마이데이터 제도의 핵심인 '본인정보 전송요구권'의 확대 시행을 앞두고 안전성과 실효성을 우려하는 기업들의 목소리가 커지고 있다. 이에 대해 개인정보보호위원회는 수집 정보의 최소화 등 안전성을 강화하겠다고 밝혔다.
25일 서울 종로구 정부청사에서 열린 마이데이터 기자간담회에서 하승철 개인정보위 범정부 마이데이터 추진단장은 "마이데이터는 기관이 보유한 개인정보를 본인 또는 제3자가 내려받을 수 있도록 요구하는 제도"라며 "기존 기관 중심으로 활용되던 정보를 개인이 직접 활용할 수 있는 구조로 전환해 개인정보에 대한 자기 통제권을 보장하기 위해 마련된 것"이라고 설명했다.
이달 말 규제개혁위원회 본심사를 앞둔 개인정보보호법 시행령 개정안은 기존 금융·의료·통신에 한정됐던 본인정보 전송요구권 적용 분야를 산업 전분야로 확대하는 것을 골자로 한다. 적용 대상은 연 매출 1500억원 이상, 정보 주체 수 100만명 이상 기업이다.
기업들은 스크래핑(자동화 프로그램으로 개인정보를 수집하는 방식) 활용에 따른 보안 우려를 제기했다. 이에 대해 하 단장은 "일방적인 스크래핑이 아닌 상호 협의된 방식을 도입할 것"이라며 "스크래핑 과정에서 수집되는 정보를 최소화하고 암호화해 전송하겠다"고 말했다.
개인정보위는 안전성 강화를 위해 데이터 수집 방식을 표준 API(시스템 간 데이터를 직접 연동하는 방식)로 순차적으로 전환하겠다는 목표도 제시했다. 하 단장은 "API가 스크래핑보다 더 안전한 것은 맞다. 현재 개인정보위에서도 표준 API 방식 도입을 권장하고 있다"며 "그러나 조항이 신설됐다고 해서 (기업들에게) 즉각적으로 전환을 요구할 수는 없다"고 밝혔다. 이어 "중소 스타트업들에게는 API 활용 체계를 정부 차원에서 제공하는 방안을 검토하고 있다"고 덧붙였다.
또한 안전성과 전문성도 갖추고 있다고 강조했다. 하 단장은 "법에 따라 기업 지정 시 안전성·전문성·재정 능력은 물론 사업 계획과 개인정보 관리 방식의 적정성까지 모두 심사한다"며 "사후 관리 측면에서 (정부가) 감독 통제까지 진행한다"고 말했다.
한편 본인전송요구권 도입 이후 유예 기간이 확대될 가능성도 점쳐진다. 개인정보위는 지난 8월 입법예고 당시 시행 후 6개월의 유예기간을 부여하겠다고 밝힌 바 있다. 하 단장은 "현재 6개월 유예를 검토 중으로 제도가 안정적으로 정착될 수 있도록 필요에 따라 추가 연장도 고려해보겠다"고 밝혔다.
