(전 분야 마이데이터) 개인정보 전송요구권 제도 안내서 질의 응답 모음(2025-04-29)
(전 분야 마이데이터) 개인정보 전송요구권 제도 안내서 질의 응답 모음(2025-04-29)
| ■ 보호법상 개인정보 전송요구권 조항이 해외사업자에도 적용되는 것인지? |
|
➡ 보호법은 내국인을 대상으로 서비스를 제공하는 해외사업자에게도 보호법에 따른 의무를 이행하도록 적용하고 있음. 따라서 개인정보 전송요구권 관련 규정도 해외사업자에게 원칙적으로 적용됨 |
| ■ 일반수신자(예: 통신사업자)는 고유 업무 분야(예: 통신업)의 정보만을 전송받을 수 있는 것인지? |
|
➡ 일반수신자가 전송받는 정보의 종류는 전송받는 정보를 확인하고자 하는 목적 범위 내에 있으면 충분하고, 고유 업무 분야의 정보만을 전송받을 수 있는 것은 아님 |
| ■ 일반수신자는 전송받은 정보를 정보주체 동의 후 다른 목적으로 사용할 수 있는지? |
|
➡ 일반수신자는 시행령 제42조의3 및 전문기관 지정 고시에 따라 특정 업무 처리나 본인 증명에 필요한 전자적 형태의 서류 및 정보를 정보주체로부터 제출받지 않고 직접 정보 전송자로부터 전송받아서 진위 여부 등을 확인하는 ‘단순 확인 목적’으로만 전송받은 정보를 처리할 수 있음 |
| ■ 특정 분야 정보전송자가 다른 분야 전송요구대상정보를 보유하는 경우(예를 들어 통신정보전송자가 에너지 분야 전송요구대상정보를 보유한 경우), 다른 분야 정보도 전송 대상에 포함되는지? |
|
➡ 시행령 제42조의4 및 관련 고시에서 특정 분야의 정보전송자가 전송하여야 하는 전송요구대상정보는 특정되어 있으며, 특정 분야의 정보전송자가 다른 분야의 전송요구대상정보를 보유하고 있다고 하더라도 다른 분야의 정보전송자 기준에 해당하지 않는다면 전송 의무가 발생하는 것은 아님 |
| ■ 전송받은 정보도 전송 요구의 대상이 되는 정보에 포함되는지? |
|
➡ 정보수신자가 전송받은 정보는 보호법 제35조의2제1항에 따른 전송요구대상정보의 기준에 해당하지 않으므로 정보주체의 전송 요구에 따른 전송 대상에서 제외됨 |
| ■ 본인신용정보관리회사와 개인정보관리 전문기관의 업무를 동시에 하는 경우, 금융 분야와 전 분야의 전송요구대상정보 중 중복되는 항목을 모두 전송받아야 하는지? |
|
➡ 신용정보법 제33조의2의 개인신용정보 전송요구권과 보호법의 제35조의2의 개인정보 전송요구권의 적용 법률이 상이하므로, 개별 법령에서 정한 절차에 따라 전송받아야 하고, 전송받은 정보는 각각의 업무 목적에 맞게 활용되어야 함 |
| ■ 정보주체는 본인전송요구권을 대리인을 통하여 행사할 수 있는지? |
|
➡ 보호법 제38조제1항*에 따라 정보주체는 개인정보 전송요구권을 대리인을 통해 행사 할 수 있으며, 이 경우 본인전송요구의 대리 행사는 전송해 줄 것을 ‘요구’하는 행위 자체에 한정한 것이므로 정보주체 본인만이 접근·제어 가능한 단순 저장공간 등에 전송 요구하는 경우로 한정함 |
| ■ 정보주체가 마이데이터 서비스 미접속 시 정기적 전송을 중단해야 하는지? |
|
➡ 정보주체가 정기적 전송의 종료시점을 별도로 정하였거나, 전송 요구 의사를 철회하기 전까지 정보수신자가 제공하는 기간 중에서 선택하여 정기적 전송이 가능함 |
| ■ 정보주체는 오프라인으로 전송 요구가 가능한지? |
|
➡ 보호법령상 정보주체의 전송 요구는 오프라인 방식을 별도로 제한하고 있지는 않으나, 현재 전송 요구 시스템 여건 및 정보수신자의 대면 창구 운영 제약 등의 상황을 고려하여 온라인을 통한 전송 요구를 우선 시행함 |
| ■ 정보전송자의 개인정보 처리 업무를 위탁하여 수탁기관이 정보를 관리하고 있는 경우, 수탁기관이 전송 업무를 수행해도 되는지? |
|
➡ 개인정보 전송 요구에 따른 전송 이행도 개인정보 처리에 해당하므로 전송 업무를 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)에 따라 수탁자에게 위탁하여 수행 가능함 |
| ■ 정보주체가 정보수신자를 통하지 않고 정보전송자에게 직접 제3자전송요구가 가능한지? |
|
➡ 보호법 제35조의2(개인정보의 전송 요구)제2항에 따른 제3자전송요구의 경우 정보수신자가 정해진 요건을 갖춰서 지정‧등재되고 중계전문기관과 연계하는 등 정보를 수신할 준비가 되어야 전송이 가능하므로 현재 전송 절차상 정보수신자를 통하여만 전송 요구가 가능함 |
| ■ 전송요구대상정보에 대한 스크래핑 방식의 수집을 허용하는지? |
|
➡ 마이데이터 관련 개인정보 보호법령에 따라 고시로 정한 전송 요구 대상 정보에 대하여 스크래핑 방식의 수집을 금지하고 표준API를 활용하도록 함 |
| ■ 정보주체가 개인정보 전송 요구를 철회하는 경우, 기존에 전송받은 정보는 어떻게 처리하는지? |
|
➡ 정보주체가 개인정보 전송 요구를 철회하는 경우에는 철회한 시점부터 전송 요구는 중단되나, 서비스 이용 철회 또는 탈퇴하지 않는 이상 기존에 전송받은 정보가 삭제되지는 않음 |
| ■ 정보주체의 전송 요구를 거절 또는 중단하는 경우 사유를 반드시 통지하여야 하는지? |
|
➡ 정보전송자는 시행령 제42조의8제2항에 따라 제1항 각 호의 사유로 정보주체의 전송요구를 거절하거나 중단하는 경우에는 지체 없이 해당 사실 및 그 사유를 정보주체에게 통지하도록 하고 있으므로, 반드시 사유를 알려야 함 |
| ■ 일반전문기관은 보건의료전송정보를 제외한 모든 분야의 정보를 활용할 수 있는지? |
|
➡ 일반전문기관은 시행령 제42조의4제1항제2호 및 제3호에 따른 보건의료전송정보 외 전 분야의 정보를 전송받을 수 있음. 다만, 일반전문기관 지정 심사 시 사업계획서 등이 적정한지 검토하여 사업계획에 부합하는 분야의 정보 항목에 대해서만 전송받을 수 있도록 할 예정임 |
| ■ 특수전문기관은 보건의료전송정보 외 정보를 전송받아 활용할 수 있는지? |
|
➡ 특수전문기관은 시행령 제42조의4제1항제1호에 따른 보건의료전송정보만 전송받을 수 있으며, 만약 그 외 정보를 전송받고자 하는 경우에는 일반전문기관으로 지정받아야 함 |
| ■ 일반‧특수전문기관은 개인정보 전송 요구를 통해 전송받은 정보(전송정보)를 가명처리하여 활용할 수 있는지? |
|
➡ 전송정보는 보호법 제28조의2에 따른 가명정보 처리 특례에 따른 목적으로 활용할 경우에 정보주체의 동의 없이도 전송정보의 가명처리가 가능. |
| ■ 일반‧특수전문기관은 개인정보 전송 요구를 통해 전송받은 정보(전송정보)와 본래 업무를 위해 기존 보유하고 있는 정보(보유정보)를 결합하여 활용할 수 있는지? |
|
➡ 전송받은 정보는 보호법 제15조에 따라 전송 요구 목적과 기존에 보유하고 있는 개인정보의 수집 목적이 동일한 범위 내에서 결합하여 활용할 수 있음 |
| ■ 일반전문기관 또는 특수전문기관이 전송받은 정보와 기존에 다른 개인정보처리자로서 보유하고 있는 정보를 결합할 경우, 어떤 방법으로 해야 하는지? |
|
➡ 일반·특수전문기관이 판단하여 정보주체의 전송 요구 철회 및 전송받은 정보의 삭제 요청 등에 대응할 수 있는 적정한 방식으로 결합하여야 함 |
| ■ 중계전문기관은 특정 분야 내에서만 중계 역할을 할 수 있는 것인지? |
|
➡ 개인정보 전송요구권 제도 시행 초기 안정적인 전송 체계가 정착될 수 있도록 중계전문기관이 다양한 분야의 전송 중계를 지원할 수 있도록 하였음. 다만, 보건의료 분야는 분야의 특성을 고려하여 보건의료 분야 중계전문기관은 시행령 제42조의10제2항제1호에 따라 보건복지부장관이 별도로 지정하여 운영할 예정임 |
| ■ 중계전문기관으로 지정받은 자로부터 중계전문기관 업무를 위탁받아 처리하고 있는 수탁자인 경우에도 일반‧특수전문기관 업무의 겸영이 제한되는지? |
|
➡ 중계전문기관은 전송 중계 및 지원 업무를 수행하는 기관으로, 중계전문기관이 전송받은 정보를 관리·분석하는 일반‧특수전문기관 업무를 수행할 경우 정보주체의 이익을 침해하거나 전송 체계 확립에 지장을 초래할 수 있으므로 시행령 제42조의9제2항에 따라 |
| ■ 신용정보법상 본인신용정보관리업 허가를 받은 경우, 보호법상 일반·특수전문기관 지정 심사를 다시 받아야 하는지? |
|
➡ 일반‧특수전문기관 업무를 수행하기 위해서는 보호법 제35조의3에 따라 지정을 받아야 함. 다만, 수범자의 부담을 고려하여 보호법과 신용정보법상 시설·기술 기준이 중복되는 요건에 대해서는 별도의 요건 충족 여부 확인을 생략하는 등 관계부처와 협의하여 심사 절차를 간소화할 계획임 |
| ■ 일반‧특수전문기관이 정보주체를 대리해 본인전송요구권을 행사할 수 있는지? |
|
➡ 일반‧특수전문기관은 보호법 제38조제1항 및 시행령 제45조에 따라 정보주체의 위임을 받아 본인전송요구권을 대리하여 행사할 수 있음. 한편, 정보주체는 시행령 제42조의4제2항에 따라, 정보전송자가 자율적으로 정한 자율전송정보에 대해서도 본인에게 전송을 요구할 수 있고 정보전송자와 정보주체 간의 서비스 이용계약에 따라 정보주체가 직접 조회 가능한 대부분의 서비스 정보가 이에 해당될 수 있음 |
| ■ 개인정보관리 전문기관 지정을 받기 위해서는 반드시 예비심사 절차를 거쳐야 하는지? |
|
➡ 시행령 제42조의10제4항에 따른 예비심사의 경우 개인정보관리 전문기관으로 지정받으려는 자가 지정 신청을 하기 전, 지정권자에게 사업계획서 등 지정요건 세부기준을 갖추었는지 사전에 검토받아 예측 가능성을 확보하고 투자비 낭비 등을 방지하기 위한 것으로, 반드시 예비심사 절차를 거쳐야 하는 것은 아님 |
| ■ 예비심사를 통과한 경우에도 본지정 신청 시 서류, 현장, 종합심사를 모두 받게 되는 것인지? |
|
➡ 예비심사는 시행령 제42조의10제4항 및 전문기관 지정 고시 제10조제1항에 따라 사업계획서(안), 개인정보 관리 계획(안), 시설 및 설비 구축 계획 등에 대한 서류심사만 진행하는 것임 |
| ■ 활용하고자 하는 정보 분야별로 개인정보관리 전문기관 지정을 각각 받아야 하는지? |
|
➡ 전문기관 지정 고시 제5조에 따라 일반전문기관과 특수전문기관의 업무를 모두 수행하고자 하는 경우에는 각 지정권자에게 지정을 받아야 함. |
| ■ 중계전문기관이 다른 중계전문기관으로 업무를 이전하는 경우 보유하고 있는 정보를 파기해야 하는가? |
|
➡ 중계전문기관이 다른 중계전문기관으로 업무를 이전하게 되면 중계업무의 처리 목적을 달성한 것이므로 보호법 제21조에 따라 보유하고 있는 정보를 파기하여야 함. 다만, 다른 법령에 따라 보존해야 하는 경우에는 제외됨 |
| ■ 중계전문기관이 중계업무의 일부 또는 전부를 중지 또는 폐지하려는 경우 다른 중계전문기관으로 이전해야 하는 사항은 무엇인지? |
|
➡ 중계전문기관이 시행령 제42조의6제9항에 따라 관리·보관하고 있는 개인정보 전송내역 등 중계업무와 관련한 자료를 다른 중계전문기관으로 이전해야 함 |
| ■ 일반·특수전문기관이 업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에도 중지 또는 폐지 예정일 6개월 전까지 지정권자에게 통보하여야 하는지? |
|
➡ 일반·특수전문기관 시행령 제42조의12제8항에 따라 중계전문기관에 미리 통지하면 됨. 다만, 일반·특수전문기관과 달리 중계전문기관의 경우 중계업무의 일부 또는 전부를 중지 또는 폐지하려는 경우에 중계업무의 공백, 중단 등이 발생할 수 있으므로 지정권자에게 6개월 전까지 통보하도록 같은 조 제7항에서 규정함 |
