'개인정보 본인 다운로드' 대폭 확대…의무 기업·기관 늘린다

CPO 의무지정 기업·기관 영향권

하승철 개인정보보호위원회 범정부마이데이터추진단장이 1일 서울 송파구 한국광고문화회관에서 '개인정보보호법 시행령 개정안 설명회'에서 발표하고 있다./사진제공=개인정보보호위원회

개인정보보호법 시행령 개정이 마무리되는 올 10월쯤 소비자 본인의 개인정보를 쉽게 내려받을 수 있는 기능을 제공하는 기업·기관이 크게 늘어난다. 개인정보보호책임자(CPO)를 지정해야 할 정도로 개인정보 취급규모가 큰 기업·기관이 대상이다.

개인정보보호위원회는 1일 서울 송파구 한국광고문화회관에서 '개인정보보호법 시행령 개정안 설명회'를 열고 마이데이터(개인정보 전송요구권) 제도 변경 내용을 공개했다.

마이데이터는 기업·기관의 온라인 서비스에 축적된 이용·구매내역 등 개인정보를 정보주체(소비자)가 원하는 곳으로 복제·이전할 수 있도록 해주는 제도다. 그간 개인정보위는 마이데이터 제도가 초기라는 이유로 시행령을 통해 정보제공자의 범위를 본인전송요구·제3자전송요구를 통틀어 이동통신 3사(통신분야)와 질병관리청·국민건강보험공단(보건의료분야)으로 한정했다.

정보주체가 스스로 개인정보를 내려받겠다고 요구하는 경우를 '본인전송요구', 기업·기관이 넘겨받도록 개인정보 이전을 지시하는 경우를 '제3자전송요구'라고 하며, 축적한 개인정보를 정보주체 본인이나 제3자에게 넘겨줘야 할 기업·기관을 '정보제공자'라고 한다.

헌법·법률에 따라 보편적으로 보장해야 할 전송요구권을 임의로 제한한다는 지적이 잇따르면서 개인정보위는 일단 기술적 부담이 덜한 본인전송요구에 대해 정보제공자를 확대하기로 했다. 대상은 △연 매출액이 1500억원 이상이면서 100만명 이상의 개인정보 혹은 5만명 이상의 민감·고유식별정보를 처리하는 개인정보처리자 △재학생 2만명 이상의 대학 △공공시스템 운영기관 △제3자전송요구 정보전송자로 이미 지정된 곳 등이다.

현행 개인정보보호법에 따라 CPO 지정의무를 부과받는 기업·기관들이다. 심성재 개인정보위 범정부마이데이터추진단 과장은 "개인정보를 많이 보유하고, (정보주체 본인에게) 안전하게 전송할 수 있는 능력이 전제되는 곳을 선정했다"고 설명했다.

다만 기업·기관의 부담을 덜기 위해 정보제공자가 넘겨줘야 할 정보항목은 '동의·계약 때 처리되는 정보' 등으로 단순화하고 '(기업·기관이) 분석·가공해 별도 생성한 정보', '제3자 권리·이익을 침해하는 정보', '복호화되지 않도록 암호화한 정보'는 제외키로 했다.

정보주체의 위임을 받은 대리인이 본인전송요구를 하는 경우 크리덴셜스터핑 방지를 비롯한 추가 안전조치를 갖추고, 전송받은 본인전송정보를 위임받아 관리·분석하는 전문기관도 출범할 수 있도록 했다.

개인정보위는 개정 시행령 이후 기업·기관의 부담이 크지 않을 것으로 내다봤다. 하승철 범정부마이데이터추진단장은 "(기존 웹사이트에서) 사용자가 인증을 거쳐 열람·조회할 수 있는 개인정보를 암호화된 PDF 등 형식으로 제공하는 정도로 생각하면 된다"며 "정보제공요청(RFI)을 받고 실무협의체를 구성해 논의를 계속할 예정"이라고 밝혔다.

성시호 기자 shsung@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.