의료와 통신에만 적용되던 마이데이터 제도가 전 산업으로 확대된다. 앞으로는 쇼핑, 교통, 문화, 여가 등 생활 전반의 본인 개인정보를 한곳에 모아 활용할 수 있게 된다.
개인정보보호위원회는 10일 '개인정보 보호법 시행령' 개정안이 국무회의에서 의결됐다고 밝혔다. 이번 개정안의 핵심은 '본인전송요구권' 적용 범위를 의료·통신에서 전 산업으로 넓힌 것이다. 제도는 유예기간을 거쳐 8월부터 시행된다.
본인전송요구권은 이용자가 자신의 개인정보를 직접 내려받거나 원하는 기관으로 보내 활용하도록 요구할 수 있는 권리다. 일종의 '데이터 이동권'이다. 그동안은 병원 진료기록이나 통신 이용내역 등 일부 분야에서만 가능했다.
앞으로는 교통, 문화, 여가, 유통 등 일정 규모 이상 기업과 공공기관에서 조회되는 정보도 대상이 된다. 예를 들어 여러 병원에 흩어진 진료기록을 한 번에 모아 건강관리 서비스에 활용하거나, 소비내역을 기반으로 맞춤형 복지나 일자리 추천을 받는 식이다.
이용자는 각 기관에 흩어진 정보를 직접 내려받아 관리할 수 있다. 또는 '개인정보관리 전문기관'을 통해 한곳에 모아 활용할 수도 있다. 전문기관은 안전조치 요건을 충족했는지 엄격한 심사를 거쳐 지정된다. 이용자는 온마이데이터 플랫폼에서 원하는 서비스를 선택하고, 전송 동의를 직접 결정한다. 필요하면 언제든 전송을 중단하거나 이미 보낸 정보의 삭제도 요청할 수 있다.
전송 의무를 지는 사업자는 일정 기준 이상의 대규모 개인정보처리자로 한정했다. 평균 매출액 1800억원을 넘고 이용자 100만명 이상이거나 민감·고유식별정보 5만명 이상을 처리하는 기관이 대상이다. 중소기업은 부담을 고려해 의무 대상에서 제외했다.
전송 가능한 정보 범위도 넓어졌다. 이용자 동의나 계약, 법령에 따라 처리된 정보는 원칙적으로 모두 전송 요구가 가능하다. 다만 분석이나 가공을 통해 별도로 만든 통계나 평가 정보, 영업비밀, 제3자 권리를 침해할 수 있는 정보 등은 제외할 수 있다.
정보 전송 방식은 보안성을 고려해 API 연계를 원칙으로 한다. 다만 초기에는 시스템 구축 부담을 고려, 사전 협의를 거친 안전한 대리인에 한해 스크래핑 방식도 제한적으로 허용한다. 또 사업자는 사전 협의된 방식의 전송 요구를 정당한 이유 없이 거절할 수 없다.
개인정보위는 올해 에너지, 교육, 고용, 문화·여가 분야까지 제3자 전송을 확대하기 위한 실무협의체도 운영할 계획이다.
독자들의 PICK!
송경희 개인정보위원장은 "이번 시행령 개정으로 정보주체인 국민은 자신의 개인정보 주권을 적극적으로 행사하고, 본인의 의사에 따라 정보를 이동시켜 활용할 수 있을 것으로 기대된다"며 "안전하고 신뢰 가능한 기업 및 기관을 통해 정보가 전송되도록 해 마이데이터 제도에 대한 국민의 신뢰 및 체감 가능한 성과를 창출하도록 노력할 것"이라고 말했다.
