마이데이터 전 분야로 확대, 국민이 직접 본인정보를 관리한다
- 본인전송요구권 확대 「개인정보 보호법 시행령」 개정
- 정보주체의 본인전송요구 범위를 의료·통신에서 전 분야로 확대
- 중소사업자 부담 고려해 본인대상정보전송자에서 중소기업은 제외
< 본인전송요구권을 통한 마이데이터 시나리오 >
A씨는 여러 대형병원에 흩어져 있는 건강검진, 진료내역 등을 마이데이터를 통해 자신의 건강 상태를 스스로 관리하거나(의료), 필요할 경우 건강관리 서비스를 지원하는 전문기관을 통해 장기 치료 중인 질병에 부담이 적은 맞춤형 일자리를 추천받고(고용), 치료 중 소득 공백을 메울 수 있는 복지지원금 신청을 자동 안내받을 수 있으며(복지), 구매 내역을 분석해 건강관리에 도움이 되는 식재료를 추천받아 할인된 가격에 이용할 수 있다(유통).
앞으로는 시행령 개정을 통해 대형병원 뿐만 아니라, 교통·문화·여가·유통 등 일정 규모 이상의 전 분야 기업과 기관의 홈페이지에서 조회되는 정보를 직접 내려받아 관리하거나, 안전성이 보장된 전문기관의 도움을 받아 다양한 본인 정보를 한 곳에 모아 활용하는 것이 가능해진다.
A씨의 전송정보를 활용하는 전문기관은 안전조치 요건 등을 갖췄는지 엄격한 심사를 통해 지정받게 되며, 정보전송자와 사전협의하여 안전성 및 신뢰성이 보장된 방식으로만 정보를 전송할 수 있다.
A씨는 온마이데이터 플랫폼에서 안전하다고 판단되는 서비스를 스스로 선택할 수 있고, 모든 전송 과정은 A씨의 명시적인 판단 및 의사결정 확인 후 진행된다. 또한, A씨는 온마이데이터 플랫폼을 통해 언제든 정보 전송을 중단하거나 이미 전송된 정보의 삭제를 요청할 수도 있다.
개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 정보주체가 자신의 개인정보를 원하는 곳으로 이동하여 활용토록 하는 마이데이터 제도와 관련 「개인정보 보호법 시행령」 개정안이 2월 10일(화) 국무회의에서 의결되었다고 밝혔다.
이번 개정안은 지난해 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 폭넓게 체감하고 활용할 수 있도록 확대하는 것으로, 기존 의료·통신 분야에 한정되었던 본인 대상 정보전송자(개인정보 처리자)와 전송정보의 범위를 전 분야로 확대하는 내용을 담고 있다. 또한, 전 분야로 확대된 본인전송요구권을 보다 안전한 방식으로 행사할 수 있도록 절차와 방법 등도 구체화하여 규정하였다. 개정안은 유예기간을 거쳐 오는 8월부터 시행될 예정이다.
【 본인 대상 정보전송자 및 전송정보 기준 】
첫째, 본인 대상 정보전송자의 기준은 개인정보 보호역량을 갖추고 있는 대규모 개인정보처리자 등으로 규정하였다. 구체적인 기준으로는 중소기업기본법 등에 따른 평균매출액 등이 1,800억원 초과하면서 정보주체 수가 100만 명 이상 또는 민감·고유정보 5만 명 이상의 대규모 시스템 운영 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이다.
전송을 요구할 수 있는 정보는 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 포함 된다. 다만 별도 생성 정보*, 제3자 권리·이익을 침해하는 정보, 영업비밀 등 다른 법령에 따라 보호가 필요한 정보는 제외할 수 있다.
* 개인정보처리자의 본질적 행위와 '별도'로 개인정보를 분석·가공하여 생성한 정보를 의미 (예: 환자 치료와 별개로 진단·처방내역 등을 분석한 후 별도 생성한 위험군 등 분류·통계정보 등)
【 안전한 본인전송 방법 】
둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우에 안전하게 전송할 수 있는 전송방법을 규정하였다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받도록 하였다.
원칙적으로는 API(애플리케이션 프로그래밍 인터페이스)* 연계 방식을 권장하지만, 단기적으로는 본인 대상 정보전송자가 대리인과 사전협의를 거친 안전성·신뢰성이 보장된 대리인에 한하여 제한적으로 스크래핑을 허용하였다. 또한 본인 대상 정보전송자는 대리인이 사전에 협의한 방식으로 본인전송요구를 대리하는 경우 정당한 사유없이 거절하지 못하도록 규정하였다.
* API(Application Programming Interface) : 소프트웨어 애플리케이션 간 서로 통신할 수 있도록 정해진 명세 또는 인터페이스
아울러, 본인전송방법으로 본인 대상 정보전송자가 자신이 관리하는 인터넷 홈페이지를 통해 정보주체가 접속하여 열람·조회할 수 있는 정보를 안전한 암호화 알고리즘으로 암호화하여 내려받는 방식도 가능하다고 명시했다. 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있다.
【 전송요구권 행사 범위 확대 】
셋째, 정보주체의 전송요구권 행사 범위가 기존 의료·통신에서 전 분야로 확대된다. 다만 본인 대상 정보전송자의 전송 준비 등에 소요되는 시간 등을 고려해 공공시스템운영기관과 제3자 대상 정보전송자는 시행을 공포된 날로부터 6개월 유예하되, 평균 매출액 등이 1,800억원을 초과하는 민간 분야에 해당하는 본인 대상 정보전송자*의 경우 1년 유예토록 하였다.
* 평균 매출액 등 1,800억원 초과하는 자로서 정보주체수 100만명 이상 또는 민감·고유식별정보 5만명 이상인 개인정보처리자(시행령 제42조의2제1항제1호) : 1년 유예
【 향후 계획 】
개인정보위는 마이데이터가 국민이 체감 가능한 분야로 확산되도록 제3자 전송 분야도 '26년도 에너지, 교육, 고용, 문화·여가 분야로 확대하기 위한 실무협의체를 구성·운영할 계획이다. 아울러 이번에 개정된 시행령 주요 내용과 본인전송요구권 확대와 관련하여 오는 3월부터 개인정보관리 전문기관 지정 및 지원사업 계획에 대한 설명회를 열 계획이다.
송경희 위원장은 "이번 시행령 개정으로 정보주체인 국민은 자신의 개인정보 주권을 적극적으로 행사하고, 본인의 의사에 따라 정보를 이동하여 활용할 수 있을 것으로 기대된다"라며, "안전하고 신뢰 가능한 기업 및 기관을 통해 정보가 전송되도록 함으로써 마이데이터 제도에 대한 국민의 신뢰 및 체감 가능한 성과를 창출하도록 노력할 것"이라고 말했다.
* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.
- 담당자 : 범정부마이데이터추진단 전략기획팀 김미애(02-2100-3172)
