·# A씨는 여러 대형병원에 흩어져 있는 건강검진, 진료내역 등을 마이데이터 기관을 통해 자신의 건강 상태를 스스로 관리할 수 있다(의료 마이데이터). 또 필요할 경우 건강관리 서비스를 지원하는 전문기관을 통해 장기 치료 중인 질병에 부담이 적은 맞춤형 일자리를 추천받고(고용 마이데이터), 치료 중 소득 공백을 메울 수 있는 복지지원금 신청을 자동 안내받을 수 있으며(복지 마이데이터), 구매 내역을 분석해 건강관리에 도움이 되는 식재료를 추천받아 할인된 가격에 이용할 수 있다(유통 마이데이터).
개인정보위원회가 그리는 마이데이터 전 분야 확산 시나리오다.
개보위는 정보주체가 자신의 개인정보를 원하는 곳으로 이동해 활용할 수 있는 '마이데이터 제도'와 관련한 '개인정보 보호법 시행령' 개정안이 지난 10일 국무회의에서 의결됐다고 밝혔다.
이에, 시행령 개정을 통해 앞으로는 대형병원 뿐만 아니라 교통, 문화,여가, 유통 등 일정 규모 이상의 전 분야 기업과 기관의 홈페이지에서 조회되는 정보를 개인이 직접 내려받아 관리하거나, 안전성이 보장된 전문기관의 도움을 받아 다양한 본인 정보를 한 곳에 모아 활용하는 것이 가능해진다.
위에 언급한 A씨의 전송정보를 활용하는 전문기관은 안전조치 요건 등을 갖췄는지 엄격한 심사를 통해 지정받으며, 정보전송자와 사전협의해 안전성 및 신뢰성이 보장된 방식으로만 정보를 전송할 수 있다.
A씨는 '온마이데이터' 플랫폼에서 안전하다고 판단되는 서비스를 스스로 선택할 수 있고, 모든 전송 과정은 A씨의 명시적인 판단 및 의사결정 확인 후 진행된다. 또한, A씨는 온마이데이터 플랫폼을 통해 언제든 정보 전송을 중단하거나 이미 전송된 정보의 삭제를 요청할 수도 있다.
이번 개정안은 지난해 3월 13일부터 시행 중인 개인정보 전송요구권 제도를 국민이 보다 폭넓게 체감하고 활용할 수 있도록 확대한 것으로, 기존 의료·통신 분야에 한정된 본인 대상 정보전송자(개인정보 처리자)와 전송정보 범위를 전 분야로 확대한 내용을 담고 있다. 또 전 분야로 확대된 본인전송요구권을 보다 안전한 방식으로 행사할 수 있게 절차와 방법 등도 구체화해 규정했다. 개정안은 유예기간을 거쳐 오는 8월부터 시행된다. 개정안은 국민이 직접 본인 정보를 관리한다는 컨셉이다. 하지만 산업계 일각에서는 개인정보 유출 위험성과 국내 소비자 정보의 중국계 기업 활용 등을 우려하는 지적이 나왔다.
본인 대상 정보전송자 및 전송정보 기준
첫째, 본인 대상 정보전송자의 기준은 개인정보 보호역량을 갖추고 있는 대규모 개인정보처리자 등으로 규정했다. 구체적인 기준은, 중소기업기본법 등에 따른 평균매출액 등이 1800억원 초과하면서 정보주체 수가 100만 명 이상 또는 민감·고유정보 5만 명 이상의 대규모 시스템 운영 기관, 공공시스템 운영기관, 제3자 대상 정보전송자 등이다.
전송을 요구할 수 있는 정보는 정보주체의 동의, 계약 이행 및 체결시 처리되는 정보, 법령등에 따라 처리되는 정보 등이 원칙적으로 모두 포함 된다. 다만 별도 생성 정보(개인정보처리자의 본질적 행위와 ‘별도’로 개인정보를 분석·가공해 생성한 정보를 의미. 예를 들어 환자 치료와 별개로 진단·처방내역 등을 분석한 후 별도 생성한 위험군 등 분류·통계정보 등), 제3자 권리·이익을 침해하는 정보, 영업비밀 등 다른 법령에 따라 보호가 필요한 정보는 제외할 수 있다.
안전한 본인전송 방법
둘째, 정보주체가 대리인을 통해 본인전송요구를 행사할 경우에 안전하게 전송할 수 있는 전송방법을 규정했다. 특히 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우 개인정보의 안전성 확보를 위해 정보전송자와 사전에 협의한 방식으로만 전송받게 했다.
원칙적으로는 API(애플리케이션 프로그래밍 인터페이스) 연계 방식을 권장하지만, 단기적으로는 본인 대상 정보전송자가 대리인과 사전협의를 거친 안전성‧신뢰성이 보장된 대리인에 한해 제한적으로 스크래핑을 허용했다. 또 본인 대상 정보전송자는 대리인이 사전에 협의한 방식으로 본인전송요구를 대리하는 경우 정당한 사유없이 거절하지 못하도록 규정했다.
아울러, 본인전송방법으로 본인 대상 정보전송자가 자신이 관리하는 인터넷 홈페이지를 통해 정보주체가 접속해 열람, 조회할 수 있는 정보를 안전한 암호화 알고리즘으로 암호화해 내려받는 방식도 가능하다고 명시했다. 본인 대상 정보전송자가 큰 부담없이 정보주체에게 정보를 전송할 수 있다.
전송요구권 행사 범위 확대
셋째, 정보주체의 전송요구권 행사 범위가 기존 의료‧통신에서 전 분야로 확대된다. 다만 본인 대상 정보전송자의 전송 준비 등에 소요되는 시간 등을 고려해 공공시스템운영기관과 제3자 대상 정보전송자는 시행을 공포된 날로부터 6개월 유예하되, 평균 매출액 등이 1800억원을 초과하는 민간 분야에 해당하는 본인 대상 정보전송자(평균 매출액 등 1800억원 초과하는 자로서 정보주체수 100만명 이상 또는 민감‧고유식별정보 5만명 이상인 개인정보처리자, 시행령 제42조의2제1항제1호)의 경우 1년 유예했다.
관련기사
- 개보위, 공공 부문 집중관리시스템 387개로 확대2026.02.16
- 개보위 "설명절...개인정보 유출 조심하세요"2026.02.13
- 개보위, 조직문화 개선 추진..."일 잘하는 개방 조직 변신"2026.02.12
- 삼성·SK·마이크론, 엔비디아향 HBM4 퀄 2분기 완료2026.02.16
향후 계획
개인정보위는 마이데이터가 국민이 체감 가능한 분야로 확산되도록 제3자 전송 분야도 ’26년도 에너지, 교육, 고용, 문화‧여가 분야로 확대하기 위한 실무협의체를 구성, 운영할 계획이다. 아울러 이번에 개정한 시행령 주요 내용과 본인전송요구권 확대와 관련해 오는 3월부터 개인정보관리 전문기관 지정 및 지원사업 계획에 대한 설명회를 열 계획이다.
송경희 위원장은 “이번 시행령 개정으로 정보주체인 국민은 자신의 개인정보 주권을 적극적으로 행사하고, 본인의 의사에 따라 정보를 이동해 활용할 수 있을 것으로 기대한다”면서 “안전하고 신뢰 가능한 기업 및 기관을 통해 정보가 전송되도록 함으로써 마이데이터 제도에 대한 국민의 신뢰 및 체감 가능한 성과를 창출하도록 노력할 것”이라고 말했다.
