정부가 2025년 전 분야 마이데이터 시행을 앞두고 구체적인 세부 기준과 절차를 마련한다. 일정 기준 이상 규모가 있는 대기업·중견기업과 기관·법인·단체 등은 정보주체의 전송 요구에 응해야 한다. 제3자 전송권은 보건의료·통신·유통 부문부터 우선적으로 추진하며 단계적으로 전 분야로 확대한다.
개인정보보호위원회가 내달 1일부터 6월 10일까지 40일간 이 같은 내용을 담은 개인정보 보호법 시행령 개정안을 입법 예고한다.
이번 시행령 개정안은 지난해 3월 개인정보 보호법 개정으로 도입된 개인정보 전송요구권 제도의 후속조치로, 마이데이터의 본격 시행에 필요한 세부 기준을 마련한 게 핵심이다.
먼저, 정보주체의 전송 요구에 따라 정보를 전송하는 개인정보처리자(정보전송자)와 전송 요구 대상 정보의 기준을 마련했다. 본인 전송(다운로드권) 경우엔, 개인정보 처리 능력 등을 고려해 정보주체 수가 10만명 이상인 대기업·중견기업이나 정보주체 수가 100만명 이상인 기관·법인·단체 등을 정보전송자로 설정했다. 전송정보는 제3자 권리 침해 정보 등 제외기준에 해당하지 않으면 전송을 요구할 수 있도록 했다.
제3자에게 정보를 전송하는 경우는 서비스 수요, 전송인프라 여건 등을 고려해 보건의료·통신·유통 부문부터 우선 추진한다.
개인정보관리 전문기관 지정 기준과 절차도 마련했다.
개인정보위 또는 관계 중앙행정기관의 장(지정권자)이 기술수준과 전문성, 안전성 확보조치 수준, 재정능력 등의 요건을 심사해 개인정보관리 전문기관(중계 전문기관·일반 전문기관·특수 전문기관)을 지정한다.
전문기관 지정 유효기간은 3년이며, 유효기간 연장을 원할 시 재지정을 신청할 수 있다. 지정권자는 고의 또는 중과실로 인한 침해사고, 조건 위반 등 사유가 발생한 경우 지정을 취소할 수 있다.
아울러 중계 전문기관이 전송 중계 외 목적으로 전송정보를 금지하고 중계시스템 장애 발생 시 개인정보위 등에 즉시 통지해야 하는 등 정보주체 권리 침해를 막기 위한 행위규칙도 규정했다. 일반·특수 전문기관 역시 전송 요구를 강요하거나 부당하게 유도하는 행위, 정보주체에게 적합하지 않다고 인정되는 계약을 추천·권유하는 행위 등을 해선 안 된다.
이번 개정안엔 전송 과정에서 필요한 절차·방법 등 기준도 담았다.
정보주체는 전송 요구 목적, 전송받는 자, 요구 대상 정보 등을 특정해 전송을 요구해야 하며, 정보수신자를 통해 전송 요구를 할 수 있다. 정보전송자는 정보주체의 전송 요구가 있는 경우 거절·중단 사유가 없는 한 중계 전문기관을 통해 지체 없이 개인정보를 전송해야 한다. 또 정보주체의 파기 요청에 대응하기 위해 전송받은 정보와 기존 정보를 분리·보관해야 한다.
개인정보위는 정보주체의 전송요구권이 안전하고 효과적으로 구현될 수 있도록 자료제출 요구 등을 통해 참여자들을 관리·감독해야 한다. 또 전송 지원 플랫폼 구축·운영에 관한 사항을 규정하고, 설비 구축비용·운영비용·전송정보 특성 등을 고려한 정보전송 수수료 산정 근거도 마련했다.
결합전문기관 재지정 기준도 정비했다.
결합실적이 전혀 없는 비활동·무실적 결합전문기관에 대해선 재지정 시 결합실적과 향후 운영계획 등을 추가 검토해 재지정 여부를 결정할 수 있도록 했다.
고학수 개인정보위 위원장은 “이번에 도입되는 개인정보 전송요구권은 분야 간 칸막이에 갇혀있던 데이터가 정보주체의 요구에 따라 이동·융합될 수 있는 근본적 변화”라면서 “국민이 우선적으로 체감할 수 있는 부문을 시작으로 점진적·단계적으로 확대해 나갈 계획”이라고 말했다.
조재학 기자 2jh@etnews.com
-
조재학 기자기사 더보기