마이데이터 전송요구권 2026
8월 전에 몰랐다간 내 데이터 주권 날린다
2026년 2월 10일 국무회의 의결, 8월부터 전 분야 시행 확정.
쇼핑·에너지·고용 데이터까지 내가 직접 꺼내 쓸 수 있습니다.
📋 전 분야 확대
🔒 데이터 주권
🏢 매출 1,800억↑ 기업 의무화
마이데이터 전송요구권, 지금 왜 이슈인가?
2026년 2월 10일, 개인정보보호위원회가 국무회의에서 「개인정보 보호법 시행령」 개정안을 의결했습니다.
핵심은 단 하나, 기존에 의료·통신 두 분야에만 적용되던 마이데이터 전송요구권을 이제 유통·쇼핑·에너지·고용·교육·금융 등 사실상 모든 분야로 확대한다는 것입니다.
이게 왜 중요하냐면, 지금까지 여러분의 쇼핑 이력, 전기 사용량, 직장 경력 데이터는 기업이 ‘소유’하는 것처럼 운영돼 왔습니다.
그런데 이제 법적으로 그 데이터는 내 것이고, 내가 원하는 곳으로 이동시키거나 직접 내려받을 수 있는 권리가 8월부터 본격 보장됩니다.
세계 최초 전 분야 마이데이터 확대라는 점에서 국제적으로도 주목받고 있는 제도입니다.
전송요구권이란 정확히 무엇인가?
마이데이터 전송요구권(개인정보 전송요구권)은 2025년 3월 13일 개정 개인정보 보호법 시행과 함께 처음 도입된 제도입니다.
정보주체(본인)가 특정 기업·기관이 보유하고 있는 자신의 개인정보를 ① 본인에게 직접 내려받거나, ② 본인이 지정한 제3의 서비스 사업자에게 전송하도록 요구할 수 있는 법적 권리입니다.
유럽 GDPR의 ‘정보이동권(Right to Data Portability)’, 영국의 오픈뱅킹, 호주의 소비자데이터권리(CDR)와 같은 계열의 제도입니다.
초기에는 의료기관과 통신사에만 적용됐지만, 이번 시행령 개정으로 매출액 1,800억 원 초과 + 이용자 100만 명 이상인 대규모 민간 기업까지 의무 범위가 확 넓어졌습니다.
전송 방식은 어떻게 되나요?
전송 방식은 원칙적으로 API 연계 방식이 기본입니다. 데이터를 안전하게 시스템 간 전달하는 표준 방식이죠.
다만 과도기적으로는 사전 협의를 거친 신뢰 기관에 한해 제한적인 스크래핑 방식도 허용됩니다. 또한 홈페이지에서 열람할 수 있는 정보를 암호화해 직접 다운로드하는 방식도 명시적으로 허용됐습니다.
2026년 8월 무엇이 달라지나? — 핵심 변경 사항
| 구분 | 기존 (2025년 3월~) | 개정 후 (2026년 8월~) |
|---|---|---|
| 적용 분야 | 의료, 통신만 | 전 분야 (유통·쇼핑·에너지·교육·고용·금융 등) |
| 의무 기업 기준 | 의료기관·통신사 | 매출 1,800억↑ & 이용자 100만↑ 민간기업, 공공기관 |
| 전송 대상 정보 | 진료기록, 통화내역 등 | 구매이력, 전기사용량, 고용정보, 교육이력 등 |
| 제3자 전송 분야 | 제한적 | 에너지·교육·고용·문화·여가 추가 추진 |
| 대리인 전송 | 불분명 | 사전 협의 기반 대리인 전송 허용 |
| 민간 유예기간 | – | 시행 후 1년 (공공기관·제3자 전송자는 6개월) |
분야별 활용 시나리오 — 내 삶이 이렇게 바뀐다
마이데이터 전송요구권이 전 분야로 확대되면 실제로 어떤 변화가 생길까요?
개인정보보호위원회가 제시한 기대 효과와 현실적인 활용 시나리오를 풀어봤습니다.
🛒 유통·쇼핑 — 플랫폼 간 구매 이력 통합
쿠팡, 네이버쇼핑, 롯데온에 흩어진 구매 이력을 한 곳으로 모아 새로운 가계부 앱에 제공하거나, 더 나은 혜택을 주는 플랫폼으로 데이터를 이동시킬 수 있습니다.
소비 패턴을 분석해 불필요한 중복 구매를 줄이고 최적의 가격 비교 서비스를 활용할 수 있게 됩니다.
⚡ 에너지 — 전기·가스 사용량 기반 절약 서비스
한전·가스공사가 보유한 내 전기·가스 사용 데이터를 에너지 관리 앱에 전송하면, AI가 사용 패턴을 분석해 절약 방법을 제안하고 더 유리한 요금제로 자동 추천해 줍니다.
스마트홈 기기와 연동하면 전기 요금 절감 효과를 수치로 확인할 수도 있습니다.
💼 고용·교육 — 경력 데이터의 자유로운 이동
국민건강보험공단·고용보험에 축적된 근무 이력과 교육부·학교가 보유한 학습 이력을 원하는 채용 플랫폼이나 자기소개서 서비스에 자동으로 채울 수 있습니다.
반복 입력하던 경력기술서 작성 시간이 대폭 줄고, 데이터 위·변조 없이 증명 효력도 높아집니다.
🏥 의료·건강 — 진료 이력 + 생활 데이터 결합
기존 의료 분야에서 이미 시행 중이던 진료기록 전송이 이제 유통·고용 데이터와 결합됩니다.
예를 들어 장기 치료 중인 질환을 고려해 신체 부담이 적은 일자리를 자동 추천받거나, 건강 상태에 맞는 식재료 구독 서비스를 연계하는 것이 실제로 가능해집니다.
누가 의무 대상인가? — 기업·기관 기준 완전 정리
전송요구권을 이행해야 하는 기업·기관의 기준이 이번 시행령에서 처음으로 명확히 규정됐습니다.
아래 조건 중 하나라도 해당되면 본인 대상 정보전송자로 지정되어 의무를 집니다.
대규모 민간 기업: 중소기업기본법상 평균 매출액 1,800억 원 초과 + 이용자 수 100만 명 이상인 개인정보처리자
민감·고유정보 대규모 처리자: 민감정보 또는 고유식별정보(주민등록번호 등)를 5만 명 이상 처리하는 기관
공공시스템 운영기관: 정부·지자체·공공기관이 운영하는 개인정보처리시스템 운영 기관 (유예기간 6개월 적용)
제3자 전송자: 정보주체의 요청으로 다른 사업자에게 데이터를 이전해 주는 기관 (유예기간 6개월 적용)
중소기업은 해당되지 않나요?
이번 개정에서 중소기업은 의무 대상에서 제외됐습니다. 이는 준비 비용 부담을 고려한 조치입니다.
다만 제도가 정착되면 단계적으로 의무 범위가 확대될 수 있어, 중견기업이라면 지금부터 API 인프라 구축을 검토할 필요가 있습니다.
우려와 리스크 — 장밋빛만은 아닌 이유
정부는 이 제도를 통해 ‘세계 최초 마이데이터 전 분야 확대’라는 성과를 홍보하고 있지만, 업계와 시민사회에서는 우려의 목소리도 적지 않습니다.
제도의 빛과 그림자를 솔직히 짚어봐야 합니다.
🚨 보안 취약점 확대 우려
한국온라인쇼핑협회를 비롯한 업계는 최근 쿠팡 3,367만 명 개인정보 유출 사고를 사례로 들며, 전 분야 데이터 전송 허용이 오히려 대형 개인정보 유출의 구조적 통로가 될 수 있다고 지적합니다.
API 연계가 촘촘히 깔릴수록 하나의 취약점이 여러 서비스에 동시에 영향을 미칠 수 있는 ‘연쇄 유출’ 위험이 높아지기 때문입니다.
🌏 해외 경쟁사 무임승차 논란
국내 이커머스 기업이 수년간 비용을 투자해 축적한 소비자 데이터가, 알리익스프레스·테무 같은 해외 플랫폼에 사실상 무상으로 이전되는 역효과가 생길 수 있다는 시각도 있습니다.
전송요구권은 기업 간 데이터 이동의 대칭성을 전제로 하지 않기 때문에, 한국에 서버를 두지 않는 해외 플랫폼이 수혜를 볼 수 있는 구조적 허점이 존재합니다.
⚖️ 동의 구조의 실질성 문제
시민단체는 “동의 기반”이라는 원칙이 실제로는 형식적으로 흐를 수 있다고 지적합니다.
서비스 가입 시 수십 페이지 약관처럼, 전송 동의도 사실상 강제될 가능성이 있습니다.
개인정보 자기결정권의 ‘자유로운 동의’ 원칙이 실제 이행 과정에서 얼마나 보장될지는 앞으로의 운영과 감독에 달려 있습니다.
지금 당장 내가 할 수 있는 준비 3가지
8월 시행이라고 해서 마냥 기다릴 필요는 없습니다. 이 제도가 제대로 작동하려면 개인도 미리 알고 준비해야 합니다.
지금 당장 실천할 수 있는 3가지를 소개합니다.
현재 마이데이터 서비스 가입 현황 점검:
뱅크샐러드, 토스, 네이버페이 등 기존 금융 마이데이터 앱을 통해 현재 어떤 기관이 내 데이터를 보유하고 있는지 확인하세요.
이미 금융 분야 마이데이터를 쓰고 있다면 개인정보 전송요구권의 흐름을 미리 체험한 셈입니다.
개인정보보호위원회 사이트 북마크:
3월부터 개인정보 관리 전문기관 지정 및 설명회가 시작되므로, 개인정보보호위원회 공식 사이트(pipc.go.kr)를 즐겨찾기해 두고 업데이트를 정기적으로 확인하세요.
전송 대상 기업 목록과 신청 절차가 8월 전에 공개될 예정입니다.
불필요한 개인정보 처리 동의 내역 정리:
전송요구권은 동의한 정보를 기반으로 작동합니다. 지금 당장 주요 앱들의 개인정보 제공 동의 내역을 확인하고, 필요 없는 항목의 동의를 철회해 두면 추후 데이터 이동 범위도 더 정확하게 관리할 수 있습니다.
자주 묻는 질문 Q&A
마이데이터 전송요구권이 8월에 시행되면 바로 쓸 수 있나요?
정확히는 8월에 시행령이 발효되지만, 민간 대규모 기업에는 1년간 유예기간이 적용됩니다. 공공기관과 제3자 전송자는 6개월 유예입니다. 따라서 실제로 민간 서비스에서 전 분야 전송요구권을 행사할 수 있게 되는 시점은 빠르면 2027년 2월, 대기업 기준으로는 2027년 8월 전후가 될 것으로 보입니다.
내 쇼핑 구매 이력을 다른 서비스에 넘길 수 있나요?
네, 가능합니다. 단, 대상 기업이 매출 1,800억 원 초과·이용자 100만 명 이상인 대규모 사업자여야 합니다. 쿠팡, 네이버쇼핑, 롯데온 같은 대형 플랫폼이 의무 범위에 포함될 가능성이 높습니다. 다만 기업이 자체적으로 분석·가공해 만든 추천 알고리즘 결과나 내부 등급 정보는 전송 대상에서 제외됩니다.
중소기업이 운영하는 쇼핑몰에도 요구할 수 있나요?
이번 개정에서는 중소기업이 의무 대상에서 제외됐습니다. 평균 매출액 1,800억 원 이하이거나 이용자 수가 100만 명 미만인 중소·중견기업은 현재 의무를 지지 않습니다. 다만 자발적으로 제도에 참여하는 기업도 생길 수 있습니다.
내 데이터를 전송 요청했는데 기업이 거부하면 어떻게 되나요?
개정 시행령에 따르면, 대리인이 사전 협의한 방식으로 전송을 요청했을 경우 기업은 정당한 사유 없이 거절할 수 없습니다. 만약 부당하게 거부하는 경우 개인정보보호위원회에 신고·분쟁 조정을 신청할 수 있으며, 위반 시 개인정보 보호법에 따른 과태료·과징금이 부과될 수 있습니다.
마이데이터 전송 과정에서 해킹이나 유출 걱정은 없나요?
완전히 없다고 할 수는 없습니다. 업계에서도 이 점을 강하게 우려하고 있습니다. 정부는 API 연계를 원칙으로 하고 대리인 전송 시 사전 협의 및 안전성 검증을 요구했지만, 연계가 늘어날수록 공격 면적도 넓어지는 것은 사실입니다. 전송 요청 시 반드시 공식 인증된 서비스만 이용하고, 출처 불명의 데이터 전송 요청은 반드시 거절하시기 바랍니다.
마치며 — 총평
마이데이터 전송요구권의 전 분야 확대는 개인이 자신의 데이터를 기업의 ‘자산’이 아닌 자신의 ‘권리’로 되찾는 중요한 전환점입니다.
세계 최초라는 타이틀처럼, 제도 자체의 방향성은 옳습니다. 데이터를 가진 자가 더 나은 서비스를 받는 시대에서, 그 데이터가 기업의 서버에만 갇혀 있어서는 안 된다는 발상은 분명히 정당합니다.
그러나 현실은 복잡합니다. 보안 인프라가 충분히 갖춰지지 않은 상태에서 연결망이 확대되면 유출 위험도 함께 커집니다. 쿠팡 해킹 사고처럼 수천만 명의 정보가 한 번에 노출되는 사건이 재발하지 않으려면, 시행령 이후의 운영과 감독이 제도 설계만큼 중요합니다.
일반 사용자 입장에서 가장 실용적인 자세는 지금 당장 내 데이터 동의 현황을 파악하고, 8월 이후 공식 안내에 따라 신중하게 서비스를 선택하는 것입니다.
내 데이터를 활용해 더 나은 혜택을 받되, 어디에 어떻게 전송되는지는 반드시 직접 확인하는 습관이 필요합니다.
※ 본 콘텐츠는 공개된 정부 보도자료 및 언론 보도를 바탕으로 작성된 정보 제공용 글입니다. 법적 효력이 있는 법률 자문이 아니며, 시행령 세부 사항은 관계 기관의 공식 발표를 반드시 확인하시기 바랍니다. 정책 내용은 시행 전까지 변경될 수 있습니다.
댓글 남기기