개인정보보호위원회는 10일 국무회의에서 마이데이터의 본인 전송요구권 적용 범위를 전 분야로 확대하는 '개인정보 보호법 시행령' 개정안이 의결됐다고 밝혔다.
전송요구권은 정보주체가 자신의 개인정보를 원하는 곳으로 이동해 활용할 수 있도록 하는 제도다. 개정안은 제도 적용 범위를 기존 의료·통신 분야에서 전 분야로 확대하고 안전한 전송 절차와 방법을 구체화하는 내용이다. 오는 8월부터 시행될 예정이다.
시행령은 본인 대상 정보전송자(개인정보 처리자)를 개인정보 보호 역량을 갖춘 대규모 개인정보처리자 등으로 규정했다. 중소기업기본법 등에 따라 평균 매출액 1800억원을 초과하면서 정보주체 수가 100만명 이상 또는 민감·고유식별정보 5만명 이상의 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이 해당한다.
전송을 요구할 수 있는 정보는 정보주체 동의나 계약 체결·이행 과정, 법령에 따라 처리된 정보 등을 원칙적으로 포함한다. 다만 개인정보 처리자가 별도로 분석·가공해 생성한 정보, 제3자의 권리·이익을 침해하는 정보, 영업비밀 등은 제외할 수 있게 했다.
또 안전한 전송을 위해 대리인을 통한 전송요구 시에는 개인정보 처리자와 사전 협의한 방식으로만 전송하도록 했다. 원칙적으로 응용 프로그램 인터페이스(API) 연계 방식을 권장한다. 다만 단기적으로는 사전협의를 거쳐 안전성·신뢰성이 보장된 대리인만 제한적으로 스크래핑을 허용한다.
또 개인정보 처리자 대리인이 사전 협의한 방식으로 전송을 요청할 경우 정당한 사유 없이 거절할 수 없게 했다. 아울러 정보주체가 인터넷 홈페이지에서 열람할 수 있는 정보를 암호화해 직접 내려받는 방식도 가능하다고 명시했다.
정부는 제도 대응 준비 기간을 고려해 공공시스템 운영기관과 제3자 대상 정보전송자는 시행 공포 후 6개월, 평균 매출액 1800억원을 초과하는 민간 대규모 개인정보처리자는 1년의 유예기간을 적용했다.
개인정보위는 향후 에너지·교육·고용·문화·여가 분야 등으로 제3자 전송을 확대하기 위한 실무협의체를 운영하고, 다음달부터 개인정보관리 전문기관 지정 및 지원사업 계획 설명회를 개최할 계획이다.
송경희 개인정보보호위원회 위원장은 “시행령 개정으로 국민이 자신의 개인정보 주권을 적극적으로 행사하고, 의사에 따라 정보를 이동·활용할 수 있을 것으로 기대한다”고 말했다.
박진형 기자 jin@etnews.com
