마이데이터 전송요구권 2026
8월 시행 전 모르면 정보주권 날린다
2026년 2월 10일 국무회의 의결 완료. 2026년 8월 20일부터 쇼핑·의료·에너지·부동산까지 전 분야에서 내 데이터를 직접 가져올 수 있는 시대가 열립니다. 아직 아무것도 준비 안 하셨다면, 지금 이 글이 마지막 기회입니다.
📊 대상: 매출 1,800억+, 이용자 100만+ 기업
🔒 근거: 개인정보보호법 제35조의2
⚠️ 민간 대기업 유예: 공포 후 1년
마이데이터 전송요구권이란?
한 줄로 이해하는 핵심 개념
마이데이터 전송요구권은 쉽게 말해 “내 정보는 내가 가져간다”는 권리입니다. 지금까지는 병원이 내 진료 기록을 가지고 있어도 다른 병원이나 건강관리 앱으로 직접 넘기지 못했습니다. 쇼핑몰이 내 구매 이력을 10년 동안 쌓아도 나는 그걸 CSV 파일 한 장 받기가 어려웠죠. 개인정보보호법 제35조의2에 근거한 이 권리는, 정보를 수집한 기업이나 기관에게 “내 정보를 내가 원하는 곳으로 전송해라”고 법적으로 요구할 수 있게 해줍니다.
이 제도는 2025년 3월 13일 의료·통신 분야에 먼저 시행됐습니다. 그리고 2026년 2월 10일, 정부는 국무회의에서 개인정보보호법 시행령 개정안을 의결하며 전 산업 분야로 확대했습니다. 8월 20일부터는 대형 유통업체, 포털, 금융사, 공공기관 모두가 이 의무를 집니다. 의료·통신에만 묶여 있던 ‘내 데이터 반환권’이 삶의 모든 영역으로 번지는 것입니다.
💡 핵심 비유: 은행 계좌를 다른 은행으로 옮길 때 잔액 이전이 자유롭듯이, 이제 내 진료 기록·쇼핑 내역·통신 이용 패턴을 내가 원하는 앱이나 서비스로 이동할 수 있습니다. 오픈뱅킹의 전 산업 버전이라고 이해하면 됩니다.
2026년 무엇이 달라지나
전 분야 확대의 실체
기존에는 의료기관과 통신사만이 전송 의무 대상이었습니다. 하지만 이번 시행령 개정으로 기준이 바뀌었습니다. 평균 매출액 1,800억 원 초과이면서 정보주체 100만 명 이상, 또는 민감·고유정보 5만 명 이상을 처리하는 대규모 개인정보처리자라면 산업 구분 없이 모두 대상입니다. 공공시스템 운영기관과 제3자 전송 사업자도 포함됩니다. 한마디로 쿠팡, 네이버, 카카오, 삼성 같은 대형 플랫폼과 대형 병원·공공기관이 전부 여기 해당합니다.
전송할 수 있는 정보 범위도 대폭 넓어졌습니다. 동의나 계약 이행을 근거로 처리된 정보, 법령에 따라 처리된 정보 모두 원칙적으로 전송 대상입니다. 단, 기업이 자체적으로 분석·가공하여 새롭게 생성한 파생 정보(예: AI 추천 점수), 영업비밀, 암호화된 비식별 정보 등은 제외됩니다. 또한 타인의 권리를 침해할 우려가 있는 정보도 전송 거부가 가능합니다.
| 구분 | 기존(2025년 3월~) | 개정 후(2026년 8월~) |
|---|---|---|
| 전송 의무 대상 | 의료·통신 분야만 | 전 산업 분야(매출·이용자 기준 충족 시) |
| 전송 방식 | API 연계 원칙 | API + 암호화 직접 다운로드 허용 |
| 대리인 요구 | 제한적 | 사전 협의 기반 스크래핑 대리 허용 |
| 제3자 전송 확대 | 의료·통신 | 에너지·교육·고용·문화·여가(2026년 추가) |
| 과징금 제재 | 기존 수준 | 유출 시 전체 매출 최대 10% 과징금 |
📌 유예기간 주의: 공공시스템 운영기관과 제3자 전송자는 시행일로부터 6개월 유예, 민간 대규모 사업자(매출 1,800억 초과)는 1년 유예입니다. 즉, 가장 큰 플랫폼들이 실제 의무를 이행해야 하는 데드라인은 2027년 2월 19일입니다.
실생활 활용 시나리오
의료비·요금제·자산 관리까지 이렇게 바뀐다
마이데이터 전송요구권이 전 분야로 확대되면 평범한 일상에서 어떤 변화가 생길까요? 개인정보보호위원회가 제시한 구체적인 사례들을 현실감 있게 풀어보겠습니다.
의료 — 진단 이력 기반 맞춤 건강관리
여러 병원 진료 기록을 건강관리 앱에 통합 연동. 복용 중인 약과 식재료 성분을 비교해 주는 맞춤형 식단 추천 서비스가 가능해집니다. 만성질환자의 병원 간 진료 연속성도 획기적으로 개선됩니다.
통신 — 요금제 최적화 자동화
내 실제 데이터 사용량·통화 패턴 데이터를 요금 비교 앱에 직접 전송. “이번 달 기준 최적 요금제는 A 플랜이며, 월 1만 2천 원 절약 가능”이라는 알림을 자동으로 받습니다.
유통 — 쇼핑 이력 포터빌리티
쿠팡·네이버쇼핑 구매 이력을 개인 가계부 앱에 자동 연동. 지출 패턴 분석, 중복 구매 방지, 최저가 알림 서비스가 가능해집니다. 기존에는 각 플랫폼에 수동 입력해야 했습니다.
에너지 — 절약 자동 알림
전기·가스 사용량 데이터를 에너지 절약 앱과 연동. “이번 주 전기 사용량이 지난달 동기 대비 15% 증가했습니다. 냉난방 설정 온도를 1°C 조정하면 월 8,000원 절감됩니다”라는 맞춤 알림을 받습니다.
이 외에도 세금 환급 자동 안내(국세청 자료를 세무 앱에 전송), 장기 치료 중인 질병에 맞는 일자리 연계(진료 이력 + 고용 플랫폼 연계) 같은 서비스가 개인정보위의 로드맵에 포함되어 있습니다. 공상과학 이야기가 아니라 2026~2027년 현실이 될 서비스들입니다.
내 데이터 가져오는 실전 방법
지금 당장 써먹는 3단계 가이드
마이데이터 전송요구권을 행사하려면 어떻게 해야 할까요? 현재(2026년 3월 기준) 의료·통신 분야는 이미 시행 중이므로 지금 바로 써볼 수 있습니다. 전 분야 확대는 8월부터지만, 지금 의료·통신부터 연습해두면 8월 이후 훨씬 빠르게 활용할 수 있습니다.
전송 요청 가능 기관 확인하기
개인정보보호위원회 공식 사이트(pipc.go.kr) 또는 마이데이터 포털(mydata.go.kr)에서 현재 전송요구 가능한 기관 목록을 조회합니다. 의료기관·통신사 대부분이 포함되어 있습니다.
전송 요구서 작성 및 제출
해당 기관 홈페이지 또는 앱에서 ‘개인정보 전송 요구’ 메뉴를 찾습니다. 본인 확인(공동인증서 또는 간편인증) 후 전송할 정보 범위와 수신처(내 PC 직접 다운로드 또는 제3자 서비스)를 선택합니다. 2026년 8월부터는 암호화된 직접 다운로드 방식도 의무 제공됩니다.
수신 서비스에서 데이터 활용
전송된 데이터를 건강관리 앱, 가계부 앱, 금융 자산 통합 조회 서비스 등에 연동합니다. 대리인(개인정보관리 전문기관)을 통해 자동 갱신 설정도 가능합니다. 단, 대리인이 내 데이터를 저장하는 것은 금지되어 있으므로 신뢰할 수 있는 인증 서비스를 이용하세요.
거절당했을 때 대응법
기관이 정당한 사유 없이 전송 요구를 거부하면 개인정보보호위원회(국번 없이 182)에 신고할 수 있습니다. 위반 시 해당 기업은 최대 매출액 10%의 과징금 대상이 될 수 있습니다. 2026년 2월 12일 국회 본회의를 통과한 개인정보보호법 개정안이 이를 뒷받침합니다.
위험과 논란
편의 뒤에 숨은 보안 리스크 직시
솔직히 말하겠습니다. 마이데이터 전 분야 확대를 무조건 환영할 수만은 없습니다. 2026년 2월, 개인정보보호법 시행령 개정안이 발표된 직후 산업계와 시민단체 양측에서 동시에 강한 반발이 나왔다는 사실부터 직시해야 합니다.
쿠팡 사례가 결정적 경고였습니다. 2026년 2월, 정부 민관합동조사단은 쿠팡에서 최소 3,367만여 건의 이용자 계정 정보가 유출됐다고 발표했습니다. 전화번호, 배송지 주소, 공동현관 비밀번호까지 포함된 정보가 1억 회 이상 조회되었습니다. 마이데이터 전 분야 확대는 이런 대규모 플랫폼들이 더 많은 개인정보를 더 넓은 경로로 전송하는 환경을 만드는 것입니다. 보안이 먼저 탄탄히 갖춰지지 않으면 전송 경로 자체가 해킹 타깃이 됩니다.
⚠️ 산업계 3대 우려 사항
- 국내 기업 역차별: 쿠팡·네이버는 국내 기업으로서 전송 의무를 지지만, 알리익스프레스·테무 같은 해외 플랫폼은 한국법 적용이 불명확합니다. 국내 기업이 쌓은 데이터가 무상으로 경쟁사로 흘러갈 수 있다는 우려입니다.
- 영세 전문기관 보안 취약: 민감정보를 보유한 소형 병원·약국·학원은 보안 인프라가 취약합니다. 전송 의무는 오히려 이들을 해킹 타깃으로 만들 수 있습니다.
- 스크래핑 허용의 역설: 단기적으로 대리인의 스크래핑을 허용하면서 API가 아직 준비되지 않은 기관들이 취약한 구간을 노출할 수 있습니다.
제 개인적인 생각을 말하자면, 데이터 주권 확대는 분명히 올바른 방향입니다. 그러나 보안 인프라 구축 없는 전송권 확대는 열쇠를 잃어버린 채 대문만 넓히는 것과 같습니다. 정부가 8월 시행 전에 소규모 사업자에 대한 보안 지원 예산과 인증 체계를 얼마나 빠르게 마련하느냐가 이 제도의 성패를 가를 것입니다.
기업·소비자 대응 전략
8월 전 반드시 준비할 것들
이 제도가 나에게 기회인지 위협인지는 준비 여부에 달려 있습니다. 소비자와 사업자 각각의 관점에서 8월 시행 전 준비해야 할 사항을 정리합니다.
👤 소비자 체크리스트 (8월 전 준비)
신뢰 가능한 마이데이터 수신 서비스 목록 파악 — 개인정보관리 전문기관으로 지정된 앱만 대리 전송 가능합니다. 개인정보위 공식 홈페이지에서 인증 기관 목록을 확인하세요.
의료·통신 분야부터 지금 시범 활용 — 이미 시행 중입니다. 국민건강보험공단 앱(The건강보험)에서 진료 이력 내보내기를 먼저 경험해 보세요.
수상한 전송 동의 요청 주의 — “마이데이터 서비스”를 가장한 피싱 앱이 등장할 수 있습니다. 반드시 공식 인증 여부를 확인하고 동의하세요.
전송 거부 기관은 182 신고 — 정당한 사유 없이 요구를 거부하는 기관은 개인정보보호위원회 개인정보침해 신고센터(182번)에 신고할 수 있습니다.
🏢 사업자 체크리스트 (8월 전 준비)
내가 ‘본인대상정보전송자’에 해당하는지 확인 — 매출 1,800억 초과 + 이용자 100만 이상 기준을 점검하고 법무·컴플라이언스 팀에 검토를 의뢰하세요.
API 전송 인프라 구축 로드맵 수립 — 개인정보위가 3월부터 설명회를 개최합니다. 개인정보관리 전문기관 지정 사업에 선제적으로 참여하면 지원금과 기술 지원을 받을 수 있습니다.
전송 제외 가능 정보 목록 분류 — 영업비밀, 파생 정보, 타인 권리 침해 우려 정보를 법률 검토로 명확히 분류해 두면 거부 사유 근거로 활용할 수 있습니다.
❓ 마이데이터 전송요구권 Q&A
마치며 — 데이터 주권, 내가 쥐어야 한다
마이데이터 전송요구권 전 분야 확대는 한국 사회가 “데이터 수집 동의”에서 “데이터 통제권”으로 패러다임을 전환하는 역사적 전환점입니다. 지금까지 우리는 수십 곳의 앱에 개인정보를 뿌려놓고도 그것이 어디서 어떻게 쓰이는지 알 방법이 없었습니다. 이 제도는 그 구조를 뒤집는 첫걸음입니다.
그러나 솔직히 말하면, 8월 시행이 곧 실질적 변화를 의미하지는 않습니다. 대형 민간 플랫폼에는 1년 유예가 주어졌고, 보안 인프라 구축은 아직 갈 길이 멉니다. 쿠팡 해킹 사태가 보여주듯 보안이 뒷받침되지 않는 데이터 이동은 오히려 더 큰 리스크를 만듭니다. 제도의 성패는 결국 정부가 얼마나 빠르게 보안 체계를 갖추고, 소비자가 얼마나 스마트하게 자신의 권리를 행사하느냐에 달려 있습니다.
✅ 지금 당장 할 수 있는 것: 국민건강보험공단 앱에서 의료 마이데이터 연동을 테스트해 보세요. 통신사 홈페이지에서 데이터 사용 이력 내보내기도 확인하세요. 8월 전에 제도에 익숙해지는 것이 가장 현명한 준비입니다.
※ 이 포스팅은 2026년 3월 7일 기준으로 공개된 공식 자료(개인정보보호위원회 보도자료, 개정 시행령 공포문, Lexology 법률 분석)를 바탕으로 작성된 일반 정보 제공 목적의 콘텐츠입니다. 법적 판단이나 개별 컴플라이언스 적용에는 반드시 전문가(변호사, 개인정보보호 전문가)의 자문을 받으시기 바랍니다. 세부 시행 일정 및 기준은 향후 개정될 수 있습니다.
댓글 남기기