내년부터 마이데이터의 전 분야 확산이 본격화되면서 유통·정보기술(IT) 등 산업계에 미칠 악영향에 대한 우려가 커지고 있다. 

30일 유통업계에 따르면 업계에선 마이데이터가 유통 분야에 도입되면 알리익스프레스나 테무 등 중국 전자상거래업체(이커머스)에 국내 이용자의 개인정보가 헐값에 팔릴 수 있다는 지적이 나온다.

마이데이터는 개인이 여러 곳(기업·기관 등)에 흩어진 자신에 대한 정보를 한 번에 확인할 수 있게 하는 제도로, 금융과 공공분야에선 이미 도입·시행되고 있다. 마이데이터가 시행되면 개인정보를 보유한 기업이나 기관에 자신의 정보를 원하는 다른 곳으로 옮기도록 요구할 수 있다. 

마이데이터 주무 부처인 개인정보위원회는 마이데이터 전 분야 확산을 위한 개인정보보호법 시행령 개정안을 올해 5월 입법 예고했다. 개정안에는 내년 보건의료·통신·유통 등 전 분야에 마이데이터를 단계적으로 적용·확대한다는 내용이 담겼다. 

시행령에 따르면 통신판매 또는 통신판매중개업자(온라인 유통업체 등)는 연간 매출액이 1500억원 이상이거나 100만명 이상 개인정보를 저장할 경우 마이데이터가 적용된다. 쿠팡·SSG닷컴·네이버스마트스토어 등 국내 대규모 온라인 쇼핑몰과 함께 아마존·알테쉬(알리익스프레스·테무·쉬인) 같은 해외 이커머스 업체들이 해당된다. 단 오프라인 판매업자는 포함되지 않는다. 
 
마이데이터가 유통분야에 적용되면 고객이 구매한 상품 정보는 물론 회원·지불·배송·포인트 정보까지 모두 공개된다. 이런 정보는 소비자 개인정보이자 국내 유통 사업자가 막대한 비용을 들여 관리하는 자산이라는 게 유통업계 측 설명이다.

특히 데이터 국외이전까지 가능하기 때문에 국내 유통기업의 영업 노하우가 중국 이커머스 등 해외 기업에 노출될 수 있다는 지적이다.  

국내 주요 소비자단체들도 민감 개인정보 유출 피해가 커질 수 있다고 우려한다. 한국소비자연맹 등은 특히 쇼핑 분야 마이데이터 사업이 시행되면 이에 동의한 소비자의 성인용품 구매 내역, 여성 임신 정보, 속옷 취향 등 민감한 사생활 정보가 국내외 수많은 업체에 실시간으로 전송될 수 있다고 지적했다.

이들 단체는 "마이데이터 사업 본질은 정보 주체의 권리 향상인데 소비자들이 충분히 이해하지 못한 상태로 사업이 본격화하면 소비자는 수동적으로 약관에 동의하고, 정보 이동 후에 어떻게 정보가 사용되는지 알 수 없다"고 강조했다.

중소 IT 업체들도 마이데이터 도입은 산업 발전에 악영향을 줄 것이라고 주장한다. 우선 그간 데이터 구축을 위해 막대한 비용을 투자해 온 인공지능(AI) 기업에 부정적 영향을 줄 수 있다는 지적이다.

한국인터넷기업협회는 "기업이 막대한 비용을 투입해 구축한 데이터를 타사와 무상으로 공유하게 되면 기업들은 데이터 구축을 위한 어떤 투자도 하지 않을 것이고 타사 데이터만을 수신하기 위한 전략을 취할 수 있다"고 주장한다.

정보 주체 수 100만명이라는 기준이 재정이 넉넉지 않은 스타트업엔 부담이 될 수 있다는 우려도 나왔다. 스타트업 기업이 마이데이터 정보 전송자로 포함되면 현실적으로 정보 전송과 관련된 비용을 감당하기 어렵다는 것이다. 
 
개인정보위는 현재 마이데이터 전 분야 추진을 위한 시행령 구체화 작업을 진행 중이다. 정보 전송 항목, 정보 수신자와 제공자를 명확히 하는 한편 기업들 의견을 충분히 반영해 하반기 중 고시한다는 방침이다. 

기업 고유 영업자산에 해당되는 정보는 전송 항목 대상에서 제외하는 작업을 진행 중이다. 이상민 개인정보위 범정부마이데이터추진단장은 "기업들이 보유한 모든 정보가 전송 대상은 아니다"라고 강조했다. 일례로 고객이 물품을 구매하는 과정에서 필수적으로 발생하는 정보 등이 전송되는데, 이는 정보 유출 우려가 크지 않고 기업 가치가 반영된 데이터가 아니다는 것이다. 이어 "현재 기업들이 우려하는 항목들을 (전송 대상 목록에서) 많이 줄이고 있다"고 전했다. 

국내와 해외 업체 간 형평성 문제도 신중히 들여다보고 있다. 국내 유통 정보가 해외 온라인 유통 사업자에게도 전송될 수 있는지, 한국 마이데이터 제도가 해외 업체에도 동일하게 적용되는지 등 관련 지적이 나오고 있어서다. 

이 단장은 "마이데이터가 도입되면 (정보 주체 동의가 있으면) 정보 보유 기업 등은 원칙적으로 데이터 제공 의무가 있으나, 외국 기업들은 이를 이행하지 않을 수도 있다"며 "다만 데이터 제공 의무를 이행하지 않으면 (정보를) 수신도 할 수 없도록 돼 있다"고 밝혔다.

그러면서 "원칙적으로 정보 주체가 원하는 정보만 이동하도록 돼 있고, 외국 기업에 데이터가 전송되는 것과 관련해선 여러 방향으로 논의 중"이라고 전했다.