이번 포스트에서는 2025년 개인정보보호법 시행령 개정 내용에 대하여 알아 보겠습니다. 개인정보 보호 분야에서 올해 가장 주목받는 변화가 드디어 시작되었습니다. 2025년부터 개인정보 전송요구권(마이데이터) 제도가 본격적으로 시행되면서, 우리 일상과 기업 운영에 상당한 변화가 예상됩니다. 이번 시행령 개정이 왜 중요한지, 그리고 개인과 기업이 어떻게 준비해야 하는지 정확한 법조문과 시행일과 함께 살펴보겠습니다.
📅 2025년 주요 시행일 한눈에 보기
| 제도명 | 시행일 | 상태 | 비고 |
|---|---|---|---|
| 🔄 개인정보 전송요구권 | 2025년 시행 예정 | 확정 | 구체적 날짜는 시행령으로 정함 |
| 🏢 개인정보관리 전문기관 | 2025년 시행 예정 | 확정 | 전송요구권과 동시 시행 |
| 🤖 자동화된 결정 거부권 | 2024년 3월 15일 | ✅ 시행됨 | 참고사항 |
| 🏛️ 공공기관 평가제도 | 2024년 3월 15일 | ✅ 시행됨 | 참고사항 |
| 👨💼 CPO 자격요건 강화 | 2024년 3월 15일 | ✅ 시행됨 | 2026년까지 경과조치 |
1. 🔄 개인정보 전송요구권(마이데이터) 본격 도입
근거 조항: 「개인정보 보호법」 제35조의2 (개인정보의 전송 요구)
시행일: 2025년 시행 예정 (구체적인 날짜는 시행령으로 정함)
2025년부터 의료·통신·유통 부문부터 우선적으로 추진되는 개인정보 전송요구권은 이번 개정의 핵심입니다. 개정 「개인정보 보호법」은 개인정보 전송요구권을 새롭게 도입하였습니다(제35조의2, 공포 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 시행령으로 정하는 날부터 시행)하여, 2025년부터 실제 시행됩니다.
※ 개인정보보호법이 2023년 3월 14일 공포되어, 전송요구권은 2024년 3월 14일부터 2025년 3월 14일 사이의 시행령으로 정하는 날부터 시행됩니다.
🎯 전송요구권의 구체적 내용
정보주체는 전송 요구 목적, 전송받는 자, 요구 대상 정보 등을 특정하여 전송을 요구할 수 있으며, 정보수신자를 통하여 전송 요구를 할 수 있습니다. 예를 들어, 병원에서 진료받은 기록을 다른 병원으로 전송해 달라고 요구하거나, 쇼핑몰의 구매 이력을 다른 서비스로 옮겨달라고 할 수 있게 됩니다.
📊 전송 대상 기관 기준
| 전송 유형 | 대상 기관 | 세부 기준 |
|---|---|---|
| 📥 본인 전송 | 대기업·중견기업 | 정보주체 수 10만 명 이상 |
| 기관·법인·단체 | 정보주체 수 100만 명 이상 | |
| 👥 제3자 전송 | 🏥 보건의료 | 상급종합병원 및 고시 대상 |
| 📞 통신 | 기간통신역무 제공자 중 고시 대상 | |
| 🛒 유통 | 연 매출 1,500억↑ 또는 정보주체 100만↑ |
2. 🏢 개인정보관리 전문기관 체계 구축
근거 조항: 「개인정보 보호법 시행령」 신설 조항들 (2025년 시행)
시행일: 2025년 시행 예정 (개인정보 전송요구권과 동시)
개인정보 전송을 안전하게 처리하기 위해 새로운 전문기관 체계가 도입됩니다.
🏗️ 전문기관의 3가지 유형
| 구분 | 역할 | 주요 업무 | 제한사항 |
|---|---|---|---|
| 🔄 중계 전문기관 | 전송 시스템 운영 | • 전송 중계 시스템 운영<br>• 기능 제공 | • 전송 중계 외 목적 사용 금지<br>• 장애 시 즉시 통지 의무 |
| 💼 일반 전문기관 | 맞춤형 서비스 제공 | • 개인정보 관리·분석<br>• 맞춤형 서비스 제공 | • 전송 강요·유도 행위 금지<br>• 부적합 계약 추천 금지 |
| 🏥 특수 전문기관 | 의료정보 전담 | • 보건의료 정보 관리·분석 | • 의료정보 특성 고려한 관리 |
⏰ 지정 절차와 관리
- 유효기간: 3년 (재지정 신청 가능)
- 심사기준: 기술수준, 전문성, 안전성, 재정능력 등 종합 심사
- 지정권자: 개인정보위 또는 관계 중앙행정기관의 장
3. 🔧 전송 방법 및 절차 규정
근거 조항: 「개인정보 보호법 시행령」 신설 조항들
시행일: 2025년 시행 예정 (개인정보 전송요구권과 동시)
📝 전송 요구 절차
정보주체는 전송 요구 목적, 전송받는 자, 요구 대상 정보 등을 특정하여 전송을 요구하여야 하며, 정보수신자를 통하여 전송 요구를 할 수 있습니다.
❌ 전송 거절·중단 사유
| 거절 사유 | 구체적 내용 |
|---|---|
| 🔐 본인 확인 불가 | 본인 또는 대리인 여부가 확인되지 않는 경우 |
| ⚠️ 의심스러운 요청 | 제3자 기망·협박에 의한 전송요구로 의심되는 경우 |
| ❓ 불명확한 요청 | 전송 요구 사항이 특정되지 않은 경우 |
| 🚫 열람 제한 대상 | 열람 제한·거절 사유에 해당하는 경우 |
4. 🔄 가명정보 결합전문기관 재지정 기준 정비
근거 조항: 「개인정보 보호법 시행령」 개정 조항
시행일: 2025년 시행 예정
결합전문기관 지정 이후 결합실적이 전혀 없는 비활동·무실적 결합전문기관에 대해서는 재지정 시 결합실적 및 향후 운영계획 등을 추가 검토하여 재지정 여부를 결정할 수 있는 근거를 마련하였습니다.
💡 목적: 형식적으로만 지정받고 실제 활동하지 않는 기관들을 걸러내어, 가명정보 활용 생태계를 더욱 건전하게 만들기 위함
5. 📚 이미 시행된 제도와의 구분 (참고사항)
🤖 자동화된 결정 거부권 (2024년 3월 15일 시행됨)
근거 조항: 「개인정보 보호법」 제37조의2 (자동화된 결정에 대한 정보주체의 권리 등)
시행일: 2024년 3월 15일 (이미 시행됨)
2024년 3월 15일에 시행되는 「개인정보 보호법」 및 시행령 개정사항에 대한 안내서가 공개되었습니다. 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권를 가진다.
🏛️ 공공기관 개인정보 보호수준 평가 (2024년 3월 15일 시행됨)
근거 조항: 「개인정보 보호법」 제11조의2
시행일: 2024년 3월 15일 (이미 시행됨)
공공기관 개인정보 보호수준 평가(법 제11조의2)도 2024년 3월 15일부터 이미 시행되고 있습니다.
👨💼 개인정보보호책임자(CPO) 자격요건 강화 (2024년 3월 15일 시행됨)
근거 조항: 「개인정보 보호법」 제31조
시행일: 2024년 3월 15일 (이미 시행됨)
경과조치: 시행 당시 CPO로 지정된 자는 2026년 3월 14일까지 자격 요건을 갖춰야 함
6. 🏢 기업이 준비해야 할 사항
💻 기술적 준비사항
🔄 데이터 전송 시스템 구축
- ✅ 고객의 전송 요청을 신속하고 안전하게 처리할 수 있는 보안 시스템 정비
- ✅ 안전성과 신뢰성이 보장되는 전송 방식 구축
- ✅ 전송받은 정보와 기존 정보 분리 보관 체계
- ✅ API 연동 시스템 개발
👥 조직적 준비사항
🎯 전담 인력 배치
- ✅ 개인정보 보호 담당자 배치
- ✅ 전문기관과의 협력 체계 구축
- ✅ 직원 교육 강화
📋 프로세스 정비
- ✅ 전송 요구 접수 및 처리 절차 수립
- ✅ 데이터 분리 보관 체계 구축
- ✅ 정보전송 수수료 산정 근거 마련
7. 👤 개인에게 미치는 영향
🎉 새로운 권리의 활용
이제 개인은 자신의 데이터에 대해 훨씬 더 많은 통제권을 갖게 됩니다.
실생활 예시:
- 🏥 병원을 옮길 때 진료기록을 직접 전송받기
- 💳 금융 서비스 변경 시 기존 거래 이력 이동
- 🛒 쇼핑 플랫폼 간 구매 이력 전송
⚠️ 주의할 점
다만 전송 요구권 행사 시에는 신중해야 합니다. 정보수신자는 정보주체의 파기 요청에 대응하기 위하여 전송받은 정보와 기존 정보를 분리하여 보관해야 하므로, 어디로 정보를 전송할지 신중히 결정해야 합니다.
8. 향후 전망과 확대 계획
📅 2025년 주요 일정
| 시기 | 주요 정책 | 내용 |
|---|---|---|
| 3월 | 🏛️ 공공기관 관리 강화 | 법 위반행위 전면 공표제 시행 |
| 3월 | 📱 마이데이터 플랫폼 | 마이데이터 지원 플랫폼 오픈 |
| 3월 | 📹 영상정보 전문성 | 영상정보관리사 자격시험 시행 |
| 3월 | 🔍 디지털 포렌식 | 포렌식랩 구축을 통한 증거 수집·분석 |
고학수 개인정보위 위원장은 “이번에 도입되는 개인정보 전송요구권은 분야간 칸막이에 갇혀있던 데이터가 정보주체의 요구에 따라 이동‧융합될 수 있는 근본적 변화인 만큼, 국민이 우선적으로 체감할 수 있는 부문을 시작으로 점진적‧단계적으로 확대해 나갈 계획이다”라고 밝혔습니다.
“국민을 위한 다양한 혁신적 서비스를 창출하기 위해 보다 많은 기업들이 참여할 수 있도록 입법예고 이후에도 학계, 산업계, 시민단체 등의 다양한 의견을 들어 하위법령에 반영해 나갈 것”이라는 계획도 함께 발표했습니다.
마지막으로, 개인정보 전송요구권은 분야간 칸막이에 갇혀있던 데이터가 정보주체의 요구에 따라 이동·융합될 수 있는 근본적 변화입니다. 이는 단순한 법령 개정을 넘어 디지털 경제의 새로운 패러다임을 여는 변화라고 할 수 있습니다.
💡 핵심 포인트
- 🙋♀️ 개인: 자신의 데이터 주권을 행사할 수 있는 새로운 도구 확보
- 🏢 기업: 더욱 투명하고 책임감 있는 개인정보 처리 체계 구축 필요
- 🔒 보안: 개인정보 보호 수준을 한층 더 높이면서도 혁신 서비스 창출 가능
무엇보다 중요한 것은 이러한 변화가 개인정보 보호 수준을 한층 더 높이면서도, 동시에 데이터 활용을 통한 혁신 서비스 창출을 가능하게 한다는 점입니다. 준비를 철저히 하여 규제 변화에 잘 대응하는 2025년이 되시길 바랍니다. 🙂