'개인정보보호법' 2차 개정안이 오는 9월 시행을 앞두고 있는 가운데 이번 개정안의 핵심으로 오는 2025년 3월 내 시행될 '개인정보 전송요구권' 도입이 꼽힌다. 정보 주체가 자기결정권을 갖고 본인의 개인정보를 주도적으로 활용할 수 있어 '마이데이터' 본격 확대의 초석이 될 전망이다.

지난 4일 서울 광화문 HJ 비즈니스센터에서 만난 이정호 KISA 개인정보제도팀장은 개보법 2차 개정안에 대한 내용과 향후 전망에 대해 설명했다.

전송요구권은 정보 주체가 자신의 정보를 본인이나 '제3자(개인정보처리자 또는 개인정보관리 전문기관)'에게 이전하도록 요구할 수 있는 권리를 뜻한다. 개인정보를 스스로 관리·통제함으로써 각종 행정 및 서비스 이용 편의성을 높이는 점이 골자다. 쉽게 말해 '내 데이터를 내 마음대로 관리하고 활용한다'는 의미다.

이같은 권리가 필요한 이유는 개인정보가 대량 수집·유통되고 있으나, 정보주체인 개인이 본인정보를 자기주도적으로 유통·활용하는데는 여전히 한계가 존재하기 때문이다. 우선 마이데이터 사업 전 분야 확산을 위해서는 개인정보 전송이 안전하게 이뤄질 수 있는 기반 구축이 먼저 이뤄져야 한다.

현재 마이데이터 사업을 진행 중인 금융 분야는 지난 2020년 2월 신용정보법에 '개인신용정보 전송요구권'과 '본인신용정보 관리업' 규정이 신설됐다. 이를 기반으로 올해 3월 기준 금융·핀테크 등 총 56개사가 신용정보 관리업을 운영 중이다. 또 공공분야에서도 지난 2020년 10월 민원처리법과 지난해 6월 전자정부법 개정을 통해 행정정보 관련 전송권을 도입했다.

다만 이같은 현행법에서의 마이데이터사업은 개인의 '자기결정권'보다는 기업이 활용 가능한 영역에 초점을 맞췄다는 점에서 한계가 있다. 즉, 개인이 본인 데이터에 대한 이동권을 구현하기에는 부족하다는 의미다. KISA 측은 개보법 2차 개정을 통해 전송 요구권이 도입되면 일반법적 근거가 생겨 향후 공공·민간·금융 등 전 분야로 마이데이터가 확산될 것이라 전망했다.

이 팀장은 "마이데이터 사업이 힘을 더 받게 됐다"며 "정보 주체의 권한이 생겼고, 마이데이터 사업 계획을 추진 중인 사업자라면 개정된 개보법에 따라 계획을 수립해야 한다"고 설명했다.

다만 여전히 문제는 존재한다. 대표적인 것이 바로 개인정보 이동시 안정성 문제다. 데이터를 타 산업분야로 옮기는 과정에서 개인정보 침해 문제가 유발될 가능성이 존재하기 때문이다. 이 팀장은 "지금 마이데이터 사업을 추진 중인 금융 분야는 정보가 오가는 체계가 잘 갖춰져있다"면서도 "그러나 타 산업에서 개인정보를 활용할 때는 개인정보 침해 위험성이 존재해 쉽지 않은 상황"이라고 말했다.

이미 반발에 부딫힌 조항도 있다. 개인정보보호법 위반 시 과징금 상한액을 '위반행위 관련 매출액 3% 이하'가 아닌 '전체 매출액의 3% 이하'로 상향했기 때문이다.

이 팀장은 "과징금 적용 대상을 기존 정보통신 서비스 제공자에서 개인정보처리자로 확대하고, 부과 기준을 전체 매출액의 3%로 상향하자 반발이 상당했다"며 "위반 행위 관련 매출을 제외할 수 있다는 내용의 예외 단서를 만들었다"고 설명했다.

김가은 기자 7rsilver@techm.kr