개보위, 본인전송요구권 안착 위한 '국민수요 중심' 이행 지원 본격화

핵심 요약

- 개인정보보호위원회가 본인전송요구권의 실질적 안착을 위해 국민 수요 중심의 이행 지원 방안 발표 - 금융·통신·유통 등 주요 분야에서 실효성 있는 정보 전송 체계 구축 지원 - 중소기업을 위한 기술적·행정적 지원 방안 마련 및 가이드라인 개선 추진

주요 내용

개인정보보호위원회(위원장 고학수, 이하 개보위)는 2026년 6월 25일 본인전송요구권 제도의 실질적 안착을 위해 국민이 실제로 필요로 하는 정보를 중심으로 제도 운영을 지원하겠다고 밝혔다. 본인전송요구권은 개인정보 주체가 자신의 개인정보를 다른 사업자에게 전송해 줄 것을 요구할 수 있는 권리로, 2023년 9월 개인정보보호법 개정을 통해 도입되어 2024년부터 단계적으로 시행되고 있다.

개보위는 제도 시행 2년차를 맞아 실효성 제고를 위한 핵심 과제로 '국민 수요 중심의 정보 제공'을 설정했다. 현재 금융, 통신, 온라인 플랫폼 등 주요 분야에서 본인전송요구권이 적용되고 있으나, 실제 국민이 필요로 하는 정보의 범위와 사업자가 제공하는 정보 간 괴리가 있다는 지적에 따른 것이다. 개보위는 분야별 협의체를 구성해 실질적으로 유용한 정보 항목을 발굴하고, 표준 데이터 형식을 마련하는 등 제도의 실효성을 높이기 위한 작업을 진행할 예정이다.

특히 중소기업의 경우 기술적·재정적 부담으로 본인전송요구권 이행에 어려움을 겪고 있는 점을 고려해, 표준 API 제공, 기술 지원, 이행 가이드라인 개선 등의 지원 방안을 마련한다. 또한 개인정보 주체의 권리 행사를 용이하게 하기 위해 통합 플랫폼 구축 방안도 검토 중이다. 개보위는 "본인전송요구권이 형식적 권리가 아닌 국민이 실질적으로 활용할 수 있는 권리로 자리잡을 수 있도록 지속적으로 제도를 개선해 나가겠다"고 밝혔다.

개보위는 하반기 중 분야별 가이드라인을 추가 발간하고, 사업자 대상 설명회를 개최할 예정이며, 제도 이행 현황에 대한 모니터링도 강화할 계획이다. 이와 함께 EU GDPR의 데이터 이동권(Right to Data Portability) 운영 사례 등 해외 주요국의 제도 운영 경험도 참고해 한국형 본인전송요구권 모델을 정착시켜 나간다는 방침이다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 본인전송요구권의 안착은 단순한 법적 의무 이행을 넘어 개인정보 처리 생태계 전반의 패러다임 전환을 의미한다. 정보주체 중심의 개인정보 관리 체계로의 전환은 ISMS-P 인증기준 중 '개인정보 주체 권리 보장' 영역의 핵심이며, 특히 자동화된 권리 행사 시스템 구축 여부가 향후 심사에서 중요한 평가 요소가 될 것으로 예상된다. 사업자들은 본인전송요구권 이행을 위한 기술적 조치뿐만 아니라, 요구 접수부터 전송 완료까지의 전 과정에 대한 내부 절차와 기록 관리 체계를 정비해야 한다.

특히 주목해야 할 점은 '국민이 필요로 하는 정보'라는 개보위의 방향성이다. 이는 최소한의 법적 요구사항만 충족하는 소극적 대응이 아닌, 실질적 활용 가능성을 고려한 정보 제공 체계 구축을 의미한다. 기업 입장에서는 단기적으로 부담이 될 수 있으나, 중장기적으로는 데이터 생태계에서의 경쟁력 확보와 직결된다. 금융권의 마이데이터 사업 사례에서 보듯, 선제적으로 양질의 데이터 전송 체계를 구축한 사업자가 시장에서 우위를 점하는 경향이 뚜렷하다. 따라서 본인전송요구권 대응을 단순 컴플라이언스가 아닌 디지털 전환 전략의 일환으로 접근할 필요가 있다.

ISMS-P 심사원 체크포인트

1. 인증기준 3.4.4 개인정보 열람 및 정정·삭제 (필수) - 본인전송요구권 행사 절차가 내부 지침으로 문서화되어 있는지 확인 - 전송 요구 접수 후 10일 이내 이행 여부 확인 (개인정보보호법 제35조의2 제2항) - 전송 형식이 기계 판독 가능한 형태인지, 상호운용성을 확보했는지 검토 - 본인 확인 절차의 적정성 및 제3자 전송 시 안전성 확보 방안 점검

2. 인증기준 2.8.1 개인정보 처리방침 수립 및 공개 (필수) - 개인정보 처리방침에 본인전송요구권 행사 방법, 절차, 전송 대상 정보의 범위가 명시되어 있는지 확인 - 전송 가능한 정보의 항목과 형식이 정보주체가 이해하기 쉽게 기재되어 있는지 검토 - 본인전송요구권 제한 사유(개인정보보호법 제35조의2 제3항)가 있는 경우 그 내용의 명시 여부

3. 인증기준 2.9.5 개인정보 처리 업무 위탁 (필수) - 본인전송요구권 이행을 위해 제3자에게 API 연동 등을 위탁하는 경우 위탁 계약서 체결 여부 - 전송 과정에서 개인정보 유출·훼손 방지를 위한 기술적·관리적 보호조치 이행 현황 - 전송 로그 기록 및 보관 체계 (최소 3년, 5만명 이상 민감정보 처리 시)

위반 조항

개인정보보호법 제35조의2 (개인정보의 전송요구) - 제1항: 정보주체는 자신의 개인정보를 전송해 줄 것을 개인정보처리자에게 요구할 수 있음 - 제2항: 개인정보처리자는 정당한 사유가 없는 한 정보주체의 요구를 받은 날부터 10일 이내에 개인정보를 전송하여야 함 - 제3항: 전송요구권 제한 사유 - 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 - 위반 시: 3천만원 이하의 과태료 (개인정보보호법 제75조 제2항 제5호의2)

개인정보보호법 시행령 제41조의2 (개인정보의 전송 방법 등) - 전송요구 절차, 전송 형식(기계 판독 가능한 형태), 안전성 확보조치 등 세부사항 규정 - 전송 대상 정보의 범위: 정보주체가 개인정보처리자에게 제공한 개인정보 및 정보주체의 이용으로 생성된 개인정보

CPPG·ISMS-P 연계 포인트

1. 본인전송요구권의 법적 성격과 범위 본인전송요구권은 EU GDPR 제20조의 데이터 이동권(Right to Data Portability)을 참고해 2023년 개인정보보호법 개정으로 도입된 정보주체의 새로운 권리이다. 기존의 열람요구권과 달리, 단순히 자신의 정보를 확인하는 것을 넘어 기계 판독 가능한 형태로 제3자에게 직접 전송할 수 있다는 점이 핵심이다. CPPG 시험에서는 본인전송요구권의 대상 정보(정보주체가 제공한 정보 + 이용으로 생성된 정보), 전송 기한(10일 이내), 제한 사유를 정확히 구분하여 이해해야 한다.

2. 정보주체 권리 보장과 기술적 구현 ISMS-P 인증심사에서 개인정보 주체의 권리 보장(2.8 영역)은 필수 심사항목이며, 본인전송요구권 이행 체계는 향후 중요한 평가 요소가 될 것이다. API 기반의 자동화된 전송 체계, 안전한 본인 확인 절차, 전송 이력 관리, 오류 발생 시 대응 절차 등이 종합적으로 평가된다. 특히 금융·통신 등 마이데이터 사업 관련 분야에서는 본인전송요구권 이행 수준이 ISMS-P 인증 취득의 핵심 요소로 작용하므로, 기술적 구현 방안과 내부 관리 체계를 통합적으로 준비해야 한다.