제42조의5 (개인정보 전송의 기한 및 방법 등)

**①** 법 제35조의2제1항 및 제2항에 따라 전송 요구를 받은 본인대상정보전송자 및 제3자대상정보전송자(이하 "정보전송자"라 한다)는 정보시스템 장애 등으로 전송이 지연되거나 불가능한 사유가 없으면 지체 없이 개인정보를 전송해야 한다. 이 경우 정보전송자는 지체 없이 전송할 수 없는 정당한 사유가 있는 경우에는 정보주체에게 그 사유를 알리고 전송을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 개인정보를 전송해야 한다. <개정 2026.2.19>

**②** 정보전송자는 개인정보를 전송하는 경우 개인정보의 정확성, 완전성 및 최신성을 유지해야 한다.

**③** 정보전송자는 전송의 안전성 및 신뢰성이 보장될 수 있도록 다음 각 호의 구분에 따른 방식으로 개인정보를 전송해야 한다. <개정 2026.2.19>

1. 본인대상정보전송자: 다음 각 목의 요건을 모두 충족하는 방식
가. 정보 전송 시 안전한 암호 알고리즘으로 암호화하여 전송하는 방식일 것
나. 정보주체가 법 제38조제1항에 따라 본인전송요구를 하게 한 대리인이 자동화된 도구를 이용하는 경우에는 개인정보의 안전성 확보를 위하여 본인대상정보전송자와 해당 대리인이 사전에 협의한 방식일 것
2. 제3자대상정보전송자: 다음 각 목의 요건을 모두 충족하는 방식
가. 제3자대상정보전송자와 개인정보관리 전문기관 및 일반수신자 간에 미리 협의하여 정하는 방식일 것
나. 제3자대상정보전송자와 개인정보관리 전문기관 및 일반수신자 간 상호 식별ㆍ인증할 수 있는 방식일 것
다. 제3자대상정보전송자와 개인정보관리 전문기관 및 일반수신자 간 상호 확인할 수 있는 방식일 것
라. 정보 전송 시 안전한 암호 알고리즘으로 암호화하여 전송하는 방식일 것

**④** 본인대상정보전송자는 자신이 관리하는 인터넷 홈페이지를 통해 정보주체가 즉시 열람ㆍ조회할 수 있는 정보를 안전한 암호 알고리즘으로 암호화하여 정보주체가 직접 내려받게 할 수 있다. <신설 2026.2.19>

**⑤** 법 제38조제1항에 따라 정보주체의 본인전송요구를 대리한 대리인은 개인정보를 저장하지 않고 본인에게 전달해야 한다. <신설 2026.2.19>

**⑥** 본인대상정보전송자는 정보주체가 법 제35조의2제1항에 따라 개인정보 전송을 요구하고 전송 내역 등을 확인할 수 있도록 본인전송요구 방법, 전송 현황 및 내역을 확인할 수 있는 방법을 인터넷 홈페이지 등에 게재해야 한다. 다만, 본인대상정보전송자가 보건의료정보전송자 또는 에너지정보전송자에 해당하는 경우에는 중계전문기관이 대신하여 게재할 수 있다. <개정 2026.2.19>

**⑦** 제3자대상정보전송자는 제3자전송요구에 따라 개인정보를 전송하는 경우에는 중계전문기관을 통하여 전송해야 한다. 이 경우 제3자대상정보전송자는 보건의료전송정보에 대해서는 중계전문기관을 통하여 특수전문기관에만 전송해야 한다. <개정 2026.2.19>

**⑧** 일반수신자는 제3자전송요구에 따라 개인정보를 전송받는 경우 다음 각 호의 어느 하나에 해당하는 행위로 인하여 정보주체의 이익을 침해하거나 전송 처리 체계를 저해하지 않도록 노력해야 한다. <개정 2026.2.19>

1. 법 제16조제1항을 위반하여 전송 요구 목적과 관련 없는 개인정보를 전송하도록 요구하는 행위
2. 법 제16조제3항에 따른 서비스 운영을 위하여 필수적인 경우가 아닌데도 전송받은 정보에 대한 제3자 제공 동의를 전송 요구와 동시에 받는 행위
3. 법 제35조의2제1항ㆍ제2항에 따른 전송 요구 또는 법 제38조제1항에 따른 권리에 대한 대리 행사를 강요하거나 부당하게 유도하는 행위
4. 법 제35조의3제1항에 따른 개인정보관리 전문기관의 지정을 받지 않고 같은 항 각 호의 업무를 수행하는 행위
5. 정보주체의 동의 없이 제42조의5제3항에 따른 전송 요구 내용을 변경하여 개인정보를 요구하는 행위
6. 자기 또는 제3자의 이익을 위하여 특정 정보주체의 이익을 침해하는 행위
7. 정보주체의 전송 요구를 이유로 개인정보처리자의 전산설비에 지속적ㆍ반복적으로 접근하여 장애를 일으키는 행위
8. 그 밖에 제1호부터 제7호까지와 유사한 행위로서 정보주체의 이익을 침해하거나 전송 처리 체계를 저해하는 행위

**⑨** 일반전문기관, 특수전문기관 및 일반수신자는 제3자전송요구에 따라 제3자대상정보전송자로부터 개인정보를 전송받는 경우에는 제1호에 따른 정보주체의 접근수단을 제2호의 방식으로 사용ㆍ보관함으로써 보건의료전송정보, 통신전송정보 및 에너지전송정보를 수집해서는 안 된다. <개정 2026.2.19>

1. 다음 각 목에 따른 정보주체의 접근수단
가. 「전자서명법」 제2조제3호에 따른 전자서명생성정보 및 같은 조 제6호에 따른 인증서
나. 제3자대상정보전송자에 등록된 정보주체의 식별자 또는 인증정보
다. 정보주체의 생체정보
2. 다음 각 목의 방법을 통하여 정보주체의 이름으로 열람하는 방식
가. 제1호의 접근수단을 직접 보관하는 방법
나. 제1호의 접근수단에 접근할 수 있는 권한을 확보하는 방법
다. 제1호의 접근수단에 대한 지배권, 이용권 또는 접근권 등을 사실상 확보하는 방법

**⑩** 개인정보관리 전문기관 및 일반수신자는 개인정보관리 전문기관 및 일반수신자로서 처리하는 정보와 다른 개인정보처리자로서 처리하는 정보를 분리하여 보관해야 한다. 다만, 특수전문기관(「의료법」 제3조에 따른 의료기관에 한정한다)이 같은 법 제23조의2제1항에 따른 전자의무기록시스템으로 보건의료전송정보를 진료 목적으로 전송받는 경우로서 같은 법 제23조제2항에 따라 전자의무기록을 안전하게 관리ㆍ보존하는 경우에는 분리 보관을 하지 않을 수 있다. <개정 2026.2.19>

**⑪** 정보전송자, 개인정보관리 전문기관 및 일반수신자는 다음 각 호의 본인전송정보, 보건의료전송정보, 통신전송정보, 에너지전송정보 및 자율전송정보(이하 "전송요구대상정보"라 한다) 전송 내역을 3년간 보관해야 한다. 다만, 제3자대상정보전송자의 경우 중계전문기관이 대신 보관할 수 있다. <개정 2026.2.19>

1. 제42조의5제3항 각 호의 사항
2. 정보주체의 전송 요구에 따른 정보 송수신 기록
3. 전송 요구의 철회, 거절 및 전송 중단 내역 및 사유

**⑫** 일반전문기관 및 특수전문기관은 제11항에 따른 전송요구대상정보 전송 내역을 제15조의3제4항 각 호의 어느 하나에 해당하는 방법으로 연 1회 이상 정보주체에게 알려야 한다. 다만, 정보주체가 통지에 대한 거부의사를 표시한 경우에는 통지를 생략할 수 있다. <개정 2026.2.19>

**⑬** 보호위원회 및 관계 중앙행정기관의 장은 예산의 범위에서 정보전송자에 대하여 개인정보의 전송에 필요한 시설 및 기술의 구축ㆍ운영 비용 등 전송 요구의 이행에 필요한 비용을 지원할 수 있다. <개정 2026.2.19>