MyData 백서 한글본 (The White Paper)

[ace나그네]

(원문 출처)

http://www.mydatakorea.io/whitepaper

백서 한글본 (The White Paper)

마이데이터 백서

인간중심적 개인데이터의 관리와 처리를 위한 북유럽 모델

이 백서는 인간중심적 방식으로 개인 데이터를 관리하고 처리할 수 있는 구조, 원리, 모델을 제시합니다. 이 접근방식은 ‘마이데이터’로 정의됩니다. 이는 개인이 자신의 데이터에 접근할 수 있는 권리를 주는 것 원리에 기반합니다. 마이데이터의 핵심 개념은 개인이 자기 자신에 대한 데이터를 직접 통제해야 한다는 필요성입니다. 마이데이터는 디지털 인권을 강화하는 것과 동시에 기업이 상호 신뢰를 바탕으로 개인데이터에 기반한 혁신 서비스 개발의 기회를 창출하는 것을 목표로 합니다.

MyData 원칙

1 – MyData 란?

2 – My Data로부터 얻을 수 있는 효익은 무엇인가?

3 – 왜 MyData를 인프라 관점으로 접근해야 할까?

4 – MyData는 실제로 어떻게 작동할까?

5 – 왜 MyData는 동의에 초점을 둘까?

6 – 기업이 MyData에 관심을 가져야할 이유는 무엇일까?

7 – MyData는 개인 정보를 관리하는 데 어떻게 도움이 될까?

8 – 다음 단계는 무엇일까?

9 – 몇 가지 사례

10 - 링크 및 참조

MyData 원칙

1. 인간중심적 통제 및 개인정보 보호: 개인은 능동적으로 온/오프라인의 사생활을 관리해야 합니다. 개인은 자신의 데이터와 개인 정보를 관리 할 수 있는 권리와 실질적인 도구가 있어야 합니다.

2. 사용 가능한 데이터: 개인 데이터는 기술적인 방면에서 쉽게 접근하고 사용할 수 있어야 합니다. 데이터는 안전한 표준인 API(Application Programming Interfaces) 를 통해 컴퓨터가 처리할 수 있는 개방 형식으로 접근 될 수 있습니다. 마이데이터는 폐쇄된 사일로의 데이터를 중요한 자원으로 바꿀 수 있는 방법입니다. 마이데이터는 개인이 자신의 생활 관리를 돕는 새로운 서비스를 만들기 위해 사용될 수 있습니다. 이러한 새로운 서비스 제공자는 새로운 비즈니스 모델을 제시하고 사회 내 경제 성장을 만들어낼 수 있습니다.

3. 개방형 비즈니스 환경: 상호공유되는 마이데이터 구조는 데이터 사용 역할 간에 개인 데이터의 분산 관리를 가능하게 하고, 상호 운용성을 개선하며, 계속 강화 되고 있는 데이터 보호 규정을 기업이 더 수월한 방법으로 지킬 수 있도록 돕습니다. 그리고 개인이 자유롭게 서비스 제공 업체를 변경할 수 있도록 합니다.

1 – 마이데이터란 무엇인가?

첫째로, 마이데이터라는 용어는 개인데이터 관리의 현 패러다임을 기업 중심적 시스템에서 인간중심적 시스템으로 바꾸고자 하는 새로운 방식을 의미합니다. 둘째로, 마이데이터는 개인이 접근하고 통제할 수 있는 자원적 측면을 가진 개인데이터 자체를 의미합니다. 개인 스스로 통제할 수 없는 데이터는 마이데이터라고 정의 될 수 없습니다.

마이데이터 목표는 개인들이 자신의 구매데이터, 교통데이터, 통신데이터, 의료 기록, 재무 정보, 그리고 다양한 온라인 서비스에 남긴 그들 자신의 데이터 셋에 접근하고, 획득하고 사용할 수 있도록 실질적인 수단을 개인들에게 제공하는 것입니다. 또한, 개인데이터를 보유하는 기업 또는 기관이 데이터 통제권을 개인에게 되돌려주어 기업이 현재 데이터 권한과 관련된 최소 법적 요구사항 이상으로 더 노력하도록 권고하는 것입니다.

개인데이터의 가치는 사회적, 경제적, 실용적 측면에서 점점 더 커지고 있습니다. 세계 경제 포럼(World Economic Forum)은 다음과 같이 명시합니다 “개인 데이터는 새로운 종류의 경제 자산이 되어가고 있다. 21세기 사회의 모든 측면에 영향을 미치는 중요한 자원이 될 것이다.”그러나 개인 데이터의 폭 넓은 적용과 활용은 종종 개인 정보 보호가 사라질 미래에 대한 부정적인 예측으로 인해 종종 어려움을 겪습니다.

현재 개인은 비즈니스, 정부 또는 데이터 중개인이 자신에 대한 데이터를 어떻게 수집해서 활용하고 있는지에 대한 통제권이 거의 없거나 아예 소유하고 있지 않습니다. 마이데이터는 개인에게 데이터 사용의 결정 권한을 줌으로써 데이터 사용으로 개인이 최대한 유익을 얻고 사생활 정보의 손실을 최소화 할 수 있는 방식으로 데이터를 수집하고 사용하도록 돕습니다.

개인데이터는 현재 새로운 서비스들에 의해 충분히 활용되고 있지 않은 ‘새로운 자원’입니다. 서비스 및 여러 사회 기관 간에 데이터 이동과 데이터의 상호 운용이 보장되어 있지 않기 때문입니다. 그러므로 개인 데이터 관리 방법에 대한 구조적으로 넓은 새로운 관점이 필요합니다.

빅 데이터 분석의 성장으로 인해 사생활에 관한 논란은 수면 위로 올라왔습니다. 개인 정보의 분석 방식과 윤리적인 사용 기준에 관해서 마이데이터와 빅데이터는 상호 배타적이기보단 상호 보완적입니다. 빅 데이터는 거대한 데이터 세트의 융합과 분석의 잠재력을 활용할 수 있는 기업의 관점을 강조합니다. 반면에 마이데이터는 개인데이터를 통제하고 유익을 얻을 수 있는 개인의 능력을 강조합니다. 마이데이터 접근은 기업 또는 기관의 빅 데이터 분석 과정 속에서 데이터 보호와 개인 정보 보호를 실천할 수 있는 실용적인 방법을 제공합니다. 그리고 개인에게 자신의 데이터가 어떻게 수집되고 처리되었는지 투명하게 보여줍니다. 인간 중심적 관점을 숙지하지 않는다면 빅 데이터의 혁신적인 잠재성은 활용할 수 없을 것입니다. 개인이 기업을 침해적이고 의심스러우며 더는 용납할 수 없다고 여길 것이기 때문입니다.

마이데이터란 개념은 정보에 대한 접근을 자유롭고 투명하게 함으로써 정보의 유용성과 가치를 증가시킬 수 있다라는 ‘오픈 데이터’ 사상을 내포합니다. 오픈 데이터는 법적, 기술적 관점에서 누구나 무료로 재사용하고 배포할 수 있는 데이터의 정의입니다. 개인이 법적, 기술적으로 사용, 재사용, 배포 할 수 있는 데이터는 마이데이터가 결정한 데이터의 기준과도 부합합니다.

학습

유동성

에너지

공공 서비스

자가 진단

건강

은행 및 금융

매매

웹 서비스

커뮤니케이션 및 미디어 

그림 1.1: 개인 데이터는 어디에나 있습니다. 정부 기관을 포함한 모든 사업 부문은 계속해서 우리에 대한 더 많은 데이터를 수집하고 있습니다.

MyData는:

• 데이터의 상호 운용성 및 이동성을 보장하기 위한 인프라 접근 방식 – 개방형 구조는 업체에 의한 데이터 잠금 없이 개인이 서비스 제공자를 변경할 수 있도록 합니다.

• 사업 부문별 독립성 – 건강, 금융 등 개별적인 사업 부문에서는 주목할 만한 진전이 이루어지고 있지만 모두가 협력한다면 사회 모든 분야에 걸쳐서 발전이 가능해질 것입니다.

• 동의 기반 데이터 관리 및 통제 – 개인이 데이터 흐름을 통제하기 위해 자신의 모든 데이터를 중앙 저장소에 저장할 필요가 없습니다.

• 어떠한 개인 정보가 존재하는지 알 수 있는 권리입니다

• 개인 정보의 실제 내용을 볼 수 있는 권리입니다

• 허위 개인 정보를 수정할 권리입니다

• 개인 정보에 접근하고 처리하는 사람과 그 이유를 알 권리입니다

• 개인 정보를 수집해서 자유롭게 사용할 권리입니다

• 개인 정보를 제 3 자에게 판매, 공유 할 권리입니다

• 개인 정보를 제거, 삭제할 권리입니다

그림 1.2: 개인이 자신의 개인 정보에 대해 갖는 권리와 통제 수준은 다를 수 있습니다. MyData의 최소 충분 조건은 개인이 자신의 데이터에 접근하고 사용할 수 있는 권한을 직접 소유해야 한다는 점 입니다.

2 – MyData의 이점은 무엇인가?

개인은 자신에 대한 개인 정보를 관리 할 수 있는 도구와 법적 권리가 있어야 합니다. 이는 디지털 개인 신상 관리를 위한 수단이며 시민으로써 보장되어야 하는 자유로운 표현과 사고와 연관되어 있다고 생각합니다. 동시에 기업, 기관은 개인 데이터를 활용한 새로운 사용 또는 활용 방식을 발견 했을 때 개인 데이터 사용 동의를 얻는 실질적인 방법을 가지고 있어야 합니다.

그림 2.1: 개인은 자신의 삶과 모든 사회 영역에 걸쳐 존재하는 자신의 데이터를 얻을 수 있고 자신이 선택한 부분만을 서비스 제공자와 응용 프로그램에게 공유할 수 있습니다.

현 상황을 보자면 개인은 기본적으로 ‘예’ 승낙 버튼을 눌러 자기 데이터의 사용과 온라인 수집에 대한 법적 동의를 해당 기업 또는 기관과 소프트웨어 응용 프로그램에게 줍니다. 그러나 실질적으로 시행될 수 없는 약관이라는 것을 이해하지 못한 채 동의하기도 합니다. 이러한 상황임에도 불구하고 데이터 보호 규정의 현 기준은 기업 또는 기관이 개인데이터를 활용한 새로운 서비스를 만들지 못하도록 제제하는 경우가 자주 있습니다. 기업은 새로운 서비스 개발을 포기하거나 데이터 관련 법, 규정을 우회할 수 있는 방법을 찾으려고 시도하기도 합니다.

마이데이터는 데이터에 접근해야 하는 업체의 필요와 디지털 인권을 하나로 통합할 수 있는 데이터 관리 방식에 대한 진보적인 수단입니다. 이 방식은 개인, 기업, 기관을 통틀어서 사회 전체를 유익하게 합니다. 마이데이터는 여러 출처에서 얻어진 데이터로 개인이 자신에 대한 광범위한 시야를 얻도록 합니다 (그림 2.1 참조). 이렇게 하나로 통합된 데이터를 통해 개인은 보다 가치 있는 데이터 및 소비자 서비스를 제공 할 수 있는 업체와 상호교류 할 수 있습니다.

개인에게:

마이데이터는 개인이 데이터를 관리할 수 있는 쉽고 다양한 도구를 제공하고 기업 또는 기관이 데이터를 어떻게 사용하는지 개인에게 전부 공개하도록 하는 투명함을 제공합니다. 또한 개인은 새로운 서비스를 누리고 더 자유로운 선택을 할 수 있게 됩니다.

기업에게:

마이데이터는 혁신적인 데이터-기반 비즈니스를 창출할 수 있는 기회입니다. 개인의 동의 하에 기존 데이터 세트에 대한 법적, 기술적 접근을 마이데이터가 수월하게 해준다면 새로운 종류의 데이터-기반 비즈니스를 창출할 수 있기 때문입니다. 마이데이터 원리 안에는 여러 기준이 있습니다. 그리고 마이데이터는 데이터 사용 역할 간 상호 운용을 지원하기 위해 개발되었습니다. 이는 새로운 비즈니스를 위한 진입 장벽을 낮춰 시장이 더 균형적이고 기업 간 경쟁이 발생하도록 만듭니다.

사회:

마이데이터는 개인의 권리를 보호하고, 혁신적인 서비스 개발을 위한 개인 데이터 사용을 장려하기 위해 필요한 구조, 과정, 정책 등을 조성합니다.

그림 2.2 : 개인, 기업 (및 기타 기업 또는 기관)과 사회에 대한 마이데이터 방식의 이점

개인의 경우 :

• 맞춤형 데이터 기반 서비스 (예: 맞춤 추천 기능)

• 향상된 개인 정보 보호 기능, 데이터 통제력, 투명성

• 자신의 행동 패턴에 대한 통찰력 (자가 기록)

• 데이터 이동성으로 인한 서비스 선택의 폭 증가

• 회사 및 공공 기관과 더 균일하고 공평한 방법으로 상호교류할 수 있는 소비자의 역량 강화

• 개인 데이터를 통한 수익 창출

기업의 경우:

• 기업 서비스에 대한 소비자의 신뢰 증가 • 여러 보완 서비스의 통합으로 서비스의 핵심 제품 품질 향상 • 새로운 비즈니스가 성공하기 위한 최소 필수 개인정보 보유 유저 수 하향 (개방되는 비즈니스 환경) • 소비자 행동 패턴과 그에 따른 영향에 대한 통찰력과 투명성 (서비스의 제품 생산력 최대화) • 데이터 보호 법규 준수를 위한 도구 • 데이터 수집을 위한 거래 비용 절감

사회의 경우:

• 혁신, 디지털 권리 및 기업 성장의 균일한 성장 • 새로운 인프라의 활용으로 스마트한 규제 촉진 • 충분한 데이터에 기반한 정확한 사전 의사 결정 • 책임감 있고 지속 가능한 시민 행동 장려

3 – 마이데이터는 왜 인프라적 접근 방식인가?

마이데이터는 개인 데이터 생태계 구조를 개혁합니다. 하지만 이 정도로 높은 수준의 구조 개혁이 과연 필요할까요? 개인데이터 API를 모든 서비스에 다 개방하고, 기업 또는 기관이 해당 서비스와 직접 컨택하고 협상하도록 하는 것이 더 쉽지 않을까요?

대부분 마이데이터 기반 서비스의 경우에는 API를 통해 개인 데이터에 접근 하는 것이 가장 중요한 열쇠입니다. “API 경제”는 연결된 각 지점을 통해 개인 데이터를 교환하는 서비스 시장이며, 이미 스스로 성장하는 유기적인 생태계로 발전해가고 있습니다. 그러나 기업 또는 기관은 API 통합을 관리하는 데 현재 어려움을 겪고 있습니다. 그리고 개인은 서비스 간 이루어지는 데이터의 복잡한 흐름으로 인해 혼란에 빠지게 됩니다. 장기적으로 보았을 때 API 경제는 인프라적인 수정이 어느정도 필요합니다. 현재 API 경제는 앞으로 도래할 데이터 경제의 배양 단계라고 볼 수 있습니다. 그저 API 이외에도 보다 강력한 인프라가 필요합니다.

현재 나타나고 있는 상황을 보면, 개인데이터 수집은 이미 그들 자신의 생태계 안에서 개인 데이터의 흐름과 상호운영성을 간소화 하고 있는 구글, 페이스 북, 애플과 같은 거대 데이터 보유기관 뿐만 아니라 건강 부분의 Validic 및 Human API와 같이 특정 영역에서 부상하고 있습니다. 데이터 수집 기관 모델은 자연스럽게 API 경제로부터 진화하고 있지만 두 가지 근본적인 후유증을 나타내는 중입니다. 첫째로, 데이터 수집기관간의 상호 운용성의 부재는 개인과 회사가 특정한 데이터 서비스 제공자에게 묶인다는 것을 의미하고, 이는 데이터 시장이 혁신을 억제하며 사람들의 편리함을 압수하고 있다는 사실을 의미합니다. 둘째로, 현재 활동하는 데이터 수집 기관은 개인 정보를 보호하지 않고 데이터 주체의 관점에선 불투명한 방식으로 데이터를 사용해서 기업 서비스를 제공합니다. 보다 개방적이면서 프라이버시도 보호하는 모델을 만들기 위한 여러 과제들이 있지만, 공통의 인프라스트럭처 부재로 인해 이들 과제들은 상호 운용성의 어려움을 겪고 있습니다.

우리가 제안하는 마이데이터 인프라의 핵심 개념은 마이데이터 계정입니다. 개인의 경우 마이데이터 계정은 데이터 관리를 위한 단일 허브입니다. 계정을 통해 개인은 자신의 데이터에 접근하고 데이터를 사용할 수 있는 권한을 서비스 업체에게 줄 수 있습니다. 계정은 데이터가 어떻게 다른 서비스들과 연결되어 있는지에 대한 정보와 서비스 업체의 데이터 사용에 대한 법적 권한 및 동의 관련 정보를 저장합니다.

마이데이터의 시행은 궁극적으로 개인 데이터 생태계를 체계적으로 단순화 할 수 있습니다 하지만 분명한 것은 마이데이터는 모 아니면 도의 접근방식이 아닙니다. 마이데이터는API 경제와 기존 데이터 수집 모델의 발전과 함께 단계적으로 시행되고 활용될 수 있습니다.

우리는 다음과 같은 인프라가 필요합니다:

API의 광범위한 활용과 개인데이터 유통의 수요 증가를 기대할 수 있는 인프라.

개인이 디지털 동의를 실용적이고 포괄적으로 제어 할 수 있도록 하는 인프라.

개인 데이터의 인간 중심 수익 창출을 촉진 할 수 있는 인프라.

그림 3.1: (왼쪽) 구조가 부재한 API 경제에서 서비스 수가 증가할수록 서비스 간 연결 수는 더 빠른 속도로 증가합니다.**(중간) 일부 거대한 데이터 수집기관 중심의 모델은 기업 또는 기관, 개인의 삶을 편리하게 할 수는 있으나, 다른 수집기관들 입장에서는 그들간 상호운영성을 발전시키고자 하는 인센티브를 갖지 못합니다.(오른쪽) 마이데이터는 정보 수집 모델과 비교했을 때 기업, 기관이나 별도 기술적 인프라에 의존하지 않는 탄력적인 시스템입니다.4 – MyData는 실제로 어떻게 시행할까? MyData는 실제로 어떻게 작동합니까?

MyData 아키텍처는 상호 운용 가능하고 표준화 된 MyData 계정을 기반으로 합니다. MyData계정 모델은 수백 개의 다른 서비스에서 자신의 데이터를 생성, 보관, 처리하는 동안에도 모든 데이터를 한 장소에서 통제할 수 있는 쉬운 방법을 제공합니다. 개발자의 경우, MyData 계정으로 인해 데이터에 쉽게 접근할 수 있고 특정한 데이터 수집 기관에 의존하지 않아도 됩니다. MyData 계정은 일반적으로 MyData 운영자 역할을 하는 기업 또는 기관에서 제공합니다. 운영자에 독립적이고자 하는 기업, 기관 또는 개인의 경우 현재 일부 사람들이 자신의 전자 메일 서버를 호스팅하기로 선택한 것처럼 기술적으로 개별 계정을 호스팅 할 수도 있습니다.

MyData 아키텍처에서 데이터는 데이터 보유자로부터 데이터를 사용하는 서비스 제공자나 응용 프로그램으로 이동합니다. (그림 4.1 참조). MyData 인프라스트럭처 내에서 동의 또는 허락의 흐름은 실제 데이터의 흐름과 분리되어 있음을 이해해야 합니다. MyData 계정은 개인 관리자가 직접적인 통제력을 행사해서 데이터를 안전한 장소에 보관하는 개인 데이터 보관 (Personal Data Storage) 솔루션과는 혼동되지 말아야 할 것입니다. MyData 계정의 주요 기능은 동의 관리를 활성화하는 것입니다. 데이터 자체가 MyData 계정이 호스팅 되는 서버를 통해 스트리밍되는 것은 아닙니다.

API(Application Programming Interface)는 데이터 보유자와 데이터 사용자 간의 상호작용을 가능하게 합니다. MyData 호환API는 기계가 읽을 수 있는 형식으로 데이터를 제공하고 데이터 보유자와 사용자가 MyData 계정으로 정보를 교환 할 수 있도록 합니다. 결과적으로 개인이 여러 데이터 보유자 및 서비스 제공자에게 접근 권한을 부여하거나 철회 할 수 있는 중앙 집중적 대쉬보드를 구현 할 수 있습니다. 모든 서비스 제공자는 MyData API를 구축하고 해당 서비스를 MyData 계정과 직접 연결할 수 있게 됩니다. 서비스에 MyData 호환 API가없는 경우 MyData 프록시 서비스를 통해 연결할 수 있습니다.

표준화된 MyData 아키텍처는 계정이 상호 운용 가능하도록 하며 개인이 운영자를 쉽게 변경 할 수 있도록 합니다. 이것이 MyData의 신뢰성을 보장하는 핵심 요소입니다. 상호 운용성은 MyData가 제공하는 핵심 장점이지만 동시에 핵심 과제이기도 합니다. 데이터 관리 시스템 내의 상호 운용성은 휴대 전화 네트워크 내에서의 상호 운용성과 유사합니다. 두 시스템 모두 분산 노드를 연결해주는 공통 네트워크를 필요로 합니다. 운영자간에 MyData 계정(개인의 동의)의 글로벌한 상호운용성 및 이동성을 위해서는 신뢰 네트워크, 데이터 형식 및 시맨틱에 대한 추가적인 표준화 및 설계가 필요합니다.

MyData는 실제로 다음과 같이 작동합니다: 마이데이터 계정은 승인된 시스템 안에서 데이터가 데이터소스에서 사용자에게 어떻게 흐르는지 결정합니다. 개인데이터 관리는 동의 권한이 마이데이터 계정을 중심으로 삼아 관리가 이루어지면 충분합니다. 데이터는 데이터 보유자와 사용자 간 직접 흐를 수 있습니다. 계정의 이동성으로 인해 개인은 MyData 운영자를 쉽게 선택하고 변경할 수 있습니다. 한 서비스 제공자에게 종속되는 상황은 거의 발생하지 않습니다.

개인 / 데이터 주체 / 계정 소유자:

새로운 서비스에 연결하고 동의 기반 하에 데이터 흐름을 승인하기 위한 목적으로 계정을 생성하고 활용하는 사람. 데이터 보유자, 싱크, 운영자 등과 교류합니다.

MyData 운영자:

MyData 계정 및 관련 서비스를 제공합니다. 계정은 디지털 동의 (서비스로써의 인증) 을 관리합니다.

데이터 보유자 및 데이터 활용 서비스:

데이터 보유자는 데이터를 사용해야 하는 서비스(데이터 싱크)에 개인 데이터를 제공합니다. 동일한 주체가 데이터 보유자와 데이터 싱크 역할을 수행할 수 있습니다.

그림 4.1 : MyData 아키텍처 내의 네 가지 역할은 1) 개인, 2) MyData 운영 자, 3) 데이터 보유자 4) 데이터 활용 서비스를 포함합니다. 데이터 사용에 대한 동의 또는 승인의 흐름은 실제 데이터 흐름과 별개로 이루어집니다

그림 4.2 : 개인은 MyData 계정 내용의 손실 없이 MyData 운영자를 변경할 수 있습니다. 이 방식은 MyData에 대한 신뢰성을 높이고 사람들에 의해 데이터의 흐름이 지속적으로 조성되도록 권장합니다5 – MyData가 동의에 초점을 둔 이유는 무엇인가?

MyData는 투명성, 상호 호환성, 공공 행정, 명망 있는 기업, 공공 인식 및 안전한 기술 등의 조합을 통해 개인 데이터 서비스에 대한 신뢰를 구축하고자 합니다. 동의 관리는 데이터의 법적 사용을 허용하고 시행하기위한 기본 메커니즘입니다. MyData 계정을 통해 개인은 자신이 서비스에게 허락한 동의에 따라 서비스가 데이터를 가져오고 처리하도록 지시할 수 있습니다. 동의와 승인은 기술 및 법적 용어로 동등합니다.

MyData 모델에서 동의는 동적이며 사람들이 이해하기 쉽고, 기계 판독 가능하며 표준화되어 있고 조직적인 방식으로 관리됩니다. 포맷은 모든 개인이 데이터 처리를 제 3자에게 위임할 수 있게 하고 데이터 사용을 새로운 방법으로 다른 용도에 맞게 고칠 수 있도록 합니다.

그림 5.1 : MyData 접근 방식이 위임, 용도 변경, 알림 및 개인 데이터 저장소 (PDS)를 통한 데이터 흐름과 같은 다양한 종류의 데이터 흐름 사용 사례를 지원하는 방법의 예

MyData 동의 관리 구조는 개방형 동의 메타 형식(칸타라 이니셔티브,Kantara Initiative)을 사용하여 개발할 수 있습니다. 개방형 동의 형식은 여러 나라 관할권의 동일한 동의 규정을 준수하며 향후 EU GDPR (EU 일반 데이터 보호 규정) 하에서도 원활하게 작동할 수 있도록 설계 되었습니다. 이 제정은 데이터 주체가 동의 면제 및 다른 정당한 사유가 없는 한, 자신의 개인 데이터를 사용할 서비스 제공자에게 명백한 사전 동의를 주게끔 요구할 것입니다. 기업이 엄격한 규정을 준수하면서도 혁신적인 서비스를 지속적으로 제공하려면 기능적이고, 상호 운용가능하며, 사용하기 쉬운 동의 관리 시스템을 만들어야 할 것 입니다.

그러나 모든 개인 데이터 사용이 데이터 주체의 동의를 필요로 하진 않습니다. 동의 없이 데이터를 처리하는 것이 법적으로 허락된 특정한 경우에서 조차도, MyData는 세부적인 동의 관리에 과한 초점을 맞춤으로써 서비스 자동화를 방해 할 수 있다는 비판이 있었습니다. 예를 들어 공공 기관은 특정 상황에서 데이터 주체의 동의없이 기관간에 데이터를 교환 할 수 있습니다. 이러한 경우 MyData 인프라는 동의 기반 데이터 관리를 실천하는데 사용되기보다 최종 사용자에게 데이터의 활용을 투명하게 통지해주는 도구로써 기능합니다. 공공 기관이 개인 데이터를 투명한 방식으로 교환 할 수 있다면 모든 사람에게 도움이 됩니다. MyData 인프라는 시민들이 공공 기관이 허용하는 것보다 더 자세한 상황에서 개인 데이터 사용 및 교환 서비스를 거부 할 수 있는 통로 역할을 할 수 있습니다.

MyData는 다음과 같은 이유로 동의에 초점을 둡니다.

• 동의는 인간 중심적 관점의 정보 처리를 규정하는 기본적이지만 고유하지 않은 법률적 프레임워크 입니다. • 이와 같은 동의 관리 프레임워크는 최소한의 수정을 통해 데이터 관련 통지와 배정을 위해 사용될 수 있습니다. •사람과 기계가 읽을 수 있는 표준화된 동의는 기술 데이터 관리 시스템, 법률적 프레임워크 그리고 인간의 관점을 하나로 통합합니다.

데이터 처리 위임

데이터 보유자는 ‘계정 보유자 동의 A’ 를 데이터 싱크에게 전달하고, 데이터 싱크는 동의 B 에 명시된 목적을 위해 그것을 처리합니다.

이 경우 데이터 보유자와 데이터 싱크 둘 다 법적 용어로 데이터 통제자입니다.

목적 변경 동의

데이터 보유자는 또한 특정 목적을 위해 개인 데이터를 처리하는 데이터 싱크이기도 합니다. 어떤 시점에서 그들은 개인에게 데이터를 처리하기 위한 새로운 목적이나 방안을 제안할 수 있고 개인은 데이터 활용 목적을 변경하는 동의를 줄 수 있습니다. 이 경우 데이터 보유자는 법적 용어로 데이터 통제자입니다.

PDS로서의 MyData 계정

개인 데이터 저장소는 개인의 MyData 계정에 통합 될 수 있습니다. 이는 어느 정도의 이점을 제공하는 MyData의 보충적인 기능이지만 데이터 흐름 관리를 위한 주요 도구는 아닙니다.

자동 데이터 전송 알림

공공 기관은 명백한 동의를 받지 못해도 데이터를 전송할 수 있는 권리를 가지고 있습니다. 이는 자동화된 공공 서비스를 제공하는 데 유용합니다. MyData는 자동화 서비스 기능을 투명하게 만들고 이의 제기 기능을 제공 할 수 있습니다.

6 – 기업이 MyData에 관심을 가져야 할 이유는 무엇일까요?

기업은 MyData를 통해 비즈니스 운영방식을 개선 할 수 있습니다.

자원 할당 최적화, 서비스 경로 생성, 개인화 서비스 제공, 추천 서비스 생성 등은 많은 서비스 제공자가 개인 데이터에 더 잘 접근하게 될 때 제공 할 수 있는 서비스 개선사항 입니다.

또한 MyData 인프라는 벤더 관계 관리 (VRM: Vendor Relationship Management), 신원 파악, 대규모 연구 데이터 은행과 연관된 개인 데이터 서비스, 행동 패턴 분석 등과 같은 새로운 서비스를 만들어 낼 것입니다.

기업이 특정 데이터 셋에 고객, 그리고 권한이 부여된 제 3자가 접근할 수 있도록 마이데이터 API를 만드는 주요 동기는 그것이 고객들에게 그들의 전반적인 가치 제안 기회를 확장시키기 때문입니다. (see Figure 6.1). 제3자 공급 업체에게 개인 데이터가 포함 된 데이터 세트에 접근 권한이 부여 된다면 기존 데이터를 보유한 회사와 더 효과적으로 협력 할 수 있습니다.

연구에 따르면 계속해서 많은 사람들이 개인 정보가 자신의 동의 없이 거듭 부당하게 사용되고 있다는 사실을 인지하고 있습니다. 기업의 행동이 수상하거나 용납 될 수 없는 것으로 여겨지게 되면, 여론 비판, 소송, 대규모의 서비스 거부 등의 위험이 따를 수 있습니다. MyData원칙을 구현하는 것은 기업 마케팅에 강점으로 작용합니다. 회사는 새로운 상호 작용 방식으로 고객을 참여 시키거나 고객과 데이터를 다시 공유하거나 고객이 자발적으로 제공하기로 선택한 정보를 기반으로 향상된 데이터 세트를 생성하여 고객 관계를 개선 할 수 있습니다.

현재 기업은 개인이 ‘무료’ 서비스를 제공받을 수 있도록 데이터를 암묵적으로 판매하고 있습니다. 그러나 많은 경우에 기업은 알지도 못한 채 업체 서비스 이용 권리와 개인 데이터를 교환 한다고 볼 수 있습니다. MyData 인프라는 향상된 서비스 또는 직접적인 금전적 이익 등 양 당사자에게 이익이 되는 방식으로 데이터 판매가 가시적이고 명시적으로 이루어지게 하는 간단하고 투명한 메커니즘을 제공합니다. 데이터 운영자는 데이터 보유자와 데이터 주체간에 데이터 매매를 촉진하고 그에 따른 수입을 분배해 줄 수 있습니다.

MyData 생태계가 번성하기 위해선 MyData 운영자를 위한 실용적인 비즈니스 모델이 있어야 합니다. MyData 운영자는 계정 및 거래 수수료를 청구 할 수 있습니다. MyData 운영자는 데이터 판매에 한계 요금을 부과해서 수익을 창출 할 수도 있습니다. 부가 가치 서비스 사업자는 안전한 스토리지, 로컬 응용 프로그램, 데이터 중심 응용 프로그램을 위한 시장 등을 제공 할 수 있습니다 (그림 6.2 참조). MyData 접근 방식의 전반적인 실행 가능성을 위해서는 특히 MyData 운영자를 위해 조직 및 비즈니스 레벨 기준을 설정하는 것이 중요합니다.이 기준은 현재 공개된 운영자 연합에서 개발중입니다. 또한, 이 연합은 계정의 상호 운용을 가능하게 하는 기술적 기능의 표준화도 촉진 할 수 있습니다.

MyData는 기업에 다음과 같은 도움을 줍니다.

• 핵심 서비스에 제 3자의 보완 서비스가 통합 되도록 합니다. • 현재 및 향후 규제 환경 하에서 운영을 단순화하고 탐색 목적으로 데이터를 사용할 수 있게 합니다. • 데이터 처리 및 관리를 기반으로 새로운 비즈니스 창출 할 수 있게 합니다

기업은 개인에게 서비스를 제공합니다. 기업의 서비스는 제 3자의 보완 서비스로 인해 강화됩니다. 제 3자 서비스 제공자에게 데이터를 개방함으로써 타사 서비스를 자사 서비스와 전체적으로 통합할 수 있습니다.

그림 6.1: 기존 서비스와 MyData 기반의 보완 서비스 통합으로 확장된 서비스

그림 6.2: MyData 운영자 스택은 MyData운영자의 필수적, 선택적 기능을 보여줍니다

동의 관리는 운영자의 필수 기본 서비스지만 운영자가 개인을 위해 MyData 인프라안에서 제공할 수 있는 여러 보완적 부가 가치 서비스도 있습니다.

7 – MyData는 개인이 자신의 개인 정보를 관리하는 데 어떻게 도움을 줄 수 있을까요?

MyData는 개인이 자신의 데이터를 사용하는 대상을 통제하고, 데이터가 사용될 수 있는 목적을 명기하며, 개인 데이터 보호 규정에 따라 충분히 사전 동의를 제공할 수 있도록 돕는 모델입니다. 마이데이터는 데이터 수집과 처리를 더 투명하게 하고, 기업이나 다른 조직이 더 포괄적으로 개인정보보호를 실천하는 것을 돕습니다.

데이터 사용 권한의 시각화와 관리에 중점을 둔 MyData 계정 서비스는 하나의 통합된 환경을 설립해서 개인 정보의 상태를 관리하고 이해하도록 만들 것입니다 – 이는 오늘날 웹에 있는 다양한 스펙트럼의 포인트 솔루션 보다도 이용하기 쉬운 서비스입니다.

이 서비스는 온라인 서비스에 사용되는 일반적인 인증 메커니즘보다 사용하기 쉽습니다. 사용자 인터페이스를 통해 개인은 특정 데이터의 공유를 활성화, 비활성화하고 현재 활성화 된 권한을 나열 할 수 있습니다. 스마트폰의 특정 기능을 끄고 키는 방식과 유사하다고 볼 수 있습니다.

MyData는 데이터 소유보단 데이터 통제 개념을 다룹니다. 개인이 자신의 데이터를 소유해야 한다고 주장하고 싶지만 독점권으로써 소유 개념을 데이터에 적용하기는 어렵습니다. 대부분의 경우 개인과 기업 또는 기관을 포함한 여러 이해관계자가 동일한 데이터 셋에 대한 합법적 이해관계를 가지기 때문입니다. 예를 들어, 소매점은 고객 카드를 통해 그들이 수집한 고객 데이터 사용이 정당하다고 요구할 수 있지만, 카드 소유자인 개인도 해당 데이터에 대한 권리를 가지고 있습니다.

현 서비스 약관 및 개인 정보 보호 정책은 너무 길고 이해하기 어렵기 때문에 “약관에 모두 동의합니다.”와 같은 통상적인 동의 메커니즘은 더 이상 적합하지 않습니다. MyData가 제안한 쉬운 동의 관리 방법에 대한 한 가지 비판은 회사가 향상된 서비스를 제공하기 위해 훨씬 더 다양한 개인 데이터에 대한 액세스를 더 요구함으로써 이를 활용할 것이라는 점입니다. 개인이 이해할 수 있도록 동의를 신중하게 설계하여 이 위험을 완화하는 것이 중요합니다. 여러 데이터 통제자에게 주어지는 동의의 종류는 다양합니다. 하지만 때론 동의는 표준적 가이드라인에 맞춰서 재수정 될 수 있는 공통 요소를 지니고 있기도 합니다. 동의가 표준화 된다면, 동의는 기계가 읽을 수 있는 형태로 만들어 지고 비교하고, 묶고, 시각화 하고 자동적으로 처리하는 것이 쉬워집니다

‘크리에이티브 커먼스 라이센스’ (Creative Commons License)는 다양하게 존재하는 저작권 권한이 한 가지 공통적인 기준으로 말미암아 어떻게 잘 조화를 이루었는지에 대한 한 사례입니다. (그림 7.1 참조).

마이데이터는 개인이 자신의 개인정보를 관리할 수 있게 합니다.

• MyData 인프라를 통해 데이터 흐름은 관리가 가능해지고 포괄적이며 투명해집니다. • 개인은 정보 흐름을 비활성화 시킬 수 있고 동의를 철회 할 수 있습니다. •기계가 읽을 수 있는 동의는 시각화되고, 비교되고 자동으로 처리 될 수 있습니다.

그림 7.1 : 크리에이티브 커먼스 라이센스 (Creative Commons License)는 권한의 관리를 실용적이고 손쉽게 만든 라이센스 체계의 한 예입니다. MyData의 동의적 접근 방식은 창의적 집단 라이센스같은 방법으로 동의의 관리를 포괄적으로 하는 것을 목표로 합니다. 동의에 대한 라이센스는 크리에이티브 커먼스 라이센스와 같이 저작권 라이센스에 대한 것 처럼 포괄적인 방법으로 동의를 조화롭게 하는 것을 목표로 합니다

도표 7.2 MyData 및 개인데이터와 관련된 기준의 또 다른 예로는 모질라 재단(Mozilla Foundation) 과 Aza Raskin가 추진한 ‘모질라 개인 정보 아이콘 프로젝트’가 있습니다. 이 프로젝트는 웹 사이트의 개인 정보 설정을 위해 ‘공통된 시각 언어’ 를 만드는 일에 중점을 두고 있습니다8 – 다음 단계는 무엇인가?

인간 중심적 통제, 사용 가능 데이터, 그리고 개방된 비즈니스 환경은 MyData의 3가지 원칙이며, 이 원칙은 모두 진전이 필요합니다. 인간 중심적 통제를 시행하기 위해서는 이에 대한 의식을 높이고 교육을 개선하고 사회와 기업의 태도를 전환하고 규제 인식을 높여야 합니다. 사용 가능한 데이터를 위해선 기업은 API를 통해 기계가 읽을 수 있는 방식으로 개인데이터를 제공해야 합니다. 개방된 비즈니스 환경을 위해서는 MyData 계정 모델, 그리고 MyData 운영 비즈니스를 위한 공통 표준의 개발과 채택이 필요합니다.

MyData의 핵심 기술 구성 요소는 이미 존재하지만 성숙이 필요합니다. 기술적 요소는 고객관계관리 (Customer Relationship Management) 및 ID 부여 (Identity Provisioning) 시스템과 같은 기존 소프트웨어에서 테스트되고 통합되어야 합니다. 그리고 사용자 경험 디자인에도 중점을 두어야 할 것입니다. 지금까지의 시범을 보자면 강력한 인증 기반의 재정 관리를 하는 온라인 뱅킹 서비스를 활용하는 것과 같이MyData 계정도 동일한 방식으로 관리 될 것으로 예상됩니다.

많은 온라인 서비스 기업이 API를 개발하고 기업간에 데이터 흐름을 성공적으로 통합했습니다. 그러나 데이터 API를 개방한 기존 기업의 사례는 많지 않습니다. MyData는 핀란드에서 기업, 정부 부처, 미디어 및 연구원들 사이에서 관심을 모았습니다. 현재 MyData원칙 및 구현과 관련된 도전 과제를 해결하기 위한 여러 연구 및 혁신 프로젝트가 진행되고 있으며 초기 파일럿은 준비 단계에 있습니다. 산업 및 연구 기관은 MyData 운영자 모델 개발 (뒤의 링크 참조) 에 중점을 둔 혁신 프로젝트를 진행하고 있으며 상호 운용성 및 운영자 연합 관련 문제에 대해 연구하고 있습니다. 현재 운영자 모델은 UMA 표준과 ‘최소 요건 동의 영수증’ (Minimum Viable Consent Receipt) 프로젝트를 기반으로 개발되고 있습니다. MyData 운영자 테스트 샌드 박스 인스턴스는 2016 년 초에 공개 테스트를 위해 릴리스 될 예정입니다.

새로 선출된 핀란드 정부는 정부 전략 계획에서 “핀란드는 시민들이 그들의 개인 데이터 사용을 모니터 하고 통제하는 권리를 강화하고 동시에 공공 기관들 간 데이터의 유동적 교환을 보장 할 것” 이라고 밝혔습니다. 이러한 전략적인 우선순위의 조합은 MyData 원칙을 보다 신속하게 채택할 수 있게 할 것이고 민간영역이 믿고 따라올 수 있는 사례가 될 것이라 기대합니다.

MyData의 목표는 개인데이터 관리를 위한 인프라 수준 서비스를 구축하는 것입니다. 이 작업은 국제적인 영향을 미치기 위한 것입니다. MyData 시스템의 기능을 설계해 보기 위한 효율적인 방법은 파일럿 프로젝트를 수행 해보는 것입니다. 다음 장에는 MyData 서비스 시나리오의 몇 가지 주요 예를 설명합니다.

MyData 로드맵은 다음의 내용을 포함합니다.**

• 3가지 영역의 발전 : 인간 중심적 통제, 사용 가능 데이터, 개방된 비즈니스 환경

• 기존 플랫폼 기술의 성숙과 이러한 플랫폼 기술이 EU GDPR (EU General Data Protection Regulation)과 유럽 전역의 eIDAS(electronic identity and trust services)과제에서 개발된 사양과 같은 규정을 어떻게 준수할 것인지에 대한 계획

• MyData기반 서비스 파일럿

그림 8.1 : MyData 인증 메커니즘의 핵심 부분과 MyData API는 Kantara Initiative (버전 1.0은 2015 년 초에 릴리스)에서 생성 한 UMA (User-Managed Access) 표준을 사용하여 실현할 수 있습니다

OpenID Connect

싱글 사인온 및 로그인 시간 속성 교환 분산 소스에서 이의 제기 가능 접근 범위 통제 권한 위임

UMA – 사용자 관리 접근

표준화되고 중앙화된 인증 기능으로 다양한 리소스에 대한 접근 통제 로컬 인증 웹 API에 대한 접근 통제

UMA 사양 및 오픈 소스의 구현은 개인이 자신의 데이터 공유에 대한 승인을 통제하고 자신의 데이터가 온라인 서비스에서 어떻게 공유되는지를 관리 할 수 있게 합니다.

UMA는 OAuth 2.0 (웹 API에 대한 액세스 통제) 의 프로필이며 OpenID Connect (연합 싱글 사인온) 와 기능을 공유합니다.

또한 권한 부여 과정에 필수적인 두 가지 요소를 합칩니다: 비 동기 동의 및 중앙 집중적 동의 관리 (Eve Maler @xmlgrrl 로 인해 수정 된 그림)

9 – 몇 가지 예.

MyData는 인간 중심적인 방식으로 개인데이터를 체계화하기 위한 높은 수준의 접근 방식 입니다. MyData 원칙은 삶의 모든 영역에 적용 할 수 있습니다. 동일한 개인 데이터는 다른 영역에서 사용이 가능합니다. 임상 건강 데이터 같은 일부 데이터 유형은 특정 부문에서만 적합하지만, MyData 인프라의 주요 목적은 여러 부문 간 데이터 흐름을 가능하게 하는 것입니다. MyData는 의료 데이터 관리를 체계화 하는 데, 새로운 종류의 모빌리티 서비스를 개발하는 데, 개인 재정 관리하는 데, 소비 의사결정을 내리는 데, 그리고 새로운 종류의 연구 데이터베이스를 생성하는 데 적용 할 수 있습니다.

마지막 장에서는 MyData에 대한 세 가지 사용 사례에 대해 자세히 설명합니다. 다음은 개인데이터가 어떻게 승인되고 동의 되는지, 그리고 자금이 역할 간에 어떻게 흐르는지 보여줍니다.

사용 사례 1: MyData 와 직업 건강

현대사회의 건강 관리는 데이터를 필요로 합니다. 임상 데이터는 일반적으로 다양한 테스트 결과와 진단으로 구성됩니다. 의료 기관은 개인이 직업을 바꿀 때 같이 변경됩니다. 다른 의료 기관 간에 데이터 교류를 표준화된 방법은 현재 없습니다. 더 나아가 개인에 대한 더 많은 데이터를 수집하면 건강 및 웰빙서비스를 개인화 하고 최적화하며 진단을 위한 대체 수단을 제공할 수 있습니다. 예를 들어 개인의 프로필 데이터, 소비 데이터 및 활동 추적 데이터는 건강 관리 서비스에 사용될 수 있습니다. MyData 인프라는 여러 전문 및 공공 보건 조직과 행동 데이터 소스 간의 정보 유통을 관리하는 표준화 된 방법을 조직 전체에 걸쳐 강력한 방식으로 제공 할 수 있습니다.

사용 사례 2: MyData 및 고객 카드 데이터

고객 카드 데이터는 개인의 소비 이력을 보여줄 수 있으며, 이는 건강에 대해 권고 하고, 쇼핑 행동의 변화를 권장하고, 개인 지출을 최적화하는 데 사용될 수 있습니다. 고객 카드 데이터로 개인 소비 패턴에 대한 총괄적인 피드백을 제공하는 것은 사회전체에 유익한 영향을 줄 수 있습니다. 소비자가 더 스마트해지는 만큼 제품 생산 변화에 영향력을 갖습니다. 단일 고객 카드의 단편적인 데이터 세트는 소비 행동에 대한 통찰력을 제한적으로 제공하지만 MyData 인프라는 보다 의미 있는 결과를 위해 여러 소스의 데이터를 통합하는 메커니즘을 만듭니다.

사용 사례 3: MyData와 리서치 데이터 뱅크

컴퓨터 사이언스의 발전은 여러 데이터 소스를 결합하고 분석할 수 있는 유연한 도구를 만들어냈습니다. 여러 출처의 데이터를 통합하면 개인 정보 침해 위험이 증가할 수 있습니다. 최근 연구에 따르면 설문 대상자 60 % 이상이 연구 목적을 위한 개인데이터는 기꺼이 기부 할 수 있다고 답변했습니다. MyData 인프라는 다양한 리서치 데이터 뱅크를 위한 공통의 프레임워크를 제공해서 데이터 수집에 대한 소비자 동의를 수월하게 얻을 수 있도록 해줍니다. 그런 다음 리서치 데이터 뱅크는 개인 정보 보호 권리를 침해하지 않고도 데이터에 접근을 제공 할 수 있지만 데이터를 상호 참조 할 수 있는 기능은 계속 유지합니다.

링크와 참조

출판물

• 마이데이터 백서 핀란드어 원본 (핀란드 교통 통신부) http://www.lvm.fi/julkaisu/4420389/my-data-johdatus-ihmiskeskeiseen-henkilotiedon-hyodyntamiseen
• 세계 경제 포럼 보고서 (World Economic Forum report) http://www.weforum.org/projects/rethinking-personal-data

기술 사양 및 관련 커뮤니티

• 유저 관리 그룹 (UMA) https://kantarainitiative.org/confluence/display/uma/UMA+1.0+Core+Protocol
• UMA 작업 그룹 (칸타라) https://kantarainitiative.org/confluence/display/uma/Home
• 동의 & 정보 공유 작업 그룹 https://kantarainitiative.org/confluence/display/infosharing
• 공개 통지 http://opennotice.org/
• 마이데이터 아키텍처 – 기술 사양 내용 (DHR) https://hiit.github.io/mydata-stack/

그 외 커뮤니티

• 개인 데이터 및 개인 정보 워킹 그룹 (정보 무료 공개화)
• 핀란드 마이데이터 작업 그룹 (정보 무료 공개화)

관련 프로젝트 및 계획

• 디지털 건강 혁신 (DHR) 프로젝트: http://www.digitalhealthrevolution.fi
• 지식 혁신 작업 그룹 (Re:Know project): http://www.reknow.fi
• 미데이터 혁신 (영국) https://www.gov.uk/government/publications/midata-voluntary-programme-review
• 개인 클라우드 http://personal-clouds.org/

핀란드 교통 및 커뮤니케이션 행정부서의 마침말- 이 백서는 핀란드 정부 내 교통 및 커뮤니케이션 부서의 요청으로 시작된 핀란드의 연구로써 MyData의 개념, 현상과 기술적, 법적, 비즈니스적 영향에 대해 2014 년 9 월에 작성한 영문 요약 문서입니다. 이 백서는 개인 데이터를 새로운 방식으로 처리하기 위한 모델의 잠재력과 영향력에 대한 토론의 장을 열기 위함입니다.- 이 백서는 마이데이터 주제에 대한 개요와 MyData에 관심이 있는 모든 당사자의 네트워킹 및 추가 작업을 위한 기초를 제공합니다. MyData 개념의 혁신성으로 인해 여러 관계자 이익, 권리 등 논의되어야 하는 논쟁점이 아직 많이 존재하며 해결되어야 할 기술적 문제도 여전히 존재합니다.- 이 백서는 MyData에 관심이 있는 사람들이 다양한 MyData 모델과 그 모델의 타당성 및 확산을 테스트하기 위한 추가적인 연구와 실험을 시작하도록 권장합니다.

---

Created by MyData Korea Hub.
MyData Korea Hub Official 웹사이트입니다.
트위터 계정 @MyDataKorea를 팔로우하고 최신 소식을 받아보세요.