마이데이터 전분야 확대:
8월 전 모르면 내 정보 주권 못 찾는다
2026년 2월 10일, 국무회의에서 개인정보보호법 시행령 개정안이 의결됐습니다.
이제 의료·통신에만 적용되던 본인정보 전송요구권이
쇼핑·에너지·교육·고용까지 전 분야로 확대됩니다.
8월 시행 전, 지금 바로 알아야 할 모든 것을 정리했습니다.
⚖️ 근거: 개인정보보호법 시행령 개정
🏦 대상: 매출 1,800억 초과 기업
📋 국무회의 의결: 2026.2.10
마이데이터 전분야 확대, 무엇이 달라지나?
2023년 3월 개인정보보호법이 개정되면서 도입된 개인정보 전송요구권(마이데이터)은
처음에는 의료와 통신 두 분야에만 적용됐습니다.
병원 진료 기록이나 통신사 이용 내역 정도만 내가 직접 요구해서 받을 수 있었죠.
그런데 2026년 2월 10일, 개인정보보호위원회가 개인정보보호법 시행령 개정안을
국무회의에서 의결하면서 상황이 완전히 달라졌습니다.
이번 개정의 핵심은 단 하나입니다.
의료·통신에만 한정되어 있던 전송요구권 적용 범위가 말 그대로 ‘전 산업 분야’로 확대된다는 것입니다.
쇼핑 플랫폼, 에너지, 교육, 고용, 교통, 문화·여가까지,
일상에서 내 데이터를 쌓고 있는 거의 모든 대형 플랫폼이 이 제도의 적용 대상이 됩니다.
개정된 시행령은 유예기간을 거쳐 2026년 8월부터 본격 시행됩니다.
마이데이터 전분야 확대는 단순한 제도 확장이 아닙니다.
지금까지 기업이 ‘소유’한다고 여겨졌던 내 구매 이력, 건강 데이터, 학습 기록, 에너지 사용량이
이제는 정보주체인 내가 직접 이동시킬 수 있는 ‘내 자산’으로 인정받는다는 의미입니다.
개인정보보호위원회 송경희 위원장은 “국민이 자신의 개인정보 주권을 적극적으로 행사하고,
본인 의사에 따라 정보를 이동해 활용할 수 있게 될 것”이라고 밝혔습니다.
전송요구 대상 기업 기준: 내가 요구할 수 있는 곳은?
전분야 확대라고 해서 모든 기업·기관이 즉시 의무를 지게 되는 건 아닙니다.
개정 시행령은 ‘본인 대상 정보전송자’ 기준을 명확하게 규정했습니다.
이 기준에 해당하는 기업 또는 기관만이 내 전송요구에 응해야 할 법적 의무를 집니다.
📌 본인 대상 정보전송자 해당 기준 (3가지 요건 중 1개 이상 충족)
| 구분 | 요건 | 예시 기업 |
|---|---|---|
| ① 대규모 민간 처리자 | 평균매출액 1,800억 원 초과 + 정보주체 100만 명 이상 또는 민감·고유정보 5만 명 이상 | 쿠팡, 네이버, 카카오, 배민, 쏘카 등 |
| ② 공공시스템 운영기관 | 집중관리시스템을 운영하는 공공기관 | 건강보험공단, 국세청, 행정안전부 등 |
| ③ 제3자 대상 정보전송자 | 내 정보를 다른 기업·기관에 전송해 주는 중개 역할을 하는 기관 | 마이데이터 사업자, 핀테크 플랫폼 등 |
중소기업기본법에 따른 중소기업은 이번 의무 부여 대상에서 제외됩니다.
이는 데이터 보호 역량이 충분히 갖춰지지 않은 소규모 사업자에게 과도한 부담을 주지 않겠다는
정책적 판단입니다. 단, 이후 단계적으로 확대될 가능성은 열려 있습니다.
쿠팡(쇼핑 이력), 네이버(검색·쇼핑 이력), 카카오(메시지·결제 이력),
배달의민족(주문 이력), 한국전력(전기 사용량), 건강보험공단(진료·투약 내역),
SK텔레콤·KT·LG유플러스(통신 이용 내역), 대형 학습 플랫폼 등이 포함될 것으로 예상됩니다.
어떤 정보를 요구할 수 있나? 범위와 예외
전송을 요구할 수 있는 정보의 범위도 이번 개정에서 구체적으로 명시됐습니다.
원칙적으로는 해당 기업·기관이 나에 대해 처리하고 있는 거의 모든 개인정보가 포함됩니다.
✅ 전송 요구 가능한 정보 (원칙적 포함 대상)
정보주체가 동의한 조건 하에 처리되는 정보, 계약 이행 및 체결 과정에서 수집된 정보,
법령에 따라 처리되는 정보 등이 모두 전송 요구 대상이 됩니다.
쇼핑 구매 내역, 진료 기록, 통신 요금 이용 내역, 에너지 사용량, 교육 수강 이력,
고용·취업 관련 정보, 문화·여가 이용 내역 등 생활 전반의 데이터가 해당됩니다.
❌ 전송 요구 제외 대상 (예외 항목)
다만 모든 정보가 무조건 전송되는 건 아닙니다. 개정 시행령은 아래 유형을 전송 대상에서 제외했습니다.
기업이 독자적으로 생성·가공한 정보(예: AI 분석 결과, 신용점수 내부 계산값 등),
영업비밀에 해당하는 정보, 제3자의 개인정보가 혼재되어 분리가 어려운 정보,
그리고 컴퓨터 등 자동화 처리가 불가능한 정보는 원칙적으로 제외됩니다.
| 분야 | 전송 가능한 정보 예시 |
|---|---|
| 🛒 유통·쇼핑 | 구매 이력, 반품 내역, 리뷰, 배송지 주소 |
| 🏥 의료·건강 | 진단명, 처방전, 검사 결과, 의료비 청구 내역 |
| 📡 통신 | 요금제, 데이터 사용량, 통화 내역 요약 |
| ⚡ 에너지 | 전기·가스 사용량, 요금 납부 이력 |
| 📚 교육 | 수강 이력, 학습 시간, 성취 기록 |
| 🚌 교통 | 교통카드 이용 내역, 택시·공유차 이용 이력 |
| 🎭 문화·여가 | 영화 예매 내역, 스트리밍 시청 이력, 공연 예매 내역 |
| 💼 고용 | 이력서 등록 정보, 채용 지원 내역 |
실생활에서 이렇게 활용한다: 5가지 시나리오
제도가 실제로 내 삶에 어떤 변화를 가져올지, 구체적인 활용 시나리오를 통해 살펴보겠습니다.
개인정보보호위원회가 제시한 기대 효과와 전문가 분석을 바탕으로 정리했습니다.
건강보험공단의 진단·투약 이력과 쇼핑 플랫폼의 구매 이력을 결합하면,
내가 복용 중인 약과 상호작용이 없는 식품, 만성질환 관리에 도움이 되는 식재료를
AI가 자동으로 추천해 주는 서비스가 가능해집니다.
지금까지는 이런 서비스를 만들려면 기업들끼리 복잡한 계약이 필요했지만,
이제는 정보주체인 내가 직접 데이터 이동을 지시할 수 있습니다.
한국전력의 전기 사용량 데이터를 에너지 관리 앱에 전송하면,
우리 집 사용 패턴에 맞는 절전 시간대 안내, 전기요금 예측 알림,
에너지 효율 개선 팁이 자동으로 제공됩니다.
태양광 패널이나 ESS 설치를 고민하는 분들에게도 객관적인 데이터 기반 판단이 가능해집니다.
통신사의 데이터 사용량과 통화 패턴 정보를 비교 플랫폼에 전송하면,
현재 내가 사용하는 요금제가 정말 최적인지 자동으로 분석해 줍니다.
매월 수만 원씩 ‘낭비’하고 있는 요금제를 발견하는 분들이 많을 것으로 예상됩니다.
소득·소비 패턴·상환 능력을 보여주는 다양한 데이터를 금융기관에 직접 제출하면,
기존의 신용점수만으로는 불리했던 금융 거래 실적이 적은 사람(씬파일러)도
합리적인 금리 혜택을 받을 수 있는 길이 열립니다.
내 실제 재무 역량을 입증하는 ‘데이터 자산’이 생기는 셈입니다.
교육 플랫폼의 수강 이력, 고용 플랫폼의 경력 정보를 통합해
맞춤형 커리어 컨설팅 서비스에 제출할 수 있습니다.
내가 어떤 기술을 언제 얼마나 익혔는지가 객관적 데이터로 입증되면,
이력서의 주관적 서술보다 훨씬 강력한 구직 도구가 됩니다.
호주는 소비자데이터권리(CDR)를 통해 은행·에너지 분야에서 동의 기반 데이터 이전을 이미 제도화했습니다.
한국의 이번 전분야 확대는 이들과 어깨를 나란히 하는 ‘데이터 주권 선진화’라고 평가할 수 있습니다.
보안 우려와 개인정보 유출 위험, 어떻게 대비할까?
이번 확대에 대해 산업계와 시민단체 모두 강한 우려를 표명하고 있다는 점도 솔직히 짚어야 합니다.
마냥 “좋은 제도”로만 소개하는 건 독자에 대한 불성실함이라고 생각합니다.
⚠️ 업계가 제기한 3가지 우려
첫째, 쿠팡 해킹(2025~2026년) 등 대형 개인정보 유출 사고가 잇따른 상황에서
전분야 확대가 오히려 ‘개인정보 유출의 구조적 통로’를 더 넓힐 수 있다는 우려입니다.
둘째, 국내 기업이 막대한 비용을 들여 축적한 데이터가 알리익스프레스·테무 등
해외 이커머스 기업에 사실상 무상 이전될 수 있다는 지적도 있습니다.
셋째, 민감정보를 보유한 영세 전문기관(예: 소규모 병원, 학원)이 해킹의 새로운 타깃이 될 수 있습니다.
개인정보 유출 시 해당 기업에게 전체 매출액의 최대 10%에 달하는 과징금이 부과될 수 있게 됐습니다.
개인정보 유출·훼손뿐만 아니라 유출될 ‘가능성’이 확인된 경우에도 통지가 의무화됩니다.
🔒 개인이 취할 수 있는 보안 대처법
전송 방식에 대해서도 개정 시행령은 보안 기준을 명시했습니다.
원칙적으로 API(애플리케이션 프로그래밍 인터페이스) 연계 방식을 우선으로 하고,
스크래핑(자동 화면 수집)은 정보전송자와 사전 협의를 거친 안전한 대리인에게만
제한적으로 허용됩니다. 즉, 무분별한 데이터 수집을 막는 안전장치를 법적으로 내장한 셈입니다.
개인 입장에서는 ①전송을 요구하기 전에 수신 기관의 신뢰도 확인, ②불필요한 제3자 전송 동의 최소화,
③개인정보 침해 신고센터(국번없이 118) 적극 활용이 필요합니다.
유예기간 구조 완전 정리: 기업별 적용 시점은?
“8월 시행”이라고 하지만, 실제로는 기업·기관 유형에 따라 의무 적용 시점이 다릅니다.
이 부분이 가장 많이 혼동되는 부분이어서 명확하게 정리해 드립니다.
| 대상 | 시행·의무 시작일 | 비고 |
|---|---|---|
| 공공시스템 운영기관 + 제3자 대상 정보전송자 | 2026년 8월 (공포 후 6개월) | 상대적으로 이른 적용 |
| 민간 대규모 개인정보처리자 (매출 1,800억 초과, 이용자 100만 명 이상) |
2027년 2월 이후 (공포 후 1년) | 쿠팡, 네이버, 카카오 등 |
| 중소기업 | 현재 의무 없음 | 향후 단계적 확대 가능 |
즉, 내가 쿠팡이나 네이버에 직접 전송요구를 법적으로 강제할 수 있는 시점은
2027년 초가 될 것입니다. 다만 자발적으로 서비스를 준비하는 기업은 그 이전에도
전송 서비스를 제공할 수 있으므로, 각 플랫폼의 ‘내 정보 내보내기’ 기능 출시 여부를
주기적으로 확인하는 것이 좋습니다.
개인정보관리 전문기관 지정 및 지원사업 계획에 대한 설명회를 열 예정입니다.
제도가 어떻게 운용될지 더 자세히 알고 싶다면, 개인정보보호위원회(pipc.go.kr)의 공지사항을 주목하세요.
내 입장에서 꼭 알아야 할 준비 사항
제도는 만들어졌지만, 실제로 혜택을 누리려면 내가 먼저 움직여야 합니다.
지금 당장 할 수 있는 준비부터, 8월 이후 챙겨야 할 행동 계획까지 정리했습니다.
자주 이용하는 쇼핑몰, 앱, 플랫폼 목록을 만들고, 각 플랫폼에 어떤 개인정보가 등록되어 있는지
확인해 보세요. 개인정보 처리방침의 ‘수집 항목’을 보면 됩니다.
의외로 오래된 계정에 방대한 이력이 쌓여 있는 경우가 많습니다.
공공시스템 운영기관은 민간 대기업보다 먼저(8월) 의무를 지게 됩니다.
건강보험공단(진료·투약 이력), 국세청(세금 납부 이력), 고용노동부(고용 이력) 등에서
내 정보를 먼저 내려받아 활용해 보는 것이 좋습니다.
마이데이터 서비스를 제공하는 앱이나 플랫폼이 개인정보보호위원회가 지정한
‘개인정보관리 전문기관’인지 확인하세요. 인증되지 않은 곳에 내 데이터를 전송하면
유출 위험이 크게 높아집니다.
전송 과정에서 내 정보가 유출되거나 오남용됐다고 의심되면
국번 없이 118(개인정보보호위원회 침해신고센터)에 즉시 신고하세요.
2026년 2월 개정된 개인정보보호법에 따라 기업은 유출 가능성 확인 시에도 즉시 통지 의무가 생겼습니다.
💬 자주 묻는 질문 (Q&A)
마이데이터 전분야 확대는 언제부터 적용되나요?
공포 후 6개월이 지난 2026년 8월 20일경부터 공공시스템 운영기관과
제3자 대상 정보전송자에게 먼저 적용됩니다. 매출 1,800억 원을 초과하는 민간 대기업(쿠팡, 네이버, 카카오 등)은
공포 후 1년이 경과한 2027년 2월경부터 의무가 발생합니다.
중소기업은 현재 이번 의무 대상에서 제외됩니다.
전송요구권을 행사하면 기업이 거부할 수 있나요?
다만, 전송 대상 정보에서 제외되는 항목(영업비밀, 독자 생성 정보, 제3자 정보 혼재 등)에 대해서는
일부 또는 전부 제공이 제한될 수 있습니다. 이 경우 기업은 제외 사유를 명확히 고지해야 합니다.
부당하게 거부당한 경우에는 개인정보보호위원회에 신고(국번 없이 118)하거나
분쟁조정 신청(1833-6972)을 통해 구제받을 수 있습니다.
내 데이터를 제3자에게 전송해 달라고도 요구할 수 있나요?
지정한 제3자(예: 마이데이터 앱, 금융 플랫폼)에게 전송해 달라고 요구하는 권리도 포함됩니다.
다만 제3자 전송은 개인정보보호위원회가 지정한 전송기관을 통해서만 이루어져야 하며,
전송 대상 분야(에너지, 교육, 고용, 문화·여가)는 2026년 중 단계적으로 확대될 예정입니다.
스크래핑(자동화 수집)은 허용되나요?
대리인이 스크래핑 등 자동화 도구를 이용하려면 정보전송자(기업·기관)와
사전에 협의해 안전성·신뢰성이 검증된 방식으로만 전송받도록 규정하고 있습니다.
이는 무분별한 데이터 수집과 개인정보 유출 위험을 차단하기 위한 조치입니다.
개인정보 유출이 걱정됩니다. 어떻게 확인하고 신고하나요?
① 개인정보침해 신고센터: 국번 없이 118 (24시간)
② 개인정보분쟁조정위원회: 1833-6972
③ 개인정보보호위원회 누리집: pipc.go.kr → ‘침해신고’ 메뉴
2026년 2월 개정된 개인정보보호법에 따라, 기업은 유출 가능성이 확인된 경우에도
정보주체에게 즉시 통지할 의무가 생겼습니다.
통지를 받지 못했다면 이 역시 신고 대상이 될 수 있습니다.
✍️ 마치며 — 데이터 주권 시대, 움직이는 자만이 혜택을 누린다
마이데이터 전분야 확대는 분명히 ‘좋은 방향’의 제도 변화입니다.
지금까지 기업 서버 어딘가에 잠들어 있던 내 정보가, 이제는 내가 직접 꺼내 쓸 수 있는
‘디지털 자산’으로 격상되는 것이니까요. 개인정보보호위원회가 제시한 사례처럼,
건강·금융·에너지·커리어 전반에서 데이터 결합이 만들어내는 맞춤형 서비스는
앞으로 삶의 질을 실질적으로 바꿔놓을 수 있습니다.
하지만 솔직하게 말씀드리고 싶은 것도 있습니다.
제도는 8월에 시행되지만, 민간 대기업의 실질 의무는 2027년 초부터입니다.
그리고 쿠팡 해킹 사태에서 보듯, 대규모 개인정보 유출 위험은 여전히 현실입니다.
이 제도를 ‘편리함’만으로 접근하지 말고, 어떤 기관에 내 정보를 전송하는지,
그 기관의 보안 수준은 어떤지를 반드시 확인하는 습관을 갖는 게 중요합니다.
마이데이터는 ‘알아서 해주는 제도’가 아닙니다.
내가 직접 요구하고, 움직이고, 활용해야만 비로소 혜택이 생깁니다.
8월이 오기 전에, 지금부터 조금씩 준비해 두시길 권합니다.
내 정보 주권, 더 이상 남에게 맡기지 마세요.
※ 본 포스팅은 개인정보보호위원회 공식 보도자료(2026.2.10) 및 관련 언론 보도를 기반으로 작성된
생활 정보 안내 콘텐츠입니다. 개정 시행령의 구체적인 시행 일정과 세부 기준은 향후 추가 고시 및
지침에 따라 변경될 수 있습니다. 법적 판단이나 개인정보 분쟁 해결을 위해서는 반드시
개인정보보호위원회(pipc.go.kr) 또는 관련 전문가에게 문의하시기 바랍니다.
정보 기준일: 2026년 3월 4일.
댓글 남기기