개인정보위, 주요 공공기관과 함께 개인정보 전송 안전성 강화 간담회 개최

- 일방적인 개인정보 스크래핑 제한 및 안전성 강화 조치사항 협의

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 행정안전부, 국토교통부, 국민연금공단 등 주요 공공기관*과 함께 4월 10일(금) 정부서울청사 별관에서 '개인정보 전송 안전성 강화 간담회'를 개최했다.

 * 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보의 취급자 수 등 보호위가 고시하는 기준에 해당하는 개인정보시스템(공공시스템)을 운영하는 공공기관(이하 '공공시스템운영기관', 개인정보 보호법 시행령 제30조의2) 중 스크래핑이 일어나고 있는 것으로 추정되는 기관

  이번 간담회는 본인전송요구 확대 관련 개인정보 보호법(이하 '보호법') 시행령 개정(2.19.공포, 8.20. 시행)으로 본인대상정보전송자에 새롭게 포함된 공공시스템운영기관이 준비해야하는 사항을 설명하기 위해 마련됐다.

  개인정보위는 이날 간담회에서 ▲본인 정보 다운로드권 확대 및 안전성 강화 관련 보호법 시행령 개정 주요 내용, ▲본인전송을 위해 준비할 사항, ▲에이피아이(API)*를 통한 전송 준비 및 사이트 이용약관 개정** 등 개인정보 전송 안전성 강화를 위한 조치사항에 대해 설명했다. 

 * API(Application Programming Interface) : 데이터 제공기관이 사전에 정의한 표준 규격에 따라 인증·권한 절차를 거쳐 필요한 정보를 안정적으로 연계·전송하는 방식

 ** 주요내용: 개인정보 보호법 개정 시행령 제42조의6제3항제1호나목에 따른 사전협의 없이 자동화된 도구를 이용한 본인전송요구 대리(스크래핑) 불가

  이번 보호법 개정 시행령은 기존 의료·통신분야에 한정되었던 본인전송요구의 범위를 전 분야로 확대하고, 본인전송요구권을 보다 안전한 방식으로 행사할 수 있도록 절차와 방법 등을 구체화하여 규정했다.

  공공시스템운영기관은 개정 시행령이 시행되는 8월까지 안전한 본인전송방법과 본인전송요구 대상 정보, 요구 절차, 전송현황 및 내역확인 등 권리행사 방법을 인터넷 홈페이지 개재하여야 한다. 

  또한 이번 간담회에서 개인정보위는 정보주체의 단순 동의만으로 개인정보를 일방적으로 스크래핑하는 관행을 개선하고, 보다 안전성․신뢰성이 높은 API방식으로의 전환을 준비하도록 공공시스템운영기관에 권고했다.

  특히 개인정보관리 전문기관* 등 안전성과 신뢰성을 정부로부터 인정받은 자**가 본인전송요구 대리인인 경우에는 API이용을 허용해 줄 것을 공공시스템운영기관에 당부했다.

  * 엄격한 지정요건 심사를 거쳐 중앙행정기관의 장이 지정(보호법 제35조의3)하고 개인정보위가 관리·감독(동법 제35조의4)하므로, 안전성과 신뢰성을 인정할 수 있는 기관

 ** 예: 개인정보관리 전문기관(보호법 제35조의3, 개인정보위 또는 관계부처 지정)공공마이데이터 이용기관(전자정부법 제343조의2, 행전안전부 승인)본인신용정보관리회사(신용정보법 제33조의2, 금융위원회 허가)

  한편, 개인정보위는 공공시스템운영기관이 API체계로 전환하는 데 시간이 소요되는 경우에는 API전환 전까지 안전하고 신뢰할 수 있는 개인정보관리 전문기관 등이 대리인인 경우에 한해 한시적 스크래핑을 위한 사전협의*에 협조할 것을 당부했다. 또한, 사전협의 없이는 스크래핑을 통해 정보를 전송받을 수 없다는 취지로 사이트 이용약관을 개정할 것을 공공시스템운영기관에 요청했다.

  * 주요 협의 사항: 전송요구 내용, 위임권 및 대리인 확인 방법, 보호안전관리 방안 등

  하승철 범정부 마이데이터추진단장은 "공공시스템운영기관은 제도의 원활한 운영을 위해 개인정보위가 협조를 구해야 할 가장 중요한 상대"라며, "국민의 권리를 적극적으로 보장하기 위해 공공부문에서 함께 노력해주시기를 바란다."라고 말했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 범정부마이데이터추진단 전략기획팀 김미애(02-2100-3172)