마이데이터 본인전송요구권 2026 — 8월 시행 전 모르면 정보 주권 빼앗기는 7가지 함정
2026년 2월 19일, 개인정보 보호법 시행령 개정령이 공포되었습니다.
이제 의료·통신에 한정됐던 마이데이터 본인전송요구권이
전 산업 분야로 확대됩니다. 시행일은 2026년 8월 20일.
나의 구매 내역, 건강 기록, 통신 이용 패턴, 고용 정보까지
내가 직접 요구하고 이동시킬 수 있는 ‘데이터 주권 시대’가 열립니다.
그런데 지금 이 제도의 구조적 함정을 모르면, 권리를 얻는 대신 책임만 떠안을 수도 있습니다.
전 산업 분야 확대
매출 1,800억 초과 기업 의무화
개인정보 유출 과징금 매출 10%
① 마이데이터 본인전송요구권이란? — 핵심 개념 30초 정리
마이데이터 본인전송요구권은 개인정보 보호법 제35조의2에서 규정된 권리로,
정보주체(즉, 여러분 본인)가 기업이나 기관에 보관된 자신의 개인정보를
본인이 지정하는 곳으로 전송해 줄 것을 요구할 수 있는 법적 권리입니다.
쉽게 말하면, 병원이 보관한 내 진료 기록, 통신사가 쌓아 둔 내 이용 패턴, 쇼핑몰이 보관한 내 구매 내역 등을
내가 원하는 다른 서비스로 직접 내보낼 수 있는 권리입니다.
이 제도는 2025년 3월 13일부터 의료·통신 분야에 먼저 적용되었으며,
2026년 2월 10일 국무회의에서 시행령 개정안이 의결되고
2월 19일 공포를 거쳐, 2026년 8월 20일부터 전 산업 분야로 확대됩니다.
유럽연합(EU)의 GDPR 이동권, 영국의 오픈뱅킹, 호주의 소비자데이터권리(CDR)와 같은 맥락의 제도입니다.
원하는 제3자 서비스로 전송을 요구할 수 있다는 점이 본질입니다.
내 데이터를 직접 들고 이동할 수 있는 ‘데이터 이사권’에 가깝습니다.
② 2026년 8월 무엇이 달라지나? — 전 분야 확대 핵심 3가지
기존에는 병원·의원 등 의료기관과 이동통신사 등 통신사만 본인전송요구권의 의무 대상이었습니다.
2026년 8월 시행부터는 이 범위가 유통, 고용, 교육, 에너지, 금융, 문화·여가 등 전 산업으로 확대됩니다.
개인정보보호위원회는 2026년 안에 에너지·교육·고용·문화·여가 분야 제3자 전송까지 단계적으로 확대할 계획임을 명시했습니다.
달라지는 핵심 3가지
| 구분 | 기존(~2026.08 이전) | 변경(2026.08.20~) |
|---|---|---|
| 대상 분야 | 의료·통신 | 전 산업 분야 (유통·금융·고용·에너지 등) |
| 의무 기업 | 일부 의료·통신 대형사 | 매출 1,800억 초과 + 이용자 100만명 이상 또는 민감정보 5만명 이상 처리 기업 |
| 전송 방법 | API 원칙, 일부 스크래핑 허용 | API 원칙 + 홈페이지 직접 내려받기 추가 |
다만 기업이 자체 분석·가공하여 새로 생성한 정보, 영업비밀, 타인 권리 침해 우려 정보, 일방향 암호화 저장 정보(예: 비밀번호)는 제외할 수 있습니다.
③ 의무 대상 기업 기준 — 내가 이용하는 플랫폼은 해당될까?
이번 개정령의 핵심 중 하나는 의무 기업 기준의 명확화입니다.
모든 기업이 즉시 의무를 지는 것은 아니며, 일정 규모 이상의 대규모 개인정보처리자에 한정됩니다.
기준을 충족하는 기업은 다음 두 조건 중 하나 이상에 해당해야 합니다.
-
조건 1
평균매출액 1,800억 원 초과 기업 중 — 이용자 100만 명 이상의 개인정보를 처리하거나,
민감정보·고유식별정보 5만 명 이상을 처리하는 자 -
조건 2
개인정보 보호법 제35조의2 제2항에 따른 의무 지정 개인정보처리자 (공공기관 등)
실생활에서 익숙한 쿠팡, 네이버, 카카오, 삼성전자, 각종 대형 병원, 이동통신 3사, 주요 은행·카드사 등이 해당될 가능성이 높습니다.
중소기업과 스타트업은 당장 의무 대상에서 제외되지만, 향후 단계적 확대가 예고되어 있으므로 미리 이해해 두는 것이 중요합니다.
2027년 2월 19일부터 전 산업 분야 본인전송요구 의무가 적용됩니다.
공공시스템 운영기관과 제3자 전송자에게는 6개월 유예가 적용됩니다.
즉, 2026년 8월 20일은 ‘시행일’이지만 민간 대기업에 대한 완전 이행은 2027년부터라는 점을 구분해야 합니다.
④ 함정 1~3 — 권리는 생겼지만 책임도 내 것이 된다
마이데이터 본인전송요구권은 분명히 소비자에게 유리한 권리입니다.
하지만 제도 설계의 구조적 허점을 모르면 오히려 손해를 볼 수 있습니다.
지금부터 가장 중요한 7가지 함정을 차례로 짚겠습니다.
함정 ① 전송 후 데이터 보안 사고의 책임이 내게 돌아올 수 있다
본인전송요구권을 행사해 제3자 서비스에 내 데이터를 전달했는데,
해당 서비스에서 보안 사고가 발생하면 누가 책임을 지는지 명확하지 않습니다.
원래 정보를 보관하던 기관(예: 병원, 통신사)은 이미 ‘정당한 전송’을 완료했으므로 면책될 수 있고,
수신한 제3자 서비스가 영세하거나 해외 기업이라면 실질적 피해 보상이 어려워집니다.
업계에서는 “본인전송요구권이 데이터 관리 업무를 소비자에게 떠넘기는 구조가 될 수 있다”는 우려를 공식적으로 제기하고 있습니다.
함정 ② ‘직접 내려받기’는 편리하지만 내 기기가 공격 타깃이 된다
이번 개정에서 새로 도입된 홈페이지 직접 내려받기 방식은 API 연계 없이 암호화된 파일 형태로 데이터를 내 기기에 저장할 수 있게 해줍니다.
문제는 이 파일이 내 PC나 스마트폰에 저장되는 순간, 해킹·랜섬웨어·분실 등의 위협에 그대로 노출된다는 점입니다.
특히 민감정보(건강기록, 금융거래내역)가 담긴 파일이 보안이 취약한 기기에 저장된다면 심각한 2차 피해로 이어질 수 있습니다.
함정 ③ 대리인을 통한 전송 — ‘위임’인지 ‘해킹 빌미’인지 구분하기 어렵다
개정령은 대리인을 통한 본인전송요구도 허용하며, 대리인은 개인정보를 저장하지 않고 본인에게 전달해야 한다고 규정합니다.
그러나 실무적으로 대리인 인증 정보를 위임받은 주체가 이를 저장하거나 유용할 경우, 이를 모니터링할 기술적 장치가 아직 불충분합니다.
보이스피싱·스미싱 범죄자들이 “마이데이터 서비스 등록을 도와준다”며 접근하는 신종 사기 수법이 등장할 가능성이 매우 높습니다.
⑤ 함정 4~7 — 데이터 전송 후 벌어지는 진짜 위험들
함정 ④ 알리익스프레스·테무 등 해외 기업이 가장 큰 수혜자가 된다
한국온라인쇼핑협회는 국내 기업이 막대한 비용으로 축적한 데이터가
알리익스프레스·테무 등 해외 이커머스에 사실상 무상 이전될 수 있다고 공개 우려를 표명했습니다.
소비자 입장에서도, 내 구매 패턴·배송지·소비 성향이 국내법 적용 범위 밖에 있는 해외 기업의 서버로 전달된다면
GDPR이나 국내 개인정보 보호법으로 보호받기 어려운 상황이 발생할 수 있습니다.
전송 요구 전 수신 기업이 어느 국가에 서버를 두고 있는지 반드시 확인해야 합니다.
함정 ⑤ ‘영업비밀 제외’ 조항이 정작 필요한 내 데이터를 막는다
개정령은 기업이 분석·가공해 별도 생성한 정보, 그리고 영업비밀에 해당하는 정보를 전송 대상에서 제외할 수 있게 합니다.
이 조항은 기업 보호를 위한 것이지만, 소비자 입장에서는 역설적으로 가장 가치 있는 데이터(예: 맞춤 추천 기반의 소비 패턴 분석 결과)를 요구할 수 없게 만드는 면제 수단으로 악용될 소지가 있습니다.
무엇이 ‘원본 데이터’이고 무엇이 ‘가공 데이터’인지를 기업이 자체 판단한다는 구조적 비대칭이 문제입니다.
함정 ⑥ 데이터 표준이 없어 받아도 쓸 수 없는 경우가 생긴다
병원에서 받은 진료 기록 파일이 A 헬스케어 앱과 B 보험사 시스템에서 호환되지 않는 경우가 실제로 발생할 수 있습니다.
현재 국내에는 산업 전반을 아우르는 데이터 전송 표준 규격이 정비되어 있지 않습니다.
금융 분야에서는 마이데이터 2.0(2025.06 시행) 이후 어느 정도 표준화가 이루어졌지만,
유통·고용·문화 분야는 형식이 제각각이어서 실제 활용 가능성이 낮을 수 있습니다.
함정 ⑦ 성공·실패 기준이 없어 피해 구제 요구가 어렵다
가장 치명적인 함정은 이 제도에 명확한 성과 지표와 피해 구제 기준이 아직 법령에 명시되어 있지 않다는 점입니다.
전송 요청을 했는데 기업이 불합리한 이유로 지연하거나 거부할 경우 어디에 신고하고, 어떤 처벌이 내려지는지에 대한 구체적 절차가 시행 후 지침 형태로 발표될 예정이어서 현 시점에서는 불확실성이 큽니다.
피해가 발생한 후 개인정보보호위원회에 진정을 제기하더라도, 사후적 구제 절차를 거치는 동안 데이터는 이미 돌이킬 수 없는 방식으로 유통될 수 있습니다.
⑥ 내 데이터, 이렇게 활용하면 실제로 돈이 된다
함정만 있는 건 아닙니다. 마이데이터 본인전송요구권을 잘 활용하면 실생활에서 직접적인 경제적 혜택을 누릴 수 있습니다.
개인정보보호위원회 위원장도 공식 기고에서 “의료 영역의 진단·투약 이력 기반 맞춤형 건강관리,
통신 이용 패턴 기반 요금제 최적화, 세금 환급 자동 안내, 전기 사용량 기반 절전 알림”을 현실화될 서비스로 제시했습니다.
-
활용 1
보험료 절감: 내 진료 기록·투약 이력을 보험사에 직접 제출하면 위험도 재산정을 통해 보험료를 낮출 수 있는 상품이 출시될 예정입니다. -
활용 2
통신 요금제 최적화: 통신사 사용 기록을 경쟁사에 전송해 더 저렴한 요금제로 갈아타는 협상 카드로 활용할 수 있습니다. -
활용 3
대출 금리 협상: 여러 금융기관의 거래 내역을 한 번에 제출해 신용 평가를 유리하게 만들거나, 금리 인하를 요구하는 근거로 사용할 수 있습니다. -
활용 4
건강 관리 서비스 연계: 병원 진료 기록을 웨어러블·앱에 전송해 만성질환 관리 비용을 줄이는 개인화 건강관리가 가능합니다.
혜택을 누리려면 수신 서비스의 보안 수준을 사전에 철저히 검증하고,
전송 범위를 최소화하는 ‘정보 최소화 원칙’을 개인도 실천해야 합니다.
⑦ 개인정보 유출 시 대응법 — 과징금 체계까지 완전 정리
마이데이터 제도 확대와 함께 개인정보 보호 처벌 수위도 대폭 강화되었습니다.
2026년 2월 12일 국회 본회의를 통과한 개인정보보호법 개정안은
기업이 개인정보를 유출하거나 훼손하면 전체 매출액 최대 10%의 과징금을 부과할 수 있도록 했습니다.
이는 기존 과징금 기준에서 대폭 상향된 것으로, 카카오페이가 알리페이에 4,045만 명의 정보를 제공해 130억 원 과징금을 받은 것보다 훨씬 강력한 제재가 가능해졌습니다.
내 정보가 유출됐을 때 대응 4단계
-
1단계
유출 사실을 인지한 즉시 해당 기업에 유출 경위 및 피해 범위 공식 통보 요청 (기업은 72시간 내 통지 의무) -
2단계
개인정보보호위원회 개인정보 침해 신고센터(국번없이 182) 또는 온라인 신고 -
3단계
한국인터넷진흥원(KISA) 개인정보보호 포털(privacy.go.kr) 상담·신고 -
4단계
피해가 현실화된 경우 법원 손해배상 청구 — 신설된 징벌적 과징금 조항에 따라 손해액의 최대 5배 배상 가능
마이데이터 전 분야 확대 이후 이런 사고의 파급력은 더욱 커집니다.
기업의 보안 의무 강화가 제도의 성패를 가를 핵심 변수입니다.
❓ Q&A — 자주 묻는 5가지 질문
마이데이터 본인전송요구권은 언제부터 전 분야에서 쓸 수 있나요?
개인정보 보호법 시행령 개정령이 2026년 2월 19일 공포되었으며, 원칙적 시행일은 공포 후 6개월이 경과한
2026년 8월 20일입니다. 다만 민간 대규모 개인정보처리자(매출 1,800억 초과 기업)에 대한
본인전송요구 이행 의무는 공포 후 1년인 2027년 2월 19일부터 적용됩니다.
공공기관·제3자 전송자는 6개월 유예가 적용됩니다.
중소기업도 내 데이터를 전송해야 할 의무가 있나요?
현재 이번 개정령의 의무 대상은 평균매출액 1,800억 원 초과 기업 중에서 이용자 100만 명 이상 또는
민감정보 5만 명 이상을 처리하는 대규모 개인정보처리자로 한정됩니다. 중소기업은 현재 의무 대상에서 제외됩니다.
그러나 개인정보보호위원회는 단계적 확대를 예고하고 있어 향후 기준이 낮아질 수 있습니다.
전송 요청을 했는데 기업이 거부하면 어떻게 하나요?
기업은 영업비밀, 타인 권리 침해, 일방향 암호화 정보 등 법령이 정한 예외 사유가 없는 한 정당한 이유 없이 거부할 수 없습니다.
거부 시에는 개인정보보호위원회(국번없이 182) 또는 개인정보 침해 신고센터에 신고할 수 있습니다.
위반 기업에는 시정 명령 및 과태료가 부과될 수 있습니다.
마이데이터를 활용한 신종 사기가 걱정됩니다. 어떻게 예방하나요?
“마이데이터 등록을 대신 해준다”거나 “전송 과정을 도와주겠다”며 개인정보나 인증 정보 제공을 요청하는 것은
100% 사기입니다. 본인전송요구권은 반드시 본인이 직접 해당 기업의 공식 홈페이지나 앱에서 신청해야 합니다.
대리인을 통하더라도 공식 채널을 통해 직접 확인하고 위임해야 합니다.
개인정보보호위원회 공식 포털(pipc.go.kr)에서 공식 안내를 확인하세요.
전송받은 데이터를 제3자에게도 보낼 수 있나요?
네, 가능합니다. 개정령은 정보주체가 본인이 아닌 제3자(헬스케어 앱, 보험사, 금융 서비스 등)에게
직접 전송을 요구할 수 있는 제3자 전송 방식도 포함합니다. 개인정보보호위원회는 2026년 중에
에너지·교육·고용·문화·여가 분야까지 제3자 전송 범위를 추가로 확대할 계획입니다.
다만 수신 서비스의 보안 수준을 반드시 확인하세요.
📝 마치며 — 총평
마이데이터 본인전송요구권 전 분야 확대는 방향은 옳고 의미는 크지만, 설계의 완성도가 성패를 가를 제도입니다.
법이 열렸다고 권리가 저절로 보장되는 게 아닙니다. 데이터를 요구하고 이동시키는 순간, 그 이후의 보안과 활용에 대한 판단은 온전히 개인의 몫이 됩니다.
제가 주목하는 핵심 리스크는 두 가지입니다. 첫째, 쿠팡 해킹(3,367만 건) 같은 대형 사고가 잇따르는 상황에서
전 분야 데이터 전송이 열리면 해킹의 ‘고속도로’가 될 수 있다는 점입니다.
둘째, 알리·테무 같은 해외 플랫폼이 이 제도를 통해 국내 소비자 데이터를 손쉽게 흡수할 수 있는 구조적 허점을 정부가 어떻게 막을지가 불분명합니다.
2026년 8월 시행 전에 여러분이 해야 할 것은 단 두 가지입니다.
첫째, 본인전송요구권을 행사할 때 수신 서비스의 보안 인증(ISMS-P 등)을 반드시 확인하세요.
둘째, 절대로 제3자가 대신 해주겠다는 권유에 응하지 마세요.
데이터 주권은 스스로 지키는 것, 그것이 이 제도의 전제 조건입니다.
외부 참고 링크:
개인정보보호위원회 공식 포털 ·
개인정보보호 포털(KISA)
※ 본 글은 2026년 3월 2일 기준 공개된 법령 및 정부 발표 자료를 바탕으로 작성된 정보 제공용 콘텐츠입니다.
개인정보 처리·전송과 관련한 구체적 법적 판단은 반드시 변호사 또는 개인정보보호 전문가와 상담하시기 바랍니다.
시행령 세부 지침은 시행 전 추가 고시될 수 있으므로 개인정보보호위원회 공식 채널을 통해 최신 내용을 확인하세요.
댓글 남기기