(개인정보보호법 개정안) 개인정보 전송요구권 도입

추진 배경

개인정보 전송요구권(Right to Data Portability)이란, 특정 기업이나 기관이 가지고 있는 개인정보를 정보주체인 개인의 요구에 따라 다른 사업자에게 옮겨갈 수 있는 권리를 말합니다. 

 

금융분야의 경우, 「신용정보의 이용 및 보호에 관한 법률」에 '본인 신용정보 전송요구권'이 이미 마련되어 있습니다.  또한, EU의 경우 일반 개인정보보호법(GDPR)에서, 미국 캘리포니아주 소비자 프라이버시법(CCPA)이 개인정보 전송요구권에 대한 법적 근거를 두고 있습니다.

 

 

금융분야뿐 아니라, 일반적인 영역에서도 개인정보 전송요구권을 신설할 필요성이 커지고 있습니다.  개인정보보호위원회는 정보주체가 자신의 개인정보를 본인, 개인정보관리전문기관 또는 다른 개인정보처리자(개인정보 수신기관)에게 전송하여 줄 것을 요구하는 '개인정보 전송요구권'을 도입하고자 준비하고 있습니다.  

 

개인정보 전송요구권이 도입되면, 정보주체가 자신의 개인정보에 관한 자기결정권을 실질적으로 확보하는 도구를 갖추게 됩니다.  또한, 대규모 플랫폼 기업에 집중되어 있던 데이터 독점을 어느 정도 해소하는 데에 기여할 수 있다고 사료됩니다.

 

개인정보 전송요구권

현재 정무위원회에서 심의 중인 개인정보보호법 개정안에 의하면, 정보주체는 (i) 정보주체 본인, (ii) 개인정보관리 전문기관, (iii) 안전조치 의무를 이행하고 대통령령으로 정하는 시설 및 기준을 충족하는 자에게 자신의 개인정보를 전송하여 줄 것을 요구할 수 있습니다(개인정보보호법 개정안 제35조의2 제1항).

 

행사 요건

전송요구를 하기 위해서는, 다음의 요건을 충족해야 합니다(개인정보보호법 개정안 제35조의2 제2항).

 

① 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 중 어느 하나에 해당하는 정보여야 합니다.

• 개인정보보호법에 따라 '동의'를 받아 처리는 개인정보
• 체결된 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보

② 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생산한 정보가 아니어야 합니다.

 

③ 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보여야 합니다.

 

④ 전송 요구를 받은 개인정보처리자가 매출액, 개인정보의 규모, 개인정보 처리능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당해야 합니다.

 

행사 방법

개인정보처리자가 개인정보 전송요구를 받는 경우, 시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송해야 합니다(개인정보보호법 개정안 제35조의2 제3항).  이때, 개인정보처리자가 정보주체의 본인 여부를 확인할 수 없으면, 전송요구를 거절하거나 전송을 중단할 수 있습니다(개인정보보호법 개정안 제35조의2 제4항).  정보주체는 전송요구로 인하여 다른 사람의 권리나 정당한 이익을 침해하여서는 안 됩니다(개인정보보호법 개정안 제35조의2 제4항).

 

개인정보관리 전문기관

이와 같은 개인정보 전송요구권을 행사하려면, 정보주체가 자신의 개인정보를 체계적으로 관리할 수 있어야 합니다.  그러나 정보주체가 이와 같은 능력을 갖추는 데에는 어려움이 많습니다.  이에 '개인정보관리 전문기관'을 두고, 이들로 하여금 개인정보 전송요구권을 행사하는 업무를 수행하도록 하였습니다.

 

개인정보관리 전문기관(이하 '전문기관')이란, (i) 개인정보의 전송요구권 행사 지원, (ii) 정보주체의 권리행사를 지원하기 위한 개인정보 전송 시스템의 구축 및 표준화, (iii) 정보주체의 권리행사를 지원하기 위한 개인정보의 관리, 분석, (iv) 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 대통령령으로 정하는 업무를 수행하기 위하여, 개인정보보호위원회 또는 관계 중앙행정기관의 장으로부터 지정을 받은 자를 말합니다(개인정보보호법 개정안 제35조의3 제1항).

 

전문기관으로 지정받기 위해서는 (i) 개인정보를 전송·관리·분석할 수 있는 기술 수준 및 전문성을 갖추어야 하고, (ii) 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추어야 하며, (iii) 개인정보관리 전문기관의 안정적인 운영에  필요한 재정능력을 갖추어야 합니다(개인정보보호법 개정안 제35조의3 제2항).

 

전문기관은 정보주체의 요구에 따라 업무를 수행하고, 정보주체로부터 그 업무 수행에 필요한 비용을 받을 수 있습니다(개인정보보호법 개정안 제35조의3 제4항).