'연매출 1500억·이용자 100만 이상 홈페이지 680곳' 적용, 스타트업·중소기업 제외
본인전송은 '본인 저장소로 직접 전송'…제3자 전송과 구조 달라
[서울=뉴스핌] 양태훈 기자 = 개인정보보호위원회(이하 개인정보위)가 25일 정부서울청사에서 '마이데이터 관련 설명회'를 열고, 본인전송요구권(마이데이터) 강화를 위한 개인정보보호법 시행령 개정안의 취지를 상세히 밝혔다.
하승철 개인정보위 범정부 마이데이터 추진단 단장은 이날 설명회에서 "마이데이터는 기관이 보유한 내 정보를 개인에게 돌려주는 권리이며, 이를 개인 중심으로 전환하는 것이 제도의 출발점"이라며 "인터넷 홈페이지처럼 이미 본인이 조회할 수 있는 정보는 지금도 안전하게 내려받을 수 있어 바로 적용할 수 있는 영역"이라고 설명했다.
이어 "마이데이터는 금융 분야에서 이미 국민들도 사용하고 있는 익숙한 개념"이라며 "기관이 가지고 있던 내 정보를 내가 달라, 또는 내가 지정한 제3자에게 보내달라고 요구할 수 있는 제도로, 개인정보에 대한 자기통제권을 보장하는 권리적 측면이 출발점이고, 다른 나라에서도 논의가 진행 중"이라고 강조했다.
개인정보위는 국민의 '데이터 주권'을 강화하기 위해 지난 2023년 3월 개인정보보호법을 개정해 본인전송요구권 제도를 도입했고, 올해 6월 이를 의료, 통신, 에너지, 교통, 교육, 고용, 부동산, 복지, 유통, 여가 사업으로 확대하는 시행령 개정안을 입법예고했다.
개인정보보호법 시행령 개정안은 기존 의료·통신 분야로 제한되던 본인대상정보전송자 범위를 연매출 1500억 원 이상, 정보주체 수 100만 명 이상 기업으로 확대하는 게 골자다. 이를 통해 소비자가 은행·쇼핑몰·메신저 등 여러 기업에 흩어진 개인정보를 한 곳에 모아 최적의 금융상품·요금제·건강관리 서비스를 받을 수 있게 하려는 게 목표다. 규제개혁위원회가 이달 말 본심사를 앞두고 있으며, 통과 시 내년 상반기부터 시행될 예정이다.
하 단장은 "이번 개정안의 핵심은 본인에게 직접 전송하는 요구권을 강화하는 것"이라며 "인터넷 홈페이지는 이미 아이디와 패스워드를 입력하면 개인이 자신의 정보를 조회할 수 있는 구조가 마련돼 있다"며 "이 같은 영역은 타인의 권리를 침해하지 않고, 인프라나 비용 부담도 크지 않기 때문에 본인이 직접 내려받아 활용할 수 있는 체제로 전환하는 것이 합리적"이라고 설명했다.
이어 "우리나라는 온라인 행정·민원 시스템이 잘 구축돼 있어 인터넷 홈페이지 기반의 본인 전송은 기술적 여건이 충분히 갖춰져 있다"며 "일각에서 전송 의무가 과도하게 확대되는 것 아니냐는 우려를 표하지만 연매출 약 1500억 원 이상이면서 정보주체 100만 명 이상인 공공·대기업 홈페이지가 그 대상이다. 스타트업이나 중소기업은 적용 대상이 아니다. 또한 전체 약 3만 개 홈페이지 중 약 680개 정도에 한정된다"고 강조했다.
또한 하 단장은 '대리를 통한 본인전송이 사실상 제3자 전송과 동일하다'는 지적에 대해서도 "본인 전송은 목적지가 본인이다. 대리가 이뤄져도 데이터는 반드시 본인에게 가야 한다"며 "제3자에게 보내는 전송과는 구조적으로 다르다. 개인정보보호법 38조와 시행령 45조는 열람·정정·삭제·처리정지·전송 요구에 대한 위임대리를 인정하고 있다"고 선을 그었다.
나아가 자동화 도구(API, 스크래핑 등)를 활용한 대리 요구와 관련해서는 "일방적 스크래핑은 위험하다. 인증정보 유출, 서버 부하, 암호화 여부 확인 어려움 등 문제가 있다"며 "그래서 자동화 도구를 활용하려면 전송자와 사전 협의가 필요하다. API가 안전한 방식이지만, 이미 스크래핑 기반 서비스가 많아 당장 중단하라는 의미는 아니다"라고 설명했다.
이어 "사전 협의라고 하는 것은 단순히 형태만 정하는 것이 아니라, 어떤 항목을 가져갈지, 요청 주체가 대리인인지 여부, 접근 방식이 API인지 자동화 도구인지, 인증 수준을 어떻게 설정할지, 대리인이 안전조치를 제대로 하고 있는지까지 확인하는 과정"이라며 "이런 요소들이 갖춰져야만 자동화된 방식으로 전송을 허용할 수 있다"고 말했다.
전문기관의 관리·보안 우려에 대해서도 "전문기관은 보안·전문성·재정 능력·사업계획 등을 모두 엄격히 심사해 지정한다. 지정 후에도 보호 조치를 지속적으로 감독한다"며 "전송요구권 체계에서는 본인이 어디로 어떤 데이터가 전송됐는지 이력을 확인할 수 있고, 삭제·철회 버튼을 통해 통제권을 행사할 수 있다. 지금의 스크래핑 기반 서비스처럼 어디로 갔는지 알 수 없는 구조와는 다르다"고 강조했다.
향후 계획에 대해서는 "이번 개정안은 인터넷 홈페이지로 한정돼 있다. 앱까지 확대하면 업계가 감당하기 어려워 제도 도입 자체가 어려워질 것"이라며 "홈페이지 영역부터 안정적으로 시행하고, 이후 단계적으로 확장할 계획이다. 현재는 법률은 이미 시행됐고, 시행령은 이를 구체화하는 과정이다. 즉시 가능하고 위험이 적은 홈페이지 영역부터 단계적으로 제도를 확장하는 것이 필요하며, 개인이 자신의 정보를 직접 내려받아 안전하게 활용할 수 있는 구조를 만드는 것이 이번 개정의 취지"라고 덧붙였다.
한편 이날 설명회에서는 개인정보위와 KISA의 지원으로 마이데이터 인증 사업자로 선정된 기업들이 활용 사례를 소개했다.
김유리 안나 웰로 대표는 "그동안 국민이 직접 정보를 입력해 정책을 찾아야 했지만, 마이데이터를 연동하면 실데이터 기반으로 정확한 정책 추천이 가능하다"며 "소득·가구 정보 등을 자동으로 확인해 적합한 정책과 신청 경로까지 안내할 수 있는 구조가 마련됐다"고 설명했다. 웰로는 소상공인과 개인 대상 정부 지원사업 정보를 수집·매칭하는 정책 추천 플랫폼을 운영하고 있다.
헬스케어 기업 메디에이지의 양수정 책임은 "전송요구권을 통해 건강보험공단·심평원·질병관리청 등에서 제공 가능한 보건의료 데이터를 불러오면 생체나이·장기나이·만성질환 위험도 등 개인별 건강지표 분석이 가능하다"며 "AI 기반 초개인화 건강관리 서비스로 확장될 수 있다"고 말했다. 그는 "전 분야 마이데이터 시행 시 복지·여행·유통 등 다른 산업과의 결합 서비스도 확대될 것"이라고 전망했다.
박영수 법무법인 민우 변호사도 이번 시행령 개정으로 전송 대상 정보의 확대와 개인정보 관리 전문기관의 역할 확장을 통한 혁신 서비스 구현에 주목했다.
박 변호사는 먼저 "제3자 전송 요구권과 달리 본인전송요구권이 도입되면서 정보가 먼저 제3자 기업으로 흘러가는 구조가 아닌, 정보주체에게 직접 전달되는 구조가 마련됐다"며 "데이터 주권과 안전성이 강화되는 방향으로 제도가 설계됐다"고 평가했다.
이어 "기존에는 동의 기반 수집이나 가명정보 중심 활용에 한계가 있어 데이터 유용성이 떨어졌다"며 "본인전송요구권과 제3자 전송 요구권을 통해 기업이 품질 높은 데이터를 확보할 수 있는 환경이 마련되면서 맞춤형·초개인화 서비스 개발이 수월해질 것"이라고 강조했다.
특히 "본인만 접근 가능한 저장소(PDS, Personal Data Store) 기능의 도입을 통해 개인이 필요한 정보를 자신의 디바이스나 저장소에 직접 보관하는 환경이 만들어진다"며 "기존에는 기업이 설계한 서비스 안에서만 정보가 활용됐지만, 개정안 시행을 통해 앞으로는 개인이 AI 에이전트나 다양한 도구를 활용해 스스로 서비스 모델을 구성하는 것도 가능해진다"고 말했다.
dconnect@newspim.com
