⚡ 8월 20일 시행
🏛 개인정보위 공식
마이데이터 본인전송요구권, 전 산업 분야 확대
8월 시행 전 모르면 내 정보만 손해
2026년 2월 개인정보보호법 시행령 개정·공포 → 8월 20일 전면 시행. 지금까지 의료·통신에만 한정됐던 ‘내 정보 이동 권리’가 이제 쇼핑몰, 은행, 병원, 학교 모든 곳에 적용됩니다. 마이데이터 본인전송요구권이 무엇인지, 나에게 어떤 혜택이 생기는지 지금 바로 확인하세요.
마이데이터 본인전송요구권, 도대체 뭔가요?
“내 정보인데, 내가 원하는 곳으로 보내 달라” — 이게 전부입니다
여러분은 지금까지 자신의 개인정보가 어디에 어떻게 쌓이고 있는지 정확히 알고 계셨나요? 병원에 진료 기록이 남고, 통신사에 이용 내역이 쌓이고, 은행에 거래 내역이 저장됩니다. 쇼핑몰엔 구매 이력이, 카드사엔 결제 기록이 있습니다. 그 정보들은 모두 ‘나에 관한 데이터’이지만, 정작 나는 그 정보를 한눈에 모아 보거나 다른 서비스에 활용할 방법이 없었습니다.
마이데이터 본인전송요구권은 바로 이 문제를 해결하는 법적 권리입니다. 쉽게 말하면 “내 정보를 보유한 기관·기업에게 그 데이터를 내가 지정한 곳으로 보내 달라”고 공식적으로 요구할 수 있는 권리입니다. 2025년 3월에 의료·통신 분야에 한해 먼저 시행됐고, 2026년 2월 개인정보보호법 시행령 개정으로 이제 전 산업 분야로 확대됩니다. 8월 20일부터 공공기관이 먼저, 2027년 2월부터는 매출 1,800억 원을 초과하는 대형 민간기업까지 의무 대상이 됩니다.
이는 단순한 개인정보 열람권과는 다릅니다. 열람권은 ‘보는 것’에 그치지만, 전송요구권은 ‘원하는 곳으로 이동’시킬 수 있는 능동적 권리입니다. 유럽의 GDPR이 ‘데이터 이동권(Right to Data Portability)’을 보장하는 것과 같은 맥락으로, 한국도 이제 진정한 데이터 주권 시대에 진입하게 됩니다.
💡 핵심 인사이트: ‘내 정보를 기관이 보유한다’는 구도에서 ‘내가 내 정보의 흐름을 결정한다’는 구도로의 전환입니다. 이것은 단순히 법 개정이 아니라 디지털 사회에서 개인의 권력 이동입니다.
2026년 2월 무엇이 달라졌나 — 시행령 개정 핵심 3가지
시행령 개정안이 2026년 2월 19일 공포된 진짜 의미
2026년 2월 10일 국무회의 의결을 거쳐 동월 19일 최종 공포된 「개인정보 보호법 시행령 일부개정령」은 세 가지 측면에서 게임 체인저입니다. 첫째, 적용 분야의 전면 확대입니다. 기존에는 의료와 통신 두 분야에만 전송요구권이 적용됐지만, 이제는 금융, 유통, 교육, 에너지, 고용, 교통, 문화·여가 등 산업 구분 없이 모든 분야의 대규모 개인정보처리자가 의무를 집니다.
둘째, 전송 방법의 구체화입니다. 막연히 “정보를 옮겨 달라”는 권리만 있었다면, 이제는 API(응용프로그램 인터페이스) 연계 방식을 원칙으로 하되, 직접 다운로드나 제한적 스크래핑까지 허용 방식이 명확히 정해졌습니다. 기관이 “기술적으로 어렵다”며 거부할 근거가 줄어든 것입니다. 셋째, 대리인을 통한 권리 행사 보장입니다. 디지털 취약 계층이나 고령자 등이 개인정보관리 전문기관(대리인)에 위임해 자신의 정보를 한곳에 모아 관리하게 할 수 있습니다. 또한 수익이 발생하면 정보주체와 공유하는 모델도 시범 추진됩니다.
| 구분 | 개정 전 (2025) | 개정 후 (2026~) |
|---|---|---|
| 적용 분야 | 의료·통신만 | 전 산업 분야 |
| 의무 대상 | 의료기관·통신사 | 매출 1,800억↑ 대규모 처리자 + 공공 |
| 전송 방법 | 미명확 | API 원칙 + 직접 다운로드 + 제한적 스크래핑 |
| 대리인 위임 | 미규정 | 전문기관 통한 대리 허용 + 수익 공유 모델 |
누가 의무를 지는가 — 본인대상정보전송자 기준 완전 정리
중소기업은 제외, 대형 플랫폼과 공공기관이 핵심
모든 기업이 갑자기 의무를 지는 것은 아닙니다. 개정 시행령(제42조의2 제1항)은 본인대상정보전송자의 기준을 다음과 같이 구체적으로 정했습니다. 우선 ① 평균 매출액이 1,800억 원을 초과하면서, ② 정보주체가 100만 명 이상이거나 민감정보·고유식별정보(주민번호, 여권번호 등)를 5만 명 이상 처리하는 기업이 해당합니다. 이 두 조건을 동시에 충족해야 하므로, 사실상 국내 주요 포털, 대형 이커머스, 카드사, 보험사, 대형병원 그룹, 주요 통신사, 대형 유통체인 등이 포함됩니다.
또한 공공시스템 운영기관(국민건강보험공단, 건강보험심사평가원, 국세청 등)과 제3자를 위해 정보를 전송해 주는 기관도 별도로 의무 대상에 포함됩니다. 반면 중소기업기본법상 중소기업은 의무 대상에서 제외되어 있습니다. 이는 소규모 사업자에게 과도한 기술 부담이 생기지 않도록 한 현실적인 배려입니다. 정부는 이번 개정에서 중소기업의 부담을 명확히 고려했고, 개인정보보호위원회는 향후 준비 상황을 보아 단계적으로 의무 대상을 확대할 방침이라고 밝혔습니다.
🔍 필자 의견: 매출 1,800억 원이라는 기준은 코스피 상장 기업 중 상당수를 포함합니다. 네이버, 카카오, 쿠팡, 배달의민족, 삼성카드, KB국민카드 등 일상에서 자주 쓰는 플랫폼이 모두 해당될 가능성이 높습니다. 소비자 입장에서는 ‘내가 실제로 쓰는 서비스 대부분’이 의무 대상이 된다고 보면 됩니다.
내 정보, 어디까지 옮길 수 있나 — 전송 대상 범위와 예외
원칙은 ‘모든 본인 정보’, 단 세 가지는 예외
개정 시행령 제42조의4 제1항에 따르면, 전송 대상 정보는 정보주체의 동의나 계약 체결·이행 과정, 법령에 따라 처리된 본인에 관한 정보 전체입니다. 즉 내가 어떤 기관에 동의해서 수집됐거나, 서비스 이용 계약을 통해 생성된 모든 데이터가 원칙적으로 이동 요청 대상입니다. 여기에는 진료 기록, 통신 이용 내역, 구매 내역, 금융 거래 기록, 교육 이수 내역 등이 포함될 수 있습니다.
다만 세 가지 예외가 있습니다. 첫 번째, 기업이 원데이터를 분석·가공해서 새로 만든 ‘별도 생성 정보’는 제외됩니다. 예를 들어 내 구매 내역을 AI가 분석해서 만든 추천 알고리즘의 중간 결과물은 해당 기업의 독자적 자산으로 봅니다. 두 번째, 다른 사람의 권리나 이익을 침해하는 정보는 전송할 수 없습니다. 세 번째, 영업비밀이나 산업기술 보호법상 보호 대상 정보, 일방향 암호화로 복호화가 불가능한 정보도 제외됩니다. 이러한 예외는 기업이 ‘자의적 거부’의 방패로 악용하지 못하도록, 개인정보보호위원회가 향후 가이드라인을 통해 구체적으로 명시할 예정입니다.
어떻게 전송받나 — API vs 스크래핑 vs 직접 다운로드
기술 방식을 알아야 내 권리를 제대로 행사할 수 있습니다
이번 시행령이 실무적으로 중요한 이유 중 하나는 전송 방법을 구체적으로 명시했다는 점입니다. 첫째, API 방식이 원칙입니다. API(응용프로그램 인터페이스)는 서로 다른 시스템끼리 정해진 규약으로 안전하게 데이터를 주고받는 방법입니다. 예를 들어 A병원의 진료 기록을 B 건강관리 앱이 API를 통해 직접 가져오는 방식입니다. 이 방식은 정보 유출 위험이 낮고 실시간 처리가 가능합니다.
둘째, 직접 다운로드 방식이 새롭게 명문화됐습니다. 내가 기관의 홈페이지에 로그인해서 내 정보를 직접 파일로 내려받는 방식입니다. 이때 반드시 안전한 암호 알고리즘으로 암호화된 파일로 제공해야 합니다. 셋째, 스크래핑 방식은 단기적으로, 사전 협의를 거친 안전성이 확인된 대리인(전문기관)에 한해 제한적으로만 허용됩니다. 스크래핑은 웹사이트 화면에서 정보를 자동으로 긁어오는 방법으로, 편리하지만 보안 위험이 있어 중장기적으로는 API 방식으로 전환이 유도됩니다.
⚠️ 주의할 점: 대리인 또는 전문기관이 전송받은 정보는 반드시 내게 전달해야 하고, 대리인 자신이 저장·보유할 수 없습니다. 신뢰할 수 없는 대리인에게 권한을 위임하면 오히려 개인정보가 악용될 수 있으므로, 개인정보보호위원회가 지정한 공인 전문기관인지 반드시 확인해야 합니다.
시행 일정 타임라인 — 8월 공공기관부터 2027년 민간까지
단계적 시행 로드맵, 언제 어디서 적용되는지 한눈에
이번 시행령 개정에서 가장 눈여겨봐야 할 부분은 단계적 시행 일정입니다. 한꺼번에 모든 기관에 적용하기보다, 준비 역량에 따라 나눠서 적용하는 방식을 택했습니다.
2026년 중으로는 에너지, 교육, 고용, 문화·여가 분야까지 제3자 전송을 확대하기 위한 실무협의체도 운영됩니다. 개인정보위와 KISA는 2026년 마이데이터 서비스 지원사업에 총 17억 원을 투입해 6개 유형의 서비스 발굴에 나설 예정이며, 여기에는 의료·통신·에너지 융합 서비스, 전분야-금융 융합 서비스, 본인정보 통합관리 서비스 등이 포함됩니다.
실생활에서 어떻게 써먹나 — 마이데이터 활용 5가지 시나리오
추상적인 권리가 아닌, 내 지갑과 건강에 직결되는 실제 혜택
법이 바뀌는 건 알겠는데, 내 삶에서 실제로 어떤 변화가 생길까요? 다섯 가지 구체적인 활용 시나리오를 통해 살펴보겠습니다.
여러 병원 진료 기록을 한 앱에서 통합 관리
A병원, B한의원, C치과의 진료 기록을 하나의 건강관리 앱으로 모아, 복용 약물 중복이나 알레르기 충돌을 자동으로 경고받을 수 있습니다. 응급 상황에서도 의료진이 이력을 즉시 파악 가능합니다.
구매 내역 기반 맞춤 금융상품 추천
쇼핑몰 구매 내역과 카드 지출 패턴을 금융사에 전송해 나에게 맞는 환급형 카드, 소비 패턴 기반 대출 심사 완화 혜택 등을 받을 수 있습니다. 내 데이터를 무기로 더 좋은 금융 조건을 협상할 수 있게 됩니다.
실제 운전 습관으로 자동차보험료 할인
통신사에 쌓인 차량 GPS 이동 기록이나 운전 패턴 데이터를 보험사에 직접 전송해, 안전 운전자임을 증명하고 보험료를 낮출 수 있습니다. 지금까지는 보험사가 직접 데이터를 수집해야 했지만, 이제는 소비자가 스스로 유리한 데이터를 제공하는 방향으로 바뀝니다.
이수 강의·자격증·경력 데이터 즉시 전송
교육기관에서 이수한 강의 기록, 국가 자격증 취득 이력, 전 직장의 경력 증명서 등을 채용 플랫폼이나 지원 기업에 직접 전송할 수 있습니다. 복잡한 서류 발급 절차가 사라지고, 정보 위·변조 위험도 줄어듭니다.
내 데이터를 팔아 직접 수익 창출
이번 시행령이 허용한 ‘수익 공유 모델’에 따라, 개인정보관리 전문기관이 내 데이터를 기업에 제공하고 발생한 수익 일부를 나에게 돌려주는 서비스가 등장할 수 있습니다. ‘내 데이터가 기업 수익에 사용되는 구조’에서 ‘내가 직접 보상을 받는 구조’로 전환되는 것입니다.
💡 필자의 주관적 견해: 다섯 가지 시나리오 중 가장 빠르게 현실화될 것은 건강 데이터 통합과 금융 융합 서비스라고 봅니다. 이미 국민건강보험공단과 건강보험심사평가원 같은 공공기관이 8월에 먼저 시행하기 때문입니다. 반면 수익 공유 모델은 아직 시범 추진 단계이므로, 실제 체감까지는 2~3년이 더 걸릴 것으로 예상합니다.
❓ Q&A — 5가지 핵심 질문
마치며 — 데이터 주권 시대, 주도권은 내 손에
2026년 8월 20일은 단순히 법 하나가 시행되는 날이 아닙니다. 지금까지 기업과 기관이 일방적으로 쌓아온 ‘나에 관한 데이터’의 흐름 방향이 처음으로 역전되는 날입니다. 이제 나는 내 데이터를 수동적으로 제공하는 존재가 아니라, 능동적으로 이동시키고 활용하고 심지어 수익화할 수 있는 주체가 됩니다.
물론 현실적인 과제도 있습니다. 기업들이 전송 방식을 제대로 구축하지 않거나, 예외 조항을 남용해 거부하는 경우도 생길 수 있습니다. 개인정보위가 3월 16일 설명회를 시작으로 가이드라인을 세밀하게 정비하고, 실질적인 이행 감독에 나서는 것이 중요합니다. 소비자 입장에서도 단순히 “내 정보를 달라”가 아니라, 어떤 정보를 어디에 보내서 어떻게 활용할지에 대한 전략적 사고가 필요해졌습니다.
마이데이터 본인전송요구권은 그 자체로 완성된 제도가 아닙니다. 지금 시행되는 것은 시작점이고, 에너지·교육·고용·문화 분야로의 확대, 민간 기업 적용, 수익 공유 모델의 정착 등 앞으로 3~5년에 걸쳐 점차 현실화됩니다. 지금 이 내용을 알고 있는 사람과 모르는 사람 사이의 격차는 앞으로 데이터 경제 시대에서 분명 차이를 만들어낼 것입니다.
※ 본 포스팅은 2026년 3월 11~12일 기준 개인정보보호위원회 공식 발표 및 법령 정보를 바탕으로 작성되었습니다. 법령 해석 및 세부 사항은 향후 가이드라인 및 시행령 변경에 따라 달라질 수 있으며, 구체적인 법률 판단이 필요한 경우 전문가와 상담하시기 바랍니다.
댓글 남기기