마이데이터 전 분야 확대: 8월 전 모르면 손해 보는 7가지 핵심
2026년 2월 10일 국무회의 의결 완료 — 의료·통신 한정에서 쇼핑·교육·에너지까지 확장, 본인 데이터를 직접 뽑아 쓰는 시대가 8월 열립니다.
📌 8월 본격 시행
🏛 개인정보보호위원회
✅ 의료·통신 → 전 분야
① 마이데이터 전 분야 확대, 무엇이 달라지나?
마이데이터 전 분야 확대는 2026년 2월 10일 국무회의 의결로 확정된 「개인정보 보호법 시행령」 개정안의 핵심 내용입니다. 기존에는 의료와 통신 두 분야에서만 허용됐던 ‘본인 정보 전송요구권’이 이제 쇼핑·유통·교육·에너지·고용·문화·여가까지 사실상 모든 산업으로 확대됩니다. 쉽게 말해 “내 데이터는 내가 가져간다”는 권리가 법적으로 완전히 보장되는 셈입니다.
본인 전송요구권이란, 쿠팡·네이버·카카오·병원·통신사 등 기업·기관이 보유한 나의 개인정보를 내가 원하는 앱이나 서비스로 직접 이동·활용할 수 있도록 요청하는 권리입니다. 이것이 전 분야로 확대되면 지금껏 기업이 독점하다시피 했던 개인 데이터의 통제권이 실질적으로 개인에게 넘어오게 됩니다. 개인정보보호위원회 송경희 위원장은 이를 두고 “국민이 자신의 개인정보 주권을 적극적으로 행사할 수 있는 역사적 전환점”이라고 밝혔습니다.
② 시행 일정·유예기간: 내가 체감하는 날짜는?
개정 시행령은 2026년 2월 19일 공포되었으며, 8월부터 본격 시행됩니다. 다만 기관 유형에 따라 유예기간이 다르게 적용되므로 아래 표를 통해 확인하세요.
| 적용 대상 | 유예기간 | 실제 의무 시행 시점 |
|---|---|---|
| 공공시스템 운영기관 제3자 대상 정보전송자 |
공포 후 6개월 | 2026년 8월 (공포 기준) |
| 민간 대규모 개인정보처리자 (매출 1,800억 초과 + 정보주체 100만명 이상) |
공포 후 1년 | 2027년 2월 (공포 기준) |
즉, 일반 소비자가 쇼핑몰·교육 플랫폼 등 민간 대기업에 데이터 전송을 요구할 수 있는 권리는 2027년 2월부터 법적 강제력을 갖게 됩니다. 공공기관과 제3자 전송 서비스는 올해 8월부터 먼저 시행됩니다. 지금 이 제도를 이해하고 준비하는 것이 중요한 이유가 여기에 있습니다.
③ 적용 대상 기업·기관: 어디까지 포함되나?
모든 기업이 전송 의무를 지는 것은 아닙니다. 시행령은 개인정보 보호 역량을 갖춘 대규모 개인정보처리자를 의무 대상으로 규정했으며, 기준은 다음과 같습니다.
평균 매출액 1,800억 원 초과 AND 정보주체 100만 명 이상을 처리하는 민간 기업. 네이버·카카오·쿠팡·이마트·롯데쇼핑 등 대형 플랫폼이 해당됩니다.
민감·고유식별정보 5만 명 이상을 처리하는 기관. 대형 병원, 보험사, 금융회사 등이 포함됩니다.
공공시스템 운영기관: 주민등록, 건강보험, 국세청 등 정부 기관.
제3자 대상 정보전송자: 마이데이터 사업자처럼 다른 기업의 데이터를 수집·전달하는 서비스.
중소기업·소상공인은 이번 의무 대상에서 제외됩니다. 이는 데이터 보안 역량이 충분히 갖춰진 대형 기관부터 단계적으로 의무화하겠다는 정부 방침입니다. 그러나 에너지·교육·고용·문화·여가 분야는 2026년 중 제3자 전송까지 확대하기 위한 실무협의체가 이미 가동 중으로, 사실상 전 산업으로 빠르게 번질 전망입니다.
④ 7가지 핵심 활용 시나리오: 내 생활이 이렇게 바뀝니다
마이데이터 전 분야 확대가 실생활에서 어떻게 구현될지, 구체적인 7가지 시나리오를 소개합니다. 단순한 제도 설명이 아니라 실제로 ‘이런 상황에서 이렇게 쓴다’는 관점에서 풀었습니다.
🛒 시나리오 1 — 쇼핑 이력 기반 건강 식단 추천
쿠팡·마켓컬리의 구매 내역을 헬스케어 앱으로 전송하면, 구매 식품을 분석해 나트륨·당류 과다 섭취 여부를 경고하고 맞춤 건강 식단을 추천받을 수 있습니다. 기존에는 앱 안에서 직접 입력해야 했지만, 전송요구권으로 자동 연동이 가능해집니다.
📚 시나리오 2 — 학습 이력 자동 전송으로 진학 컨설팅
학교·학원·온라인 강의 플랫폼의 수강 이력과 성적 데이터를 진학 컨설팅 앱으로 전송하면, AI가 학습 패턴을 분석해 입시 전략을 제안합니다. 부모가 각 플랫폼을 돌아다니며 수동으로 모을 필요가 없어집니다.
⚡ 시나리오 3 — 전기·가스 사용량으로 절약 리포트
한국전력·도시가스 사용 데이터를 에너지 절약 앱으로 전송해 월별 사용 패턴을 분석하고, 효율이 낮은 가전제품 교체 타이밍이나 에너지 요금 절감 팁을 자동으로 받습니다. 에너지 분야는 2026년 중 제3자 전송 확대 예정입니다.
🏥 시나리오 4 — 진료 기록 통합으로 중복 검사 방지
기존 의료 마이데이터의 연장선으로, 이제 전 분야 데이터와 결합이 가능해집니다. 진료 기록+구매 식품+운동 앱 데이터를 결합하면 단순 진단을 넘어 생활 습관 연계 맞춤 의료 서비스가 현실화됩니다. 다니던 병원을 바꾸더라도 이전 기록을 새 병원에 직접 전송할 수 있어 중복 검사 비용이 절감됩니다.
💼 시나리오 5 — 경력·자격 정보 자동 이력서 생성
국가자격증 취득 이력, 국민건강보험공단의 취업 이력, 각종 교육 수료증을 채용 플랫폼으로 전송하면 이력서가 자동으로 채워집니다. 구직자가 일일이 서류를 떼러 기관을 방문할 필요가 사라집니다.
🎫 시나리오 6 — 문화생활 이력로 맞춤 할인 연계
영화·공연·도서 이용 기록을 문화 큐레이션 앱으로 전송하면, 취향에 맞는 공연 할인쿠폰을 먼저 추천받거나 도서관 대출 기록을 활용한 독서 모임 매칭 서비스가 가능해집니다. 데이터를 활용한 ‘문화 복지’ 혜택이 현실로 다가옵니다.
💳 시나리오 7 — 세금 환급 자동 안내
국세청 보유 납세 정보를 세금 계산 앱으로 전송하면, 놓친 세액공제 항목을 자동으로 찾아 환급 가능 금액을 알려줍니다. 복잡한 연말정산을 스스로 할 필요 없이 앱 하나로 최적화가 가능해지는 시대가 열립니다.
⑤ 전송 방식과 보안: API vs 스크래핑 논란의 실체
전송 방식은 이 제도의 안전성을 좌우하는 핵심입니다. 시행령은 API(응용프로그램 인터페이스) 연계 방식을 원칙으로 규정했습니다. API는 기업이 정해진 규격에 따라 데이터를 안전하게 내주는 표준 통로로, 보안성이 높습니다.
스크래핑은 왜 제한적으로만 허용하나?
스크래핑은 사람이 웹사이트에서 보는 화면을 자동으로 읽어오는 방식입니다. 빠르고 간편하지만 보안에 취약하고, 해킹과 구분이 어렵다는 문제가 있습니다. 이에 시행령은 ‘개인정보 처리자와 사전 협의를 마치고 안전성·신뢰성이 입증된 대리인에 한해서만’ 스크래핑을 일시적으로 허용했습니다. 사실상 단계적 퇴출 수순입니다.
홈페이지 직접 내려받기도 허용
정보주체가 인터넷 홈페이지에서 열람할 수 있는 정보를 암호화하여 직접 내려받는 방식도 전송 방법으로 명시되었습니다. 이는 금융·공공 분야처럼 API가 아직 구축되지 않은 기관에서 당장 쓸 수 있는 과도기적 수단입니다. 결국 어느 루트로 데이터를 받든, 내 데이터를 내가 가져올 권리 자체는 보장된다는 것이 핵심입니다.
| 방식 | 보안 | 편의성 | 시행령 지위 |
|---|---|---|---|
| API 연계 | 🟢 높음 | 🟡 인프라 구축 필요 | ✅ 원칙 |
| 제한적 스크래핑 | 🟡 중간 | 🟢 빠름 | ⚠️ 한시적 허용 |
| 홈페이지 암호화 다운로드 | 🟢 높음 | 🟡 수동 조작 필요 | ✅ 명시 허용 |
⑥ 업계 반발과 개인정보 유출 우려: 무엇이 진짜 문제인가
마이데이터 전 분야 확대는 장밋빛 청사진만 있는 것이 아닙니다. 쿠팡 해킹(3,367만 건), 루이비통코리아 360만 건 유출 등 대형 개인정보 사고가 잇따른 직후 이 정책이 시행되는 점에서 업계와 시민사회 양측 모두 우려를 표명하고 있습니다.
업계의 반발 핵심
한국온라인쇼핑협회는 국내 기업이 막대한 비용을 들여 축적한 데이터가 알리익스프레스·테무 같은 해외 이커머스로 사실상 무상 이전될 수 있다는 점을 강력히 문제 삼고 있습니다. 정보주체의 요구에 따라 데이터를 전달해야 하는 구조에서, 그 데이터가 해외 경쟁사 앱으로 흘러가도 막을 방법이 없다는 논리입니다.
시민사회의 우려 — 더 날카로운 지적
아이러니하게도 시민단체는 다른 방향에서 반대합니다. “보안·프라이버시 대책이 충분히 갖춰지지 않은 상태에서 일상 전 영역으로 전송요구권을 확대하는 것은 오히려 개인정보 자기결정권을 위협할 수 있다”는 주장입니다. 편리함을 위해 데이터를 이곳저곳에 흘려보내다 보면, 정보주체가 어디에 무엇이 있는지조차 파악하기 어려운 역설이 발생한다는 것입니다. 필자의 관점으로는 두 우려 모두 타당하며, 개인정보보호위원회가 올해 3월부터 ‘개인정보관리 전문기관’ 지정 설명회를 여는 것만으로는 충분하지 않다고 봅니다.
⑦ 해외 사례로 보는 마이데이터의 미래
한국만 이 길을 걷는 것이 아닙니다. 전 세계적으로 ‘데이터 주권’은 21세기 핵심 권리로 부상하고 있으며, 선도국 사례를 보면 한국이 나아갈 방향이 보입니다.
🇬🇧 영국 — 오픈뱅킹 성공 사례
영국은 2018년 오픈뱅킹 제도 도입으로 은행 간 거래 데이터를 API 방식으로 안전하게 공유하는 생태계를 구축했습니다. 이를 통해 가계부 앱·대출 비교 서비스·재무 자문 스타트업이 폭발적으로 성장했으며, 소비자 금융 서비스의 질이 눈에 띄게 개선되었습니다. 데이터 이동권이 산업 혁신으로 이어진 모범 사례입니다.
🇦🇺 호주 — 소비자데이터권리(CDR)
호주는 은행·에너지·통신 분야에서 소비자데이터권리(Consumer Data Right)를 법제화해, 소비자가 자신의 사용 데이터를 경쟁 서비스에 제공하도록 요구할 수 있습니다. 에너지 요금 비교 앱이 성행하며 실제 전기요금 절감 효과가 검증되었고, 현재 슈퍼마켓·보험 분야로 확장 중입니다.
🇪🇺 EU — GDPR 이후 데이터 거버넌스법
EU는 GDPR 제20조 정보이동권을 넘어, 2023년 데이터법(Data Act)을 제정해 기업간(B2B) 데이터 공유까지 의무화하는 단계로 진입했습니다. 개인 데이터를 넘어 사물인터넷(IoT) 기기 데이터까지 이동권 대상에 포함시킨 것이 특징입니다. 한국의 이번 시행령은 EU의 방향성과 궤를 같이 하지만, B2B 확장까지는 아직 길이 남아 있습니다.
❓ 자주 묻는 질문 Q&A
마이데이터 전송요구권, 지금 당장 쓸 수 있나요?
중소기업에도 데이터 전송을 요구할 수 있나요?
전송받은 내 데이터, 기업이 거부할 수 있나요?
데이터를 받아서 어디에 활용할 수 있나요?
마이데이터 전 분야 확대가 개인정보 유출 위험을 높이지는 않나요?
📝 마치며 — 데이터 주권 시대, 준비된 자만이 이긴다
마이데이터 전 분야 확대는 단순한 정책 변경이 아닙니다. 지난 20여 년간 플랫폼 기업들이 독점해온 개인 데이터의 통제권이 비로소 개인에게 돌아오는 구조적 전환입니다. 2026년 8월 시행을 시작으로 2027년에는 민간 대기업까지 의무화되면, 의료·금융·쇼핑·교육을 아우르는 생애 전반의 데이터를 한 공간에서 관리·활용할 수 있는 환경이 만들어집니다.
물론 장밋빛 미래만 있는 것은 아닙니다. 업계의 역차별 우려, 해킹 취약성 증가, 데이터 문해력이 낮은 계층의 소외 문제는 여전히 해결되지 않은 숙제입니다. 특히 이번 쿠팡 해킹 사태처럼 대형 플랫폼도 보안이 무너지는 현실에서 ‘데이터를 내 손으로 이동’한다는 것 자체가 새로운 위험 요인이 될 수 있습니다. 그러므로 이 제도를 제대로 활용하려면 개인정보보호위원회가 인증한 공식 채널을 이용하고, 내 데이터가 어디로 흘러가는지 꼼꼼히 확인하는 ‘데이터 위생’ 습관이 필수입니다.
2026년 3월부터 개인정보보호위원회가 개인정보관리 전문기관 지정 설명회를 시작하므로, 관련 정보를 미리 확인하고 8월 시행에 대비하시길 권장합니다. 준비된 사람에게 마이데이터는 ‘편리함’이지만, 모르는 사람에게는 ‘위험의 공백’이 될 수 있습니다.
※ 본 게시물은 개인정보보호위원회 공식 보도자료(2026.02.10), 연합뉴스, IT조선, 보안뉴스 등을 바탕으로 작성된 정보 제공 목적의 콘텐츠입니다. 시행 세부 사항은 관련 기관의 공식 발표 및 법령을 반드시 확인하시기 바랍니다. 개인정보보호법 시행령 개정 내용은 추후 변경될 수 있습니다.
댓글 남기기