개인정보보호위원회는 2025. 6. 23. 정보주체의 본인전송요구권 확대를 주요 내용으로 하는 「개인정보 보호법 시행령」(이하 “시행령”) 개정안(이하 “본건 개정안”)을 입법예고하였습니다. 본건 개정안은 「개인정보 보호법」(이하 “보호법”) 제35조의2의 취지에 따라, 본인대상 정보전송자 및 본인전송정보의 범위를 확대하고, 본인전송요구 대리시 전송방법과 개인정보관리전문기관의 본인전송정보 관리 및 분석 업무를 규정하고 있습니다. 본건 개정안의 주요 내용은 아래와 같습니다.
I. 시행령 개정안의 내용
1. 본인대상정보전송자의 확대(안 제42조의2)
가장 중요한 개정 사항은 본인전송요구권에 대한 정보전송자 범위의 전면적인 확대입니다. 개인정보의 전송요구권에 대해 규정하고 있는 보호법 제35조의2에서는 정보주체가 본인의 개인정보를 자신에게 전송 요구할 수 있는 ‘본인전송요구권’와 제3자에게 전송 요구할 수 있는 ‘제3자 전송요구권’을 구분하고 있습니다. 정보전송자와 관련하여서는, 본인 전송 요구권의 대상이 되는 개인정보처리자(이하 “본인대상정보전송자”)의 기준은 개인정보 처리 능력 등을 고려하여 대통령령으로 정하도록 한 반면, 제3자 전송요구권의 대상이 되는 개인정보처리자(이하 “제3자정보전송자”)는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하도록 하고 있어 본인전송요구의 범위를 더 폭넓게 보장하고 있습니다. 그러나 현행 시행령은 이를 구분하지 않고 본인전송요구권에 대해서도 그 적용 대상을 보건의료, 통신, 에너지의 3개 분야로 한정할 뿐만 아니라, 제42조의2 제1호부터 제3호에 따라 해당 분야 내에서도 특정한 기관이나 사업자에 대해서만 정보전송 의무를 부과하고 있어, 본인대상정보전송자의 범위가 좁게 설정되어 있습니다.
본건 개정안은 본인대상정보전송자를 특정 분야에 한정하지 않고, 전년도 매출액이 1,500억 원 이상이며 100만 명 이상의 개인정보를 처리하거나 5만 명 이상의 민감정보 또는 고유식별정보를 처리하는 자, 직전 연도 12월31일 기준 재학생 수 2만 명 이상인 「고등교육법」 제2조에 따른 학교, 공공시스템운영기관 및 법 제35조의2 제2항에 따른 개인정보처리자 및 기타 개인정보 보호위원회가 별도로 고시하는 자로 확대하고 있습니다. 이에 따라, 일정 요건을 갖춘 개인정보처리자는 업종을 불문하고 정보주체 본인의 요구가 있는 경우, 해당 정보주체에게 본인에 관한 정보를 전송할 의무가 있습니다.
2. 본인전송정보의 확대 (안 제42조의4)
본인전송 정보의 범위 또한 본건 개정안에서 확대되었습니다. 현행 시행령 제42조의4는 보건의료, 통신, 에너지 3개 분야에서 전송요구 대상 정보를 각 분야의 특성을 고려하여 개인정보보호위원회가 유관 부처와 협의해 고시하는 정보로 한정하고 있어, 정보주체가 전송을 요구할 수 있는 정보의 범위가 제한적이었습니다.
이에 반해, 본건 개정안은 보호법 제35조의2 제1항의 취지를 반영하여 특정 분야나 고시된 항목에 한정하지 않고 보다 넓은 범위의 개인정보를 전송 요구 대상에 포함시키고 있습니다. 구체적으로, 정보주체의 동의를 받아 처리되는 개인정보, 계약의 이행 또는 체결 과정에서 정보주체의 요청을 이행하기 위해 처리되는 개인정보, 그리고 법령에 따라 처리되는 개인정보 일체가 전송 요구 대상에 포함됩니다.
다만, 전송 요구 대상에서 제외되는 정보도 명확히 규정하였습니다. 법 제35조의2 제1항 제2호에서 규정하는 개인정보처리자가 수집한 정보를 기반으로 분석·가공하여 별도로 생성한 정보와 더불어, 제3자의 권리 또는 이익을 침해할 우려가 있는 정보 및 복호화되지 않도록 일방향 암호화 방식으로 저장되어 실질적으로 전송이 불가능한 정보는 전송 요구의 대상에서 제외됩니다.
3. 전송 방법(안 제42조의5 및 제42조의6)
전송 방법에 관한 규정도 본건 개정안에서 보다 구체화되었습니다. 본건 개정안은 정보주체가 법 제38조에 따라 대리인을 통해 본인전송요구권을 행사할 수 있도록 하는 기존 제도를 전제로, 대리인이 스크래핑 등 자동화된 도구를 이용하여 정보를 전송받고자 하는 경우에는 정보의 안정성과 보안을 확보하기 위하여 반드시 정보전송자와 사전에 협의한 방식에 따르도록 하고 있습니다.
4. 개인정보 관리 전문기관의 본인전송요구권 행사(안 제42조의9)
아울러, 개인정보관리 전문기관에 본인전송정보에 대한 관리 및 분석 업무를 추가하여 정보주체의 본인전송요구권을 행사할 수 있도록 하였습니다. 이 경우, 전송된 정보는 반드시 정보주체 본인만이 접근 가능한 개인 저장소에 안전하게 저장되어야 하며, 정보주체의 명시적인 위임이 있는 경우에 한하여 해당 전문기관이 이를 관리하거나 분석할 수 있도록 허용하고 있습니다.
II. 본건 개정안의 의의
본건 개정안 제42조의2는 본인대상정보전송자의 범위를 확대하여 그동안 일부 산업에만 제한적으로 적용되던 전송요구권을 처리 규모와 매출 등 객관적인 기준을 중심으로 모든 업종에 적용되도록 함으로써 정보주체의 개인정보 통제권을 강화하였습니다.
또한, 본건 개정안은 정보주체가 전송을 요구할 수 있는 정보의 유형을 법상 주요 처리 근거 전반으로 확대함으로써, 정보의 성격이나 발생 경로에 구애받지 않도록 합니다. 이를 통해 디지털 주권의 핵심 요소로서 정보주체의 능동적 지위를 재확립하고, 플랫폼 중심의 정보 집중 구조에 균형을 더하며, 마이데이터 사업에도 활력을 불어넣는 제도적 동력이 될 수 있습니다.
전송 방법에 관한 기술적 요건을 구체화한 것도 단지 실무적 정비를 넘어서, 정보의 안전성과 신뢰성을 기반으로 한 데이터 이동권 모델을 제시했다는 점에서 의미가 있습니다. 자동화 도구의 남용을 방지하면서도, 전문기관과의 연계를 통해 정보주체가 보다 쉽게 권리를 행사할 수 있도록 설계한 구조는, 향후 데이터 기반 혁신과 정보 활용을 제도적으로 조화시키는 중요한 출발점이 될 것입니다.
III. 개인정보처리자가 유의해야 할 사항
개인정보처리자에게는 이번 개정안에 따른 실질적인 법적·기술적 대응이 요구됩니다. 우선, 일정한 매출액과 개인정보 처리 규모 요건을 충족할 경우 업종에 관계없이 본인대상정보전송자에 해당할 수 있으므로, 자사의 매출 규모와 처리 중인 개인정보의 범위(일반 개인정보, 민감정보, 고유식별정보)를 사전에 점검하는 것이 필요합니다. 또한, 전송 요구에 적절히 대응하기 위해 내부 절차 마련, 표준화된 전송 방식 정비, 요청 접수 및 처리 이력 관리 체계의 구축 등 실무 인프라를 정비해 둘 필요가 있습니다.
아울러 대리인을 통한 전송 요구가 가능해짐에 따라, 개인정보처리자는 요청의 진위 확인 절차, 자동화 도구 사용에 대한 협의 방식, 대량 요청 발생 시의 기술적 대응 방안 등을 사전에 마련할 필요가 있습니다. 특히, 이러한 대리인 제도가 향후 상업적 서비스로 발전할 가능성도 있는 만큼 실무적 대비가 요구됩니다. 예컨대, 복수의 서비스에 흩어진 개인정보를 일괄 수집하고 이를 분석하거나 맞춤형 서비스로 연계하는 데이터 전송 대행 플랫폼이 등장할 수 있습니다. 유럽에서는 실제로 ‘MyData Operators’와 같은 중개 사업자가 정보주체의 위임을 받아 전송을 대행하고, 수신된 데이터를 제3자 서비스로 안전하게 연결하는 구조가 운영되고 있으며, 유사한 모델이 국내에서도 도입될 여지가 있습니다. 이러한 환경이 현실화될 경우, 개인정보처리자는 반복적·대규모 요청과 위임 형식화에 따른 보안·책임 리스크에 노출될 수 있으므로, 관련 기준과 내부 정책을 미리 정비해 두는 것이 바람직합니다.
본건 개정안은 2025. 6. 23.부터 8. 4.까지 입법예고 기간을 거칠 예정이며, 개정안 자체에는 공포 즉시 시행이 가능하도록 규정되어 있습니다. 그러나 실제 시행을 위해서는 입법예고 기간 중 접수된 의견의 검토 및 반영, 법제처 심사, 국무회의 의결 등의 절차가 필요하므로, 최종 시행 시점은 이르면 2025년 10월경이 될 것으로 예상됩니다. 개인정보처리자들은 이러한 일정을 고려하여 선제적으로 대응 체계를 점검할 필요가 있습니다.
끝으로, 보호법은 현재 전송요구권 행사에 대한 개인정보처리자의 전송의무(보호법 제35조의2 제3항) 위반에 대해 직접적인 과징금 또는 과태료 규정을 두고 있지는 않습니다. 하지만 전송의무 위반은 개인정보 침해행위로 간주될 수 있으므로 보호법 제64조 제1항에 따른 시정명령의 대상이 되고, 시정명령을 이행하지 않을 경우에는 보호법 제75조 제2항 제27호에 따라 3천만 원 이하의 과태료가 부과될 수 있는 간접적인 제재가 이루어질 수 있으므로, 개인정보처리자는 관련 법적 리스크에도 유의해야 합니다.
