개인정보 보호위원회

본인전송요구권 확대를 위한 ｢개인정보 보호법｣ 시행령 개정안 입법예고

- 의료·통신 분야에서 전 분야로 확대

- 본인전송요구의 대리 행사시 안전성‧신뢰성 강화 규정 마련

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 본인전송요구권* 확대를 위한 「개인정보 보호법 시행령」개정안을 6월 23일부터 8월 4일까지(40일) 입법예고한다고 밝혔다. 

   * 개인정보처리자에게 본인의 정보를 자신에게 전송(다운로드)할 것을 요구할 수 있는 권리

  이번 개정안은 지난 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 체감하고 활용할 수 있도록 확대하는 것으로, 기존 의료‧통신 분야에 한정되었던 본인 대상 정보전송자(개인정보 처리자)와 전송정보의 범위를 전 분야로 대폭 확대하였다. 또한 전 분야로 확대된 본인전송요구권을 보다 안전한 방식으로 행사할 수 있도록 절차와 방법 등도 마련하였다. 

  【 본인 대상 정보전송자 및 전송정보 기준 】

  첫째, 본인 대상 정보전송자의 기준은 개인정보 보호역량을 갖추고 있는 대규모 개인정보처리자 등을 대상으로 하였고, 구체적인 기준으로 연간 매출액 등 1,500억 원 이상이며 정보주체 수가 100만 명 이상 또는 민감‧고유정보 5만 명 이상의 대규모 시스템 운영 기관, 2만 명 이상 대학, 공공시스템 운영기관 등이 해당된다.

  전송 요구할 수 있는 정보의 기준은 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 대상이 되며, 다만 별도 생성 정보*, 제3자 권리‧이익을 침해하는 정보 등은 제외된다.

   * 개인정보처리자의 본질적 행위와 ‘별도’로 개인정보를 분석‧가공하여 생성한 정보를 의미 (예: 환자 치료와 별개로 진단‧처방내역 등을 분석한 후 별도 생성한 위험군 등 분류‧통계정보 등)

  또한 이번 개정안에서는 본인전송 방법으로 기존에 웹사이트에서 접속하여열람‧조회할 수 있는 정보를 암호화된 파일로 정보주체가 직접 내려받는 방식도 가능하다고 명시하여, 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있도록 하였다.

  【 안전한 본인전송 방법 】

  둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우에 안전하게 전송할 수 있는 전송방법을 규정하였다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우에는 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받을 수 있도록 하였다. 

  원칙적으로는 API(애플리케이션 프로그래밍 인터페이스)* 연계 방식을 권장하지만, 단기적으로는 사전협의를 거친 안전성‧신뢰성이 보장된 개인정보관리 전문기관(이하 ‘전문기관’) 등에 한정하여 제한적으로 스크래핑을 허용하였다. 

   * API(Application Programming Interface) : 소프트웨어 애플리케이션 간 서로 통신할 수 있도록 정해진 명세 또는 인터페이스

  【 전문기관을 통한 본인전송요구권 행사 지원 및 본인정보 관리 】

  마지막으로 본인전송요구권 확대에 따라 안전성‧신뢰성이 보장된 전문기관이 정보주체의 본인전송요구 권리행사를 지원하고 안전한 개인정보 관리를 할 수 있도록 하였다. 

  정보주체는 전문기관을 통해 본인전송요구를 할 수 있고 이 경우 정보주체 본인만이 접근 가능한 저장소에 전송받은 정보를 저장해야 하며, 정보주체의 위임에 따라 이를 전문기관이 관리‧분석할 수 있도록 하였다. 

  하승철 개인정보위 마이데이터추진단장은 “이번 시행령 개정을 통해 국민이 본인의 정보를 내려받는 것에 그치지 않고, 내려받은 정보를 어떻게 활용할지에 대해서도 능동적으로 결정할 수 있는 제도적 기반이 마련될 것”이라고 하면서, “국민주권정부 실현을 위해 개인정보 통제권을 실질적으로 보장하고 국민이 일상생활 속에서 안전하고 혁신적인 마이데이터 서비스를 체감할 수 있도록 노력하겠다.”라고 밝혔다. 

  이번 시행령 개정안에 대하여 의견이 있는 기관·단체 또는 개인은 국민참여입법센터(http://opinion.lawmaking.go.kr) 또는 개인정보위 전자우편(ohhyeok@korea.kr) 및 일반우편 등으로 8월 4일까지 의견을 제출할 수 있다.

  한편, 이번 시행령 개정안에서 신설할 본인전송요구 기반의 통합조회형 전문기관(본인전송정보에 대한 전문기관의 관리·분석) 업무 수행을 위한 산업계 정보제공요청서(RFI, Request for Information)를 공개*하였으며, 해당 업무에 관심이 있는 기업‧기관의 의견을 제출받고 있다.

   * 한국인터넷진흥원(KISA) 홈페이지 공지사항(www.kisa.or.kr)

  개인정보위는 이번 시행령 개정안의 주요내용과 통합조회형 전문기관 업무 정보제공요청서(RFI), 본인전송요구 확대에 따른 정보전송자의 안전성 확보 조치 사항 등을 안내하기 위해 국민‧기업을 대상으로 설명회*도 개최할 예정이다.

   * ’25.7.1.(화) 15시 한국광고문화회관 / 참가 사전등록 : https://forms.gle/w2Cs6y1BjdcbZGKw6

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 범정부마이데이터추진단 전략기획팀 권오혁(02-2100-3172), 윤상은(02-2100-3173)