[FE금융경제신문=장인성 기자] 내년 3월 25일 본격 시행을 앞둔 금융소비자보호법이 이제 100일도 채 안 남았다. 광범위한 규제인터라 은행, 증권, 보험업계 두루 시행령을 앞두고 공포감이 팽배한 상황이다. 이에 본지는 금융소비자보호법의 법안을 보고 쟁점에 대해 이야기하는 특집을 구성해봤다.

◇ 개인정보를 판매할 권리 소비자에게 있다 … 캘리포니아 CCPA 미국 전역 번지는 中

지난 1월 미국 캘리포니아주는 소비자 개인정보보호법인 CCPA를 시행했다. 해당 법안은 캘리포니아 민법전 1.81.5편에 19개 조문으로 편제 된 작은 법안으로 간단히 설명하자면 소비자 개인정보를 사업자가 판매 혹은 활용할 때에 판매금지를 소비자가 지시하는 법이다.

해당 법안은 지난 2018년에 EU에서 시행 된 GDPR과 흡사하지만 법을 어겼을 때에 GDPR은 조 단위에 이르는 막대한 과징금을 물어야 하나 CCPA는 소비자 집단소송제를 통해 손해배상액을 물어주도록 했다.

이 법이 한국에선 별로 소개되지 않아 사업자들이 해당 법안의 중요성을 잘 모르지만 이 법은 미국 역사상 가장 강력하고 고비용적인(손해배상액) 개인정보보호법으로 불리고 있다.

가령 구글이나 유튜브를 통해 검색하거나 동영상을 보면 개인이 관심을 가지는 상품이나 영상이 반복적으로 추전영상이 뜨거나 광고화면으로 잡힌다. 내 관심사가 데이터로 수집됐기에 고스란히 광고로 사용되고 이를 활용해 사업자는 추가 이득을 얻는다. 그러나 이제 캘리포니아에선 소비자가 개인정보 판매에 반대하면 사업자는 더 활용할 수 없다.

대상은 캘리포니아 내 영리목적을 갖고 2500만 달러(한화 273억원)이상 수입이 있는 사업자 모두다. 그래서 대기업뿐만 아니라 미국으로 수출하는 한국 기업들도 대상이다. 이렇다 보니 미국 내 온라인 광고시장도 법 파급력으로 초상집 분위기가 연출되고 있다.

아이러니하게도 캘리포니아주는 미국 IT기업이 몰린 실리콘밸리가 있는 주로서 개인정보 활용에 제한을 둘수록 손해가 크다. 그렇지만 개인정보보호 법안을 미국에서도 가장 먼저 통과시켰다는 점에서 미국 내 다른 주들도 동조하는 분위기다.

실제 이베이(ebay)에 올라온 문구엔 당신 동의 없이 이베이는 개인정보를 팔지 않았지만 당신의 경험을 토대로 한 맞춤광고에 당신 정보를 공유했다며 그렇지만 개인정보 사용에 동의하지 않음을 누르면 해당 제공 광고에서 당신의 개인정보가 활용되지 않는다고 기재돼 있다.

이는 캘리포니아에 재화를 얻는 모든 기업을 대상으로 한 만큼 국내기업인 현대자동차, 삼성전자 약관에도 해당 내용이 반드시 들어가 있다.

◇ 개인정보 활용 제한 두지 말자는 빅테크 … 빅데이터를 사업화하는 보험사들

다만 CCPA에도 한계는 있다. 앞서 2500만 달러 이상 수입을 얻는 사업자가 대상이 됐다는 말은 반대로 이야기하면 그 이하 수입을 얻는 사업자는 대상이 안 된다는 말이다. 특히 공공부문과 연방데이터 보호법에 따라 별도로 보호받고 있는 분야들도 대상이 안 된다.

예를 들어 건강보험법 등의 적용을 받는 보건서비스 제공자 및 보험사, 금융현대화법 등의 적용을 받는 은행 및 금융사 공정신용보고법의 적용을 받는 신용보고기관 등이다. 즉 금융사들은 해당 법안에서 예외적으로 인정되는 분야라는 것이다.

그렇지만 해당 법의 원조인 EU의 GDPR이 정한 개인정보보호 대상 기업은 EU국가 내 사업장 운영 기업 뿐 아니라 전자상거래 등을 통해 해외에서 EU 주민의 개인정보를 취급하는 모든 기업에 적용 돼 상당히 구체적이고 대상도 매우 많다.

비록 미국 내 금융사들이 해당 법안에 예외적인 인정을 받았지만 세계흐름상 금융사도 얼마든지 개인정보 활용에 제약이 생겨날 수 있음을 보여주는 것이기도 하다.

그렇다면 국내는 어떨까? 지난 1월 국회는 데이터 3법 개정안을 통해 개인의 동의 없이는 절대 활용할 수 없었던 개인정보를 소비자가 동의하지 않아도 무기명을 통해 활용하도록 해 신사업에 이용될 수 있는 길을 열었다.

덕분에 국내 금융사들마다 개인의 금융정보를 최대한 활용하는 마이데이터 사업진출에 박차를 가할 수 있었다. 기술적 환경 뿐 아니라 코로나19 상황이라는 특수한 상황이 펼쳐지면서 디지털 금융으로 변화하는데 도움이 됐다.

아예 지난 14일 이진규 네이버 개인정보보호책임자는 “데이터3법 개정으로 이용자 동의 없이도 개인정보 이용이나 제공 가능성이 확대됐지만 개인정보를 사용하려면 예외적 상황에서만 사용할 수 있다”며 “개인정보를 일일이 허가받는 게 아니라 통으로 신탁할 수 있도록 해야한다”고 주장했다.

사실상 소비자 개인정보 활용을 위해 현재는 최소한 비용이라도 내고 이용했다면 혁신을 위해선 동의 없이 이용하자는 말이다.

이미 보험사들은 비식별이 되는 개인 건강정보데이터를 모아 데이터 판매업을 하도록 해달라고 사업신청서를 낸 곳이 6곳이 넘었다. 그동안 보험사에 쌓인 고객의 건강정보를 비식별데이터로 한 다음에 빅테크 기업이나 마이데이터 사업을 하는 곳에 제공해 수입을 얻으려는 것이다.

비록 보험사의 경우 이미 금융당국에서 데이터3법이 통과되면서 어느 정도 혁신성을 인정해 사업을 허가하는 분위기다. 문제는 최근 들어 혁신을 강조하며 빅데이터 시대 진입을 이야기하며 경제적 논리로 소비자 권리를 무시하는 경향이 높아지고 있다는 점이다.

물론 데이터가 돈이 되는 것은 맞지만 소비자가 공개하고 싶지 않는 모든 개인정보를 활용하게끔 만드는 것은 오히려 세계흐름에도 맞지 않다.

이번에 시행되는 금융소비자보호법 제 52조에도 민감정보와 고유식별처리에 대해 금융당국과 이를 대리한 자가 사무처리를 위해 불가피한 경우 개인의 민감정보 등을 처리할 수 있도록 규정하고 있다.

이에 최혜선 한국형사정책연구원은 “민감정보에는 건강정보·유전정보·범죄정보·주민번호가 해당하는데 몇몇 분쟁조정 사무 외에도 교육이나 교육협의회에서 활용하도록 돼 있는데 왜 필요한지 이해가 안 된다”며 “건강정보나 유전정보는 형사사법기관에서도 수집한다 해도 순기능과 역기능이 있어 논란인데 금융기관이 확보하는 부분에 과연 순기능이 얼마나 될지 의문”이라고 답했다.

이를 두고 금융위원회 관계자는 “논란이 되는 부분들은 시행령에선 대부분 삭제될 것”이라며 “금융소비자보호법 내에서 개인정보보호에 대한 내용을 좀 더 신중하게 접근하겠다”고 답했다.

장인성 기자  ft20@fetimes.co.kr

장인성 기자 다른기사 보기