(전 분야 마이데이터) 개인정보 전송요구권 제도 안내서 질의 응답 모음(2025-04-29)

(전 분야 마이데이터) 개인정보 전송요구권 제도 안내서 질의 응답 모음(2025-04-29)

■ 보호법상 개인정보 전송요구권 조항이 해외사업자에도 적용되는 것인지?

➡ 보호법은 내국인을 대상으로 서비스를 제공하는 해외사업자에게도 보호법에 따른 의무를 이행하도록 적용하고 있음. 따라서 개인정보 전송요구권 관련 규정도 해외사업자에게 원칙적으로 적용됨

■ 일반수신자(예: 통신사업자)는 고유 업무 분야(예: 통신업)의 정보만을 전송받을 수 있는 것인지?

➡ 일반수신자가 전송받는 정보의 종류는 전송받는 정보를 확인하고자 하는 목적 범위 내에 있으면 충분하고, 고유 업무 분야의 정보만을 전송받을 수 있는 것은 아님
※ (예시) 통신사업을 하는 일반수신자가 통신요금 할인을 위해서 이용자에 대한 교육 분야의 정보(학생 재학 여부)도 전송받을 수 있으며, 고유 업무 분야인 통신 분야의 정보만 수신할 수 있는 것은 아님

■ 일반수신자는 전송받은 정보를 정보주체 동의 후 다른 목적으로 사용할 수 있는지?

➡ 일반수신자는 시행령 제42조의3 및 전문기관 지정 고시에 따라 특정 업무 처리나 본인 증명에 필요한 전자적 형태의 서류 및 정보를 정보주체로부터 제출받지 않고 직접 정보 전송자로부터 전송받아서 진위 여부 등을 확인하는 ‘단순 확인 목적’으로만 전송받은 정보를 처리할 수 있음
일반수신자가 단순 확인 목적으로 전송받은 정보를 처리하고 나면 전송받은 정보의 처리 목적은 달성한 것으로, 보호법 제21조에 따라 지체 없이 그 개인정보를 파기하여야 하며 위반 시 보호법 제75조제2항제4호에 따라 3천만원 이하의 과태료가 부과됨

■ 특정 분야 정보전송자가 다른 분야 전송요구대상정보를 보유하는 경우(예를 들어 통신정보전송자가 에너지 분야 전송요구대상정보를 보유한 경우), 다른 분야 정보도 전송 대상에 포함되는지?

➡ 시행령 제42조의4 및 관련 고시에서 특정 분야의 정보전송자가 전송하여야 하는 전송요구대상정보는 특정되어 있으며, 특정 분야의 정보전송자가 다른 분야의 전송요구대상정보를 보유하고 있다고 하더라도 다른 분야의 정보전송자 기준에 해당하지 않는다면 전송 의무가 발생하는 것은 아님
※ (예시) 통신정보전송자인 A통신사가 본업의 사업을 위해 에너지 사용량 정보를 보유하고 있을 경우, 에너지 사용량 정보가 에너지전송정보에 포함된다고 하더라도 A통신사가 에너지 분야 정보전송자가 아닌 한 에너지 사용량 정보를 전송할 의무가 발생하는 것은 아님

■ 전송받은 정보도 전송 요구의 대상이 되는 정보에 포함되는지?

➡ 정보수신자가 전송받은 정보는 보호법 제35조의2제1항에 따른 전송요구대상정보의 기준에 해당하지 않으므로 정보주체의 전송 요구에 따른 전송 대상에서 제외됨

■ 본인신용정보관리회사와 개인정보관리 전문기관의 업무를 동시에 하는 경우, 금융 분야와 전 분야의 전송요구대상정보 중 중복되는 항목을 모두 전송받아야 하는지?

➡ 신용정보법 제33조의2의 개인신용정보 전송요구권과 보호법의 제35조의2의 개인정보 전송요구권의 적용 법률이 상이하므로, 개별 법령에서 정한 절차에 따라 전송받아야 하고, 전송받은 정보는 각각의 업무 목적에 맞게 활용되어야 함

■ 정보주체는 본인전송요구권을 대리인을 통하여 행사할 수 있는지?

➡ 보호법 제38조제1항*에 따라 정보주체는 개인정보 전송요구권을 대리인을 통해 행사 할 수 있으며, 이 경우 본인전송요구의 대리 행사는 전송해 줄 것을 ‘요구’하는 행위 자체에 한정한 것이므로 정보주체 본인만이 접근·제어 가능한 단순 저장공간 등에 전송 요구하는 경우로 한정함

■ 정보주체가 마이데이터 서비스 미접속 시 정기적 전송을 중단해야 하는지?

➡ 정보주체가 정기적 전송의 종료시점을 별도로 정하였거나, 전송 요구 의사를 철회하기 전까지 정보수신자가 제공하는 기간 중에서 선택하여 정기적 전송이 가능함
다만, 장기 미접속자 등의 정보가 불필요하게 지속적으로 전송되지 않도록 하기 위해 1년 이상 미접속 시 정기적 전송을 중단하는 것이 바람직함

■ 정보주체는 오프라인으로 전송 요구가 가능한지?

➡ 보호법령상 정보주체의 전송 요구는 오프라인 방식을 별도로 제한하고 있지는 않으나, 현재 전송 요구 시스템 여건 및 정보수신자의 대면 창구 운영 제약 등의 상황을 고려하여 온라인을 통한 전송 요구를 우선 시행함

■ 정보전송자의 개인정보 처리 업무를 위탁하여 수탁기관이 정보를 관리하고 있는 경우, 수탁기관이 전송 업무를 수행해도 되는지?

➡ 개인정보 전송 요구에 따른 전송 이행도 개인정보 처리에 해당하므로 전송 업무를 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)에 따라 수탁자에게 위탁하여 수행 가능함

■ 정보주체가 정보수신자를 통하지 않고 정보전송자에게 직접 제3자전송요구가 가능한지?

➡ 보호법 제35조의2(개인정보의 전송 요구)제2항에 따른 제3자전송요구의 경우 정보수신자가 정해진 요건을 갖춰서 지정‧등재되고 중계전문기관과 연계하는 등 정보를 수신할 준비가 되어야 전송이 가능하므로 현재 전송 절차상 정보수신자를 통하여만 전송 요구가 가능함
따라서 정보전송자는 정보주체에게 제3자전송요구와 관련해서, 정보수신자가 운영하는 서비스를 통해 할 수 있고 해당 서비스는 개인정보전송지원플랫폼(온마이데이터, onmydata.go.kr)을 통해 확인할 수 있음을 안내할 필요가 있음

■ 전송요구대상정보에 대한 스크래핑 방식의 수집을 허용하는지?

➡ 마이데이터 관련 개인정보 보호법령에 따라 고시로 정한 전송 요구 대상 정보에 대하여 스크래핑 방식의 수집을 금지하고 표준API를 활용하도록 함

■ 정보주체가 개인정보 전송 요구를 철회하는 경우, 기존에 전송받은 정보는 어떻게 처리하는지?

➡ 정보주체가 개인정보 전송 요구를 철회하는 경우에는 철회한 시점부터 전송 요구는 중단되나, 서비스 이용 철회 또는 탈퇴하지 않는 이상 기존에 전송받은 정보가 삭제되지는 않음
정보수신자는 정보주체로부터 전송 요구의 철회를 요청받을 경우, 정보주체에게 철회하더라도 기존 전송받은 정보가 삭제되는 것은 아님을 알리고, 기존 전송받은 정보를 삭제할 것인지를 정보주체가 선택할 수 있는 기능을 제공해야 함

■ 정보주체의 전송 요구를 거절 또는 중단하는 경우 사유를 반드시 통지하여야 하는지?

➡ 정보전송자는 시행령 제42조의8제2항에 따라 제1항 각 호의 사유로 정보주체의 전송요구를 거절하거나 중단하는 경우에는 지체 없이 해당 사실 및 그 사유를 정보주체에게 통지하도록 하고 있으므로, 반드시 사유를 알려야 함

■ 일반전문기관은 보건의료전송정보를 제외한 모든 분야의 정보를 활용할 수 있는지?

➡ 일반전문기관은 시행령 제42조의4제1항제2호 및 제3호에 따른 보건의료전송정보 외 전 분야의 정보를 전송받을 수 있음. 다만, 일반전문기관 지정 심사 시 사업계획서 등이 적정한지 검토하여 사업계획에 부합하는 분야의 정보 항목에 대해서만 전송받을 수 있도록 할 예정임

■ 특수전문기관은 보건의료전송정보 외 정보를 전송받아 활용할 수 있는지?

➡ 특수전문기관은 시행령 제42조의4제1항제1호에 따른 보건의료전송정보만 전송받을 수 있으며, 만약 그 외 정보를 전송받고자 하는 경우에는 일반전문기관으로 지정받아야 함

■ 일반‧특수전문기관은 개인정보 전송 요구를 통해 전송받은 정보(전송정보)를 가명처리하여 활용할 수 있는지?

➡ 전송정보는 보호법 제28조의2에 따른 가명정보 처리 특례에 따른 목적으로 활용할 경우에 정보주체의 동의 없이도 전송정보의 가명처리가 가능.
전송받은 정보의 가명처리는 「가명정보 처리 가이드라인」의 절차를 따르되, 가명처리 목적 및 가명처리 수준에 대한 자체 적정성 검토(외부전문가 참여必)를 거쳐 가명처리를 하여야 함

■ 일반‧특수전문기관은 개인정보 전송 요구를 통해 전송받은 정보(전송정보)와 본래 업무를 위해 기존 보유하고 있는 정보(보유정보)를 결합하여 활용할 수 있는지?

➡ 전송받은 정보는 보호법 제15조에 따라 전송 요구 목적과 기존에 보유하고 있는 개인정보의 수집 목적이 동일한 범위 내에서 결합하여 활용할 수 있음
* (예시) 최적 통신요금 추천 서비스 제공 목적으로 전송받은 정보의 경우, 동일한 목적인 최적 통신요금 추천 서비스 제공을 위해 기존 보유하고 있는 정보와 결합하여 공통된 목적 내에서 활용 가능

■ 일반전문기관 또는 특수전문기관이 전송받은 정보와 기존에 다른 개인정보처리자로서 보유하고 있는 정보를 결합할 경우, 어떤 방법으로 해야 하는지?

➡ 일반·특수전문기관이 판단하여 정보주체의 전송 요구 철회 및 전송받은 정보의 삭제 요청 등에 대응할 수 있는 적정한 방식으로 결합하여야 함
다만, 전송받은 정보를 분리 보관하도록 한 취지를 고려할 때, 정보주체의 전송 요구 철회 시 적절한 대응이 가능하도록 전송받은 정보를 보관하고 있는 DB에서 정보를 결합하는 것이 권고되며, 결합을 위한 별도의 DB를 활용하는 것도 가능함

■ 중계전문기관은 특정 분야 내에서만 중계 역할을 할 수 있는 것인지?

➡ 개인정보 전송요구권 제도 시행 초기 안정적인 전송 체계가 정착될 수 있도록 중계전문기관이 다양한 분야의 전송 중계를 지원할 수 있도록 하였음. 다만, 보건의료 분야는 분야의 특성을 고려하여 보건의료 분야 중계전문기관은 시행령 제42조의10제2항제1호에 따라 보건복지부장관이 별도로 지정하여 운영할 예정임

■ 중계전문기관으로 지정받은 자로부터 중계전문기관 업무를 위탁받아 처리하고 있는 수탁자인 경우에도 일반‧특수전문기관 업무의 겸영이 제한되는지?

➡ 중계전문기관은 전송 중계 및 지원 업무를 수행하는 기관으로, 중계전문기관이 전송받은 정보를 관리·분석하는 일반‧특수전문기관 업무를 수행할 경우 정보주체의 이익을 침해하거나 전송 체계 확립에 지장을 초래할 수 있으므로 시행령 제42조의9제2항에 따라
겸영을 제한하도록 규정하고 있음
보호법 제26조에 따라 중계전문기관의 개인정보 처리 업무를 위탁받아 처리하는 수탁자는 중계전문기관인 위탁자의 이익을 위해 개인정보를 처리하게 되며, 위탁받은 해당 업무 범위 내에서만 처리가 허용된다고 할 수 있으므로, 수탁자도 겸영이 제한됨

■ 신용정보법상 본인신용정보관리업 허가를 받은 경우, 보호법상 일반·특수전문기관 지정
심사를 다시 받아야 하는지?

➡ 일반‧특수전문기관 업무를 수행하기 위해서는 보호법 제35조의3에 따라 지정을 받아야 함. 다만, 수범자의 부담을 고려하여 보호법과 신용정보법상 시설·기술 기준이 중복되는 요건에 대해서는 별도의 요건 충족 여부 확인을 생략하는 등 관계부처와 협의하여 심사 절차를 간소화할 계획임

■ 일반‧특수전문기관이 정보주체를 대리해 본인전송요구권을 행사할 수 있는지?

➡ 일반‧특수전문기관은 보호법 제38조제1항 및 시행령 제45조에 따라 정보주체의 위임을 받아 본인전송요구권을 대리하여 행사할 수 있음. 한편, 정보주체는 시행령 제42조의4제2항에 따라, 정보전송자가 자율적으로 정한 자율전송정보에 대해서도 본인에게 전송을 요구할 수 있고 정보전송자와 정보주체 간의 서비스 이용계약에 따라 정보주체가 직접 조회 가능한 대부분의 서비스 정보가 이에 해당될 수 있음

■ 개인정보관리 전문기관 지정을 받기 위해서는 반드시 예비심사 절차를 거쳐야 하는지?

➡ 시행령 제42조의10제4항에 따른 예비심사의 경우 개인정보관리 전문기관으로 지정받으려는 자가 지정 신청을 하기 전, 지정권자에게 사업계획서 등 지정요건 세부기준을 갖추었는지 사전에 검토받아 예측 가능성을 확보하고 투자비 낭비 등을 방지하기 위한 것으로, 반드시 예비심사 절차를 거쳐야 하는 것은 아님

■ 예비심사를 통과한 경우에도 본지정 신청 시 서류, 현장, 종합심사를 모두 받게 되는 것인지?

➡ 예비심사는 시행령 제42조의10제4항 및 전문기관 지정 고시 제10조제1항에 따라 사업계획서(안), 개인정보 관리 계획(안), 시설 및 설비 구축 계획 등에 대한 서류심사만 진행하는 것임
본지정 신청 시 예비심사때와 동일한 사업계획서, 개인정보 관리 계획서 등에 대해 심사하는 경우에는 실제 시설 및 설비 등을 갖추었는지 현장심사를 중심으로 심사가 진행되며, 이후 종합심사를 거쳐 지정 여부를 결정할 예정임

■ 활용하고자 하는 정보 분야별로 개인정보관리 전문기관 지정을 각각 받아야 하는지?

➡ 전문기관 지정 고시 제5조에 따라 일반전문기관과 특수전문기관의 업무를 모두 수행하고자 하는 경우에는 각 지정권자에게 지정을 받아야 함.
다만, 전송받고자 하는 정보가 시행령 제42조의4제1항제2호 및 제3호에 따른 보건의료정보 외 정보에 해당하는 경우에는 일반전문기관으로만 지정받으면 됨

■ 중계전문기관이 다른 중계전문기관으로 업무를 이전하는 경우 보유하고 있는 정보를 파기해야 하는가?

➡ 중계전문기관이 다른 중계전문기관으로 업무를 이전하게 되면 중계업무의 처리 목적을 달성한 것이므로 보호법 제21조에 따라 보유하고 있는 정보를 파기하여야 함. 다만, 다른 법령에 따라 보존해야 하는 경우에는 제외됨

■ 중계전문기관이 중계업무의 일부 또는 전부를 중지 또는 폐지하려는 경우 다른 중계전문기관으로 이전해야 하는 사항은 무엇인지?

➡ 중계전문기관이 시행령 제42조의6제9항에 따라 관리·보관하고 있는 개인정보 전송내역 등 중계업무와 관련한 자료를 다른 중계전문기관으로 이전해야 함

■ 일반·특수전문기관이 업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에도 중지 또는 폐지 예정일 6개월 전까지 지정권자에게 통보하여야 하는지?

➡ 일반·특수전문기관 시행령 제42조의12제8항에 따라 중계전문기관에 미리 통지하면 됨. 다만, 일반·특수전문기관과 달리 중계전문기관의 경우 중계업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에 중계업무의 공백, 중단 등이 발생할 수 있으므로 지정권자에게 6개월 전까지 통보하도록 같은 조 제7항에서 규정함

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다