개인정보보호법 개정안 핵심 개인정보 전송요구권

최근 보안 컨설팅을 진행하면서 제일 많이 보게 된 법이 흔히 개보법이라고 부르는 개인정보보호법 인데요. 사실 컨설팅을 하기 전에는 개인정보보호법이 있다고만 알고 있었지, 해당 법이 정확히 어떤 법이고 어떻게 하면 법을 위반하는 건지 잘 몰랐었습니다. 이 개인정보보호법이 굉장히 중요하다는 것을 이제서야 알게 되었는데, 이 법이 제정되기 전에는 특정 사이트에서 회원가입을 하더라도 비밀번호와 같은 중요한 정보가 암호화되지 않은 채로 데이터베이스에 저장되기도 했고, 지금은 특정 법률이 적용되지 않는 이상 처리할 수 없는 주민등록번호도 저장하는 경우도 더러 있었습니다. 이 개인정보보호법 덕분에 개인정보가 법적으로 보호 받을 수 있도록 된 것인데, 오늘은 근래 국회에서 발의된 개보법 개정 사항 중 핵심인 "개인정보 전송요구권"에 대해 간략히 말씀드리겠습니다.

​

개인정보 이동권이라고 부르기도 하는 전송요구권은 개인정보의 주체가 자신의 개인정보를 타 기관(제3자)에게 전송하도록 요구할 수 있는 권리입니다. 이전에는 특정 기업에서 개인정보를 수집 후, 정보주체가 동의하면 마케팅 서비스 등을 위해 해당 기업이 다른 기업에게 개인정보를 제공하는 식으로 이루어졌죠. 개인정보 전송요구권의 경우 자기 자신이 개인정보를 관리하고 통제하겠다는 의미를 담고 있습니다. 본문의 기사를 인용하면 '내 데이터는 내 것이므로 내 뜻대로 활용하겠다'라는 개념을 가지고 있다고 보는겁니다.

​

이 전송요구권을 개인정보보호법에 도입하게 된 배경을 마이데이터의 확산으로 볼 수 있는데요. 한 번쯤 들어보셨을 마이데이터는 개인의 데이터, 즉 자신의 개인정보 활용 권한이 정보주체인 개인에게 있음을 강조하는 패러다임입니다. 이미 토스, 뱅크샐러드와 같은 많은 핀테크 업체에서는 금융거래 정보와 같은 신용정보를 활용하여 자산관리나 신용관리 같은 마이데이터 사업을 펼치고 있죠. 즉, 이전 2020년에 개정된 신용정보법에서 정보전송권이 신설되었지만 현행법에서 금융 기업이 개인정보보호법과 신용정보법을 모두 고려해야하기 때문에, 일반 개인정보와 신용정보의 구분이 불명확하여 좀 더 명확한 권리 보호를 위해 개보법에도 전송요구권을 도입하겠다는 취지로 보시면 됩니다.

 

[데이터링] '개보법 2차 개정안 핵심'…개인정보 전송요구권

개인정보보호위원회는 개인정보보호법이 개인정보에 대한 일반법이기 때문에, 개보법에도 전송요구권을 도입하면 일반법적인 근거가 생기기 때문에 적극적인 권리 보호가 가능할 것이라는 입장인데요. 사실 유럽의 개인정보보호 규정인 GDPR(General Data Protection Regulation)에서는 2016년에 개인정보 이동권을 이미 신설했습니다. 이를 기반으로 개보법의 전송요구권을 개정하려는 것으로 보여지는데, 개인정보를 활용하는 것과 보호하는 것 균형을 잡기 위한 개정으로 생각하시면 될 것 같습니다. 이번 글에서는 앞으로 있을 개인정보보호법 개정 내용 중 전송요구권에 대해 설명드렸는데, 이후 글에서는 개보법에 대해 조금 더 자세한 내용을 설명드릴 수 있도록 하겠습니다. 그럼 여기서 마치도록 하죠. 읽어주셔서 감사합니다.