전 분야 마이데이터 시행 준비...개인정보위, 전송 요구 근거·기준 마련

개인정보위, 개인정보보호법 시행령 입법 예고

개인정보보호위원회 로고

내년 전 분야 마이데이터 시행을 앞두고 정보를 전송하는 개인정보처리자의 기준, 전송을 요구할 수 있는 정보의 기준 등이 마련됐다.

개인정보보호위는 개인정보 보호법 시행령 개정안을 5월 1일부터 6월 10일까지 입법 예고한다고 30일 밝혔다.

마이데이터는 자신의 개인정보를 보유한 기업이나 기관에 그 정보를 당사자가 원하는 다른 곳으로 옮기도록 요구할 수 있는 서비스다. 지난해 9월 개인정보보호법이 개정되면서 마이데이터 활용을 위한 개인정보 전송요구권이 내년부터 전 분야에서 본격 시행된다.

개인정보위는 우선 정보를 전송하는 정보전송자인 개인정보처리자와 전송 요구 대상 정보의 기준을 마련했다.

정보 주체인 본인에게 전송하는 경우 이에 응해야 하는 정보전송자의 기준은 개인정보 처리 능력을 고려해 정보 주체 수가 10만명 이상인 대기업·중견기업 또는 정보 주체수가 100만명 이상인 기관·법인·단체로 설정했다.

정보주체는 본인의 정보에 대해서는 제3자 권리 침해와 같은 제외 기준에 해당하지 않는 한 모든 정보에 대해 전송을 요구할 수 있게 된다.

제3자 전송의 경우 산업별 특성을 고려해 정보전송자와 전송 정보를 유형화한다. 개인정보위는 하위 고시 제정을 통해 보건의료, 통신, 유통 등 부문별로 세부 기준을 수립할 예정이다.

정보 주체의 요구에 따라 정보를 전송받을 수 있는 수신자 역할인 개인정보관리 전문기관 지정에 대한 기준도 마련됐다.

개인정보관리 전문기관은 전송 중계 업무를 수행하는 중계 전문기관, 전송받은 개인정보를 분석해 맞춤형 서비스를 제공하는 일반 전문기관, 민감한 보건의료 정보를 관리하는 특수 전문기관으로 구분됐다.

전문기관은 개인정보위 또는 관계 중앙행정기관의 장이 대상 기관의 기술 수준과 전문성, 안전성 확보조치 수준, 재정 능력 등을 심사해 지정한다.

전문기관 신청과 취소에 대한 절차도 마련됐다. 전문기관 지정의 유효기간은 3년으로 정해졌으며, 전문기관이 유효기간 연장을 원할 경우 재지정을 신청할 수 있다. 만약 전문기관에서 개인정보 관련 침해사고 등의 사유가 발생하면 지정권자는 지정을 취소할 수 있다.

개인정보위는 정보 주체가 전송요구권을 효과적으로 행사할 수 있도록 전송 과정에서 필요한 절차에 대한 기준도 수립했다.

정보주체는 전송 요구 목적과 전송받는 자, 요구 대상 정보를 특정해 전송을 요구해야 하며, 정보수신자를 통해서도 전송 요구를 할 수 있다.

지정 유효기관인 3년을 넘겨 연장을 신청한 결합전문기관에 대한 재지정 기준도 마련됐다.

그동안에는 결합전문기관에서 유효기간 연장을 신청할 경우 지정 기준 적합 여부만을 판단했지만, 이번 개정안을 통해 결합전문기관 지정 이후 결합실적이 없는 결합전문기관에 대해서는 재지정 시 결합실적 및 향후 운영계획 등을 추가 검토하여 재지정 여부를 결정할 수 있도록 근거를 마련했다.

고학수 개인정보위원장은 “이번에 도입되는 개인정보 전송요구권은 분야 간 칸막이에 갇혀있던 데이터가 정보 주체의 요구에 따라 이동 융합될 수 있는 근본적 변화인 만큼, 국민이 우선적으로 체감할 수 있는 부문을 시작으로 점진적·단계적으로 확대해 나갈 계획”이라고 말했다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]