의료와 통신에만 적용되던 마이데이터의 본인 전송요구권 적용 범위가 전 산업으로 확대된다. 앞으로는 교통, 문화, 여가, 유통 등 생활 전반에서 조회되는 개인정보를 직접 내려받아 관리하거나 한곳에 모아 활용할 수 있게 된다.
개인정보보호위원회는 마이데이터의 본인 전송요구권 적용 범위를 전 분야로 확대하는 내용을 담은 '개인정보 보호법 시행령' 개정안이 10일 국무회의에서 의결됐다고 밝혔다. 개정안은 정보주체가 자신의 개인정보를 원하는 곳으로 이동해 활용할 수 있도록 하는 전송요구권 제도 적용 범위를 기존 의료·통신 분야에서 전 분야로 확대하는 내용을 담고 있다.
개정안은 유예기간을 거쳐 오는 8월부터 시행될 예정이다.
시행령에 따르면 본인 대상 정보전송자(개인정보 처리자)는 개인정보 보호 역량을 갖춘 대규모 개인정보처리자 등으로 규정했다. 중소기업기본법 등에 따라 평균 매출액 1800억원을 초과하면서 정보주체 수가 100만명 이상이거나 민감·고유식별정보 5만명 이상을 처리하는 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이 해당된다.
전송을 요구할 수 있는 정보는 정보주체 동의나 계약 체결·이행 과정, 법령에 따라 처리된 정보 등이 원칙적으로 포함된다. 다만 개인정보 처리자가 별도로 분석·가공해 생성한 정보, 제3자의 권리·이익을 침해하는 정보, 영업비밀 등은 제외될 수 있다.
안전한 전송을 위해 대리인을 통한 전송요구 시에는 개인정보 처리자와 사전 협의한 방식으로만 전송하도록 규정했다. 원칙적으로는 응용 프로그램 인터페이스(API·컴퓨터나 소프트웨어 사이의 연결) 연계 방식을 권장하되, 단기적으로는 사전협의를 거쳐 안전성·신뢰성이 보장된 대리인에 한해 제한적으로 스크래핑을 허용했다.
개인정보 처리자 대리인이 사전 협의한 방식으로 전송을 요청할 경우 정당한 사유 없이 거절할 수 없다.
또 정보주체가 인터넷 홈페이지에서 열람할 수 있는 정보를 암호화해 직접 내려받는 방식도 전송 방법으로 명시됐다.
준비 기간을 고려해 공공시스템 운영기관과 제3자 대상 정보전송자는 시행 공포 후 6개월, 평균 매출액 1800억원을 초과하는 민간 대규모 개인정보처리자는 1년의 유예기간이 적용된다.
개인정보위는 향후 에너지·교육·고용·문화·여가 분야 등으로 제3자 전송을 확대하기 위한 실무협의체를 운영하고, 오는 3월부터 개인정보관리 전문기관 지정 및 지원사업 계획 설명회를 개최할 예정이다.
송경희 개인정보보호위원회 위원장은 "이번 시행령 개정으로 국민이 자신의 개인정보 주권을 적극적으로 행사하고, 의사에 따라 정보를 이동·활용할 수 있을 것으로 기대한다"며 "안전하고 신뢰 가능한 환경에서 정보가 전송되도록 해 마이데이터 제도에 대한 국민의 신뢰와 체감 성과를 높이겠다"고 말했다.