[아이뉴스24 김혜경 기자] 현재 국회에 계류된 개인정보보호법 2차 개정안의 핵심은 '개인정보 전송요구권' 도입이다. 정보 주체가 개인정보 자기결정권을 기반으로 본인정보를 적극 관리하고 주도적으로 활용한다는 데 의의가 있다.
현재 금융·공공 영역에 도입된 마이데이터 제도가 대표적인 예다. 정부는 전 분야 확산을 위한 로드맵을 마련하고 데이터 형식과 전송방식 등 표준화 작업도 본격 추진할 방침이다.
◆ 전송요구권과 '개인정보 자기결정권'
전송요구권(이동권)이란 정보 주체가 개인정보를 본인이나 '제3자(개인정보처리자 혹은 개인정보관리 전문기관)'에게 이전하도록 요구할 수 있는 권리다. 개인이 본인정보를 적극 관리‧통제하고 본인이 원하는 서비스를 제공받기 위해 데이터 전송을 요구하는 행위 일체를 뜻한다. 즉 '내 데이터는 내 것이므로 내 뜻대로 활용한다'는 개념이다.
마이데이터 사업이 전 분야로 확산되기 위해서는 개인정보가 안전하게 전송될 수 있는 기반 구축이 우선돼야 한다. 금융 분야의 경우 2020년 2월 신용정보법에 '개인신용정보 전송요구권'과 '본인신용정보 관리업' 규정이 신설됐다.
올해 3월 기준 금융‧핀테크 등 총 56개사가 신용정보 관리업을 운영하고 있다. 2020년 10월 민원처리법과 지난해 6월 전자정부법 개정을 통해 공공 분야에서도 행정정보 관련 전송권을 도입한 바 있다.
앞서 지난 2일 열린 '2022 개인정보보호페어(PIS)'에서 이병남 개인정보보호위원회 개인보호정책과장은 "국내 마이데이터 사업은 개인정보 자기결정권 강화에 초점을 두기 보다는 기업이 활용 가능한 개인데이터 확산에 중점을 두고 추진됐다"며 "금융 분야 마이데이터의 경우 개인데이터 활용이 중심이며 유통 생태계에서 개인의 적극적 참여에 대한 고려는 부족한 상황"이라고 전했다.
현행법 범위 내에서는 충분한 수준의 이동권 구현에 한계가 있다는 것. 금융 분야에는 마이데이터가 도입됐지만 상거래 기업의 경우 개인정보보호법과 신용정보법을 모두 고려해야 한다. 일반 개인정보와 개인신용 정보의 구분이 불명확하기 때문이다.
개인정보위는 개보법에 이동권이 포함될 경우 일반법적 근거가 생겨 적극적인 권리 보호가 가능할 것으로 보고 있다. 개인정보 보호와 활용의 균형점을 모색하기 위해 개보법 개정이 필요하다는 것이 위원회 입장이다.
◆ '개인정보관리 전문기관' 신설도 필요
개보법 개정 정부안에는 제35조의2와 3에 전송요구권과 개인정보관리 전문기관 관련 내용이 각각 신설됐다. 국내 신용정보법과 유럽연합(EU)의 일반개인정보보호규정(General Data Protection Regulation, GDPR)에 기반해 데이터 이동권 범위를 확장한다는 방침이다. 전송방법과 전송 요구 거절, 전송 중단 등 구체적인 사항은 시행령으로 위임한다.
EU는 2016년 기존의 개인정보 보호지침을 GDPR로 개정하면서 '개인정보 이동권(Right to data portability)'을 신설했다. 정보 제공 범위는 ▲정보 주체의 동의 ▲계약 이행 ▲자동화된 수단에 의한 경우다. 처리자가 생성 파생한 정보는 제외된다.
개정안 제35조2에 따르면 정보주체는 개인정보처리자에게 자신의 개인정보를 ▲본인 ▲개인정보관리 전문기관 ▲안전조치의무를 이행하고 대통령령으로 정하는 시설·기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있다.
개인정보관리 전문기관은 위원회 혹은 관계 중앙행정기관으로부터 전문기관 지정을 받아야 한다. 해당 기관은 개인정보 전송시스템의 구축과 표준화·관리 등의 업무를 담당하게 된다. 개인정보를 전송·관리·분석할 수 있는 기술 수준과 안전성 확보 조치 등을 갖춘 곳을 지정한다.
아울러 전송 대상 정보에는 동의 혹은 계약, 자동화된 방법으로 처리되는 개인정보가 해당된다. 개인정보처리자가 별도 생성하거나 가공한 정보는 제외된다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기