본인전송요구권 전 분야 확대를 위한 「개인정보 보호법」 시행령 입법예고

개인정보보호위원회가 2025. 6. 23. 본인전송요구권 확대를 위한 「개인정보보호법」 시행령 개정안(시행령개정안)을 입법예고하였습니다(의견제출기간: 2025. 8. 4.까지). 시행령 개정안에 의하면 기존에 의료·통신 분야에 한정되어 운영되던 본인 대상 정보 전송자와 전송 정보의 범위가 전 분야로 대폭 확대되며, 확대된 본인전송요구권을 행사하는 절차와 방법 등도 마련됩니다.

이에 법무법인(유) 광장 개인정보팀에서는 아래와 같이 시행령 개정안의 주요 내용과 시사점에 대하여 설명드리겠습니다.

I. 주요 내용
    1. 본인 대상 정보 전송자 및 전송 정보 기준의 전 분야 확대
        1) 정보 전송자 기준의 대폭 확대
            기존 의료·통신 분야에서 전 분야로 확대되면서, 본인 대상 정보 전송자(개인정보 처리자)의 기준은 다음과 같이 설정되었습니다.
            ■ [대규모 기업] 연간 매출액 등 1,500억원 이상이고 정보 주체 수 100만명 이상 또는 민감·고유 정보 5만명 이상 대규모 기업
            ■ [대학] 재학생 2만명 이상 대학
            ■ [공공기관] 공공 시스템 운영 기관
            ■ [기존 제3자 대상 정보 전송자] 의료·통신·에너지 분야
            ■ 기타 개인정보 보호 위원회가 별도로 고시하는 자

        2) 전송 정보 범위의 명확화  
            시행령 개정안에 따른 전송 요구권 행사에 대상이 될 수 있는 정보의 기준은 다음과 같습니다.  
            ■ [전송 요구권 행사 대상] 정보 주체의 동의, 계약 이행 및 체결 시 처리되는 정보, 법령 등에 따라 처리되는 정보 중 개인정보 보호 위원회가 심의·의결한 정보로서 정보 처리 장치로 처리되는 개인정보  
            ■ [전송 요구권 제외 대상] ① 개인정보 처리자가 분석·가공하여 별도 생성한 정보, ② 제3자의 권리·이익을 침해하는 정보, ③ 복호화되지 않도록 암호화된 정보  

    2. 정보 전송의 방법
        1) 전송 방법의 다양화  
            시행령 개정안은 본인 전송 방법으로 기존 웹사이트에서 접속하여 열람·조회할 수 있는 정보를 암호화된 파일로 정보 주체가 직접 내려받는 방식도 가능하다고 명시하여, 정보 전송자가 큰 부담 없이 정보 주체에게 정보를 전송할 수 있도록 하였습니다.  

        2) 대리인을 통한 전송 요구 시 안전성 강화  
            시행령 개정안에서는 정보 주체가 대리인을 통해 본인 전송 요구를 행사할 경우 개인정보를 안전하게 전송할 수 있는 방법이 새롭게 규정되었습니다.  
            ■ [원칙] API 연계 방식 권장, 특히 대리인이 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보 전송자와 사전에 협의한 방식으로만 전송  
            ■ [예외] 사전 협의를 거친 안전성·신뢰성이 보장된 개인정보 관리 전문 기관 등에 한정하여 제한적으로 스크래핑(scraping) 허용  

    3. 개인정보 관리 전문 기관을 통한 본인 전송 요구권 행사 지원  
        안전성·신뢰성이 보장된 전문 기관이 정보 주체의 본인 전송 요구 권리 행사를 지원하고 안전한 개인정보 관리를 할 수 있도록 하였습니다.

        시행령 개정안에 의하면 정보 주체는 전문 기관을 통해 본인 전송 요구를 할 수 있고, 이 경우 개인정보 관리 전문 기관은 정보 주체 본인만이 접근 가능한 저장소에 전송받은 정보를 저장해야 하며, 정보 주체의 위임에 따라 전문 기관이 이를 관리·분석할 수 있습니다.  

    4. 통합 조회형 전문 기관 도입
        시행령 개정안에서는 본인 전송 정보에 대한 전문 기관의 관리·분석 업무를 수행하는 “본인 전송 요구 기반의 통합 조회형 전문 기관”을 새롭게 도입하였으며, 개인정보 보호 위원회는 해당 업무 수행을 위한 산업계 정보 제공 요청서(RFI)를 공개하였습니다.

II. 시사점
    개인정보 전송 요구권을 기반으로 하는 마이 데이터는 서로 다른 분야 간 데이터의 이동 및 연계가 그 성패를 가르는 핵심 사항이므로, 그간 개별 분야에서 독립적으로 추진·발전되어 온 마이 데이터를 전 분야로 확대하기 위해서는 정보 전송자 및 전송 정보 범위 기준, 그리고 정보 전송 방법 및 절차 관련 사항을 입법으로 명확히 하여 법적 안정성을 도모할 필요가 있다는 산업계의 요구가 있었습니다.

    제3자 전송 요구권 위주로 추진되어왔던 마이 데이터 전 분야 확대 정책이 유통 분야와 관련하여 규제 개혁 위원회에서 영업 비밀 침해 우려와 사업자에 대한 과도한 부담을 줄 우려가 있다는 지적에 부딪히기도 하였는데, 이번 시행령 개정안을 통해 정보 주체의 기본 권리인 본인 전송 요구권의 확대가 이루어질 경우 이종 데이터 간의 연계가 좀 더 용이해지는 한편 개별 정보 주체가 개인정보를 주도적으로 관리하고 활용할 수 있는 마이 데이터 사업의 전환점이 될 것으로 예상됩니다. 그리고 시행령 개정안은 안전성·신뢰성이 보장된 개인정보 관리 전문 기관 등에 한하여 스크래핑 방식도 예외적으로 허용하여서 서비스 제공 방식의 유연성을 고려하였다는 점도 주목할 부분입니다.

    시행령 개정안의 적용 대상 사업자들은 기존 웹사이트의 열람·조회 기능을 활용한 암호화 파일의 다운로드 시스템을 구축할 필요가 있는지 점검하여야 할 것입니다. 동시에 홈페이지에 본인 전송 요구 방법 및 절차를 구체적으로 안내하고, 고객 대리인에 대한 검증 프로세스를 마련하는 등 시행령 개정안의 내용을 선제적으로 확인하고 서비스 설계에 반영할 것이 권장됩니다. 또한, 리스크 관리 측면에서, 개인정보를 분석·가공하여 생성한 정보를 명확히 구분하여 이를 전송 대상에서 확실히 제외하고, 제3자의 권리·이익을 침해할 수 있는 정보의 전송을 방지하는 내부 검토 체계 마련 등의 조치를 강구하는 것이 바람직합니다.

    그리고 향후 개인정보 관리 전문 기관 사업을 고려하는 사업자들은 “본인 전송 요구 기반의 통합 조회형 전문 기관”이 새롭게 도입됨에 따라 개인정보 보호 위원회가 공개한 정보 제공 요청서(RFI)를 확인하고, 안전성·신뢰성이 보장되는 개인정보 관리·분석 기술 개발 및 기타 컴플라이언스 관련 준비를 완료할 필요가 있겠습니다.

    한편, 마이 데이터 사업은 민간 영역의 자생하는 비즈니스 모델 및 데이터 이동에 대한 보상 체계가 명확하게 수립되지 않는 한 그 지속 가능성을 담보하기 어렵다는 지적이 지속적으로 제기되고 있으므로, 이러한 문제점을 극복하기 위한 법령의 개정 및 정책의 변화 여부를 계속해서 지켜볼 필요 또한 있겠습니다.


저희 법무법인(유) 광장의 개인정보 팀은 「개인정보 보호법」에 따른 개인정보 전송 요구권 제도 시행 이전에 이미 「신용정보법」상 금융 마이 데이터 관련 본인 신용 정보 관리업 허가 취득 등 제반 자문 업무를 성공적으로 완료한 바 있으며, 현재도 다양한 분야의 마이 데이터에 관하여 선도적으로 자문 활동을 수행해왔습니다.

마이 데이터의 전 분야 확대에 따른 법률상 이슈 또는 시행령 개정안에 관련하여 자문이 필요하신 경우, 법무법인(유) 광장 개인정보 팀에 언제든지 문의하여 주시기 바랍니다.