개인정보보호위원회는 전 분야 마이데이터 시행을 위한 「개인정보 보호법 시행령」 개정안을 2024년 5월 1일부터 6월 10일까지 입법예고한다고 밝혔습니다. 이번 개정안은 작년 3월 「개인정보 보호법」 개정으로 도입된 개인정보 전송요구권 제도의 후속조치로, (i) 전송요구권 행사에 따른 정보전송자 및 전송정보 기준, (ii) 개인정보관리 전문기관 지정 기준 및 절차, (iii) 정보 전송 방법 및 절차 등을 규정하였습니다. 아래에서는 위 각 사항의 주요내용을 더 자세히 살펴보도록 하겠습니다.
▣ 주요내용
1. 전송요구권 행사에 따른 정보전송자 및 전송정보 기준 규정
● 정보주체 본인에게 전송하는 경우(본인 전송)와 제3자에게 전송하는 경우(제3자 전송)를 구분하여 기준을 마련(영 제42조의2, 제42조의4)
○ 본인 전송(다운로드)의 경우,
- 정보전송자 기준은 개인정보 처리 능력 등을 고려하여 정보주체 수가 10만 명 이상인 대기업‧중견기업 또는 정보주체 수가 100만 명 이상인 기관‧법인‧단체 등으로 설정
- 전송정보는 개인정보보호법에서 정하는 전송 요구 정보 중 제3자 권리 침해 정보 등의 제외기준에 해당하지 않는 정보로 규정
| 구분 | 전송 요구 정보의 범위 |
| 전송 요구 정보 (법 제35조의2) | 본인 대상 정보전송자가 보유한 개인정보로서, 다음 요건을 충족하는 정보 ① (i) 정보주체의 동의 또는 (ii) 정보주체 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보이거나, (iii) 정보주체의 이익이나 공익적 목적을 위하여 관계기관의 장의 요청에 따라 개인정보보호위원회가 심의의결하여 전송요구 대상으로 지정한 개인정보 ② 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것 ③ 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것 |
| 제외기준 | ① 제3자의 권리나 정당한 이익을 침해하는 정보 ② 일방향 암호화여 저장된 정보 ③ 시간‧비용‧기술 등 고려시 합리적 범위를 벗어나 전송 요구에 응하기 어렵다고 판단되는 정보 ④ 정보전송자가 시스템 내부 관리 목적으로 보유하는 등 명백히 정보주체의 권리와 관련성이 없는 정보 등 |
○ 제3자 전송은 산업별 특성을 고려하여 정보전송자 및 전송정보를 유형화하였고, 하위 고시 제정을 거쳐 보건의료, 통신, 유통 등 부문별로 세부 기준 수립 예정
- 제3자 전송의 경우 일반수신자(안전조치의무를 이행하고 일정 시설 및 기술 기준을 충족하는 자) 또는 개인정보관리 전문기관에 전송이 가능(법 제35조의2제2항)
| 구분 | 주요내용 |
| 정보 전송자 유형 | ① 「의료법」제3조의4의 상급종합병원 및 고시하는 자 ② 「전기통신사업법」 제2조 제11호의 기간통신역무를 제공하는 자 중 고시하는 자 ③ 「전자상거래법」에 따른 통신판매업자 또는 통신판매중개업자이면서 연 매출액 1,500억원 이상 또는 정보주체 수 100만 명 이상인 자 중 고시하는 자 ④ 「전기통신사업법」제2조제12호의 부가통신역무를 제공하는 자이면서 연 매출액 1,500억원 이상 또는 정보주체 수 100만명 이상인 자 중 고시하는 자 |
| 전송정보 | ① (의료) 진단내역, 처방내역 등 고시하는 정보 ② (통신) 가입정보, 이용정보, 청구정보 등 고시하는 정보 ③ (유통) 주문정보, 구매정보, 이용정보 등 고시하는 정보 ④ (부가) 부가통신역무에 관한 정보로서 고시하는 정보 |
2. 개인정보관리 전문기관 지정 기준‧절차 규정
● 정보주체의 요구에 따라 정보를 전송받을 수 있는 수신자로서 개인정보관리 전문기관 지정에 관한 기준 마련(영 제42조의3)
○ 개인정보관리 전문기관은 중계 전문기관, 일반 전문기관, 특수 전문기관으로 구분
- 중계 전문기관 : 전송 중계 시스템 운영 및 기능 제공 등의 업무 수행
- 일반 전문기관 : 전송 받은 개인정보를 관리‧분석하여 정보주체에게 맞춤형 서비스 등을 제공
- 특수 전문기관 : 민감한 보건의료정보를 관리‧분석
○ 개인정보보호위원회 또는 관계중앙행정기관의 장이 기술수준 및 전문성, 안전성 확보조치 수준, 재정능력 등의 요건을 심사하여 지정
- 지정요건별 세부기준
| 지정요건 | 세부기준 |
| 기술수준 및 전문성 | ① 사업계획의 타당성 및 건전성 ② 개인정보 관리계획의 적정성 ③ 업무 수행을 위해 필요한 설비 및 기술의 적정성 |
| 안전성 확보조치수준 | ① 안전조치의무(법§29) 이행 ② 안전한 개인정보관리 전문기관 운영을 위한 보호체계의 적정성 |
| 재정능력 | ① 재무구조의 건전성 및 안정성 ② 자본금(중계 전문기관 10억원, 일반‧특수 전문기관 1억원) ③ 손해배상책임 보험 또는 공제 가입 |
● 개인정보관리 전문기관 지정 및 취소 등에 관한 절차 등 마련
○ 전문기관으로 지정 받기 위해서는 사업계획서, 개인정보 관리 계획서 및 기타 지정 요건 충족 증명 서류 등을 첨부하여 지정 신청
○ 사업자의 편의를 위해 예비지정도 신청 가능
○ 전문기관 지정의 유효기간은 3년, 연장을 위한 재지정 신청 가능
○ 고의 또는 중과실로 인한 침해사고 발생, 조건 위반 등의 사유가 발생한 경우 지정권자에 의한 지정 취소 가능
● 정보주체의 권리 침해 우려를 막기 위한 전문기관의 행위규칙 규정
○ 중계 전문기관은 전송 중계 외의 목적으로 전송정보를 이용 금지.
○ 중계시스템 장애 발생 시 개인정보보호위원회 등에 즉시 통지
○ 일반‧특수 전문기관은 전송 요구를 하도록 강요하거나 부당하게 유도하는 행위, 정보주체에게 적합하지 않다고 인정되는 계약을 추천‧권유하는 행위 등 금지
3. 전송 방법 및 절차 등 규정기준‧절차 규정
● 정보주체는 전송 요구 목적, 전송 받는 자, 요구 대상 정보 등을 특정하여 전송 요구(영 제42조의5)
○ 정보수신자를 통한 전송 요구도 가능하고, 이 경우 정보수신자는 정보주체가 전송 내용을 명확하게 인지하고 요구할 수 있도록 하여야 함
● 정보전송자는 정보주체의 전송 요구가 있는 경우 아래의 거절‧중단 사유가 없는 한 중계 전문기관을 통하여 지체없이 개인정보를 전송하여야 함
○ 정보전송자는 안전성과 신뢰성이 보장될 수 있는 방식으로 전송하여야 함
○ 정보수신자는 정보주체의 파기 요청에 대응하기 위하여 전송 받은 정보와 기존 정보를 분리하여 보관하여야 함
| 거절‧중단 사유 |
| ① 본인 또는 대리인, 법정대리인 동의 여부가 확인되지 않는 경우 ② 제3자 기망‧협박에 의한 전송요구로 의심되는 경우 ③ 정보주체의 인증정보 탈취 등 부당한 방법에 의한 전송요구임을 알게 된 경우 ④ 전송 요구 사항이 특정되지 않은 경우 ⑤ 정보주체 본인, 일반수신자, 개인정보관리 전문기관이 아닌 자에게 전송을 요구한 경우 ⑥ 개인정보가 범죄에 악용되는 등 부정한 방법으로 사용되어 정보주체 이익을 명백히 침해하는 경우 ⑦ 다른 사람의 권리나 정당한 이익을 침해하는 경우 ⑧ 열람 제한‧거절 사유에 해당하는 경우 ⑨ 동일한 개인정보에 대해 정당한 사유없이 과도하게 반복적으로 전송요구하여 업무에 지장을 초래하는 경우 ⑩ 그 외 |
● 개인정보보호위원회는 정보주체의 전송요구권이 안전하고 효과적으로 구현될 수 있도록 자료제출 요구 등을 통해 참여자들을 관리‧감독하여야 함(영 제42조의12)
● 정보주체가 본인의 전송 이력을 투명하게 관리할 수 있는 전송 지원 플랫폼의 구축‧운영에 관한 사항 규정(영 제42조의13)
● 설비 구축비용‧운영비용‧전송정보 특성 등을 고려한 정보전송 수수료 산정 근거 마련(영 제47조)
▣ 시사점
● 이번 시행령 개정은, 작년 3월 「개인정보 보호법」 개정으로 새로 도입된 개인정보 전송요구권 제도 관련 그 요건 및 절차 등을 구체화하기 위한 것입니다. 개인정보 전송요구권 제도는 국민의 적극적 프라이버시 권리를 보장함과 아울러 기업‧기관별 칸막이에 가로막힌 데이터를 융합함으로써 데이터 생태계를 활성화하기 위한 목적으로 도입된 것인데, 이번 시행령 개정으로 전 분야 마이데이터 시행을 위한 안정적인 개인정보 전송체계 구축의 첫걸음을 내딛었다고 할 수 있습니다. 특히, 이번에 입법예고된 시행령(안)은 그 분량이 매우 방대하고, 그 구조가 복잡하다는 점에서 면밀한 검토가 필요하다고 할 것이며, 고시로 위임되어 있는 사항 또한 적지 않다는 점에서 추후 제정될 고시에 대하여도 관심을 가질 필요가 있습니다.
● 이에 따라 개인정보 처리능력에 따라 혹은 산업별 특성, 매출액 등에 따라 정보전송자 기준을 만족하는 사업자는 개인정보 전송요구권에 응할 수 있도록 시행령 및 추후 제정될 고시에 부합한 체계를 구축해야 할 것으로 보입니다. 이번에 입법예고된 시행령은 제3자 전송과 관련하여 일부 분야에 국한하여 그 범위를 한정하고 있으나, 향후 단계적으로 범위가 확대될 것이라는 점에서 현재 입법예고된 분야에 해당히지 않는 개인정보처리자라고 하더라도 일정 규모 이상의 사업자들은 관심을 가질 필요가 있습니다.
● 또한, 정보수신자의 유형(일반수신자, 중계 전문기관, 일반 전문기관, 특수 전문기관)에 따라 수행할 수 있는 업무가 구분되고 이에 따른 지정요건‧세부기준‧절차 등도 상이합니다. 과거 금융분야 마이데이터 도입 당시 인허가 신청을 위한 준비에 상당한 기간이 소요되었다는 점을 고려하면 새로 마이데이터 사업을 추진하고자 하는 기업들로서는 위와 같은 사항들을 명확히 파악하고 그에 맞추어 미리 인허가 신청을 준비해 둘 할 필요가 있을 것입니다.
● 이번 시행령 개정안 입법예고 이후에도 개인정보보호위원회는 학계, 산업계, 시민단체 등의 의견을 들어 하위법령에 반영해 나갈 것이라고 밝힌 바, 추후에도 개인정보 전송요구권에 관련한 입법들을 지속적으로 지켜볼 필요가 있습니다.
About Shin & Kim’s ICT Group
법무법인(유) 세종은 개인정보 분야에 차별화된 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 부터 제2차 개정에 이르기까지 하위법령 제정을 비롯하여 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.
