법무법인(유) 화우

2024년 개인정보보호법 개정으로 도입된 개인정보 전송요구권(마이데이터)* 제도가 의료·통신·에너지 분야를 중심으로 본격 시행됩니다. 이제 정보주체는 자신의 개인정보에 대한 통제권을 강화하고, 데이터를 보다 효과적으로 활용할 수 있게 되었습니다.

이에 따라 개인정보보호위원회는 전송요구대상정보, 전송 요구의 방법 및 전송 방법 등 개인정보 전송요구권의 주요 내용에 관한 사항과 정보전송자, 정보수신자 등 이해관계자의 의무, 조치 사항 등에 관한 안내서를 발간하였습니다. 본 뉴스레터에서는 안내서를 참고하여 개인정보 전송요구권의 개념과 행사 방법, 안전한 데이터 전송 및 활용 방안에 대해 알아보겠습니다.

1.개인정보 전송요구권 제도 소개

2.정보주체의 전송요구권 행사 방법

3.개인정보의 안전한 전송 및 활용

4.기업의 대응 전략 및 시사점

1. 개인정보 전송요구권 제도 소개

개인정보 전송요구권은 정보주체가 자신의 개인정보에 대한 통제권을 강화하고 데이터 활용 가치를 높이기 위해 도입된 제도입니다. 기존의 개인정보 열람권이 단순히 처리 현황을 확인하는 수준이었다면, 전송요구권은 정보주체가 자신의 개인정보를 컴퓨터로 처리 가능한 형태로 직접 전송받거나 제3자에게 전송하도록 요구할 수 있는 적극적 권리입니다.

이 제도는 「개인정보 보호법>(이하 ‘법’) 제35조의2에 근거하며, 정보주체의 동의를 받아 처리하거나 계약 이행 과정에서 수집된 개인정보 중 컴퓨터 등 정보처리장치로 처리되는 정보에 대해 적용됩니다. 다만, 통계정보나 분석값과 같이 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보는 전송 요구 대상에서 제외됩니다(법 제35조의2 제1항 제2호). 현재 전송 요구 대상 정보는 보건의료, 통신, 에너지 분야의 정보와 정보전송자가 자율적으로 정한 자율전송정보로 구성됩니다.

보건의료 분야에서는 진료기록, 처방전, 검사결과 등 의료 관련 정보가, 통신 분야에서는 가입정보, 이용정보, 청구 및 납부정보가, 에너지 분야에서는 에너지 사용량, 요금 청구 및 납부 정보 등이 전송 대상입니다. 이러한 정보들은 정보주체의 요청에 따라 시간·비용·기술적으로 허용되는 합리적인 범위 내에서 지체 없이 전송되어야 합니다.

정보전송자는 개인정보의 정확성, 완전성, 최신성을 유지하며 안전한 암호 알고리즘을 사용하여 전송해야 하고, 전송 내역을 3년간 보관해야 합니다(시행령 제42조의6 제2항, 제3항 및 제9항). 또한 정보주체가 본인전송요구 방법 및 전송 현황 등을 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 관련 정보를 게재해야 합니다.

정보수신자는 정보주체의 제3자전송요구에 따라 개인정보를 전송받는 자로, 개인정보관리 전문기관과 일반수신자로 구분됩니다. 개인정보관리 전문기관은 정보주체를 위하여 전송받은 개인정보를 관리 또는 분석하는 등의 업무를 수행합니다(법 제35조의3 제1항 제3호). 이는 다시 일반전문기관과 특수전문기관으로 나뉘며, 중계전문기관은 개인정보 전송 중계 기능을 제공하고 관련 시스템을 운영합니다(시행령 제42조의9 제1항).

일반수신자는 고유 업무 수행 과정에서 수집한 정보의 진위 여부 등을 확인하기 위해 정보를 전송받는 자를 말합니다. 일반수신자가 되기 위해서는 보호법 제29조에 따른 안전조치 의무를 이행하고, 보호위원회가 정하여 고시하는 시설 및 기술 기준(표준 전송 절차 준수, 전송 이력 및 전송받은 개인정보의 분리 보관, 탐지 및 차단 시스템 등)을 충족해야 합니다(시행령 제42조의3 제1항). 또한 개인정보관리 전문기관 및 일반수신자는 전송받은 정보를 다른 정보와 분리 보관하고, 전송 내역을 3년간 보관해야 합니다(시행령 제42조의6 제8항, 제9항). 일반수신자는 전송 요구 목적과 관련 없는 정보 요구, 불필요한 제3자 제공 동의 강요, 전송 요구 강요 등 정보주체의 이익을 침해하는 행위를 해서는 안 됩니다(시행령 제42조의6 제6항).

2. 정보주체의 전송요구권 행사 방법

개인정보 전송요구권은 '본인전송요구'와 '제3자전송요구'로 구분됩니다. 본인전송요구는 정보주체가 자신의 개인정보를 본인에게 직접 전송해 달라고 요구하는 것입니다. 정보주체는 정보전송자가 인터넷 홈페이지 등에 게재한 방법에 따라 요구할 수 있으며, 전송 요구 목적과 전송을 원하는 개인정보 항목을 특정해야 합니다. 별도의 정해진 서식은 없으나, 정보전송자는 정보주체가 이를 쉽게 특정할 수 있는 방법을 마련해야 합니다. 정보전송자는 정보주체가 요구한 개인정보를 PDF, XLS, CSV, HTML, JSON 등 컴퓨터로 편집 가능한 파일 형식으로 제공해야 합니다. 특히 XLS, CSV, HTML 등은 정보주체의 실질적인 데이터 활용을 지원하는 형식으로 권장됩니다.

제3자전송요구는 정보주체가 자신의 개인정보를 개인정보관리 전문기관이나 일반수신자에게 전송해 달라고 요구하는 것입니다. 이 경우 정보주체는 '개인정보 전송요구서'를 작성하여 제출해야 하며, 여기에는 전송 요구 목적, 정보전송자, 정보수신자, 전송 요구 개인정보, 정기 전송 여부 및 주기, 전송 요구 종료 시점, 보유 및 이용 기간 등이 포함되어야 합니다. 특히 일반전문기관 및 특수전문기관에 대해서는 1주일에서 1개월 사이의 주기로 정기적인 전송을 요구할 수 있어, 지속적인 데이터 업데이트가 가능합니다.

정보주체는 언제든지 전송 요구를 변경하거나 철회할 수 있으며, 이 절차는 최초 요구 시보다 어렵지 않아야 합니다. 또한 대리인을 통해서도 전송 요구 권리를 행사할 수 있습니다. 다만, 정보전송자는 정보주체 본인 여부가 확인되지 않거나, 부당한 방법으로 요구된 경우, 제3자의 권리나 정당한 이익을 침해하는 경우 등에는 전송 요구를 거절하거나 중단할 수 있습니다.

3. 개인정보의 안전한 전송 및 활용

개인정보 전송요구권 제도는 데이터의 안전한 전송과 정보주체의 실질적인 데이터 활용을 균형 있게 지원합니다. 정보전송자는 개인정보 전송 시 SSL/TLS와 같은 안전한 암호 알고리즘을 사용하여 암호화해야 합니다. 본인전송요구의 경우, 정보주체 본인만 접근 가능한 경로(본인 명의 단말기, 확인된 이메일 주소 등)로 전송해야 하며, 제3자전송요구의 경우에는 API(Application Programming Interface) 방식으로 전송해야 합니다. 정보전송가는 제3자전송요구에 따라 개인정보를 전송하는 경우, 시행령 제42조의6 제4항에 따라 반드시 중계전문기관을 통해 전송이 이루어져야 합니다.

정보전송자와 정보수신자는 ID/PW, 인증서, 소셜 로그인, 생체 인증 등 다양한 인증 수단을 제공하여 정보주체 본인 여부를 확인해야 합니다. 또한 크리덴셜 스터핑과 같은 자동화된 공격을 방지하기 위해 추가 인증 수단, 캡챠(CAPTCHA) 적용, 로그인 실패 임계치 설정 등의 보안 조치를 취해야 합니다.

또한 정보전송자, 개인정보관리 전문기관 및 일반수신자는 전송 요구 목적, 전송된 정보 항목, 송수신 기록 등 전송 내역을 3년간 보관해야 하며, 정보주체가 자신의 전송 현황 및 내역을 확인할 수 있도록 해야 합니다. 또한 개인정보관리 전문기관과 일반수신자는 전송받은 정보를 다른 개인정보처리자로서 처리하는 정보와 분리하여 보관해야 합니다. 아울러 논리적 분리 보관을 하는 경우라 하더라도 그 서버의 물리적 위치는 국내로 한정됩니다.

4. 기업의 대응 전략 및 시사점

개인정보 전송요구권 제도는 정보주체에게 자신의 개인정보에 대한 더 큰 통제권을 부여하고, 데이터 경제 활성화에 기여할 것으로 기대됩니다. 특히 의료, 통신, 에너지 분야에서 시작되어 향후 금융, 유통, 교통 등 다양한 분야로 확대될 가능성이 높습니다. 기업들은 이 제도에 대응하기 위해 전송요구대상정보의 식별 및 관리 체계를 구축하고, 안전한 전송 시스템과 API를 개발해야 합니다. 또한 정보주체 본인 확인 및 보안 강화 조치를 마련하고, 전송 내역 관리 및 보관 시스템을 구축하며, 개인정보 처리방침과 이용약관을 개정할 필요가 있습니다.

정보주체 입장에서는 자신의 개인정보를 통합 관리하고 다양한 서비스에 활용할 수 있는 기회가 확대됩니다. 의료정보의 경우 여러 의료기관에 분산된 진료기록을 통합하여 맞춤형 건강관리에 활용할 수 있고, 통신·에너지 정보는 소비 패턴 분석을 통한 최적의 요금제 추천 등에 활용될 수 있습니다.

마이데이터 제도의 성공적인 정착을 위해서는 정보주체의 적극적인 권리 행사와 함께, 기업들의 책임 있는 정보 관리 및 보안 강화가 필수적입니다. 또한 정부는 제도의 안정적 운영을 위한 지속적인 모니터링과 지원을 제공해야 할 것입니다. 이러한 다각적인 노력을 통해 개인정보의 안전한 활용과 보호가 균형을 이루는 건강한 데이터 생태계가 조성될 수 있을 것입니다.

화우 정보보호센터는 오랜 경험과 축적된 노하우를 기반으로 기업 고객을 위한 최적의 솔루션을 안내해 드리고 있습니다. 정보보호 관련 법령의 해석 및 그 대응과 정보보호 기술적 자문(해킹 진단, 보안취약점) 등 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 관련하여 문의사항이 있으신 경우 언제든지 화우에 연락하여 주시기 바랍니다.