개인정보 보호위원회

(보도설명) 본인전송요구권은 국민이 본인정보를 내려받아 안전하게 활용할 권리를 보장합니다

  개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 11월 27일 한국소비자단체협의회가 발표한 마이데이터 추진 반대 성명에 대해 다음과 같이 설명드립니다. 

< 반대 성명의 주요 내용 >

- 전송 정보 범위 확대에도 불구하고 기준과 절차가 불명확

- 개인정보관리 전문기관에 데이터가 집중되는 구조로, 대규모 유출 위험

- 일상생활 데이터는 민감성이 높음에도 활용 필요성‧공익성이 불명확

- 소비자 동의 기반 방식은 형식적‧강제적 동의 구조로 이어질 가능성

1. 설명 내용

ㅇ 이번 개정안은 정보전송자로 하여금 본인에게 정보를 전송해줄 것을 요구하는 것에 관한 내용으로서 제3자에게 전송해줄 것을 요구하는 것에 관한 것이 아님

  - 즉  정보주체의 요구로  정보주체에 대한 정보를  정보주체가 받는 것임

ㅇ 개인정보위는 전 분야 마이데이터를 통해 정보주체의 자기정보 통제권을 강화하고자 하며, 이 권리를 통해 플랫폼·사업자에 대한 락인* 효과를 줄이고 정보 비대칭을 완화해서 정보주체 선택·사업자 간 공정경쟁·혁신을 촉진할 것임

 * 락인(lock-in): 소비자가 일단 어떤 상품 또는 서비스를 구입‧이용하기 시작하면, 유사한 상품 또는 서비스로의 수요이전이 어렵게 되는 현상

➀ 정보전송범위 확대에도 불구하고 기준과 절차가 불명확하다는 의견에 대해,

  이번 시행령 개정안에서는 전송 정보 범위를 개인정보처리자가 운영하는 인터넷 홈페이지에서 정보주체가 이미 열람‧조회 가능한 정보로 한정하여, 대상 정보를 예측 가능한 범위로 제한하였음. 해당 정보는 본인이 암호화된 파일 형태로 내려받을 수 있고, 대리인을 통해 내려받을 수도 있으나 본인(본인정보저장소)에게 전달되어야 함. 

   한편 자동화된 방식을 통한 대리인의 개인정보 수집으로 인해 과도한 정보수집, 정보유출, 오남용의 위험성이 높아지고 있어, 이를 최소화하기 위해 정보전송자가 최소한의 정보, 암호화, 정당한 대리인 여부 및 안전조치 등을 사전에 협의‧확인된 경우에 정보전송을 허용할 것을 명시하였음.

② 자동화된 방식을 통해 개인정보관리 전문기관에 데이터가 집중되는 구조로 개인정보의 대규모 유출 위험하다는 의견에 대해

  본인전송은 정보가 본인에게 전송되며, 전문기관 등에 전달되는 구조가 아님.

  또한 본인에게 전송된 이후에는 본인이 직접 활용하거나 개인정보 보호법(이하 ‘보호법’) 제35조의3에 따라 정부에서 지정한 전문기관과 위임계약을 체결하여 관리‧분석을 할 수 있도록 지원받을 수 있음. 

  한편 전문기관은 법 제35조의3에 따라 자본금 외에도 사업계획서, 보호체계 등을 엄격하게 심사하여 중앙행정기관의 장이 지정하며, 지정 이후에도 보호체계를 유지하는지 개인정보위가 관리·감독하고 이를 위반하는 경우 지정 취소될 수 있음.

   해킹 등 유출 위험에 대응하기 위해서는 암호화, 취약점 점검, 취약한 소프트웨어 업그레이드, 접근 탐지‧차단 등 끊임없는 정보보호 활동이 필요함. 개인정보위는 유출사고가 발생했을 때에 조사하는 것이 아니라, 전문기관에 대해 사전예방적 정보보호 활동을 정기적으로 점검하고 관리‧감독함.

③ 일상생활 데이터는 민감성이 높음에도 활용 필요성‧공공성 등이 불명확하다는 의견에 대해,

  이번 시행령상 전송정보는 본인이 인터넷 홈페이지에서 직접 조회할 수 있는 정보임. 예를 들면, 온라인 쇼핑 홈페이지에 보이는 정보는 주문‧결제‧배송 이력 등이며, 해당 이력에 민감정보가 포함될 가능성은 낮음. 소비자가 홈페이지에서 보던 주문·결제·배송 이력 등의 데이터를 본인이 내려받거나 대리를 통해 본인에게 내려받게 하고, 만약 영업비밀 등이 포함되어있다면 홈페이지 운영자는 해당 정보를 제외할 수 있음.

  이후 소비자는 본인의 의사에 따라 이 데이터를 직접 활용할 수도 있고 소비자가 원하는 경우 전문기관을 통해 관리‧분석 받을 수도 있으며, 만약 본인 의사에 따라 전문기관에 민감할 수 있는 정보를 전송할 때에도 별도의 알림창을 통해 명확히 인지하고 활용할 수 있게 할 것임.

  한편, 활용 필요성‧공공성 관련, 소비자가 본인정보를 활용할 때 정보주체의 의사에 따라 A사에서 B사로 일정 데이터가 흘러 들어가게 된다 해도 이것은 락인 완화, 소비자 후생 및 정보 비대칭 해소, 공정경쟁을 위한 사례로 볼 수 있음.

 * 소비자 후생 및 정보 비대칭성 해소 활용 예시 

  - 내 모든 쇼핑·구독 내역을 한 번에 모아 가계부·지출 분석·구독 관리(유령 구독 정리)

  - 통신·전기·구독 서비스 자동 비교·갈아타기로 가계 비용 절감

  - 리콜·위해상품·허위·과대광고에 대한 피해 입증·집단구제에 활용 등

④ 소비자 동의 기반 방식은 형식적‧강제적 동의 구조로 이어질 가능성이 있다는 의견에 대해,

  본인에게 전송된 본인정보는 본인이 직접 활용하거나 전문기관과 별도의 위임계약을 체결하여 관리‧분석 받을 수 있음. 이 경우 포괄적 동의는 허용되지 않고 활용 시마다 세분화된 개별적‧구체적인 동의를 필요로 함. 

  소비자는 법 제35조의4에 따라 내 정보를 언제, 어디로 전송했는지에 대한 전송이력 확인과 삭제‧철회 요청을 개인정보전송지원플랫폼(onmydata. go.kr)을 통해서 할 수 있어, 정보주체의 개인정보 자기결정권이 강화됨.

2. 그 외의 우려 및 주장 관련

① 개인정보가 C커머스 등에 공유될 우려에 관한 의견에 대해,

  이번 시행령 개정은 본인(에게)전송요구에 대한 것이며, 전송정보 대상에서 영업비밀은 제외할 수 있음을 명확히 하였음. 또한 개인정보 관리전문기관 등이 엄격한 보호체계 등을 갖추었는지 현장실사 하여야 하므로 해외기업이 전문기관으로 지정받는 일은 사실상 없을 것임. 지정 이후에도 감독‧통제를 받게 되어 중국기업에 개인정보가 전송되거나 유출될 가능성은 현실적으로 없거나 희박함.

   본인(에게)전송의 경우 본인이 직접 또는 대리를 통해서 본인에게 전송되는 것이고, 이후에는 정보주체의 의사에 따라 활용이 가능하여, 이는 정보주체의 통제권을 보장하고자 하는 개인정보보호법의 취지에 따른 것임. 

 ② 규제개혁위원회의 권고에 정면으로 반한다는 의견에 대해

  `24.8월 규제개혁위원회의 개선 권고는 제3자전송에 관한 것으로, 개인정보위는 이를 받아들여 3년에 걸쳐 점진적‧단계적으로 추진*하고 있음. 이번 시행령은 본인전송요구권을 더욱 폭넓게 인정한 법의 취지에 맞게 본인전송을 확대하기 위함임.

   * 의료, 통신(’25.3) → 에너지, 교육, 고용, 문화‧여가(’26년) → 복지, 교통, 부동산, 유통(‘27년)

  앞으로, 개인정보위는 국민의 권리 강화를 위한 전송요구권 시행과 관련하여, 사회 각계에서 우려하는 정보유출, 오남용 등의 부작용이 발생하지 않도록 만전을 기하겠음.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

-  담당자 : 전략기획팀 김미애(02-2100-3172)