"유출우려" vs "정보권리"…마이데이터 전면확대 앞두고 논란

[강민지 제작] 일러스트

(서울=연합뉴스) 이정훈 기자 = 20일 서울 종로구 정부서울청사 개인정보보호위원회에서 열린 마이데이터 선도서비스 시연회에서 가톨릭중앙의료원의 서비스가 시연되고 있다. 2025.5.20 uwg806@yna.co.kr

(서울=연합뉴스) 이정훈 기자 = 20일 서울 종로구 정부서울청사 개인정보보호위원회에서 열린 마이데이터 선도서비스 시연회에서 가톨릭중앙의료원의 서비스가 시연되고 있다. 2025.5.20 uwg806@yna.co.kr

개인정보보호위원회가 추진 중인 마이데이터 제도상 '본인전송요구권'의 전 분야 확대를 두고 업계와 개인정보위의 입장이 첨예하게 갈리고 있다.

마이데이터는 자신의 개인정보를 보유한 기업·기관에 그 정보를 본인(본인 전송)이나 당사자가 원하는 다른 곳(제3자 전송)으로 옮기도록 요구할 수 있는 서비스다.

업계는 ▲ 전송 시스템 구축 비용 부담 ▲ 영업비밀 유출 ▲ 전문기관의 정보 오남용·유출 가능성 등을 우려하는 반면, 개인정보위는 "개인정보 자기결정권 보장을 위한 조치"라며 맞서고 있다.

◇ 개보위, 본인전송요구권 전 분야 확대 추진…규개위 '추가 의견수렴' 요구

30일 관계부처에 따르면 규제개혁위원회는 지난 28일 개인정보위가 입법예고한 개인정보보호법 시행령 개정안에 대한 본심사를 했지만, 추가 의견 수렴이 필요하다는 판단에 따라 결론을 유보했다.

지난 6월 입법예고된 개정안은 금융·의료·통신 등 일부 분야로 제한됐던 본인전송요구권을 모든 분야로 확장하는 내용을 담고 있다.

연 매출 1천500억원 이상이면서 100만명 이상의 개인정보를 처리하는 사업자 또는 5만명 이상의 민감정보·고유식별정보를 처리하는 사업자 등 일정 규모의 개인정보처리자를 분야와 관계없이 모두 본인전송요구 대상에 포함한 것이 핵심이다.

본인전송정보는 정보전송자의 인터넷 홈페이지를 통해 정보주체가 즉시 열람·조회할 수 있는 정보로 한정되며 영업비밀 등 보호가 필요한 정보는 제외할 수 있다.

정보주체는 인터넷 홈페이지에서 즉시 열람·조회할 수 있는 정보를 직접 다운로드하거나, 대리권을 통해 권리를 행사할 수 있다.

또 정보주체의 안전한 권리 행사를 지원하기 위해 개인정보관리 전문기관의 업무에 본인전송정보를 위임받아 관리·분석하는 업무를 추가했다.

개인정보관리 전문기관은 정보주체의 권리 행사를 지원하기 위해 개인정보를 안전하고 체계적으로 관리하고, 마이데이터를 활용한 서비스를 제공하는 기관을 말한다.

◇ 업계·소비자단체 "영업비밀·민감정보 해외 유출 우려"…보안 취약성 지적도

문제는 본인전송요구권의 전 분야 확대를 둘러싸고 기업들과 소비자단체의 반발이 계속되고 있다는 점이다.

업계는 개인정보관리 전문기관의 보안 역량을 가장 큰 위험 요인으로 지적한다.

SKT와 같은 대기업에서도 개인정보 유출이 반복되는 상황에서, 자본금 1억원 요건에 불과한 전문기관의 보안성을 신뢰하기 어렵다는 것이다.

일부에서는 해외 기업이 전문기관 지위를 획득할 가능성까지 제기하고 있다.

한국온라인쇼핑협회는 최근 입장문에서 "C커머스 기업 등 해외 기업도 전문기관을 설립할 수 있기 때문에, 제도가 시행되면 우리 국민의 민감한 개인정보가 해외 기업에 무상으로 공유되는 것과 다름없다"고 주장했다.

이어 "자율주행·전기차·유통·여가문화 분야의 핵심기술이나 민감한 정보가 플랫폼 소비자 데이터를 통해 해외로 유출될 가능성이 있고, 이는 국가안보와 경제주권 상실을 초래할 것"이라고 밝혔다.

소비자단체도 비판에 가세했다.

한국소비자단체협의회는 입장문에서 "전문기관에 대규모 데이터가 집중되는 구조는 대형 유출 위험을 높인다"며 "최근 통신사·카드사·플랫폼 등에서도 대규모 유출이 반복되는 상황에서, '대기업은 해킹당해도 전문기관은 더 안전하다'는 설명을 소비자가 신뢰하기 어렵다"고 주장했다.

◇ 개보위 "해외 기업 전문기관 지정 사실상 불가…스타트업에는 기회"

개인정보위는 지난 20일부터 일주일 동안 네 차례의 설명자료를 내는 등 적극적인 해명에 나섰다.

개인정보위는 설명자료에서 "전 분야 마이데이터는 정보주체의 데이터 통제권을 강화하기 위한 것으로, 이를 통해 플랫폼·사업자의 락인(고객잠금) 효과를 줄이고 정보 비대칭을 완화해 선택권·경쟁·혁신이 촉진될 것"이라고 밝혔다.

업계가 제기한 해외 유출 우려에 대해선 "전문기관은 현장 실사를 거쳐 보호 체계를 검증해야 하므로 해외 기업이 전문기관으로 지정될 가능성은 사실상 없다"고 반박했다.

이어 "지정 후에도 감독·통제를 받기 때문에 중국 기업 등에 개인정보가 전송되거나 유출될 가능성은 희박하다"고 강조했다.

하승철 개인정보위 범정부마이데이터추진단 단장은 연합뉴스와의 통화에서 "SKT 등 대기업에서 발생한 유출 사고는 소프트웨어 업데이트 같은 기본적인 보안 조치를 소홀히 한 데서 비롯된 것"이라며 "전문기관은 국민이 데이터를 맡기고 분석을 의뢰할 수 있도록 설계된 기관"이라고 반박했다.

개인정보위는 또 스타트업과 중소기업 등 정보전송자의 부담이 증가할 수 있다는 지적에는 중소기업과 스타트업은 정보전송자 대상에 포함되지 않는다고 선을 그었다.

오히려 중소·스타트업이 소수 기업에 묶여 있던 데이터를 전송받아 혁신적 서비스를 만들고, 이를 통해 새로운 비즈니스를 창출할 기회가 될 것이라는 취지다.

chacha@yna.co.kr

<연합뉴스>