I. 배경
2026년 2월 19일, 정보주체의 개인정보 자기결정권을 강화하고 본인전송요구의 범위를산업 분야에 관계없이 확대하는 「개인정보 보호법 시행령」 일부개정령(이하 “개정령”)이 최종 공포되었습니다. 이번 개정은 개인정보 보호법 제35조의2에서 위임한 '본인전송요구권'의 행사 대상과 범위를 확대 및 구체화하고, 기업의 이행 부담을 고려한 전송 방법 등을 확정했다는 점에서 실무적으로 매우 중요한 의미를 갖습니다.
II. 주요 개정 내용
1. ‘본인대상정보전송자’의 기준 확정(개정령 제42조의2 제1항)
정보주체가 본인에게 정보를 전송해 줄 것을 요구할 수 있는 의무 대상자(이하 “본인대상정보전송자”)의 범위가 다음 기준 중 어느 하나에 해당하는 개인정보처리자로 확대되었습니다.
1) 제1호: 평균매출액 등이 1,800억원을 초과하는 자로서 다음 중 어느 하나에 해당하는 자
2) 제2호: 공공시스템운영기관
3) 제3호: 개인정보 보호법 제35조의2 제2항에 따른 개인정보처리자
2. 전송 대상정보 범위 확대(개정령 제42조의4 제1항)
기본적으로 산업 분야에 관계없이 정보주체의 동의나 계약 체결·이행 등에 근거하여 처리되는 정보주체 본인에 대한 정보 전체를 전송해야 합니다(단, 개인정보처리자가 분석·가공하여 별도로 생성한 정보는 제외). 다만, 기업의 영업비밀 보호나 타인의 권리 침해 등을 고려하여 다음은 제외할 수 있습니다.
1) 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하거나 침해할 우려가 있는 정보
2)「부정경쟁방지 및 영업비밀보호에 관한 법률」에 따른 영업비밀 또는 「산업기술의 유출방지 및 보호에 관한 법률」에 따른 산업기술 등 다른 법령에 따라 보호가 필요한 정보
3) 복호화되지 않도록 일방향 암호화하여 저장된 정보
3. 직접 내려받기 방법 도입(개정령 제42조의6 제4항)
본인대상정보전송자는 자신의 인터넷 홈페이지를 통해 정보주체가 즉시 열람·조회할 수 있는 정보를 안전한 암호 알고리즘으로 암호화하여 직접 내려받도록 할 수 있습니다.
4. 대리인을 통한 본인전송요구권 행사 보장(개정령 제42조의5 제2항 및 제42조의6 제5항)
본인대상정보전송자는 정보주체가 개인정보 보호법 제38조 제1항에 따른 대리인을 통해 본인전송요구를 하는 경우 정당한 사유 없이 거절해서는 안 되며, 대리인은 개인정보를 저장하지 않고 본인에게 전달해야 합니다.
III. 시행 시기
이번 개정령은 원칙적으로 공포 후 6개월이 경과한 날인 2026년 8월 20일부터 시행됩니다. 다만, 본인대상정보전송자를 일정 요건을 충족하는 전 산업 분야의 개인정보처리자로 확대하는 규정인 개정령 제42조의2 제1항 제1호는 공포 후 1년이 경과한 날부터 시행됩니다.
IV. 시사점
이번 개정령으로 인해 대규모 개인정보 등을 처리하는 사업자들은 '데이터 주권' 시대에 맞는 새로운 컴플라이언스 체계를 구축해야 합니다. 특히, 자신이 본인대상정보전송자에 해당하는지 여부와 시행 시점, 전송 대상에서 제외할 정보의 분류, 홈페이지를 통한 내려받기 기능 보완 등 실무적 차원에서 정보주체의 본인전송요구에 대응할 방안 등을 검토 및 수립하여야 합니다.
법무법인(유한) 태평양은 이번 개정령에 따라 기업들이 직면할 수 있는 기술적·법률적 쟁점들을 분석하여 최적의 솔루션을 제공하겠습니다. 상세한 실무 가이드가 필요하시면 언제든 연락주시기 바랍니다.
[영문 더보기]
