​[마이데이터 A to Z] ② 개인정보 전송요구권, 마이데이터 확대 위한 선결 과제

전송요구권 포함된 개인정보 보호법 개정안 국회 계류

개정안 통과 시 일반분야 마이데이터 사업 확대 기대

KISA 등 관계기관, 사업 대비해 데이터 표준화·보안 등 마련

2021년부터 추진된 마이데이터 주요 실증과제[그래픽=임이슬 기자]

현재 금융 분야에서 시작된 마이데이터 사업이 우리 삶과 밀접한 일반 분야로 퍼지기 위해선 '개인정보 전송요구권'이 확대 도입돼야 된다는 지적이 제기된다. 

개인정보 전송요구권이란 특정 기업이나 기관이 가지고 있는 개인정보를 정보주체인 개인의 요구에 따라 다른 사업자로 옮길 수 있는 권리다. 소비자는 여러 곳에 흩어진 개인정보를 하나로 모아 관리할 수 있으며, 상대적으로 더 나은 서비스를 제공하는 사업자를 선택할 수 있다. 기업 역시 사업적으로 활용 가치가 큰 소비자 정보를 유치하기 위해 서비스 품질을 개선하며 결과적으로 개인은 정보를 제공하면서 얻는 직간접적 이익도 커진다.

10일 업계에 따르면 국내에선 신용정보의 이용 및 보호에 관한 법률(신용정보법)에 '본인 신용정보 전송요구권'이 반영돼 있다. 이는 올해부터 본격 시행 중인 금융 분야 마이데이터 사업의 근간이다. 마이데이터 사업이 금융을 넘어 일상 여러 분야에 적용되기 위해서는 전송요구권 확대 도입이 필요하다. 개인정보보호위원회는 이러한 이유에서 일반법 개념인 '개인정보 보호법' 개정을 통해 개인정보 전송요구권 도입을 추진해왔다. 

2차 개정안에서 전송요구권은 정보주체가 자신의 정보를 본인이 직접 받거나 다른 기업·기관 등에 전송을 요구할 수 있는 권리로 정의한다. 신용정보법이나 우럽연합(EU) GDPR(일반 데이터 보호 규정)에서 언급한 데이터 이동권의 취지를 따르면서 적용 범위를 일반 분야로 확장한다는 계획이다.

개인정보위는 보호법 2차 개정안에 이 같은 내용을 반영하고, 지난해 9월 28일 국회에 제출하겠다고 밝힌 바 있다. 개인정보위에 따르면 당초 2021년 말까지는 통과할 것으로 기대했으나 개정안 국회 제출 시점이 비교적 늦어져 현재 계류 중인 상태다. 하지만 통과 가능성은 높다.
 

개인정보 전송요구권의 주요 내용[사진=한국인터넷진흥원]

김주영 한국인터넷진흥원 개인정보정책단장은 "전송요구권을 개별법에 도입하면 관련된 모든 법을 개정해야 해 번거로운 반면 일반법인 개인정보 보호법에 도입하면 관련한 모든 법을 아우를 수 있다"며 "특히 개별법에서 데이터 유출 등 오남용 문제를 규정하기 위해서는 특별법이 필요한데, 특별법이 많아지면 일반법과 상충할 가능성도 크다. 따라서 일반법인 개인정보 보호법에서 전송요구권을 다루고, 특별법에서 각 분야에 맞춘 규정을 마련하는 방식으로 추진 중"이라고 말했다.

KISA는 올해부터는 전송요구권 도입과 일반 분야 마이데이터 본격화에 대비해 데이터 양식과 전송 방식을 표준화하고, 데이터 이동 안전성 강화 등을 추진할 계획이다. 데이터 내용이 표준화된 금융 분야와 달리 일반 분야에서는 개인정보 분류 방식이 제각각이다. 가령 이름이라는 항목만 보더라도 고객명, 성명, 이름, 손님 등 기업마다 다른 형태로 분류하기 때문에, 원활한 상호 전송을 위해서는 표준 양식을 마련해야 한다.

김 단장은 "표준화가 비교적 잘돼 있는 금융 분야에서도 본격적인 서비스 시행까지 2년 반이나 걸렸다. 적용 대상이 더 많은 일반 분야에서도 원활한 대응을 위해 우선순위가 높은 10개 분야를 선정하고 표준화 작업을 진행할 계획"이라며 "데이터 이동 안전성 강화를 위한 본인 인증, 보안 인프라 구축, 체계 관리와 감독 등도 올해 주요 목표"라고 말했다.