마이데이터 본인전송요구권: 8월 전 모르면 내 정보 권리 못 찾는다
2026년 2월 10일, 국무회의에서 조용히 의결된 법 하나가 우리의 데이터 생활을
완전히 뒤바꿉니다. 쇼핑몰 구매이력, 교통카드 이용기록, 문화센터 수강내역까지 —
이제 당신이 직접 꺼내 쓸 수 있습니다. 8월이 오기 전, 지금 준비해야 합니다.
📋 개인정보보호법 시행령 개정
🔑 전 분야 확대
✅ 중소기업 제외
마이데이터 본인전송요구권이 정확히 무엇인가요?
마이데이터 본인전송요구권이란, 나에 관한 개인정보를 보유하고 있는 기업·기관에게
“그 데이터를 나한테, 혹은 내가 지정한 곳에 보내 달라”고 법적으로 요구할 수 있는 권리입니다.
2023년 3월 개인정보보호법 개정 때 도입된 조항이지만, 실제 적용은 의료·통신 분야에만 먼저 시행됐고
이번 2026년 2월 시행령 개정으로 드디어 전 산업 분야로 확대됩니다.
쉽게 말하면 이렇습니다. 지금까지는 네이버, 쿠팡, 카카오 같은 플랫폼이 내 구매이력이나
검색기록을 쌓아도 내가 그 데이터를 직접 꺼내 다른 서비스에 활용하기가 매우 어려웠습니다.
앞으로는 “내 데이터를 CSV로 뽑아 달라” 혹은 “내가 지정한 건강관리 앱에 전송해 달라”고
당당히 요청할 수 있게 됩니다. 이것이 흔히 유럽 GDPR에서 ‘데이터 이동권(Right to Data Portability)’이라
부르는 개념과 거의 같습니다.
2025년 3월부터 의료·통신 분야에서 먼저 시행 → 2026년 8월부터 전 분야로 확대.
마이데이터 제도에는 두 가지 전송 방식이 있습니다. 첫 번째는 본인직접전송으로,
기업·기관이 보유한 내 정보를 내 기기나 저장소로 직접 내려받는 방식입니다.
두 번째는 제3자 전송으로, 개인정보관리 전문기관(마이데이터 사업자)에게
내 정보를 모아 달라고 위임하는 방식입니다. 두 방식 모두 이번 개정으로 적용 범위가
전 산업으로 넓어집니다.
2026년 8월, 무엇이 달라지나요?
개인정보보호위원회는 2026년 2월 10일 국무회의를 통해 「개인정보 보호법 시행령」 개정안을
의결했습니다. 핵심은 본인전송요구권이 적용되는 분야를 기존 의료·통신에서
교통, 문화, 여가, 유통, 에너지, 교육, 고용 등 전 산업 분야로 확대한 것입니다.
시행은 대상 유형별로 다르게 적용됩니다.
시행 일정 요약표
| 대상 유형 | 유예 기간 | 실제 시행 시점 |
|---|---|---|
| 공공시스템 운영기관 / 제3자 대상 정보전송자 | 공포일로부터 6개월 | 2026년 8월 (잠정) |
| 민간 대규모 개인정보처리자 (본인 대상) | 공포일로부터 1년 | 2027년 2월 (잠정) |
| 중소기업 | 해당 없음 (의무 제외) | 시행 의무 없음 |
즉, 올해 8월부터는 공공기관과 일정 규모 이상의 민간 기관을 대상으로 제3자 전송부터 우선 시행되고,
대형 민간 기업들의 본인 대상 직접 전송은 2027년 초부터 단계적으로 이루어질 예정입니다.
그렇다고 ‘아직 멀었네’라고 방심해서는 안 됩니다. 지금부터 개념을 이해하고 어떤 플랫폼에
내 데이터가 쌓여 있는지 파악해 두는 것이 8월 이후 실질적인 권리 행사의 출발점이 됩니다.
실질적 활용을 못 하는 경우가 많습니다. 금융 마이데이터가 2022년 시행됐지만 실제 활용률이
저조했던 선례가 있습니다. 8월 이전에 ‘온마이데이터 플랫폼’ 사용법을 미리 숙지해 두면
초기 활용자 이점을 가져갈 수 있습니다.
누가 정보를 보내야 할 의무가 있나요?
모든 기업·기관이 이 의무를 지는 건 아닙니다. 개인정보보호위원회는 개인정보 보호 역량을
갖춘 대규모 개인정보처리자만을 의무 대상으로 지정했습니다. 구체적인 기준은
다음과 같습니다.
매출액 기준: 연평균 매출액(또는 세입액) 1,800억 원 초과
이용자 기준: 정보주체 수 100만 명 이상 또는 민감·고유식별정보 5만 명 이상 처리
제외 대상: 중소기업은 부담을 고려해 의무 대상에서 완전 제외
이 기준에 해당하는 기업들이란 사실상 우리가 일상에서 자주 쓰는 대형 플랫폼들입니다.
쿠팡, 네이버, 카카오, 배달의민족, 롯데온, SSG닷컴, 지하철 교통카드 운영사, 대형 통신사 등이
모두 이에 해당할 가능성이 높습니다. 반면 동네 소규모 쇼핑몰이나 중소 앱 개발사는
이번 의무 대상에서 빠지게 됩니다.
운영하는 개인정보 포털(privacy.go.kr)에서 ‘마이데이터 정보전송자 현황’을
3월 이후 순차적으로 공개할 예정입니다. 8월 이전에 반드시 확인해 두세요.
어떤 정보를 어떻게 요청할 수 있나요?
전송 가능한 정보의 범위는 이용자가 동의했거나 계약 이행·체결 과정에서,
또는 법령에 따라 처리된 개인정보가 원칙적으로 모두 해당됩니다.
예를 들어 쿠팡에 쌓인 구매 이력, 지하철 교통카드 이용 기록, 병원 진료 기록, 문화센터
수강 이력, 직업훈련 이수 기록 등이 모두 요청 대상이 됩니다.
전송 불가 정보 유형 (예외)
단, 아래 유형의 정보는 기업이 제공을 거부할 수 있습니다. 첫째, 기업이 분석·가공을 통해
새로 만든 통계 또는 평가 정보(예: 신용점수 산출에 사용된 내부 알고리즘 결과물)입니다.
둘째, 영업비밀로 보호되는 정보입니다. 셋째, 제3자의 권리·이익을 침해할 수 있는 정보입니다.
이 부분은 기업들이 핑계로 남용할 소지가 있으므로, 향후 개인정보위의 세부 가이드라인을
주의 깊게 지켜봐야 합니다.
전송 방식 — API가 원칙, 스크래핑은 제한적 허용
정보 전송 방식은 API(응용프로그램 인터페이스) 연계가 원칙입니다.
API는 프로그램끼리 정해진 규칙으로 안전하게 정보를 주고받는 방식으로,
금융 마이데이터에서 이미 사용되고 있는 검증된 방법입니다. 시스템이 갖춰지기 전
과도기에는 사전 협의된 안전한 대리인에 한해 스크래핑 방식도 제한적으로 허용됩니다.
또한 이용자가 해당 기업 홈페이지에서 직접 다운로드하는 방식도 가능합니다.
정당한 이유 없이 거부하면 안 됩니다.
거부 시 개인정보보호위원회에 신고할 수 있으며, 이를 통해 법적 조치가 가능합니다.
실생활에서 이렇게 활용하세요
마이데이터 본인전송요구권은 단순히 ‘내 데이터를 다운받는 것’ 이상의 의미를 지닙니다.
실질적으로 어떤 장면에서 어떻게 활용할 수 있는지를 구체적으로 살펴보겠습니다.
활용 시나리오 ① 건강 통합 관리
A 병원, B 한의원, C 치과에 흩어진 진료 기록을 한 번에 모아 AI 건강관리 앱에 제공할 수
있습니다. 지금까지는 각 병원에 직접 방문해 진료기록 사본을 요청해야 했지만,
마이데이터 전송 플랫폼을 통해 한 번의 동의로 통합 관리가 가능해집니다.
활용 시나리오 ② 맞춤형 복지·일자리 추천
고용·교육·복지 분야까지 확대됨에 따라, 직업훈련 수료 이력과 취업 희망 직종 데이터를
고용 플랫폼에 전달해 더 정확한 일자리 매칭을 받을 수 있습니다.
또한 기초생활보장 수급 여부, 국민건강보험 납부 기록 등을 복지 플랫폼에 자동 제공해
중복 서류 제출 없이 맞춤형 혜택을 받는 것도 가능해집니다.
활용 시나리오 ③ 소비 최적화 및 금리 협상
쿠팡·네이버쇼핑·배달앱 등에 분산된 소비 이력을 한 금융 앱에 모아, 지출 패턴 분석과
함께 맞춤형 할인·캐시백 전략을 설계할 수 있습니다. 더불어 소득·자산 데이터를 은행에
직접 전송해 금리인하요구권 자동 신청까지 연결하는 것이 가능해집니다.
실제로 토스는 이미 마이데이터 기반 금리인하요구권 자동 신청 기능을 운영하고 있습니다.
| 활용 분야 | 전송 가능한 데이터 예시 | 기대 효과 |
|---|---|---|
| 건강·의료 | 진료기록, 처방전, 건강검진 결과 | 통합 건강 관리, 맞춤 처방 추천 |
| 교통 | 교통카드 이용 내역, 대중교통 패턴 | 이동 경로 최적화, 교통비 환급 극대화 |
| 유통·쇼핑 | 구매 이력, 구독 서비스 내역 | 맞춤형 할인, 지출 분석 |
| 고용·교육 | 직업훈련 이수 기록, 자격증 현황 | 정밀 일자리 매칭, 중복 서류 제거 |
| 에너지 | 전기·가스 사용량 | 에너지 절감 컨설팅, 요금제 최적화 |
| 문화·여가 | 공연 관람 내역, 도서관 대출 이력 | 맞춤형 문화 콘텐츠 추천 |
주의해야 할 함정과 보안 리스크
마이데이터 확대는 분명 소비자에게 유리한 제도이지만, 주의할 점도 반드시 짚고 넘어가야 합니다.
데이터 권리가 커질수록 그 권리를 악용하려는 시도 역시 증가하기 때문입니다.
위험 ① 피싱·사칭 서비스 급증 가능성
제도 시행 초기에는 “마이데이터 전송 신청을 도와드린다”는 명목의 사기 서비스나
개인정보를 가로채려는 피싱 앱이 등장할 수 있습니다. 반드시 개인정보보호위원회가
공식 인증한 ‘온마이데이터 플랫폼’ 또는 금융위원회가 허가한 정식 마이데이터 사업자를 통해서만
이용하세요. 출처가 불분명한 앱이나 링크를 통한 전송 동의는 절대 금물입니다.
위험 ② 기업의 ‘영업비밀’ 핑계 남용
시행령은 “영업비밀”에 해당하는 정보는 전송 대상에서 제외할 수 있다고 규정하고 있습니다.
이 조항을 일부 기업이 과도하게 적용해 전송 의무를 회피할 가능성이 있습니다.
예를 들어 소비자의 구매 이력 원본 데이터를 ‘가공 통계 정보’로 분류해 거부하는 식입니다.
이런 경우 개인정보위 신고 또는 분쟁조정위원회 신청을 통해 구제받을 수 있습니다.
위험 ③ 데이터 집중으로 인한 개인정보 침해 확대
여러 곳에 흩어진 데이터를 한 곳에 모을수록 해당 플랫폼이 해킹당했을 때 피해 규모가
극적으로 커질 수 있습니다. 개인정보관리 전문기관을 이용할 때는 해당 기관이
개인정보위 공식 지정 여부를 반드시 확인하고, 전송 동의 범위를 최소한으로 설정하는 것이
현명한 전략입니다.
① 온마이데이터 플랫폼에서 전송 이력 정기적으로 확인하기
② 사용하지 않는 마이데이터 연결은 즉시 철회하기
③ 마이데이터 사업자 공식 인증 여부 반드시 검증하기
④ 전송 동의 범위는 필요한 정보에만 한정하기
💬 Q&A — 자주 묻는 질문 5가지
Q1. 지금 당장 마이데이터 본인전송요구권을 행사할 수 있나요?
Q2. 중소기업 서비스에서 구매한 내역은 요청이 불가능한가요?
Q3. 전송 요청 후 기업이 거부하면 어떻게 해야 하나요?
Q4. 한 번 전송 동의를 하면 계속 정보가 나가는 건가요?
Q5. 마이데이터 사업자와 일반 핀테크 앱은 어떻게 다른가요?
✍️ 마치며 — 총평
마이데이터 본인전송요구권 전 분야 확대는 표면적으로 조용한 정책 변화처럼 보이지만,
실질적으로는 지난 수십 년간 기업들이 독점해 온 ‘내 데이터에 대한 통제권’을
개인에게 되돌려 주는 역사적인 전환입니다. 유럽 GDPR이 2018년 이 권리를 도입한 뒤
8년 만에 한국도 본격적으로 같은 방향에 섭니다.
개인적인 견해를 더하자면, 이 제도가 진짜 빛을 발하려면 두 가지가 반드시 따라와야 합니다.
첫째, 정부가 약속한 ‘온마이데이터 플랫폼’이 사용하기 쉽고 직관적으로 만들어져야 합니다.
금융 마이데이터의 초기 실패에서 교훈을 얻어야 합니다. 둘째, 기업들이 ‘영업비밀’이라는
예외 조항을 남용하지 않도록 개인정보위의 강력한 감독이 필요합니다.
8월이 오기 전, 지금 할 수 있는 가장 현명한 행동은 단순합니다. 개인정보 포털에서
내 데이터가 어디에 쌓여 있는지 파악해 두고, 온마이데이터 플랫폼이 정식 오픈하는 시점에
바로 활용할 준비를 해 두세요. 데이터 권리는 아는 사람만 누릴 수 있습니다.
※ 본 콘텐츠는 2026년 3월 8일 기준으로 공개된 개인정보보호위원회 자료 및 관련 뉴스를 바탕으로
작성된 정보 제공 목적의 글입니다. 시행령 세부 내용은 향후 변경될 수 있으므로, 실제 권리 행사 및
법적 판단은 반드시 개인정보보호위원회 공식 발표 또는 법률 전문가와 확인하시기 바랍니다.
외부 링크 클릭 및 서비스 이용에 따른 책임은 이용자 본인에게 있습니다.
댓글 남기기