본문
개인정보보호위원회가 본인전송요구권을 의료·통신 분야에서 전 분야로 대폭 확대하는 「개인정보 보호법 시행령」 개정안을 입법예고했습니다. 이번 개정으로 연간 매출액 1,500억 원 이상의 대규모 개인정보처리자 등이 새롭게 본인전송요구 의무 대상에 포함되며, 안전성·신뢰성이 보장된 전문기관을 통한 대리 행사도 가능해집니다. 국민이 본인의 정보를 단순히 내려받는 것을 넘어 능동적으로 활용할 수 있는 제도적 기반이 마련되어, 마이데이터 서비스의 본격적인 확산이 예상됩니다.
1.개정 배경 및 의의
2.주요 개정사항: 적용 대상 및 범위 확대
3.안전한 본인전송 방법 및 전문기관 제도
4.시사점
1. 개정 배경 및 의의
개인정보 본인전송요구권은 개인정보처리자에게 본인의 정보를 자신에게 전송(다운로드)할 것을 요구할 수 있는 권리로, 2025년 3월부터 의료·통신 분야에 한정하여 시행되어 왔습니다.
이번 시행령 개정은 지난 3월부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 체감하고 활용할 수 있도록 확대하는 것을 목표로 합니다. 기존 의료·통신 분야에 한정되었던 본인 대상 정보전송자와 전송정보의 범위를 전 분야로 대폭 확대하여, 개인정보 통제권을 실질적으로 보장하고 국민이 일상생활 속에서 안전하고 혁신적인 마이데이터 서비스를 체감할 수 있는 기반을 마련하고자 합니다.
2. 주요 개정사항: 적용 대상 및 범위 확대
가. 본인 대상 정보전송자 기준 확립
이번 개정안은 개인정보 보호역량을 갖춘 대규모 개인정보처리자를 대상으로 본인전송요구 의무를 부과합니다. 구체적인 기준은 다음과 같습니다.
• 연간 매출액 등 1,500억 원 이상이며 정보주체 수가 100만 명 이상 또는 민감·고유정보 5만 명 이상의 대규모 시스템 운영 기관
• 2만 명 이상 대학
• 공공시스템 운영기관
• 기존 제3자대상정보전송자
나. 전송정보 범위의 포괄적 확대
전송 요구할 수 있는 정보의 기준도 대폭 확대됩니다. 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 대상이 되나, 다음 정보는 제외됩니다:
•별도 생성 정보: 개인정보처리자의 본질적 행위와 '별도'로 개인정보를 분석·가공하여 생성한 정보
•제3자 권리·이익을 침해하는 정보
•복호화되지 않도록 암호화된 정보
다. 전송방법의 다양화
본인전송 방법으로 기존에 웹사이트에서 접속하여 열람·조회할 수 있는 정보를 암호화된 파일로 정보주체가 직접 내려받는 방식도 가능하다고 명시하여, 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있도록 하였습니다.
3. 안전한 본인전송 방법 및 전문기관 제도
가. 대리인을 통한 안전한 전송
정보주체가 대리인을 통해 본인전송요구를 행사할 경우의 안전한 전송방법이 새롭게 규정됩니다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우에는 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받을 수 있도록 하였습니다.
원칙적으로는 API(애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 사전협의를 거친 안전성·신뢰성이 보장된 개인정보관리 전문기관에 한정하여 제한적으로 스크래핑을 허용하였습니다.
나. 전문기관을 통한 통합 서비스
안전성·신뢰성이 보장된 전문기관이 정보주체의 본인전송요구 권리행사를 지원하고 안전한 개인정보 관리를 할 수 있는 제도적 기반이 마련됩니다. 정보주체는 전문기관을 통해 본인전송요구를 할 수 있고, 이 경우 정보주체 본인만이 접근 가능한 저장소에 전송받은 정보를 저장해야 하며, 정보주체의 위임에 따라 이를 전문기관이 관리·분석할 수 있도록 하였습니다.
4. 시사점
이번 개정안은 개인정보 본인전송요구권의 전면 확대를 통해 마이데이터 생태계 활성화의 새로운 전환점을 제시합니다. 특히 다음과 같은 측면에서 기업과 개인 모두에게 중요한 의미를 갖습니다.
가. 기업 관점: 새로운 규제 대응과 사업 기회
대규모 개인정보처리자의 대응 필요성 연간 매출액 1,500억 원 이상이며 정보주체 수 100만 명 이상 또는 민감·고유정보 5만 명 이상을 보유한 기업들은 본인전송요구 의무 대상에 새롭게 포함됩니다. 해당 기업들은 다음과 같은 준비가 필요합니다:
•본인전송요구 처리를 위한 시스템 구축 및 운영 체계 마련
•개인정보 분류 및 전송 가능 정보 범위 명확화
•API 연계 방식 등 안전한 전송방법 구현
•홈페이지 내 본인전송요구 방법 및 절차 안내
마이데이터 사업 기회 확대 전문기관을 통한 통합조회형 서비스가 가능해짐에 따라, 개인정보관리 전문기관 사업에 대한 새로운 기회가 창출됩니다. 한국인터넷진흥원(KISA)을 통해 공개된 산업계 정보제공요청서(RFI)에 따라 관련 업계의 적극적인 참여가 예상됩니다.
나. 개인 관점: 개인정보 자기결정권 강화
데이터 활용의 주도권 확보 개인이 자신의 정보를 단순히 열람하는 것을 넘어 직접 내려받아 활용할 수 있게 됨으로써, 개인정보에 대한 실질적인 통제권을 확보할 수 있습니다. 이는 개인 맞춤형 금융서비스, 건강관리 서비스 등 다양한 마이데이터 서비스 이용의 기반이 됩니다.
전문기관을 통한 안전한 관리 개인이 직접 복잡한 개인정보 관리를 하지 않더라도, 신뢰할 수 있는 전문기관을 통해 안전하게 개인정보를 통합 관리하고 분석받을 수 있는 환경이 조성됩니다.
다. 향후 전망과 과제
단계적 시행과 안정적 정착 이번 시행령 개정안은 2025년 8월 4일까지 입법예고 기간을 거쳐 확정될 예정입니다. 개인정보보호위원회는 7월 1일 설명회를 개최하여 국민·기업 대상으로 주요 내용을 안내할 계획입니다.
글로벌 데이터 경제와의 연계 EU의 GDPR 데이터 이동권, 미국의 주별 개인정보보호법 등 글로벌 개인정보보호 트렌드와 보조를 맞춘 이번 개정은 국내 마이데이터 산업의 글로벌 경쟁력 강화에도 기여할 것으로 예상됩니다.
기술적 표준화와 상호운용성 확보 API 연계 방식의 권장과 전문기관 제도 도입은 마이데이터 생태계의 기술적 표준화를 촉진하고, 서비스 간 상호운용성을 높여 더욱 풍부한 서비스 환경을 조성할 것입니다.
결론적으로, 이번 개인정보 본인전송요구권 확대는 개인정보 보호와 활용의 균형을 통해 디지털 경제 시대의 새로운 패러다임을 제시합니다. 기업들은 새로운 규제 환경에 선제적으로 대응하는 동시에 마이데이터 사업의 새로운 기회를 모색해야 할 것이며, 개인들은 자신의 데이터에 대한 실질적인 통제권을 바탕으로 더욱 다양하고 개인화된 디지털 서비스를 경험할 수 있게 될 것입니다.
화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.
- 관련 분야
- #정보보호센터
