📋 2026년 8월 20일 시행 확정
마이데이터 본인전송요구권:
8월 전 모르면 정보주권 손해
당신이 네이버, 카카오, 병원, 통신사에 쌓아둔 내 개인정보를
법적으로 “내가 원하는 곳으로 옮겨 달라”고 요구할 수 있는 권리가
2026년 8월 20일부터 전 산업 분야로 전면 확대됩니다.
📌 전 산업 분야 확대
⚖️ 개인정보보호법 시행령 개정
본인전송요구권이란? — 내 정보를 내 손으로
마이데이터 본인전송요구권은 말 그대로 “내 개인정보를 내가 원하는 곳으로 보내 달라”고 기업이나 기관에 법적으로 요구할 수 있는 권리입니다. 예를 들어 병원에 쌓인 10년치 진료 기록, 통신사에 저장된 이용 내역, 쇼핑몰의 구매 이력, 포털 사이트의 활동 정보를 본인이 직접 내려받거나 신뢰하는 제3자(마이데이터 사업자)에게 전달해 달라고 요청할 수 있습니다.
이 권리의 법적 근거는 개인정보 보호법 제35조의2입니다. 2025년 3월 13일부터 의료·통신 분야에 먼저 시행되었고, 2026년 2월 19일 시행령 개정이 공포되면서 전 산업 분야로 확대되었습니다. 유럽의 GDPR ‘데이터 이동권(Right to Data Portability)’과 같은 맥락이지만, 한국판은 금융·의료·통신뿐 아니라 유통·교육·문화·여가까지 포함한다는 점에서 더 넓습니다.
💡 핵심 요약: 지금까지는 기업이 내 정보를 수집·이용할 권리가 컸다면, 이제는 내가 그 정보를 돌려받을 권리가 법으로 보장됩니다. “내 정보는 기업 것”이 아니라 “내 정보는 내 것”이라는 개념이 제도로 자리 잡는 순간입니다.
2026년 8월 무엇이 달라지나 — 확대 전·후 비교
2026년 2월 19일 개인정보 보호법 시행령 개정령이 공포되었고, 2026년 8월 20일을 기점으로 본인전송요구권이 전 산업 분야에 적용됩니다. 기존에는 의료·통신 분야에서만 이 권리를 행사할 수 있었기 때문에 병원 진료 기록이나 통신사 이용 내역 정도만 이동 가능했습니다. 8월부터는 범위가 폭발적으로 늘어납니다.
| 구분 | 2025년 3월~2026년 7월 | 2026년 8월 20일 이후 |
|---|---|---|
| 적용 분야 | 의료·통신만 | 전 산업 분야 |
| 요구 대상 기업 | 병원, 통신3사 | 네이버·카카오·쿠팡·구글·메타 등 대형 플랫폼 |
| 이동 가능 정보 | 진료기록·통화내역 | 구매이력·검색기록·포인트·이용내역 등 전부 |
| 전송 방식 | 기관별 상이 | API 표준화 + 직접 내려받기 |
| 중소기업 적용 | 해당 없음 | 중소기업 제외 (대기업만 의무) |
단, 민간 대형 기업(연 매출 1,800억 초과)에 대한 의무는 공포 후 1년인 2027년 2월 19일부터 적용됩니다. 공공기관과 제3자 전송 의무자는 2026년 8월 20일이 기준이므로, 어느 기관에 언제 요구할 수 있는지 구분하는 것이 중요합니다.
누가, 어디에 요구할 수 있나 — 대상 기업 기준
이번 개정령에서 가장 중요한 조항은 ‘본인대상정보전송자’ 기준을 법으로 명확히 정했다는 점입니다. 아무 기업에나 전송을 요구할 수 있는 게 아니라, 일정 규모 이상의 개인정보처리자만 이 의무를 집니다. 기준은 다음 두 가지 중 하나를 충족하는 경우입니다.
📊 기준 ①
연 평균 매출액 1,800억 원 초과
+ 이용자 수 100만 명 이상
🔐 기준 ②
연 평균 매출액 1,800억 원 초과
+ 민감·고유식별정보 5만 명 이상 처리
이 기준에 해당하는 기업으로는 네이버, 카카오, 쿠팡, 11번가, 배달의민족, 토스, 삼성카드, 국민은행, SKT, KT 등 주요 대형 플랫폼과 금융사, 통신사가 대부분 포함될 것으로 예상됩니다. 구글, 메타(인스타그램·페이스북) 등 글로벌 플랫폼도 한국 이용자를 대상으로 개인정보를 처리하는 경우 적용됩니다.
💡 제 생각으로는: 중소기업이 제외된 것은 현실적인 배려지만, 실제로 개인정보를 가장 많이 갖고 있는 소형 앱·스타트업이 의무에서 빠진다는 점은 아쉬운 부분입니다. 향후 단계적 확대가 불가피하다고 봅니다.
어떤 정보를 옮길 수 있나 — 포함·제외 범위 완전 정리
‘마이데이터로 내 정보 다 가져올 수 있다’는 말은 반만 맞습니다. 시행령은 전송 가능한 정보와 제외 가능한 정보를 꼼꼼히 구분해 놨습니다. 무엇을 요구할 수 있는지 정확히 알아야 실제로 써먹을 수 있습니다.
✅ 전송 요구 가능한 정보
원칙적으로 정보주체(본인)가 동의를 통해 제공했거나, 서비스 계약 이행 과정에서 생성된 개인정보는 모두 전송을 요구할 수 있습니다. 쇼핑몰 구매 이력, 포털의 검색 기록, 은행의 거래 내역, 병원의 진료 기록, 통신사의 요금 이용 내역 등이 이에 해당합니다. 법령에 따라 처리되는 정보도 포함됩니다.
❌ 전송 제외 가능한 정보
세 가지 경우는 기업이 전송을 거절할 수 있습니다. 첫째, 기업이 원본 데이터를 분석·가공해 새로 만들어낸 정보(예: 개인 신용점수 산출 알고리즘 결과물)입니다. 둘째, 제3자의 권리나 이익을 침해할 우려가 있는 정보입니다. 셋째, 영업비밀이나 산업기술에 해당하는 정보입니다. 또한 비가역적(일방향) 암호화 저장 정보는 기술적으로 복호화가 불가능하므로 제외됩니다.
💡 실전 팁: 기업들은 ‘분석·가공 정보’라는 예외 규정을 악용해 정보 이동을 거부할 가능성이 있습니다. 요구 거절을 받으면 개인정보위에 신고·구제 신청을 할 수 있습니다. 이 점을 꼭 기억해 두세요.
신청 방법 3단계 — 지금 당장 할 수 있는 것
전면 시행은 2026년 8월이지만, 이미 의료·통신 분야에서는 2025년 3월부터 시행 중이므로 지금도 일부 권리 행사가 가능합니다. 아래는 실제 신청 흐름입니다.
대상 기관 홈페이지 또는 앱 접속
병원 앱, 통신사 앱, 포털 개인정보 설정 메뉴에서 ‘개인정보 전송 요구’ 또는 ‘데이터 내려받기’ 항목을 찾습니다. 8월 이후에는 대부분 전용 메뉴가 생성될 예정입니다.
본인 인증 후 전송 방법 선택
본인 직접 내려받기(파일 다운로드), API 방식으로 마이데이터 앱에 연결, 또는 대리인(마이데이터 사업자)을 통한 자동 전송 중 하나를 선택합니다. 암호화된 안전한 방식으로 제공됩니다.
수신 기관(또는 본인) 확인 및 활용
전송된 정보를 마이데이터 앱(토스, 뱅크샐러드 등), 건강 앱, 개인 스토리지 등에서 확인합니다. 분산된 여러 기관의 정보를 한 곳에 모아 건강 관리, 금융 분석, 보험 가입 등 다양하게 활용할 수 있습니다.
지금 당장 활용 가능한 서비스로는 마이데이터 종합포털(mydatacenter.or.kr), 토스·뱅크샐러드 등 금융 마이데이터 앱이 있습니다. 8월 이후에는 쇼핑·교육·여가 분야 앱들도 순차적으로 기능을 추가할 예정입니다.
일반인이 놓치는 3가지 함정 — 주의사항
마이데이터 본인전송요구권은 강력한 권리이지만, 제대로 알고 쓰지 않으면 오히려 개인정보 유출의 통로가 될 수 있습니다. 현장에서 반드시 주의해야 할 함정 3가지를 짚어드립니다.
⚠️ 함정 1 — 스크래핑 대리인 사칭 주의
시행령은 대리인이 스크래핑 방식으로 정보를 수집할 때 정보전송자와 사전 협의한 신뢰된 대리인에게만 허용합니다. 그런데 “마이데이터 서비스”를 가장한 불법 앱이나 사이트가 아이디·비밀번호를 요구하며 정보를 긁어갈 수 있습니다. 공인된 마이데이터 사업자 여부를 반드시 확인하세요.
⚠️ 함정 2 — 대형 기업과 중소기업 시행 시점이 다르다
공공기관과 제3자 전송 의무자는 2026년 8월 20일부터, 연 매출 1,800억 초과 민간 기업은 2027년 2월 19일부터 의무가 적용됩니다. 8월 이후 무조건 모든 대기업에 요구할 수 있다고 착각하면 거절당합니다. 중소기업은 아예 의무 대상이 아닙니다.
⚠️ 함정 3 — ‘분석·가공 정보’는 못 받는다
쿠팡이 내 구매 데이터를 기반으로 분석한 ‘소비 패턴 레포트’, 네이버가 생성한 ‘맞춤 광고 프로파일’ 같은 파생 데이터는 기업이 거부할 수 있습니다. 원본 거래 데이터는 받을 수 있어도, 그것을 재가공한 인사이트는 내 것이 아닐 수 있습니다. 이 부분은 향후 법령 해석과 판례가 쌓일 영역입니다.
Q&A 5가지 — 가장 많이 묻는 질문
마치며 — 데이터 주권 시대를 사는 법
솔직히 말하면, 이 제도가 2026년 8월에 전면 시행되더라도 처음 1~2년은 체감이 크지 않을 수 있습니다. 기업들은 의무 이행에 최소한으로만 응할 가능성이 높고, UI는 복잡하게 만들거나 설명이 부족할 수 있습니다. 유럽도 GDPR 시행 초기에 똑같은 혼란을 겪었습니다.
하지만 방향은 분명합니다. 데이터 주권이 소비자에게로 이동하는 흐름은 이제 법으로 고정됐습니다. 내 쇼핑 이력, 건강 데이터, 이동 패턴이 기업의 독점 자산에서 내 자산으로 바뀌는 전환점입니다. 이 권리를 먼저 이해하고, 8월 시행 이후 적극적으로 행사하는 사람이 플랫폼 독점 시대에서 능동적인 정보 주체로 살아갈 수 있습니다.
📌 지금 할 수 있는 한 가지: 개인정보보호위원회 공식 사이트에서 3월부터 열리는 설명회 일정을 확인하고, 이미 시행 중인 의료·통신 분야에서 본인전송요구권을 한 번이라도 직접 행사해 보세요. 권리는 쓰는 사람에게만 현실이 됩니다.
본 콘텐츠는 공개된 법령 및 보도 자료를 바탕으로 작성된 정보 제공 목적의 글입니다. 개인정보 관련 법적 판단이 필요한 경우 개인정보보호위원회 또는 전문가와 상담하시기 바랍니다. 시행 세부 사항은 관련 기관 공식 발표에 따라 변경될 수 있습니다.
댓글 남기기