객에게 필요한 상품이 아니라 광고비를 많이 낸 회사의 상품을 추천할 가능성이 있다. 이를 막기 위해 이용자의 신용정보 보관 및 관리 원칙, 이해상충 상황 발생에 대한 원칙, 데이터 분석 원칙, 내부 임직원 통제 및 교육 방안 등을 규정해야 한다.

이에 금융위는 “마이데이터 사업자는 마이데이터서비스를 운영함에 있어 고객의 이익을 최대한 존중해야 한다”는 고객이익 우선원칙을 정하고, 고객을 모집할 때 과도한 경제적 이익을 제공하지 못하도록 했다. 또 고객이 가입할 때 다른 마이데이터 서비스 가입현황을 보여줘 불필요한 서비스 중복가입을 막도록 했다.

고객이 개인신용정보 정기전송을 원할 때는 그 비용을 정보를 제공받는 마이데이터 사업자가 부담하도록 했다. 또 마이데이터 사업자는 고객의 신용정보를 전송받으면 그 내역을 기록해야 하고, 그 기록은 고객에게 1년에 한 번 이상 통지해야 한다.

정보제공자의 의무

오는 8월 4일부터 개인신용정보를 취급하는 금융기관이나 공공기관은 이용자가 요구할 경우 정보를 마이데이터 사업자에게 직접 API로 즉시 넘겨줘야 한다. 마음대로 API 형식을 정해서 보내도 안된다. 고객 정보를 보낼 때는 받는 마이데이터 사업자와 미리 정한 API 방식으로 보내야 한다. 고객이 원한다고 무조건 보내도 안되고 상호간 식별 인증 절차를 거쳐야 하며 암호화 등의 안전조치를 위해야 한다.

고객은 정보제공자에게 정보전송을 요구할 때 정보를 특정해야 하는데, 정보제공자는 고객이 편리하게 특정할 수 있도록 지원해야 한다. 정보제공자 역시 마이데이터 회사와 마찬가지로 전송내역을 기록하고, 1년에 한번 고객에 이를 알려야 한다.

정보제공자는 고객이 타인에 속아서 정보 제공을 요청했다고 판단될 때, 전송 요구사항이 특정되지 않았을 때, 적법의 수신자가 아닐 때, 부당한 인증방법을 썼을 대 등은 정보전송을 거부할 수 있다.

고객이 원할 때 보내야 하는 정보는 여수신정보, 보험정보, 카드정보, 금융투자정보, 전자금융업정보, 개인IRP정보, 통신정보, 보증보험정보, 공공정보 등이 해당한다.

고객이 마이데이터 사업자가 아니라 본인에게 정보를 보내달라고 요구할 때도 이에 응해야 한다. 이를 위해 PDS(Personal Data Storage)라는 개념이 도입됐다. PDS란 정보주체가 본인의 데이터를 안전하게 저장하고 체계적으로 관리하는 플랫폼이다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network