"마이데이터法 이러다 다 죽어" 스타트업 우려에…개인정보위 "오히려 기회 될 것"

등록 2025.11.24 16:05:54

개인정보위, 본인전송요구권 강화 논란에 조목조목 해명

"중소기업·스타트업에게는 혁신적 서비스 창출할 수 있는 기회" 강조

참고용 이미지. 재판매 및 DB 금지/ 유토이미지 *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = '마이데이터' 시대의 핵심 권한으로 꼽히는 본인전송요구권의 강화를 담은 개인정보보호법 시행령 개정안과 관련해, 스타트업과 유통업계를 중심으로 정보 유출과 기업 부담에 대한 우려가 이어지자 개인정보보호위원회가 조목조목 해명에 나섰다.

정보전송자의 부담 증가, 기업 영업비밀 유출 우려, 개인정보관리 전문기관을 통한 정보 오·남용 가능성 등이 대표적인 지적이다. 이에 대해 개인정보위는 개정안의 목적은 일정 규모 이상의 공공기관이나 기업이 운영하는 홈페이지에 있는 개인 정보를 안전하게 본인에게 전달하고 또 해당 데이터를 스스로 선택해 활용할 수 있도록 하는 데 있다고 설명했다.

특히 개인정보위는 "특정 대기업에 갇혀있던 개인정보를 국민의 요구에 따라 이동·활용할 수 있게 됨으로써, 중소기업과 스타트업에게는 데이터를 전송받아 혁신적 서비스 등 새로운 비즈니스를 창출하는 기회가 될 것"이라고 설명했다.

해당 개정안은 현재 규제개혁위원회 심사를 앞두고 있다. 주요 내용으로는 연매출 1500억원 이상 또는 정보주체 수 100만명 이상인 중견기업, 대기업, 공공기관 등이 운영하는 홈페이지에서 조회 가능한 개인정보를 암호화된 형태로 다운로드할 수 있도록 했다.

또 대리인이 자동화된 도구를 이용해 전송을 요청할 경우에는 전송자와 사전에 협의된 방식(API 등)을 통해서만 가능하도록 해 안전성을 확보하도록 했다. 아울러 전송된 정보는 본인만 접근 가능한 저장소에 보관되며 정보주체가 직접 활용하는 것을 원칙으로 한다. 만약 전문기관이 대신 활용할 경우에는 별도의 위임 계약과 개별적·구체적 동의를 받도록 규정했다.

"스타트업·중소기업은 정보전송자에 포함될 가능성 낮아"

먼저, 스타트업·중소기업 등 정보전송자의 부담이 커질수 있다는 우려에 대해 개인정보위는 "재정이 열악한 스타트업·중소기업은 정보전송자에 포함될 가능성 낮으며, 정보전송자의 비용 부담을 최소화하는 방법으로 구현 가능하다"고 설명했다.

시행령 개정안에 따른 본인대상정보전송자의 주요 기준은 연매출액 1500억원 이상인 개인정보처리자이므로 중소기업·스타트업은 정보전송자 대상에 포함될 가능성이 낮다는 설명이다.

개인정보위는 "설령 일부 중견기업 이상이 정보전송자에 포함되더라도, 정보주체가 기존에 인터넷 홈페이지에서 조회 가능한 개인정보를 암호화된 형태로 다운로드할 수 있도록 구현하는 수준이기 때문에 시스템 구축 등으로 인한 비용 부담은 크지 않을 것"이라고 덧붙였다.

본인전송정보에 기업의 영업비밀이 포함될 수 있어 전송정보확대는 신중해야 한다는 의견에 대해서는 "영업비밀에 해당할 가능성은 낮으나, 기업의 영업비밀 등은 제공 대상에서 제외할 수 있다"고 설명했다.

개인정보위는 "개인정보처리자가 수집한 개인정보를 기초로 분석·가공해 별도로 생성한 정보는 본인전송정보 대상에서 제외된다"면서 "타인의 권리나 정당한 이익 침해 등의 경우에는 전송 거절 사유로 이미 개인정보보호법에서 규정하고 있다"고 설명했다.

이어 "정보전송자가 운영하는 인터넷 홈페이지에서 조회되는 개인정보를 내려받는 방식으로, 기업의 영업비밀에 포함될 가능성은 낮으며 만약 기업의 영업비밀이 포함돼있다면 제외가능함을 시행령에 규정했다"고 덧붙였다.

전문기관 통한 개인정보 유출 가능성에…"희박하다"

신설된 '대리권'으로 인해 본인도 모르는 사이 개인정보가 수집될 수 있다는 지적에 대해선 "대리인을 통한 권리행사는 관련법에 이미 규정된 사항이며, 전송요구의 대리방법을 안전하게 행사할 수 있도록 구체화한 사항"이라고 설명했다.

개인정보보호법은 정보주체가 위임한 대리인을 통해 전송요구, 열람권, 정정·삭제 등 권리를 행사하도록 규정하고 있으며 이번 시행령 개정안은 법률이 위임한 범위 내에서 전송요구의 대리방법을 안전하게 행사할 수 있도록 구체화한 사항이란 얘기다.

또 개인정보관리 전문기관의 정보 오남용·관리소홀로 인한 유출 등이 증가할 수 있다는 의견에 대해서는 "전문기관 지정 이후에도 감독·통제를 받는 등 높은 신뢰도와 안전성을 유지해야 하므로 유출 가능성은 희박하다"고 답했다.

개인정보위는 "전문기관은 관련법에 따른 지정요건을 갖추고, 사업계획서 및 개인정보 관리 계획서 등에 대한 적정성을 심사해 본 위원회 또는 관계 중앙행정기관의 장이 지정하게 된다"면서 "본인전송요구를 대리해 전송받은 정보는 정보주체 본인만이 접근 가능한 저장소에 보관해야 하며, 전문기관은 정보주체로부터 별도의 명확한 동의 없이는 활용이 불가능하다"고 설명했다.

아울러 개인정보위는 안전성이 확보되지 않은 자동화된 도구를 이용한 전송요구권행사는 적절하지 않다는 의견에 대해서도 설명했다.

개인정보위는 "기술적 보호조치가 적용되지 않은 스크래핑 등 자동화된 도구를 이용한 전송요구권 행사는 적절하지 않다는 의견이 있다"면서 "그러나 스크래핑 등 자동화된 도구는 현재 업계에서 광범위하게 활용되고 있는 기술로, 정보 수집의 대체 수단이 없는 상태에서 스크래핑을 금지하고 특정 방식으로만 전송을 강제하는 것은 어려운 측면이 있다"고 답했다.

이어 "현실과 바람직한 정책 방향성을 모두 고려해 점진적으로 애플리케이션프로그래밍인터페이스(API) 등 시스템 안정성 확보 및 정보주체 권리보장이 가능한 전송방식을 구축하도록 하되, 그 전까지는 전문기관 등 대리인이 스크래핑 등 자동화된 도구를 이용하는 경우, 사전협의를 통해 합의된 방식으로 전송하도록 했다"고 설명했다.

◎공감언론 뉴시스 [email protected]