마이데이터 본인전송요구권:
8월 전에 모르면 내 정보만 못 씁니다
2026년 2월 19일, 개인정보 보호법 시행령 개정령이 공포됐습니다. 핵심은 단 하나입니다.
내 정보를 내가 원하는 곳으로 직접 이동시킬 권리가 이제 병원·통신사를 넘어 모든 산업으로 확대됩니다.
📋 공포일 2026.02.19
🏢 대상: 매출 1,800억↑·정보주체 100만↑
📡 전 산업 분야 확대
마이데이터 본인전송요구권, 지금 왜 중요한가
마이데이터 본인전송요구권은 내가 특정 기업·기관에 맡겨 둔 개인정보를 내가 원하는 다른 곳으로 직접 이동시켜 달라고 요구할 수 있는 법적 권리입니다. 쉽게 말해 “A병원 진료기록을 B헬스케어 앱으로 가져다 써라”고 내가 직접 명령할 수 있는 것입니다.
이 권리는 2023년 3월 개정된 개인정보 보호법 제35조의2에 이미 법적 근거가 마련됐고, 2025년 3월부터 의료·통신 2개 분야에서 먼저 시행돼 왔습니다. 그런데 2026년 2월 19일 시행령 개정령이 공포되면서, 8월 20일부터는 전 산업 분야로 의무 적용 범위가 대폭 확대됩니다.
이 제도가 중요한 이유는 단순히 내 정보를 편리하게 이동하는 차원을 넘어섭니다. 데이터를 독점하고 있는 대형 플랫폼 기업에 맞서 소비자가 직접 정보 흐름을 결정하는 구조, 즉 데이터 주권(Data Sovereignty)의 실질적 실현입니다. 해외에서는 영국의 오픈뱅킹(Open Banking), 호주의 소비자데이터권리(CDR)가 이미 금융·에너지 분야에서 시행되고 있으며, 한국의 이번 전면 확대는 단일 법률로 모든 산업에 적용되는 세계 최초 수준의 포괄적 마이데이터 제도라는 점에서 전례 없는 선례를 만들고 있습니다.
💡 개인이 지금 알아야 할 핵심 포인트
- 내 정보를 가진 대형 기업은 2027년 2월까지 의무 전송 시스템을 갖춰야 합니다.
- 공공기관·제3자 전송서비스 사업자는 2027년 2월 20일부터 의무 적용됩니다.
- 8월부터는 홈페이지에서 직접 내 데이터를 암호화 다운로드할 수 있습니다.
2026년 개정으로 무엇이 달라지나 — 의무 대상 기업 기준
이번 시행령 개정의 가장 핵심 변화는 본인대상정보전송자 범위의 대폭 확대입니다. 기존에는 의료·통신 분야에 한정된 몇몇 기관만 대상이었지만, 이제 아래 기준 중 하나라도 해당되면 모든 산업의 기업과 공공기관이 의무 대상이 됩니다.
| 구분 | 기준 요건 | 시행일 |
|---|---|---|
| 대규모 민간기업 | 평균매출 1,800억 초과 + 정보주체 100만명↑ 또는 민감·고유정보 5만명↑ | 2027년 2월 20일 |
| 공공시스템 운영기관 | 개인정보 보호법 제35조의2 제2항에 따른 기관 | 2027년 2월 20일 |
| 제3자 전송서비스 사업자 | 마이데이터 전송 플랫폼 운영 사업자 | 2026년 8월 20일 |
주목해야 할 점은 중소기업은 의무 대상에서 제외된다는 것입니다. 중소기업기본법 기준을 충족하는 기업은 이번 개정령의 ‘본인대상정보전송자’ 기준에 해당하지 않아 현행과 동일하게 운영됩니다. 이는 영세 전문기관에 과도한 비용 부담을 지우지 않으려는 배려이지만, 동시에 중소기업 플랫폼 이용자는 해당 기업에 전송 요구를 할 수 없다는 한계도 있습니다.
현실적으로 네이버, 카카오, 쿠팡, 삼성, SKT, KT, LGU+, 국민건강보험공단, 금융결제원 등 일상에서 자주 이용하는 대형 플랫폼과 공공기관이 대부분 의무 대상에 포함됩니다. 개인정보보호위원회는 2026년 3월부터 개인정보관리 전문기관 지정 및 설명회를 개최해 기업들의 대응을 지원할 계획입니다.
어떤 정보를 요청할 수 있나 — 전송 대상 정보 완전 해설
전송을 요구할 수 있는 정보의 범위는 이번 개정으로 대폭 넓어졌습니다. 원칙적으로 내 동의, 계약 체결·이행, 또는 법령에 따라 처리된 나에 관한 모든 개인정보가 대상입니다. 구매·이용 내역, 진료기록, 통신 이용 패턴, 전기 사용량, 교육 이수 이력, 고용 내역 등이 이에 해당합니다.
✅ 요청 가능한 정보 유형
- 의료 분야: 진단명, 처방 이력, 투약 기록, 건강검진 결과 등
- 통신 분야: 데이터·통화 이용 패턴, 요금제 정보, 로밍 내역 등
- 에너지 분야: 전기·가스 사용량, 월별 요금 내역, 피크 시간대 사용 데이터
- 교육·고용 분야: 수강 이력, 자격증 취득 내역, 근로 이력, 임금 내역
- 유통·여가 분야: 구매 이력, 포인트 내역, 문화·레저 이용 기록
❌ 전송 제외 가능 정보 (기업이 거부할 수 있는 항목)
- 기업이 자체적으로 분석·가공해 별도로 생성한 정보 (AI 추천 알고리즘 결과물 등)
- 타인의 권리나 정당한 이익을 침해할 우려가 있는 정보
- 영업비밀, 산업기술 등 법령에 따라 보호가 필요한 정보
- 일방향 암호화(해시)로 저장돼 복호화 불가능한 정보
💡 현실적으로 가장 유용한 활용 포인트
쿠팡·마켓컬리 같은 이커머스에서 수년간 쌓인 구매 이력을 한 번에 내려받아 가계부 앱이나 영양 분석 서비스에 연결하거나, SKT·KT에서 통신 이용 데이터를 뽑아 가장 유리한 요금제를 자동 비교하는 것이 가능해집니다. 기업이 독점해온 ‘내 데이터’가 이제 정말로 내 손에 들어오는 것입니다.
내 정보, 어떻게 받나 — 전송 방식과 대리인 활용법
이번 시행령은 단순히 ‘전송해야 한다’는 의무만 규정한 것이 아니라, 어떤 방식으로 전송해야 하는지까지 구체적으로 못 박았습니다. 크게 세 가지 방법이 허용됩니다.
방법 1 API 연계 (원칙)
표준화된 API를 통해 마이데이터 플랫폼이 자동으로 정보를 수집·연계하는 방식. 가장 안전하고 권장되는 방법으로, 금융 마이데이터와 동일한 구조입니다.
방법 2 직접 다운로드 (신설)
기업 홈페이지에서 내 정보를 암호화 파일로 직접 내려받는 방식. API 구축 전 과도기적으로 즉시 활용 가능하며, 2026년 8월부터 모든 대상 기업에 의무화됩니다.
방법 3 대리인 스크래핑 (제한적)
마이데이터 대리인이 정보주체 대신 자동화 도구로 정보를 수집하는 방식. 단, 반드시 기업과 사전에 협의된 신뢰 대리인만 허용되며, 무분별한 스크래핑은 여전히 불법입니다.
대리인을 통한 요구권 행사
개인이 직접 요청하기 어려운 경우, 개인정보 보호법 제38조에 따른 법정대리인이나 위임 대리인을 통해 본인전송요구를 할 수 있습니다. 기업은 정당한 사유 없이 대리인의 요청을 거절해서는 안 됩니다. 단, 대리인은 수신한 정보를 저장하지 않고 반드시 본인에게 전달해야 하며, 이를 위반할 경우 법적 책임이 따릅니다. 노인이나 디지털 취약계층을 위한 실질적인 안전망으로 설계된 조항입니다.
8월 이후 일상이 바뀌는 서비스 시나리오
개인정보위가 예시로 제시한 마이데이터 활용 시나리오를 보면, 이 제도가 가져올 변화의 규모가 실감됩니다. 단순한 정보 이동이 아니라, 데이터 결합을 통한 완전히 새로운 서비스 생태계가 만들어집니다.
🏥 시나리오 1 — 맞춤형 건강관리
진단·투약 이력 + 구매 이력 결합 → “당신의 당뇨 관리에 적합한 식재료를 자동으로 추천해 드립니다” 서비스가 법적으로 완전히 가능해집니다.
💼 시나리오 2 — 치료 중 맞춤 일자리 연계
장기 치료 이력 + 고용 데이터 결합 → 특정 질환을 가진 사람이 부담이 적은 직종이나 재택근무 가능 일자리를 자동으로 추천받을 수 있습니다.
⚡ 시나리오 3 — 에너지 요금 자동 최적화
전기·가스 사용량 이력 → 피크 시간대 자동 절전 알림, 더 저렴한 요금제 자동 비교·전환 서비스가 가능해집니다.
📱 시나리오 4 — 통신 요금제 자동 절약
SKT·KT·LGU+ 통신 이용 패턴 → 내 실제 사용량에 맞는 최저가 요금제를 제3의 앱이 자동으로 찾아줍니다. 영국 오픈뱅킹의 통신판이 됩니다.
개인적으로 이 중 가장 파급력이 큰 시나리오는 의료 + 구매 데이터 결합이라고 봅니다. 수십 년간 병원이 독점해온 진료기록이 개인의 동의 하에 헬스케어 스타트업으로 흘러가는 순간, 국내 디지털 헬스케어 시장은 구조적으로 재편될 것입니다. 대형 병원이 기득권을 잃을 수도 있는 만큼, 8월 이후 산업계 저항과 제도 보완 논의는 계속될 전망입니다.
기업은 무엇을 준비해야 하나 — 컴플라이언스 체크리스트
기업 입장에서 이번 개정령은 단순한 법령 준수 이상의 과제를 던집니다. 본인대상정보전송자 요건에 해당하는 기업은 2026년 8월 20일까지 홈페이지 직접 다운로드 기능을, 대규모 민간기업은 2027년 2월 20일까지 전체 전송 시스템을 갖춰야 합니다. 준비 기간이 생각보다 짧습니다.
기업 대응 필수 체크리스트
- 본인대상정보전송자 해당 여부 확인: 매출 1,800억 초과·정보주체 100만명 이상 기준을 검토하세요. 그룹사 합산이 아닌 법인 단위로 판단됩니다.
- 전송 대상 정보 매핑: 처리 중인 개인정보 항목 전체를 검토해 전송 대상·제외 대상을 분류하는 인벤토리를 만들어야 합니다.
- 홈페이지 직접 다운로드 기능 구축 (8월 우선): 암호화 알고리즘을 적용한 데이터 내려받기 기능을 8월 20일까지 홈페이지에 구현해야 합니다.
- API 설계 착수: 장기적으로 제3자 전송 서비스 플랫폼과 연계될 API 규격을 선제적으로 설계하는 것이 바람직합니다.
- 대리인 처리 프로세스 수립: 법정대리인·위임 대리인의 요청을 처리하기 위한 본인 확인 절차와 내부 워크플로를 설계해야 합니다.
- 영업비밀 정보 분류: 분쟁 발생 시 전송 거부가 가능한 영업비밀 정보를 미리 명확히 지정·문서화해 두는 것이 중요합니다.
⚠️ 주의: 개인정보보호법 개정안 과징금 10% 연계 리스크
2026년 2월 12일 국회를 통과한 개인정보보호법 개정안은 개인정보 유출·침해 시 전체 매출의 최대 10%를 과징금으로 부과할 수 있도록 강화됐습니다. 본인전송 시스템을 부실하게 구축해 데이터 유출 사고가 발생할 경우, 이 과징금 조항이 동시에 적용될 수 있습니다.
개인정보보호법 과징금 10% 강화와의 연계 — 2단 규제 리스크
이번 마이데이터 시행령 확대와 거의 동시에, 개인정보보호법 자체도 강도 높은 개정이 진행됐습니다. 2026년 2월 12일 국회 본회의를 통과한 개정안은 두 가지 핵심 내용을 담고 있습니다.
첫째, 과징금 한도가 전체 매출의 최대 10%로 상향됩니다(현행은 위반 행위 관련 매출의 3%). 루이비통코리아에 부과된 360억 원 과징금이 주목받는 이유가 여기에 있습니다. 앞으로는 대형 플랫폼 기업이 개인정보를 유출하면 수천억 원 단위의 과징금이 현실화됩니다. 둘째, 대표이사·사업주가 개인정보 처리·보호의 최종 책임자로 명문화됩니다. CPO(개인정보보호책임자)의 독립성이 보장되고 예산·인력 확보가 법적 의무가 됩니다.
두 제도를 함께 보면, 기업이 마주하는 리스크 구조는 완전히 바뀝니다. 마이데이터 전송 시스템을 구축하면서 보안을 소홀히 하면 과징금 10%, 전송 의무를 이행하지 않으면 시정명령·과태료가 동시에 부과될 수 있습니다. 이것을 저는 ‘2단 규제 함정(Double Compliance Trap)’이라고 부르고 싶습니다. 데이터를 열어야 하는 의무와 데이터를 지켜야 하는 의무가 동시에 강화된 것이기 때문입니다.
💡 산업계의 우려와 정부의 답변
한국온라인쇼핑협회 등 업계는 “국내 기업의 데이터가 알리익스프레스·테무 같은 해외 플랫폼에 무상 이전될 수 있다”고 반발하고 있습니다. 개인정보위는 “전송 대상을 보호역량을 갖춘 대규모 국내 기업·기관으로 한정했고, 해외 유출 방지를 위한 보안 기준을 시행규칙에서 상세히 규정할 것”이라고 답했습니다. 향후 시행규칙 제정 과정이 이 갈등의 핵심 분수령이 될 것입니다.
Q&A 5선 — 마이데이터 본인전송요구권 핵심 질문
Q1. 본인전송요구권과 기존 개인정보 열람권의 차이는 무엇인가요?
열람권은 단순히 내 정보가 어떻게 처리되는지 ‘확인’할 권리입니다. 반면 본인전송요구권은 정보를 내가 지정한 제3자(앱, 서비스)에게 직접 ‘이동’시킬 것을 요구하는 능동적 권리입니다. 열람은 복사본을 들여다보는 것이고, 전송 요구는 원하는 곳에 가져다 놓으라고 명령하는 것이라고 이해하면 됩니다.
Q2. 중소기업에서 산 물건 구매 내역은 요청할 수 없나요?
2026년 8월 시행 시점에는 어렵습니다. 의무 대상이 평균 매출 1,800억 초과·정보주체 100만명 이상의 대규모 기업에 한정되기 때문입니다. 다만 개인정보위는 중소기업 포함 전 분야 확대를 장기 목표로 추진 중이며, 제3자 전송서비스 플랫폼을 통한 간접적 연계도 단계적으로 허용될 전망입니다.
Q3. 기업이 전송을 거부할 수 있는 경우는 어떤 경우인가요?
타인의 권리를 침해하거나, 법령에 따라 보호되는 영업비밀·산업기술에 해당하거나, 기업이 자체적으로 가공해 생성한 정보(예: AI 추천 알고리즘 결과물, 내부 신용평가 점수 등)는 전송 거부가 가능합니다. 단, 거부 사유가 명확하지 않으면 개인정보위에 분쟁조정을 신청할 수 있습니다.
Q4. 현재 (2026년 3월) 이미 전송 요구를 할 수 있는 분야는 어디인가요?
2025년 3월 13일부터 의료(진료기록 등)와 통신(이용 내역 등) 2개 분야에서 이미 본인전송요구권이 시행 중입니다. 삼성서울병원, 서울아산병원 등 대형 병원과 SKT·KT·LGU+ 3사 통신사에 현재도 요청이 가능합니다. 개인정보위 홈페이지(pipc.go.kr)에서 구체적인 신청 방법을 안내받을 수 있습니다.
Q5. 내 정보를 받아 쓰는 마이데이터 앱이 또 유출하면 어떻게 되나요?
마이데이터 플랫폼 사업자(제3자 전송자)는 시행령상 개인정보 보호역량 기준을 충족해야 하며, 2026년 2월 통과된 개보법 개정안에 따라 유출 시 매출의 최대 10% 과징금을 물 수 있습니다. 또한 72시간 내 정보주체 통지 의무가 적용되며, 이를 어기면 과태료와 수사의뢰가 병행됩니다. 업계 일각의 우려처럼 제도 설계가 완벽하지는 않지만, 법적 제재 수위는 과거보다 크게 높아진 상태입니다.
마치며 — 데이터 주권 시대, 당신의 전략은
마이데이터 본인전송요구권의 전 산업 확대는, 한국 디지털 역사에서 가장 조용하지만 가장 구조적인 변화 중 하나입니다. 법이 시행된 이후에야 뒤늦게 알게 되는 경우가 많은 이런 제도 변화야말로 사실 가장 먼저 알아야 할 정보입니다.
개인이라면 8월 이후 금융·의료·통신 등 핵심 분야의 마이데이터를 연계한 서비스가 빠르게 출시될 것이라는 점을 염두에 두고, 자신의 데이터를 어떤 서비스에 활용할지 미리 생각해두는 것이 좋습니다. 특히 의료 기록과 구매 이력의 결합은 건강관리 서비스 품질을 극적으로 높일 수 있습니다.
기업이라면 단순히 법 준수 시스템을 구축하는 데 그치지 않고, 역발상으로 ‘내가 고객의 데이터를 가장 안전하고 편리하게 전송해 주는 기업’이라는 브랜딩 기회로 삼을 수 있습니다. 제도가 만드는 불편함을 먼저 해결하는 기업이 다음 10년의 데이터 경제에서 우위를 점할 것입니다.
시행일인 2026년 8월 20일까지 남은 시간은 약 5개월 반입니다. 개인도, 기업도, 지금이 준비할 골든타임입니다.
※ 본 콘텐츠는 공개된 법령 및 공식 발표 자료를 바탕으로 작성된 정보 제공 목적의 글입니다. 구체적인 법률 해석이나 기업 컴플라이언스 대응은 개인정보 보호 전문가 또는 법무 전문가의 자문을 받으시기 바랍니다. 시행령 세부 시행규칙 내용은 추후 개인정보보호위원회 공식 공고를 통해 확인하세요.
댓글 남기기