마이데이터 전 분야 확대:
8월 시행 전 내 정보 주권 되찾는 완전 가이드

2026년 2월 10일, 개인정보보호위원회는 「개인정보 보호법 시행령」 개정안을 국무회의에서 의결했습니다. 이로써 마이데이터 전 분야 확대가 공식화되어, 기존 의료·통신에 묶여 있던 본인전송요구권이 교통·유통·문화·여가·교육·고용 등 전 산업 분야로 넓어집니다. 시행 시점은 2026년 8월(공공기관 기준)이며, 민간 대기업은 2027년 2월까지 단계적으로 적용됩니다.

마이데이터란? 지금 당신의 정보가 어디에 있는지부터

왜 이 제도가 필요했는가

여러분의 진료 기록은 병원 서버에, 통신 사용 내역은 통신사 DB에, 구매 이력은 쇼핑몰 클라우드에 각각 흩어져 보관됩니다. 정보의 주인은 분명 ‘나’인데, 실제로 그 정보를 꺼내 쓸 권리는 기업이 쥐고 있었습니다. 마이데이터(My Data)는 이 불균형을 바로잡기 위한 제도로, 정보주체가 자신의 개인정보를 원하는 기관이나 서비스로 직접 이동시킬 수 있는 권리를 법적으로 보장합니다.

한국에서는 2023년 금융 마이데이터를 시작으로, 2025년 3월 개인정보 전송요구권이 의료·통신 분야에 처음 적용됐습니다. 그리고 2026년 2월 10일, 개정 시행령이 국무회의를 통과하면서 적용 범위가 전 산업 분야로 확대됩니다. 글로벌 맥락에서는 EU의 GDPR ‘데이터 이동권(Right to Data Portability)’과 동일한 개념이며, 디지털 경제에서 개인이 정보 주권을 되찾는 핵심 도구입니다.

개인적인 시각에서 보면, 이 제도의 도입이 늦었다고 생각합니다. 기업들은 수년간 우리의 데이터를 활용해 수익을 창출해왔지만, 정작 정보 주인인 우리는 그 데이터에 접근조차 어려웠습니다. 이번 전 분야 확대는 디지털 시대의 정보 불평등을 조금이나마 해소하는 의미 있는 전환점입니다.

▲ 목차로 돌아가기

전 분야 확대의 핵심: 무엇이 달라지는가

기존 vs 개정 비교

이번 시행령 개정의 핵심은 단순한 ‘범위 확장’이 아닙니다. 기존에는 의료·통신이라는 두 분야에서만 가능했던 본인전송요구권이 이제 교통, 유통, 문화·여가, 교육, 고용, 에너지, 금융, 공공 등 국민 생활과 연결된 전 영역으로 넓어집니다. 특히 ‘온마이데이터(On MyData)’ 플랫폼을 통해 여러 기관에 흩어진 본인 정보를 한 곳에서 통합·열람하고 원하는 서비스로 전송할 수 있게 됩니다.

전송 가능한 정보의 범위도 구체화됐습니다. 원칙적으로 정보주체의 동의, 계약 이행, 법령에 따라 처리되는 개인정보가 전송 대상이 됩니다. 단, 기업이 자체 분석·가공해 만든 ‘별도 생성 정보'(예: 의료 위험군 분류 통계), 제3자 권리를 침해하는 정보, 영업비밀로 보호되는 정보는 제외할 수 있습니다. 이는 기업의 지식재산권도 함께 보호하기 위한 균형 잡힌 설계입니다.

▲ 목차로 돌아가기

본인전송요구권 대상 기관 기준 완전 정리

“내가 요구할 수 있는 곳”과 “요구할 수 없는 곳”

이번 개정에서 가장 실용적인 내용은 ‘본인 대상 정보전송자’ 기준의 명확화입니다. 쉽게 말해, “내가 내 정보를 달라고 요청할 수 있는 기관이 어디냐”를 법령이 구체적으로 정해준 것입니다. 기준을 충족하는 곳은 국민의 전송 요구를 정당한 사유 없이 거절하지 못합니다.

실생활 예시로 생각해 보면, 쿠팡·네이버·카카오·SKT·KT·현대카드·국민건강보험공단·국세청 같은 대형 플랫폼과 공공기관들이 의무 대상에 포함될 가능성이 높습니다. 반면 동네 카페나 소형 쇼핑몰은 해당 없습니다. 정확한 적용 기관 목록은 개인정보위가 추후 발표할 예정입니다.

▲ 목차로 돌아가기

전송 방법 3가지: API·스크래핑·직접 다운로드

안전성 확보가 최우선인 이유

이번 시행령 개정에서 특히 눈에 띄는 부분은 전송 방법의 안전성 규정입니다. 개인정보위는 세 가지 방식을 허용하면서도 각각의 조건을 명확히 설정했습니다. 단순히 “보내줘”가 아니라 “어떤 방식으로, 얼마나 안전하게 보내느냐”까지 제도가 설계한 것입니다.

▲ 목차로 돌아가기

시행 일정 로드맵: 2026년 8월~2027년 2월 단계별 정리

언제부터 어디에 요청할 수 있나

시행 일정은 기관 유형별로 다르게 적용됩니다. 공공기관과 이미 마이데이터에 참여 중인 제3자 전송기관은 공포일(2026년 2월경)로부터 6개월 후인 2026년 8월부터 의무가 발생합니다. 반면 매출 1,800억원을 초과하는 민간 대기업은 1년 유예가 적용되어 2027년 2월부터 시작됩니다.

▲ 목차로 돌아가기

내 정보 주권, 지금 실전에서 어떻게 쓸 수 있나

제도가 만들어내는 실제 생활 변화 시나리오

개인정보위가 공개한 활용 시나리오에서 A씨의 사례가 인상적입니다. 여러 병원에 흩어진 건강검진·진료내역을 마이데이터로 통합 관리하고, 이를 바탕으로 본인에게 맞는 일자리를 추천받고, 복지지원금 신청을 자동 안내받는 것이 하나의 흐름으로 연결됩니다. 이것이 바로 이번 마이데이터 전 분야 확대가 노리는 ‘데이터 기반 개인 맞춤 서비스’의 핵심입니다.

구체적으로 어떤 상황에서 쓸 수 있는지 살펴보겠습니다. 첫째, 금융 서비스 갈아타기에서 유리해집니다. 여러 은행·카드사에 흩어진 거래 내역을 한 번에 모아 핀테크 앱이나 재무 관리 서비스에 전송하면, 지금보다 내 신용도에 맞는 낮은 금리 대출 상품을 찾는 데 도움이 됩니다. 둘째, 의료·건강 관리가 능동적으로 바뀝니다. 각 병원에 요청해서 직접 내 진료기록을 받아 통합 건강관리 앱에 올리거나, 원하는 병원으로 전달해 중복 검사 없이 진료받을 수 있게 됩니다.

셋째, 통신·구독 서비스 최적화도 가능합니다. 현재 통신사·OTT·구독 서비스 이용 내역 데이터를 직접 받아 비교·분석 서비스에 제공하면, 내 소비 패턴에 맞는 최적 요금제를 추천받을 수 있습니다. 여기서 중요한 통찰이 있습니다. 마이데이터가 실질적으로 유용해지려면 ‘좋은 수신처’가 있어야 합니다. 즉, 우리의 데이터를 실제로 가치 있게 활용해주는 신뢰할 수 있는 서비스들이 얼마나 빠르게 등장하느냐가 이 제도의 성패를 가를 것입니다.

▲ 목차로 돌아가기

Q&A: 마이데이터 전 분야 확대, 가장 많이 묻는 질문 5가지

▲ 목차로 돌아가기

마치며: 마이데이터, 편의냐 감시냐 — 제도의 두 얼굴

마이데이터 전 분야 확대는 분명 강력한 ‘정보 주권 회복’ 도구입니다. 흩어진 내 데이터를 한곳에 모아 더 나은 서비스를 받을 수 있다는 편의성은 부정할 수 없습니다. 하지만 동시에, 이 제도가 제대로 설계되지 않으면 개인정보가 더 많은 곳으로 더 빠르게 흘러다니는 ‘감시 인프라’가 될 수도 있다는 점을 냉정하게 봐야 합니다.

이번 시행령 개정에서 중소기업 제외와 API 우선 원칙은 현실적인 균형점을 찾은 결과입니다. 그러나 ‘안전성이 검증된 대리인’의 기준, ‘별도 생성 정보’의 구체적 범위, 부당 거부에 대한 제재 수위 등 아직 불명확한 부분이 남아 있습니다. 2026년 8월 시행 전까지 이 세부 기준들이 어떻게 채워지느냐에 따라 제도의 실질적 효용이 달라질 것입니다.

개인적으로는 이 제도를 ‘기다리는 자세’보다 ‘능동적으로 활용하는 자세’로 맞이하길 권합니다. 8월 시행 전에 온마이데이터 플랫폼에 가입해 두고, 내 정보가 어디에 있는지 미리 파악해 두는 것이 현명합니다. 정보 주권은 법이 만들어준다고 자동으로 생기는 것이 아니라, 내가 직접 행사해야 진짜 ‘권리’가 됩니다.

▲ 목차로 돌아가기