「개인정보 보호법」 제35조의2에 따른 개인정보 전송요구 제도가 2025. 3. 13. 보건의료 및 통신 분야에서 우선 시행되었는데, 최근 본인전송요구권의 범위를 전 분야로 확대하기 위한 「개인정보 보호법 시행령」 일부개정령안(이하 ‘본 개정안’)이 2025. 6. 23. 입법예고(링크)되어 주요 내용을 안내해 드립니다.
|
1.
|
본인대상정보전송자의 범위 확대(안 제42조의2)
개인정보 전송요구권은 개인정보를 정보주체 본인에게 직접 전송하는 ‘본인전송요구’와 개인정보관리 전문기관 등 제3자에게 전송하는 ‘제3자전송요구’로 나뉩니다. 「개인정보 보호법」 제35조의2는 제1항 및 제2항에서 본인전송요구권 대상 정보전송자(이하 ’본인대상정보전송자’)와 제3자전송요구권 대상 정보전송자(이하 ‘제3자대상정보전송자’)의 범위를 구분하여 달리 규정하고 있습니다.
|
「개인정보 보호법」 제35조의2(개인정보의 전송 요구)
- 본인정보전송: 정보주체는 "개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자”에 대하여 일정한 개인정보를 자신에게로 전송할 것을 요구할 수 있음
- 제3자정보전송: 정보주체는 “매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자”에 대하여 일정한 개인정보를 법상 요건을 충족하는 제3자(‘개인정보관리 전문기관’ 및 ‘일반수신자’)에게 전송할 것을 요구할 수 있음
|
그런데 현행 「개인정보 보호법 시행령」(이하 ‘현행 시행령’)은 두 유형의 정보전송자를 구분 없이 동일한 범주로 묶어서 규정하고 있어, 위와 같은 현행 시행령 규정에 대하여, 본인전송요구권을 제3자전송요구권보다 넓게 보장하려는 것으로 이해되는 법률의 취지에 맞지 않는다는 지적이 있었습니다. 또한, 본인전송요구권과 제3자전송요구권 모두 보건의료, 통신 및 에너지 분야에 한하여 적용되도록 규정하고 있습니다.
|
현행 「개인정보 보호법 시행령」 제42조의2(정보전송자 기준)
1. 보건의료 관련 기관, 법인 및 단체 중 일정 요건에 해당하는 자(2025. 3. 13.부터 시행)
2. 통신 관련 기관, 법인 및 단체 중 일정 요건에 해당하는 자(2025. 3. 13.부터 시행)
3. 에너지 관련 기관, 법인 및 단체 중 일정 요건에 해당하는 자(2026. 6. 1. 시행 예정
|
본 개정안은 본인대상정보전송자와 제3자대상정보전송자를 구분하면서, 본인대상정보전송자에 있어서는 특정 산업에 대한 명시적 언급을 삭제하고, 일정 수준 이상의 정보 처리 능력을 보유한 경우에는 본인대상정보전송자에 해당하도록 확대하였습니다.
|
개정안 제42조의2(정보전송자 기준)
1. 연간 매출액등이 1,500억원 이상인 자로서 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하거나 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
2. 직전 연도 12월 31일 기준으로 재학생 수(대학원 재학생 수를 포함한다)가 2만명 이상인 「고등교육법」 제2조에 따른 학교
3. 공공시스템운영기관
4. 법 제35조의2제2항에 따른 개인정보처리자 (개인정보관리 전문기관, 안전조치의무 이행 및 기타 기준을 충족하는자)
5. 보호위원회가 정하여 고시하는 자
- 제3자대상정보전송자 (현행 시행령 제42조의2 규정과 동일)
1. 보건의료 관련 기관, 법인 및 단체 중 일정 요건에 해당하는 자
2. 통신 관련 기관, 법인 및 단체 중 일정 요건에 해당하는 자
3. 에너지 관련 기관, 법인 및 단체 중 일정 요건에 해당하는 자
|
즉, 개정안에 따르면 산업 분야에 관계 없이 ‘연간 매출액등 1,500억원 이상으로서 5만명 이상의 민감정보 또는 고유식별정보를 처리하거나 100만명 이상의 개인정보를 처리하는 자’ 등의 기준에 해당하는 경우에는 본인대상정보전송자에 해당하며, 정보주체 본인의 요구에 따라 그 본인에게 정보를 전송해야 합니다.
|
|
2.
|
본인전송정보의 범위 확대(안 제42조의4)
현행 시행령은 본인정보전송 요구 대상이 되는 개인정보(이하 ‘본인전송정보’)로 보건의료전송정보, 통신전송정보 및 에너지전송정보만을 규정하고 있는데, 개정안에서는 이를 산업 분야에 한정되지 않도록 확대하고, 전송에서 제외할 수 있는 정보의 기준도 마련하였습니다.
이에 따라, 본인대상정보전송자는 보유하는 개인정보로서 아래와 같은 요건(법 제35조의2제1항 각 호의 요건)을 모두 충족하는 개인정보를 정보주체의 요구에 따라 그 본인에게 전송해야 합니다. 다만, (1) 정보 전송 시 제3자의 권리나 정당한 이익을 침해하거나 침해할 우려가 있는 정보(다른 법령에 따라 정보주체 본인이 제공받거나 열람할 수 있는 정보는 제외), (2) 복호화되지 아니하도록 일방향 암호화하여 저장된 정보는 본인대상정보전송자가 전송 대상 정보에서 제외할 수 있습니다.
|
1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것
가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보
나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보
다. 제15조제1항제2호·제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의·의결하여 전송 요구의 대상으로 지정한 개인정보
2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석∙가공하여 별도로 생성한 정보가 아닐 것
3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것
|
|
이 외에, 본 개정안은 본인전송요구 대리 행사 시 자동화된 도구를 이용하는 경우 정보전송자와 해당 대리인이 사전에 협의된 방식으로 전송하도록 하는 등 전송 방식에 대한 세부 규정을 마련하였고(안 제42조의5 및 제42조의6), 개인정보관리 전문기관의 업무에 본인전송정보에 대한 관리∙분석 업무를 추가하여 정보주체의 본인전송요구권 행사 및 정보 관리를 지원할 수 있도록 개정(안 제42조의9)하였습니다.
본 개정안은 2025. 6. 23.부터 2025. 8. 4.까지 40일의 입법예고 후 법제처 심사, 국무회의 의결 등을 거쳐 공포 및 시행될 것으로 예상됩니다. 본 개정안은 본인전송요구권이 모든 산업 분야에 적용될 수 있는 토대를 마련한 것으로 이해되므로, 보건의료, 통신 및 에너지 외의 분야에 속하는 사업자도 매출액, 보유하는 정보 규모 등에 따라 본인대상정보전송자에 해당될 수 있음에 유의하고, 관련 동향에 대한 지속적인 모니터링 및 제도 변화에 대비한 기술적, 환경적 준비가 필요하겠습니다.
[영문] Proposed Amendment to the Enforcement Decree of the PIPA – Expansion of the Data Portability Right
