📌 2026.02.10 시행령 의결 · 2026.08 전면 시행 예정
마이데이터 개인정보 전송요구권:
8월 전면 시행 전 반드시 알아야 할 것
지금 이 순간에도 내 의료기록은 병원에, 통신내역은 통신사에, 쇼핑 이력은 플랫폼에 각각 갇혀 있습니다. 2026년 8월부터는 달라집니다. 마이데이터 개인정보 전송요구권이 전 분야로 확대되면서, 이제 누구나 흩어진 본인 정보를 한 곳으로 모아 직접 관리할 수 있게 됩니다.
🏢 매출 1,800억+ 기업 의무
🔒 중소기업 제외
🌐 10대 분야 순차 확대
마이데이터란? 이제서야 필요한 진짜 이유
마이데이터(MyData)는 말 그대로 ‘내 데이터를 내가 관리한다’는 개념입니다. 지금까지 우리는 병원에 가면 의료 기록이 병원 서버에 남고, 통신사를 이용하면 통화·데이터 기록이 통신사에 남는 구조에 익숙했습니다. 정보 주체인 ‘나’는 그 데이터가 어디서 어떻게 쓰이는지 제대로 알 수 없었죠.
개인정보 전송요구권은 이 구조를 뒤집는 제도입니다. 내가 동의했거나 계약을 맺는 과정에서 생성된 정보를 기업·기관에 “다른 곳으로 보내라”고 직접 요구할 수 있는 법적 권리이며, 2023년 3월 개인정보보호법 개정으로 처음 도입됐습니다.
💡 핵심 인사이트: 기존에도 금융 분야에서는 마이데이터 서비스가 운영됐습니다. 여러 은행 잔액을 하나의 앱에서 볼 수 있는 ‘뱅크샐러드’, ‘토스’ 등의 서비스가 대표적입니다. 이번 시행령 개정은 이 권리를 의료, 통신, 유통, 교육, 에너지 등 말 그대로 전 분야로 확대한다는 점에서 차원이 다릅니다.
개인적으로 이 제도의 진짜 의미는 ‘편의성’보다 ‘정보 비대칭 해소’에 있다고 봅니다. 지금까지 기업들은 우리 데이터를 광고, 분석, 상품 개발에 활용하면서도 정작 본인은 그 정보를 가져다 쓸 방법이 없었습니다. 이제는 그 불균형이 조금씩 바뀌게 됩니다.
2026년 2월 무엇이 바뀌었나 — 시행령 핵심 3가지
2026년 2월 10일, 국무회의에서 ‘개인정보 보호법 시행령 개정안’이 의결됐습니다. 이번 개정안은 세 가지 핵심 내용을 담고 있습니다.
핵심 ①
전송 범위 전 분야로 확대
기존 의료·통신에만 허용됐던 전송요구권이 교통, 유통, 교육, 고용, 문화·여가 등 모든 분야로 확대됩니다.
핵심 ②
의무 대상 기준 명확화
매출 1,800억 원 초과 + 이용자 100만 명 이상(또는 민감정보 5만 명 이상) 기업이 정보전송 의무를 집니다. 중소기업은 제외.
핵심 ③
안전한 전송 방식 규정
원칙은 API 방식이며, 스크래핑은 대리인과 사전 협의된 경우에만 단기 허용합니다. 직접 다운로드 방식도 인정합니다.
특히 눈여겨볼 점은 이번 개정이 단순한 ‘확대’가 아니라 정보 전송 방법과 보안 기준까지 구체화했다는 것입니다. 기존에는 “전송할 수 있다”는 원칙만 있었다면, 이번 시행령은 “이런 방식으로만 전송해야 한다”는 절차를 명시했습니다. 이는 기업 입장에서도, 이용자 입장에서도 혼선을 줄이는 중요한 진전입니다.
의무 대상 기업은 어디? 100만 명 기준의 의미
‘마이데이터 개인정보 전송요구권’을 이행할 의무가 있는 기업을 ‘본인 대상 정보전송자’라고 부릅니다. 시행령은 이 대상을 아래 표와 같이 규정했습니다.
| 구분 | 기준 | 시행 유예 |
|---|---|---|
| 대형 민간기업 | 평균 매출 1,800억 원 초과 + 이용자 100만 명 이상 또는 민감·고유식별정보 5만 명 이상 | 1년 유예 |
| 공공시스템 운영기관 | 정부·지자체·공공기관 중 대규모 시스템 운영 기관 | 6개월 유예 |
| 제3자 대상 정보전송자 | 다른 기관의 정보를 중계·전달하는 역할의 기관 | 6개월 유예 |
중소기업은 이번 의무 대상에서 제외됩니다. 정부는 중소기업의 IT 인프라 부담을 고려해 단계적 확대를 선택했습니다. 하지만 소비자 입장에서 보면, 우리가 실제로 가장 많이 이용하는 대형 플랫폼들—네이버, 카카오, 쿠팡, 배달의민족, 주요 병원, 이동통신 3사 등—은 거의 모두 이 기준에 해당합니다. 결국 일상에서 쓰는 서비스의 데이터는 대부분 전송 요구 대상이 된다고 볼 수 있습니다.
내가 요구할 수 있는 정보 범위와 방법
전송 요구가 가능한 정보는 내가 동의하거나 계약 체결·이행 과정에서 생성된 모든 개인정보가 원칙입니다. 구체적으로 어떤 정보가 포함되고 제외되는지 알아봅니다.
✅ 전송 요구 가능한 정보
정보 동의 기반으로 처리된 데이터, 서비스 이용 계약 체결·이행 과정에서 생성된 데이터, 법령에 따라 처리된 데이터가 모두 포함됩니다. 예를 들어 병원에서의 진료 기록, 통신사의 통화·데이터 이용 내역, 쇼핑몰의 구매 이력, 포인트 잔액, 공공기관에 신고한 소득 정보 등이 해당됩니다.
❌ 전송 요구 불가 정보
기업이 자체적으로 분석·가공하여 새로 만든 ‘파생 데이터’, 제3자의 권리·이익을 침해할 수 있는 정보, 그리고 영업비밀로 보호되는 정보는 전송 대상에서 제외될 수 있습니다.
📡 전송 방식 3가지
권장API 방식 — 프로그램 간 표준 통신 방식으로, 가장 안전하고 정확합니다. 개인정보위가 원칙으로 삼은 방식입니다.
한시적스크래핑 방식 — 화면에서 데이터를 자동으로 긁어오는 방식. 사전 협의된 대리인에 한해 단기 허용됩니다.
직접직접 다운로드 방식 — 홈페이지에서 내 정보를 암호화된 파일로 직접 내려받는 방식입니다.
세 가지 방식 중 어떤 것을 선택하느냐에 따라 편의성과 보안 수준이 달라집니다. 대리인 서비스(마이데이터 앱)를 이용할 때는 반드시 공식 인증을 받은 개인정보관리 전문기관인지 확인하는 것이 중요합니다. 인증 없는 앱에 정보 전송을 위임하면 오히려 개인정보 유출 위험이 높아질 수 있습니다.
시행 일정 로드맵 — 유예기간 정확히 보기
이번 개정안은 시행일이 대상에 따라 다르게 적용됩니다. ‘2026년 8월 전면 시행’이라고 알려져 있지만, 세부적으로는 훨씬 복잡합니다. 아래 타임라인을 참고하세요.
2023년 3월
개인정보보호법 개정 시행 — 개인정보 전송요구권 도입. 금융·공공 분야 먼저 적용.
2025년 3월
의료·통신 분야 마이데이터 시행 — 첫 번째 민간 분야 확대. 병원 진료 기록·통신 이용 내역 전송 가능.
2026년 2월 10일
시행령 개정안 국무회의 의결 — 전 분야 확대 법적 근거 확보.
2026년 8월 (공표 후 6개월)
공공기관·제3자 전송자 시행 — 공공시스템 운영기관과 제3자 대상 정보전송자 의무 발생.
2027년 2월 (공표 후 1년)
대형 민간기업 시행 — 매출 1,800억 원 초과 민간 대규모 기업 의무 시작.
2026년 내 추진
에너지·교육·고용·문화 분야 제3자 전송 확대 — 실무협의체 운영 중.
많은 분들이 “8월부터 모든 게 된다”고 오해하실 수 있는데, 대형 민간기업은 실제로 2027년 2월이 되어야 의무 시행입니다. 다만 공공기관과 제3자 전송자부터 먼저 적용되기 때문에, 정부24, 건강보험공단 등 공공 데이터는 올해 8월부터 이동 요구가 가능해집니다.
보안 위험과 놓치기 쉬운 함정 3가지
마이데이터 전송요구권은 분명 권리의 확장이지만, 동시에 새로운 위험도 열어 줍니다. 제도가 좋다고 해서 무조건 안전한 것은 아닙니다. 실생활에서 주의해야 할 함정 세 가지를 짚어 드립니다.
⚠️ 함정 ① 비인증 마이데이터 앱
전송요구권 확대로 ‘내 데이터 한눈에’ 같은 앱이 우후죽순 등장할 가능성이 높습니다. 개인정보관리 전문기관으로 공식 지정된 곳만 이용하셔야 합니다. 정식 인증 없이 ‘대리인’ 자격을 내세우는 앱은 개인정보 수집 수단이 될 수 있습니다.
⚠️ 함정 ② 스크래핑 방식의 과도한 의존
API가 없는 서비스에서는 스크래핑(자동 화면 수집)이 단기 허용되지만, 이 방식은 아이디·비밀번호를 대리인에게 맡기는 구조를 수반할 수 있습니다. 로그인 정보를 제3자에게 넘기는 행위는 본인 과실로 처리될 수 있으니 각별히 주의하세요.
⚠️ 함정 ③ 전송된 데이터의 2차 활용
내 데이터를 A 서비스로 전송했을 때, A 서비스가 그 데이터를 광고·분석 등에 활용하는 것까지 막지는 못합니다. 전송 대상 서비스의 개인정보 처리방침을 반드시 확인하고, 불필요한 데이터는 전송하지 않는 것이 좋습니다.
개인적으로 가장 우려되는 것은 세 번째 함정입니다. “내 정보를 내가 관리한다”는 감각이 생기면서 오히려 더 많은 곳에 데이터를 뿌리는 행동으로 이어질 수 있습니다. 마이데이터의 본질은 정보의 이동이 아니라 통제입니다. 어디에 보낼지 신중하게 결정하는 것이 이 제도를 제대로 활용하는 방법입니다.
Q&A 5가지 — 독자들이 가장 많이 묻는 것
마치며 — 데이터 주권 시대, 준비된 자만 누린다
마이데이터 개인정보 전송요구권은 오래된 권리 불균형을 바로잡는 중요한 제도입니다. 하지만 솔직히 말씀드리면, 제도만 생긴다고 삶이 자동으로 개선되지는 않습니다. 금융 마이데이터가 도입된 지 몇 년이 지났지만, 실제로 그 권리를 적극적으로 활용하는 사람은 소수에 불과합니다.
이번 전 분야 확대는 분명히 기회입니다. 공공기관 데이터는 올해 8월, 대형 플랫폼 데이터는 2027년 2월부터 이동 요구가 가능해집니다. 지금 해야 할 일은 두 가지입니다. 첫째, 개인정보관리 전문기관으로 지정된 공신력 있는 서비스 목록을 파악해 두는 것이고, 둘째, 내 데이터를 어디에 어떤 목적으로 활용할 것인지 미리 생각해 두는 것입니다.
외부 링크 참고:
개인정보보호위원회 공식 홈페이지에서 마이데이터 제도 최신 공지를 확인할 수 있습니다. |
공공 마이데이터 업무포털에서 현재 이용 가능한 공공 서비스를 확인하세요.
데이터 주권은 거창한 개념이 아닙니다. “내 정보가 지금 어디에 있고, 어디로 보낼 수 있는가”를 아는 것에서 시작합니다. 2026년 8월이 그 첫걸음이 될 것입니다.
※ 본 콘텐츠는 개인정보보호위원회 공식 보도자료 및 언론 기사를 바탕으로 작성된 정보 제공 목적의 글입니다. 법적 효력이 없으며, 구체적인 권리 행사 및 의무 확인은 개인정보보호위원회 공식 채널을 통해 확인하시기 바랍니다. 시행 일정 및 세부 기준은 정책 변경에 따라 달라질 수 있습니다.
댓글 남기기