[2023.03.15.]
1. 개인정보 전송요구권 관련 신설 조항
■ 개인정보 전송요구권(제35조의2)
개정 「개인정보 보호법」은 개인정보 전송요구권을 새롭게 도입하였습니다(제35조의2, 공포 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 시행령으로 정하는 날부터 시행). 개인정보 전송요구권이란 정보주체가 개인정보처리자에 대하여 본인의 개인정보를 본인 또는 제3자에게 전송하도록 요구할 수 있는 권리를 의미합니다.
전송 요구 대상이 되는 개인정보의 요건은 다음과 같으며, 구체적인 범위는 시행령에 위임되어 있습니다.
① 정보주체 본인에 관한 개인정보로서 다음 중 어느 하나에 해당하는 정보
- 정보주체의 동의를 받아 처리되는 개인정보(민감정보, 고유식별정보도 포함)
- 정보주체와 체결한 계약을 이행하거나 그 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 처리되는 개인정보
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우, 법령에서 민감정보 또는 고유식별정보의 처리를 요구·허용하는 경우 중, 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 개인정보보호위원회(이하 개인정보위)가 심의·의결하여 전송 요구의 대상으로 지정한 개인정보
② 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생성한 정보가 아닐 것
③ 컴퓨터 등 정보처리장치로 처리되는 개인정보
개정 「개인정보 보호법」은 정보주체 본인에게로의 전송요구권과 제3자에게로의 전송요구권을 구분하면서, 전송 요구의 상대방이 되는 개인정보처리자의 기준을 구분하고 있습니다. 그 중 제3자에게로의 전송요구권은 기술적으로 허용되는 합리적인 범위 내에서 행사 가능하며, 이때 제3자는 개인정보관리 전문기관 또는 「개인정보 보호법」 제29조에 따른 안전조치의무를 이행하고 시행령이 정하는 시설 및 기술 기준을 충족하는 자에 해당하여야 합니다.
전송 요구를 받은 개인정보처리자는 국세기본법, 지방세기본법상 비밀유지의무, 그 밖에 이와 유사한 규정으로 시행령에서 정하는 다른 법률의 규정이 있는 경우에도, 시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송할 의무가 있습니다. 다만, 정보주체의 본인 여부가 확인되지 않는 경우 등 시행령으로 정하는 경우에는 전송 요구를 거절하거나 전송을 중단할 수 있습니다. 그리고 정보주체는 전송 요구를 철회할 수 있으며, 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하여서는 안 됩니다.
그 외 전송 요구 상대방이 되는 개인정보처리자의 세부기준, 전송 요구 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 구체적인 사항은 시행령으로 위임되어 있습니다.
■ 개인정보관리 전문기관(제35조의3)
개정 「개인정보 보호법」은 개인정보관리 전문기관의 법적 근거도 마련하였습니다(제35조의3, 공포 후 1년이 경과한 날부터 시행). 개인정보관리 전문기관이란 개인정보의 전송요구권 행사 지원, 개인정보 전송시스템의 구축 및 표준화, 개인정보의 관리·분석, 기타 정보주체의 권리행사를 효과적으로 지원하기 위하여 시행령으로 정하는 업무를 수행하는 기관입니다. 개인정보관리 전문기관은 정보주체의 요구에 따라 위 업무를 수행하는 경우 정보주체로부터 업무 수행에 필요한 비용을 받을 수 있습니다.
개인정보관리 전문기관은 개인정보위 또는 관계 중앙행정기관의 장으로부터 지정을 받아야 하며, 지정요건은 다음과 같습니다.
① 개인정보를 전송·관리·분석할 수 있는 기술수준 및 전문성
② 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준
③ 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력
개인정보관리 전문기관은 정보주체에게 개인정보의 전송 요구를 강요하거나 부당하게 유도하거나, 기타 개인정보를 침해하거나 정보주체의 권리를 제한할 우려가 있는 행위로서 시행령으로 정하는 행위를 하여서는 안 됩니다.
기타 개인정보관리 전문기관 지정요건의 세부기준, 지정과 지정취소 절차 등에 필요한 사항은 시행령으로 위임되어 있습니다.
■ 개인정보 전송 지원 플랫폼 등 개인정보위의 개인정보 전송 관리 및 지원(제35조의4)
개정 「개인정보 보호법」은 개인정보위의 개인정보 전송 관리 및 지원에 관한 조항도 신설하였습니다(제35조의4). 개인정보위는 전송 요구 상대방이 되는 개인정보처리자 및 개인정보관리 전문기관 현황, 활용내역 및 관리실태 등을 체계적으로 관리·감독하여야 하며, 개인정보의 안전하고 효율적인 전송을 위해 개인정보 전송 지원 플랫폼을 구축·운영할 수 있습니다. 위 플랫폼에는 개인정보관리 전문기관 현황 및 전송 가능한 개인정보 항목 목록, 정보주체의 개인정보 전송 요구·철회 내역, 개인정보의 전송 이력 관리 등 지원 기능, 기타 개인정보 전송을 위하여 필요한 사항이 포함됩니다.
개인정보위는 위 플랫폼의 효율적 운영을 위하여, 관계 중앙행정기관의 장 및 개인정보관리 전문기관과 사전 협의를 거쳐 해당 개인정보관리 전문기관에서 구축·운영하고 있는 전송 시스템을 상호 연계하거나 통합할 수 있습니다.
2. 시사점
개인정보 전송요구권의 도입은 개인정보가 처리되는 전 분야에 걸쳐 정보주체의 개인정보 통제권을 한층 강화하고, 데이터 독점 현상을 완화하며 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반을 마련할 것이라는 취지 하에 이루어졌습니다. 이러한 효과의 실제 파급력은 지켜볼 필요가 있겠으나, 우리나라 데이터 활용에 있어 중요한 변화를 가져올 것은 확실하여 보입니다. 특히 정부가 추진하는 마이데이터 산업의 全분야 확산 및 디지털플랫폼정부 구현이 가속화될 것으로 전망됩니다.
다만 기업 간, 분야 간 개인정보 전송이 활성화되기 위해서는 데이터 표준화가 필수적인데, 「신용정보의 이용 및 보호에 관한 법률」(이하 신용정보법)에 따라 전송요구권이 도입된 금융업계의 선례에 비추어 볼 때 이는 기술적, 경제적 부담이 상당한 작업이 될 것으로 보입니다. 또한, 신용정보법상 전송요구권과의 차이점 및 관계 등을 유의할 필요가 있겠습니다.
박광배 변호사 (kwangbae.park@leeko.com)
윤종수 변호사 (jay.yoon@leeko.com)
고환경 변호사 (hwankyoung.ko@leeko.com)
채성희 변호사 (sunghee.chae@leeko.com)
손경민 변호사 (kyungmin.son@leeko.com)