개인정보이동권(전송요구권)

개인정보이동권 또는 데이터이동권이란, GDPR 제20조에 나오는 개념이다. 이는 정보주체의 권리 중 하나로서, 정보주체가 특정 사업자가 제공하는 서비스에 종속되지 않게 함과 동시에 개인정보자기결정권을 보장하기 위한 제도이다.

Art. 20 GDPR

Right to data portability

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

the processing is carried out by automated means.

2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. 2That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

개인정보이동권이란, 한 서비스제공자가 관리하고 있는 본인의 개인정보를 가져오거나 또는 다른 서비스제공자에게 이동하도록 요청하는 권리를 의미한다. 예컨대 네이버에서 관리하고 있는 본인의 개인정보를 다음에 제공하게 하는 권리를 의미한다.

우리나라 개인정보보호법에는 개인정보 이동권은 보장되어 있지 않다. 앞으로 도입될 것으로 예상되나, 현재는 존재하지 않는다. 다만 몇 가지 입법에 다른 취지로 그 흔적을 찾을 수 있는데, 그것이 바로 신용정보보호법과 클라우드컴퓨팅법이다.

신용정보보호법

제33조의2(개인신용정보의 전송요구) ① 개인인 신용정보주체는 신용정보제공ㆍ이용자등에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 다음 각 호의 어느 하나에 해당하는 자에게 전송하여 줄 것을 요구할 수 있다.

1. 해당 신용정보주체 본인

2. 본인신용정보관리회사

3. 대통령령으로 정하는 신용정보제공ㆍ이용자

4. 개인신용평가회사

5. 그 밖에 제1호부터 제4호까지의 규정에서 정한 자와 유사한 자로서 대통령령으로 정하는 자

② 제1항에 따라 개인인 신용정보주체가 전송을 요구할 수 있는 본인에 관한 개인신용정보의 범위는 다음 각 호의 요소를 모두 고려하여 대통령령으로 정한다.

1. 해당 신용정보주체(법령 등에 따라 그 신용정보주체의 신용정보를 처리하는 자를 포함한다. 이하 이 호에서 같다)와 신용정보제공ㆍ이용자등 사이에서 처리된 신용정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것

가. 신용정보제공ㆍ이용자등이 신용정보주체로부터 수집한 정보

나. 신용정보주체가 신용정보제공ㆍ이용자등에게 제공한 정보

다. 신용정보주체와 신용정보제공ㆍ이용자등 간의 권리ㆍ의무 관계에서 생성된 정보

2. 컴퓨터 등 정보처리장치로 처리된 신용정보일 것

3. 신용정보제공ㆍ이용자등이 개인신용정보를 기초로 별도로 생성하거나 가공한 신용정보가 아닐 것

③ 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 신용정보제공ㆍ이용자등은 제32조 및 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 지체 없이 본인에 관한 개인신용정보를 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 전송하여야 한다.

1. 「금융실명거래 및 비밀보장에 관한 법률」 제4조

2. 「국세기본법」 제81조의13

3. 「지방세기본법」 제86조

4. 「개인정보 보호법」 제18조

5. 그 밖에 제1호부터 제4호까지의 규정에서 정한 규정과 유사한 규정으로서 대통령령으로 정하는 법률의 관련 규정

④ 제1항에 따라 신용정보주체 본인이 개인신용정보의 전송을 요구하는 경우 신용정보제공ㆍ이용자등에 대하여 해당 개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다.

⑤ 개인인 신용정보주체가 제1항 각 호의 어느 하나에 해당하는 자에게 제1항에 따른 전송요구를 할 때에는 다음 각 호의 사항을 모두 특정하여 전자문서나 그 밖에 안전성과 신뢰성이 확보된 방법으로 하여야 한다.

1. 신용정보제공ㆍ이용자등으로서 전송요구를 받는 자

2. 전송을 요구하는 개인신용정보

3. 전송요구에 따라 개인신용정보를 제공받는 자

4. 정기적인 전송을 요구하는지 여부 및 요구하는 경우 그 주기

5. 그 밖에 제1호부터 제4호까지의 규정에서 정한 사항과 유사한 사항으로서 대통령령으로 정하는 사항

⑥ 제3항에 따라 개인신용정보를 제공한 신용정보제공ㆍ이용자등은 제32조제7항 및 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 개인신용정보의 전송 사실을 해당 신용정보주체 본인에게 통보하지 아니할 수 있다.

1. 「금융실명거래 및 비밀보장에 관한 법률」 제4조의2

2. 그 밖에 개인신용정보의 처리에 관한 규정으로서 대통령령으로 정하는 법률의 관련 규정

⑦ 개인인 신용정보주체는 제1항에 따른 전송요구를 철회할 수 있다.

⑧ 제1항에 따라 본인으로부터 개인신용정보의 전송요구를 받은 신용정보제공ㆍ이용자등은 신용정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 전송요구를 거절하거나 전송을 정지ㆍ중단할 수 있다.

⑨ 제1항 및 제4항에 따른 전송요구의 방법, 제3항에 따른 전송의 기한 및 방법, 제7항에 따른 전송요구 철회의 방법, 제8항에 따른 거절이나 정지ㆍ중단의 방법에 대해서는 대통령령으로 정한다.

신용정보보호법에 도입 취지는 GDPR과 조금 다르다. GDPR은 정보주체의 통제권이나 권리보장 차원에서 도입되었으나, 신용정보보호법은 마이데이터사업이 가능하게 하기 위해서 도입된 것이다. 마이데이터사업이란 본인신용정보관리업으로 불리는데, 쉽게 이야기하면 정보주체가 직접 개인정보 이동권을 행사하지 않고 마이데이터사업자에게 이 권리를 위임하여 마이데이터사업자가 개인정보이동권을 대신 행사하여 개인정보를 통합시킨 다음, 정보주체에게 통합된 개인정보를 통해서 분석을 하다든지 투자정보를 제공한다든지 하는 방식이다. 더불어 용어도 개인정보 이동권이라 하지 않고, '전송요구권'이라고 칭하고 있음에 유의해야 한다.

다시 말하면 마이데이터사업자의 사업의 원활성을 보장하기 위해서 도입된 것이 바로 신용정보보호법상의 전송요구권이다. 그 전에는 마이데이터사업자가 정보주체의 정보를 끌어오기 위한 제도적 장치가 마련되어 있지 않았고, 따라서 개인정보를 주어야 하는 측에서 협조하지 않아도 이를 법적으로 강제할 방법은 없었다.

또 하나 개인정보 이동권을 인정하고 있는 입법은 클라우드컴퓨팅법이다. 하지만 그 흔적만 있을 뿐 이를 두고 개인정보 이동권이라 부르기에는 한계가 있어 보인다.

클라우드컴퓨팅법

제27조(이용자 정보의 보호) ③ 클라우드컴퓨팅서비스 제공자는 이용자와의 계약이 종료되었을 때에는 이용자에게 이용자 정보를 반환하여야 하고 클라우드컴퓨팅서비스 제공자가 보유하고 있는 이용자 정보를 파기하여야 한다. 다만, 이용자가 반환받지 아니하거나 반환을 원하지 아니하는 등의 이유로 사실상 반환이 불가능한 경우에는 이용자 정보를 파기하여야 한다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2020. 11. 12.) 기고.