[이뉴스투데이 백연식 기자] 개인정보보호위원회가 개인정보보호법 시행령 개정을 통해 마이데이터 본인전송요구권 확대를 추진하고 있는 가운데, 대리전송 요청 관련해 논란이 일고 있다.
본인전송요구권은 정보주체가 자신의 민감정보를 직접 전송할 수 있도록 허용하는 제도인데, 정보의 전송과정에서 안정성과 신뢰성 확보가 무엇보다 중요하다. 때문에 대리를 받은 사업자가 내부에 개인정보를 보관하게 되고, 그 정보를 활용해 무분별하게 오남용 될 소지가 높아질 것을 업계는 우려하고 있다.
4일 정부 당국에 따르면 개인정보위는 정보주체가 본인에게 전송을 요구할 수 있는 대상 정보(본인전송요구권)가 기존 특정 분야(보건의료, 통신, 에너지)에서 개인정보보호법 제35조의 2 제 1항의 요건을 충족하는 ‘모든 분야의 개인정보’로 확대하는 내용의 관련 법 시행령 개정을 추진하고 있다.
핵심은 본인에게 정보를 전송해야 하는 정보전송자의 범위가 확대되는 것이다. 개인정보위 설명에 따르면 앞으로 연간 매출액 1500억원 이상이면서 특정 기준(정보 주체 100만명 이상 또는 민감/고유식별정보 5만명 이상 처리)을 충족하는 개인정보처리자, 재학생 수 2만명 이상 대학, 공공시스템 운영기관 등이 포함된다.
논란의 쟁점은 개인정보위 안대로 시행령이 개정될 경우, 대리 전송요청이 가능하다는 점에 있다. 정보주체가 마이데이터를 이용하는 과정에서 제3자(대리인)인 통합조회형 전문기관을 통해 개인정보 전송을 요구하거나, 자동화된 도구를 이용해 전송을 요청하는 것이 가능해지는 것이다. 자동화된 도구란 API(응용 프로그램 프로그래밍 인터페이스) 방식 또는 금융마이데이터에 금지된 스크래핑(컴퓨터 프로그램이 웹 페이지에 접속해 데이터를 자동으로 추출하는 것) 방식도 가능하게 열어주는 것을 말한다.
개인정보위는 본인전송요구권 대리 전송을 위해 통합조회형 개인정보관리 전문기관을 만들겠다는 계획이다. 개인정보관리 전문기관이 개인정보 전송 중개를 담당하며, 정보주체가 자신의 개인정보를 전문기관 내 개인 저장소에 저장할 수 있다. 향후 정보주체의 개인정보를 활용(맞춤형 추천서비스)하고 싶다면, 별도의 계약을 맺어 서비스 추천이 가능하다. 업계는 이러한 방식이 사실상 제3자 개인정보 전송요구권과 마찬가지라고 주장하고 있다. 사업자는 정당한 사유 없이 거부가 불가능하기 때문이다.
본인전송요구권은 특히 의료, 통신, 금융 등 고위험 정보가 앞으로 포함되기 때문에 정보의 전송 과정에서 안전성과 신뢰성 확보가 절대적으로 중요하다는 것이 업계의 주장이다.
국내 기업 한 관계자는 “개정안은 일정한 보호조치를 요구하고 있으나, 정보주체의 대리인(전문기관)이 자동화된 방식(API 또는 스크래핑 등)을 통해 전송을 대행할 수 있도록 허용하고 있으며, 이 과정에서 웹사이트 인증정보 탈취, 스크래핑 취약성, 비인가 접근 등 보안 취약점이 존재한다”며 “SK텔레콤 개인정보 유출 사태로 전 국민의 경각심이 높아진 시점에서 개인정보위가 오히려 개인정보 유출이 쉽게 발생될 수 있는 환경을 조성하는 것이 매우 모순적”이라고 지적했다.
민감정보의 오·남용 우려 역시 업계는 지적하고 있다. 본인전송을 통해 수집된 정보는 원칙적으로 정보주체가 직접 보관·관리해야 한다. 하지만 개인정보위 개정안에 따르면 대리를 받은 사업자 내부에 개인정보를 보관하게 되기 때문에 그 개인정보를 활용해 무분별하게 오남용 될 소지가 높아진다는 것이다.
개정안은 본인전송을 통한 정보 활용에 대해 제한을 두지 않고 있어, 전송받은 민감정보가 기업의 서비스 개선, 마케팅, 알고리즘 학습 등에 2차적으로 활용될 가능성이 높다는 지적도 나온다. 복수의 분야 정보가 결합될 경우, 정보주체가 예상하지 못한 수준의 개인 프로파일링이 가능해져 정보주체의 프라이버시와 자율성을 위협할 수 있다는 것이 업계의 논리다.
다른 기업 한 관계자는 “개인정보위 현 시행령 개정안의 본인정보전송은 다운로드로 한정해야 한다”며 “통합조회형 전문기관 설립 추진은 반드시 철회돼야 한다”고 강조했다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
