개인정보위, 「전 분야 마이데이터 개인정보 전송요구권 제도 안내서」 발간

- 정보주체의 개인정보 전송요구권 실질 보장을 위한 방법 및 절차 안내

- 정보전송자 홈페이지 스크래핑 제한, 사전 협의 통해 안전한 방식으로 허용되어야

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 공공 및 금융 분야에 이어 전 분야로 확대 시행 중인 마이데이터 제도와 관련하여, 정보주체의 개인정보 전송요구권을 구체적으로 안내하는 『(전 분야 마이데이터) 개인정보 전송요구권 제도 안내서』를 발간했다고 6일 밝혔다.

  이번 안내서는 지난 3월 말 인터넷을 통해 초안을 공개하고 의견수렴을 거쳐 완성된 것으로, 정보주체가 자신의 개인정보를 원하는 곳으로 안전하게 전송할 수 있도록 법령 해설 및 구체적인 권리행사 방법을 담고 있다.

  또한 안내서에서는 자주 제기된 주요 질문을 질의응답(붙임 참고) 형식으로 제공하고, 특히, 본인전송 요구의 대리 행사에 관한 문의가 빈번해 이에 대해 상세히 설명하였다. 

  【본인전송 요구 대상 정보 및 다운로드 방법】

  개인정보 보호법상 전송을 요구할 수 있는 정보는 정보주체 본인에 관한 개인정보로 컴퓨터 등으로 처리가 가능한 모든 정보다. 전송요구는 ①정보주체 본인에게 정보를 전송하는 '본인전송 요구' 및 ②개인정보관리 전문기관 등에 정보를 전송하는 '제3자전송 요구' 등 두 가지로 나뉜다. 이중 본인전송은 제3자전송보다 폭넓게 권리를 보장하기 위해 추가적인 정보를 정보전송자가 자율로 정할 수 있도록 하여, 정보전송자의 홈페이지에서 조회가 가능한 모든 개인정보가 해당될 수 있다. 정보전송자는 자사 홈페이지에서 제공하는 개인정보 열람․조회 기능 등을 활용하여 정보주체가 정보를 내려받을 수 있는 기능을 구현할 수 있다.

  【안전성 및 신뢰성 있는 전송 방식】

  정보주체는 정보전송자 홈페이지에서 본인정보를 직접 내려 받거나, 대리인에게 위임하여 내려 받을 수 있다. 하지만 대리인이 인증 정보를 위임받아 자동화 도구(스크래핑* 등)를 통해 수집하는 경우 정보전송자는 기술적·관리적 취약점을 고려하여 안전한 전송 방법을 마련하여야 한다.

   * 정보주체의 인증정보를 위임받아 웹사이트에 접속하여 데이터를 자동으로 추출하는 방식

  정보전송자는 개인정보를 전송하기 전 정보주체 본인 여부 또는 정당한 대리인인지 여부를 반드시 확인해야 하며, 자동화 도구를 통한 무차별 대입 공격 등 정보주체 확인이 어려운 상황에 대비한 보안 조치가 필수적이다. 특히, 본인전송 요구는 정보전송자의 홈페이지를 통해 처리되는 만큼, 웹사이트를 통한 개인정보 유출 방지를 위한 기술적·관리적 보호조치의 이행이 중요하다.

  최근 급증하는 크리덴셜 스터핑(credential stuffing)* 등에 의한 휴대폰 인증 도용 등 개인정보 침해 위협에 대응하는 방안을 마련해야 한다. 그 방안으로 △다중 인증(MFA)**, △캡차(CAPTCHA)*** 적용, △비정상 로그인 시도 탐지 및 차단 등 보안기능 강화를 위한 기술적 조치와 함께, 정보전송자와 사전 협의를 통해 안전하고 신뢰할 수 있는 전송 방식을 정한 자에 한해 자동화된 도구에 의한 접근을 허용하도록 홈페이지 이용약관을 개정하는 등 제도적 장치 도입을 권고한다. 

   * 유출된 아이디와 패스워드를 무차별 대입하는 자동화시킨 악성 봇 공격

 ** 신원 확인을 위해 휴대폰 인증 외에 보조적인 여러 인증 수단을 제공하는 방식

*** 사람인지 자동화된 기계인지 구분하기 위해 문자, 숫자 등을 활용해 인증하는 방식

  한편, 개인정보위는 개인정보관리 전문기관이 정보주체 위임을 받아 본인전송 요구를 대리할 경우 정보전송자가 적극 협조할 것을 권고한다. 개인정보관리 전문기관은 개인정보위 또는 관계부처로부터 정보주체의 권리행사 지원 및 안전성 등에 대해 엄격한 심사를 거쳐 지정된 기관이다. 전문기관과 정보전송자 간에 안전한 전송체계를 확보하기 위해 ①API 직접 연계, ②중계전문기관을 통한 API 추가 연계, ③협의된 스크래핑 방식 등 다양한 방식을 고려할 수 있다.

  이정렬 개인정보위 사무처장은 "정보주체의 전송요구권 보장은 개인정보의 안전한 관리와 책임있는 활용이 필수"라며, "이번 안내서 발간에 이어, 국민의 개인정보 자기결정권이 안전한 환경에서 실질적으로 보장될 수 있도록 대국민 홍보와 지속적인 정책 지원을 병행해 나가겠다."라고 밝혔다.

  안내서의 자세한 내용은 개인정보위 누리집(pipc.go.kr)과 개인정보 포털(privacy.go.kr)에서 내려받을 수 있다.

  ※ 개인정보위 누리집(pipc.go.kr) > 정책·법령 > 법령정보 > 안내서

     개인정보 포털(privacy.go.kr) > 자료 > 자료보기 > 안내서

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 범정부마이데이터추진단 전략기획팀 권오혁(02-2100-3172), 윤상은(02-2100-3174)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”