개인정보위, 마이데이터 ‘본인전송요구권’ 전 분야로 확대

개인정보보호위원회(이하 개인정보위)는  ‘마이데이터’ 제도 확대를 위한 ‘개인정보보호법 시행령’ 개정안이 국무회의에서 의결됐다고 10일 밝혔다.

이번 개정으로 정보주체는 의료·통신 분야에 한정됐던 ‘본인전송요구권’을 전 분야에서 행사할 수 있다. 시행은 유예기간을 거쳐 8월부터다.

본인전송요구권은 “내 개인정보를 내가 원하는 곳으로 보내 달라”고 요구하는 권리다. 예를 들어 여러 기관·기업에 흩어진 정보를 한곳에 모아 스스로 관리할 수 있다. 개인정보위는 앞으로 교통·문화·여가·유통 등 일정 규모 이상 기업과 기관의 홈페이지에서 조회되는 정보를 직접 내려받아 관리할 수 있다고 설명했다. 안전성이 확인된 전문기관을 통해 여러 곳의 본인 정보를 모아 활용하는 방식도 가능하다고 했다.

개정안은 ‘누가 정보를 보내야 하는지’ 기준도 정했다. 개인정보위는 개인정보 보호 역량을 갖춘 대규모 개인정보처리자 등을 본인 대상 정보전송자로 규정했다. 구체적으로 평균 매출액 등이 1800억원을 넘고, 정보주체 수가 100만명 이상이거나 민감·고유식별정보를 5만명 이상 처리하는 곳이 해당한다. 개인정보위는 중소기업 부담을 고려해 본인 대상 정보전송자에서 중소기업은 제외한다고 밝혔다.

‘어떤 정보까지 옮길 수 있는지’ 범위도 제시했다. 원칙적으로 동의, 계약 이행·체결 과정, 법령에 따라 처리되는 개인정보가 포함된다. 다만 개인정보처리자가 분석·가공해 새로 만든 ‘별도 생성 정보’, 다른 사람의 권리·이익을 해칠 수 있는 정보, 영업비밀처럼 다른 법령으로 보호가 필요한 정보는 제외할 수 있다.

전송 방식은 안전을 우선으로 잡았다. 개인정보위는 원칙적으로 응용프로그램 프로그래밍 인터페이스(API)를 권장한다. API는 ‘프로그램끼리 정해진 규칙으로 안전하게 정보를 주고받는 연결 방식’이다. 한편 웹 화면에서 정보를 자동으로 긁어 모으는 ‘스크래핑’은 단기적으로만, 사전 협의를 거친 안전성이 확인된 대리인에 한해 제한적으로 허용한다고 밝혔다. 정보주체가 직접 홈페이지에서 정보를 내려받는 방식도 가능하다고 했다. 이때 정보는 안전한 암호화 방식으로 보호한다.

시행 시점은 대상에 따라 나뉜다. 개인정보위는 공공시스템운영기관과 제3자 대상 정보전송자는 공포일부터 6개월 유예를 둔다. 평균 매출액 등이 1800억원을 넘는 민간 분야 본인 대상 정보전송자는 1년 유예를 둔다.

개인정보위는 3월부터 시행령 주요 내용과 본인전송요구권 확대를 설명하는 자리를 열 계획이다. 2026년에는 제3자 전송 분야도 에너지, 교육, 고용, 문화·여가로 확대하기 위한 실무협의체를 운영하겠다고 밝혔다.

송경희 개인정보보호위원회 위원장은 “국민이 본인의 의사에 따라 정보를 이동해 활용할 수 있을 것으로 기대한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network