마이데이터 전 분야 확대 2026
— 8월 시행 전 내 정보 못 챙기는 7가지 함정
2026년 2월 10일, 개인정보 보호법 시행령 개정안이 국무회의를 통과했습니다.
의료·통신에만 묶여 있던 마이데이터 전 분야 확대가
드디어 현실이 된 것입니다. 오는 8월부터 쇼핑·교통·복지·고용 데이터까지
내가 직접 이동시킬 수 있게 됩니다. 그런데 이 권리, 아무것도 모르고 있으면
그냥 지나갑니다.
⚖️ 개보법 시행령 개정
🔓 전 분야 전송요구권
🏢 매출 1,800억↑ 기업 적용
🛡 온마이데이터 플랫폼
마이데이터 전 분야 확대, 무엇이 달라지나?
마이데이터 전 분야 확대의 핵심은 단 한 문장으로 요약됩니다.
“내 개인정보를 내가 원하는 곳으로 직접 옮길 수 있다.” 2025년 3월 13일
개인정보 보호법 개정으로 ‘전송요구권’ 제도가 처음 시행됐을 때는
의료와 통신 분야만 적용됐습니다. 이번 시행령 개정으로 이 범위가
쇼핑·교통·고용·복지·에너지·문화·여가 등 사실상 모든 분야로 넓어집니다.
예를 들어 설명하면 이렇습니다. 치료 중인 질병으로 구직이 어려운 A씨는
병원 진료내역을 마이데이터 전문기관에 전송하면, 그 기관이 체력 부담이
적은 맞춤형 일자리를 추천해줄 수 있습니다. 동시에 복지지원금 신청도
자동으로 안내받을 수 있습니다. 지금까지는 병원·고용센터·복지관을
각각 방문해야 했던 일들이 하나의 플랫폼에서 연결됩니다.
이 흐름의 중심에는 ‘온마이데이터(on.mydata.go.kr)’ 플랫폼이 있습니다.
정부가 공인한 이 플랫폼에서 어떤 기관에 내 정보를 보낼지 선택하고,
전송을 중단하거나 이미 보낸 정보의 삭제도 요청할 수 있습니다.
알려주지 않습니다. 8월 이후 본인이 직접 요구해야 효력이 생깁니다.
내가 요구할 수 있는 정보의 범위와 한계
전송을 요구할 수 있는 정보는 원칙적으로 매우 넓습니다. 내가 동의한 모든
개인정보, 계약 체결이나 이행 과정에서 처리된 정보, 법령에 따라 처리된
정보가 모두 포함됩니다. 통신사가 보관하는 나의 이용 패턴, 대형 마트의
구매 내역, 병원의 진료 기록, 공공기관의 복지 수급 내역이 모두 해당됩니다.
그러나 중요한 예외가 세 가지 있습니다. 첫째, 기업이 내 정보를 분석·가공해
별도로 생성한 정보는 제외됩니다. 예를 들어 병원이 진료기록을
바탕으로 만든 ‘위험군 분류 통계’는 청구할 수 없습니다. 둘째,
제3자의 권리·이익을 침해하는 정보도 제외됩니다. 셋째, 영업비밀로
보호받는 정보 역시 전송 대상이 아닙니다.
이 예외 조항들은 기업 입장에서 상당히 유리하게 해석될 여지가 있습니다.
어디까지가 ‘별도 생성 정보’인지 명확한 기준이 아직 세부 가이드라인으로
확정되지 않아, 기업이 자의적으로 거부하는 사례가 발생할 수 있습니다.
개인정보보호위원회에 신고하면 조치를 받을 수 있습니다.
적용 대상 기업 조건 — 중소기업은 제외된다
마이데이터 전 분야 확대가 모든 기업에 즉시 적용되는 것이 아닙니다.
시행령은 ‘본인 대상 정보전송자’의 기준을 명확하게 규정했습니다.
적용 대상이 되려면 중소기업기본법상 평균매출액이 1,800억 원을 초과하면서
정보주체 수가 100만 명 이상이거나, 민감·고유식별정보 처리 대상이
5만 명 이상인 대규모 개인정보처리자여야 합니다. 공공시스템 운영기관과
제3자 대상 정보전송자도 당연히 포함됩니다.
| 구분 | 조건 | 비고 |
|---|---|---|
| 민간 대규모 | 매출 1,800억↑ + 정보주체 100만↑ 또는 민감정보 5만↑ | 유예 1년 |
| 공공시스템 운영기관 | 공공 데이터 처리 기관 | 유예 6개월 |
| 제3자 정보전송자 | 타 기관 정보를 제3자에게 전송하는 기관 | 유예 6개월 |
| 중소기업 | 1,800억 이하 | 의무 제외 |
결론적으로 네이버·카카오·쿠팡·SKT·KT·대형병원 등 대형 플랫폼은 의무 대상입니다.
반면 동네 병원, 소규모 쇼핑몰, 지역 택시 앱 등은 의무 대상이 아닙니다.
일상에서 정보를 가장 많이 주고받는 중소 서비스가 빠져 있다는 점에서
실제 체감 효과는 제한적일 수 있습니다.
온마이데이터 플랫폼, 어떻게 쓰나?
온마이데이터(on.mydata.go.kr)는 정부가 운영하는 마이데이터 통합 포털입니다.
8월 시행 이후 일반 국민은 이 플랫폼을 통해 ① 정보전송 전문기관 목록 조회,
② 전송 요청 및 동의, ③ 전송 중단 요청, ④ 이미 전송된 정보의 삭제 요청이
가능해집니다. 지금도 기본 기능을 사전 확인할 수 있으므로 미리 접속해두는 것이
유리합니다.
전문기관을 이용하려면 개인정보위로부터 안전성 심사를 통과해 지정받은
기관이어야 합니다. 3월부터 ‘개인정보관리 전문기관 지정 및 지원사업 계획’
설명회가 진행될 예정으로, 어떤 기관이 공인 전문기관인지 목록이 순차적으로
공개됩니다. 공인받지 않은 민간 서비스가 마이데이터 서비스를 표방하며
개인정보를 요청할 경우 사기 위험이 있습니다.
전송 방식은 원칙적으로 API 연계 방식을 권장합니다.
단기적으로는 기관과 사전협의를 거친 안전성 검증 대리인에 한해
스크래핑도 제한적으로 허용합니다. 홈페이지 직접 다운로드 방식도 인정됩니다.
전문기관 지정 소식을 가장 빠르게 받아볼 수 있습니다.
피싱·사기 서비스를 구별하는 가장 확실한 방법은
온마이데이터 공식 목록에 등재됐는지 확인하는 것입니다.
7가지 함정 — 권리를 알아도 당하는 이유
마이데이터 전 분야 확대는 권리입니다. 하지만 권리는 스스로 행사해야 효력이 생깁니다.
아래 7가지 함정을 지금 알지 못하면, 8월 이후에도 아무것도 달라지지 않을 수 있습니다.
전송요구권은 수동적 권리입니다. 기관이 먼저 “당신의 정보를 이동시켜 드릴게요”
라고 연락하지 않습니다. 8월 시행 이후에도 본인이 온마이데이터 플랫폼에 접속해
직접 요청해야만 제도가 작동합니다. 이 사실을 모른 채 “자동으로 혜택이 생기겠지”
라고 기다리는 것이 가장 흔한 함정입니다.
공공기관은 6개월, 민간 대형기업은 1년 유예를 받습니다. 즉 8월 시행령 발효 후에도
매출 1,800억 이상 민간기업은 실제로 약 2027년 초까지 시스템을 구축해도 됩니다.
“내가 쓰는 서비스가 당장 8월부터 가능하다”고 단정하는 것은 함정입니다.
일상에서 가장 많이 데이터를 주고받는 동네 병원, 지역 쇼핑 앱, 중소 통신 서비스는
이번 의무 대상에서 빠져 있습니다. 내가 자주 이용하는 앱이 마이데이터 전송을
지원할 것이라고 기대하는 것은 잘못된 판단일 수 있습니다.
기업이 내 데이터를 분석해 만든 2차 가공 정보(예: 위험군 분류, 소비 성향 등급)는
전송 요구 대상에서 제외됩니다. 보험사의 신용등급 산출 근거나 플랫폼의 맞춤형
추천 알고리즘 결과물은 청구할 수 없습니다. 이 부분을 모르고 요청했다가
거부당하는 사례가 생길 수 있습니다.
마이데이터 제도가 주목받으면서 공인받지 않은 민간 서비스가 “대신 정보를 이동해
드리겠다”며 개인정보를 요청할 수 있습니다. 전문기관은 개인정보위의 엄격한
심사를 통과해야 하며, 온마이데이터 공식 목록에 등재된 기관만 이용해야 합니다.
인증 마크나 등록 번호를 반드시 확인하세요.
전문기관에 데이터를 전송할 때 ‘동의’를 클릭합니다. 그런데 그 동의서에는
간접적 프로파일링이나 제3자 제공 범위가 포함될 수 있습니다. 클릭 한 번으로
광범위한 정보 활용에 동의하게 되는 구조입니다. 동의 전 반드시 처리 항목과
보유 기간을 확인하는 습관이 필요합니다.
마이데이터 권리에는 전송 중단 및 삭제 요청이 포함됩니다. 그러나 법령상
‘정당한 사유’가 있을 경우 기관이 즉각 삭제를 거부하거나 지연할 수 있습니다.
이미 제3자 기관에 전달된 정보는 연쇄적으로 삭제되기 어렵습니다. 처음부터
신중하게 전송 범위를 선택하는 것이 최선의 방어입니다.
유예기간별 시행 일정 완전 정리
마이데이터 전 분야 확대 개인정보 보호법 시행령 개정안은 2026년 2월 10일
국무회의에서 의결됐습니다. 공포 예정일이 2026년 3월 전후로 예상되므로,
아래 일정표를 기준으로 계획을 세우는 것이 정확합니다.
| 시점 | 이벤트 | 대상 |
|---|---|---|
| 2026.02.10 | 시행령 개정안 국무회의 의결 | 전 기관 |
| 2026.03~04 (예정) | 시행령 공포 + 전문기관 설명회 시작 | 전문기관 |
| 2026.08 (예정) | 시행령 본격 시행 (공포 후 약 6개월) | 공공기관, 제3자 전송자 |
| 2027.초 (예정) | 민간 대규모 기업 의무 적용 완료 | 매출 1,800억↑ 민간기업 |
| 2026~지속 | 에너지·교육·고용·문화·여가 분야 제3자 전송 확대 | 추가 분야 |
개인정보위는 3월부터 개인정보관리 전문기관 지정 설명회를 열고,
단계적으로 공인 기관 목록을 공개할 예정입니다. 내가 이용하려는 서비스가
공인 전문기관인지 확인할 수 있는 가장 빠른 시점이 바로 이 설명회 이후입니다.
개인정보 유출·오남용 우려, 현실적 대응법
마이데이터 전 분야 확대를 둘러싼 가장 현실적인 불안은 두 가지입니다.
하나는 개인정보가 예상치 못한 방식으로 결합·분석될 수 있다는 것이고,
다른 하나는 데이터 사고 발생 시 책임 소재가 불분명하다는 것입니다.
실제로 산업계 일각에서는 국내 소비자 정보가 중국계 기업에 활용될 가능성을
우려하는 지적도 나옵니다.
현실적인 대응법을 네 가지로 정리합니다. 첫째, 온마이데이터 플랫폼에서
직접 전송 이력을 주기적으로 확인하세요. 둘째,
전문기관 이용 시 동의서 전문을 반드시 읽고 제3자 제공 조항이
있다면 선택 동의 여부를 확인하세요. 셋째, 정보 유출 의심 시
개인정보보호위원회 신고센터(privacy.go.kr)에 즉시 신고하세요.
넷째, 전송한 정보를 더 이상 활용하지 않겠다면 삭제 요청 기록을 남겨두세요.
솔직히 말씀드리면, 이 정책이 완벽하게 작동하려면 세부 기술 표준과 사고 발생 시
보상 체계가 추가로 정비돼야 합니다. 지금은 ‘권리를 열어놨다’는 선언 단계에
가깝습니다. 실제로 안전하게 쓸 수 있는 환경은 2027년 이후 점진적으로
갖춰질 것으로 봅니다. 지금 당장 해야 할 일은 ‘관심을 갖고 지켜보면서
공인 기관만 이용하는 것’입니다.
❓ Q&A — 마이데이터 전 분야 확대 핵심 질문 5
마이데이터 전 분야 확대는 언제부터 실제로 사용할 수 있나요?
내가 이용하는 작은 앱에도 전송 요구를 할 수 있나요?
내 의료기록을 보험사에 전송하면 불이익이 생기지 않을까요?
온마이데이터 플랫폼에서 전송 취소나 삭제도 할 수 있나요?
공인 전문기관인지 아닌지 어떻게 구별하나요?
✍️ 마치며 — 데이터 주권, 알아야 누릴 수 있습니다
마이데이터 전 분야 확대는 제도의 방향성만큼은 분명히 옳습니다.
흩어진 내 정보를 내 손으로 통제하고, 맞춤형 서비스를 능동적으로 활용한다는
개념 자체는 진보적입니다. 그러나 제도가 아무리 좋아도 ‘아는 사람만 쓰는 권리’로
끝날 가능성이 높은 것도 현실입니다.
지금 당장 할 수 있는 일은 온마이데이터(on.mydata.go.kr)에 접속해 플랫폼을
미리 익혀두는 것입니다. 3월 이후 발표되는 전문기관 목록을 확인하고, 내 정보가
어떤 기관에 보관돼 있는지 점검해두는 것도 좋습니다. 8월이 됐을 때
“이미 준비가 돼 있는 사람”과 “뒤늦게 찾아보는 사람”의 차이가 생깁니다.
데이터 주권은 선언만으로 완성되지 않습니다. 내가 이해하고, 요청하고,
감시해야 비로소 진짜 권리가 됩니다. 이 글이 그 시작점이 되기를 바랍니다.
※ 본 게시물은 공개된 정부 보도자료 및 언론 기사를 바탕으로 작성된 정보성 콘텐츠입니다.
마이데이터 전 분야 확대 관련 세부 시행 일정, 적용 범위, 전문기관 목록 등은
향후 개인정보보호위원회의 공식 발표에 따라 변경될 수 있습니다.
법적 판단이나 개인정보 관련 분쟁은 반드시 개인정보보호위원회(pipc.go.kr) 또는
전문가의 조언을 받으시기 바랍니다. 최종 확인일: 2026년 3월 2일.
댓글 남기기