9월 30일부터 10월 21일까지 22일간 각계 의견수렴해 충실히 반영할 계획 밝혀
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 전 분야 마이데이터 시행을 위한 ‘개인정보 전송 방법 및 개인정보관리 전문기관 지정 등에 관한 고시’(이하 고시) 제정안을 9월 30일부터 10월 21일까지 22일간 행정예고한다고 밝혔다.
▲개인정보보호위원회 로고[로고=개인정보위]
이번 고시 제정안은 지난해 3월 개인정보 보호법(법률 제19234호) 및 같은 법 시행령 개정에 따라 도입되는 개인정보 전송요구권 제도가 2025년 본격 시행되는 것에 대비해 고시 위임사항인 개인정보 전송요구의 방법, 전송방식, 개인정보관리 전문기관(이하 전문기관) 지정 및 개인정보 전송 지원 플랫폼 등록 절차 등 세부 사항을 규정했다.
첫째, 정보주체가 전송요구권을 원활하게 행사할 수 있도록 전송요구의 방법 및 전송방식 등 시행령에서 위임한 사항을 구체화했다. 정보주체는 정보전송자에게 전송요구 목적, 전송받는 자, 전송을 요구하는 개인정보 등을 특정해 전송요구서를 제출해야 하고, 정보전송자는 정보 전송의 안전성과 신뢰성이 보장될 수 있도록 정보 전송 시 안전한 암호 알고리즘으로 암호화하는 등의 방식으로 정보를 전송해야 한다.
둘째, 정보주체의 요구에 따라 정보를 전송받을 수 있는 전문기관의 지정요건을 규정했다. 전문기관으로 지정받으려는 자는 전송받은 정보를 안전하게 관리할 수 있도록 기술기준 및 전문성, 안전성 확보조치 수준, 재정능력 등을 적정하게 갖춰야 한다.
재정능력의 기준은 구체적으로 △표준 전송 절차, 연계방식 및 전송 보안 기준을 충족하는 기능 구축, 시스템의 운영 및 보호가 가능한 네트워크 구성 등 설비 및 기술 △보호정책 수립, 접근권한의 관리, 접근통제 등 안전한 보호체계 △손해배상책임의 이행을 위한 최저가입금액 10억 원 이상의 보험 또는 공제 가입 등을 충족해야 한다.
셋째, 전문기관의 지정 및 심사 등에 관한 절차를 마련했다. 전문기관의 지정권자는 개인정보위 또는 관계 중앙행정기관의 장으로 하되, 전송받고자 하는 정보와의 업무 관련성을 고려해 결정된다.
전문기관의 지정절차는 서류심사, 현장심사, 종합심사의 순으로 진행될 예정이다. 개인정보 보호, 정보보호 및 관계 분야의 전문가로 구성된 지정심사위원회가 심사하며, 지정권자는 지정심사위원회의 심사결과를 확인해 지정이 적합하다고 인정하는 경우에 전문기관으로 지정한다.
▲개인정보 전송 방법 및 개인정보관리 전문기관 지정 등에 관한 고시 행정예고 공고문(일부)[자료=개인정보위]
넷째, 전문기관 지정심사 전에 사업자의 불필요한 비용 투자를 방지하고자 사업계획서 등의 적정성을 미리 검토하는 예비지정 절차를 마련했다. 예비지정을 받은 자는 예비지정을 받은 날부터 6개월 이내에 예비지정의 내용을 이행해 지정을 신청해야 한다. 그밖에 변경승인, 재지정, 지정취소 및 취소에 따른 조치 등 기준·절차를 규정했다.
지정취소 및 취소에 따른 조치는 중계 전문기관에 한해 수행 중인 업무의 중단, 보유하고 있는 개인정보의 파기, 업무의 중단 및 개인정보의 파기 시 해당 사실의 정보주체에 대한 통지, 수행 중인 업무를 다른 중계 전문기관으로의 이전 등이 될 수 있다.
개인정보위는 이번 고시 제정안에 대한 행정예고 과정에서 각계의 의견을 들어 충실히 반영할 계획이라고 밝혔다. 고시 제정안은 개인정보위 홈페이지에서 확인할 수 있으며, 의견이 있는 기관·단체 또는 개인은 전자우편 및 일반우편 등을 통해 10월 21일까지 개인정보보호위원회 범정부마이데이터추진단으로 의견을 제출할 수 있다.
또한 개인정보 전송요구 대상이 되는 정보전송자 및 전송 정보의 기준은 관계부처, 산업계 등과 충분히 협의를 통해 추후 고시 제정안을 별도로 마련해 행정예고할 예정이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>