개인정보 전송 요구권 확대...2만명 이상 대학도 해당

개인정보보호위원회(위원장 고학수)는 본인전송요구권(개인정보처리자에게 본인의 정보를 자신에게 전송(다운로드)할 것을 요구할 수 있는 권리) 확대를 위한 '개인정보 보호법 시행령' 개정안을 이번달 23일부터 8월 4일까지 40일간 입법예고한다고 밝혔다.

이번 개정안은 지난 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 체감하고 활용할 수 있게 확대한 것으로, 기존 의료‧통신 분야에 한정된 본인 대상 정보전송자(개인정보 처리자)와 전송정보 범위를 전 분야로 대폭 확대했다. 또 전 분야로 확대한 본인전송요구권을 보다 안전한 방식으로 행사할 수 있게 절차와 방법도 마련했다.

■ 본인 대상 정보전송자 및 전송정보 기준

첫째, 본인 대상 정보전송자 기준은 개인정보 보호역량을 갖춘 대규모 개인정보처리자 등을 대상으로 했다. 구체적 기준은 ▲연간 매출액 등 1500억 원 이상&정보주체 수가 100만 명 이상 또는 민감‧고유정보 5만 명 이상 대규모 시스템 운영 기관 ▲2만 명 이상 대학 ▲공공시스템 운영기관 ▲제 3자 대상 정보전송자 등이 해당된다.

전송 요구할 수 있는 정보의 기준은 정보주체 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 대상이 되며, 다만 별도 생성 정보(개인정보처리자의 본질적 행위와 ‘별도’로 개인정보를 분석‧가공해 생성한 정보를 의미), 제3자 권리‧이익을 침해하는 정보 등은 제외된다.

또 이번 개정안에는 본인전송 방법으로 기존의 웹사이트에서 접속해 알람‧조회할 수 있는 정보를 암호화한 파일로 정보주체가 직접 내려받는 방식도 가능하다고 명시, 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있게 했다.

■ 안전한 본인전송 방법

둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우 안전하게 전송할 수 있는 전송방법을 규정했다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우에는 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받을 수 있게 했다.

원칙적으로는 API(application Programming Interface, 소프트웨어 애플리케이션 간 서로 통신할 수 있도록 정해진 명세 또는 인터페이스애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 사전협의를 거친 안전성‧신뢰성이 보장된 개인정보관리 전문기관(이하 ‘전문기관’) 등에 한정해 제한적으로 스크래핑을 허용했다.

■ 전문기관을 통한 본인전송요구권 행사 지원 및 본인정보 관리

마지막으로 본인전송요구권 확대에 따라 안전성‧신뢰성이 보장된 전문기관이 정보주체의 본인전송요구 권리행사를 지원하고 안전한 개인정보 관리를 할 수 있게 했다. 정보주체는 전문기관을 통해 본인전송요구를 할 수 있고, 이 경우 정보주체 본인만이 접근 가능한 저장소에 전송받은 정보를 저장해야 하며, 정보주체 위임에 따라 이를 전문기관이 관리‧분석할 수 있게 했다.

하승철 개인정보위 마이데이터추진단장은 “이번 시행령 개정을 통해 국민이 본인의 정보를 내려받는 것에 그치지 않고, 내려받은 정보를 어떻게 활용할지에 대해서도 능동적으로 결정할 수 있는 제도적 기반이 마련될 것”이라면서 “국민주권정부 실현을 위해 개인정보 통제권을 실질적으로 보장하고 국민이 일상생활 속에서 안전하고 혁신적인 마이데이터 서비스를 체감할 수 있게 노력하겠다.”고 밝혔다.

이번 시행령 개정안에 대해 의견이 있는 기관이나 단체 또는 개인은 국민참여입법센터(http://opinion.lawmaking.go.kr) 또는 개인정보위 전자우편(ohhyeok@korea.kr) 및 일반우편 등으로 8월 4일까지 의견을 제출하면 된다.