개인정보 보호법 시행령 개정
마이데이터 전분야 확대,
기준 4가지 직접 확인했습니다
“8월부터 전 분야 시행”이라는 말만 들으면 모든 기업과 모든 국민에게 바로 적용될 것 같습니다. 하지만 공식 시행령을 직접 읽어보면 얘기가 달라집니다. 마이데이터 전분야 확대의 실제 대상 기준, 적용 시점, 그리고 일반 소비자 입장에서 놓치면 안 되는 함정까지 공식 문서 기준으로 정리했습니다.
‘전 분야’가 아닐 수 있습니다 — 의무 대상 기준 4가지
마이데이터 전분야 확대라는 표현 때문에 “이제 모든 기업이 다 해야 하는 것 아닌가”라고 생각하기 쉽습니다. 그런데 공식 시행령이 정한 ‘본인 대상 정보전송자’ 기준을 읽어보면 실제 의무 대상은 꽤 좁습니다.
개인정보보호법 시행령 개정안(2026.02.10 국무회의 의결)이 정한 의무 대상 조건은 아래 4가지입니다. 이 기준을 동시에 충족해야 의무 전송자가 됩니다. (출처: 개인정보보호위원회 공식 발표, 전자신문 2026.02.10)
| 구분 | 기준 | 적용 여부 |
|---|---|---|
| ① 매출 | 평균 매출액 1,800억 원 초과 | AND 조건 |
| ② 이용자 수 | 정보주체 100만명 이상 또는 민감·고유식별정보 5만명 이상 처리 |
AND 조건 |
| ③ 기업 규모 | 중소기업기본법상 중소기업 제외 | 대기업·중견기업만 |
| ④ 특별 대상 | 공공시스템 운영기관 / 제3자 대상 정보전송자 | 별도 적용 |
💡 공식 발표문과 실제 시행령 조문을 같이 놓고 보니 이런 차이가 보였습니다. “전 분야 확대”는 적용 업종 범위의 확장이지, 모든 사업자에 대한 의무화가 아닙니다. 매출 1,800억을 넘지 않는 중소 쇼핑몰·스타트업·소상공인은 이번 시행령의 의무 대상이 아닙니다.
마이데이터 전분야 확대가 처음 뉴스에 나왔을 때 많은 중소 사업자들이 “우리도 인프라 구축해야 하냐”며 당황했던 이유가 여기 있습니다. 의무 기업은 매출과 이용자 수 기준을 동시에 충족하는 대규모 처리자로 제한됩니다.
‘8월 시행’인데 민간 기업은 언제부터?
뉴스에서 “2026년 8월 시행”이라는 표현을 쓰고 있습니다. 그런데 이게 전부 8월부터 시작한다는 게 아닙니다. 공식 시행령에는 대상에 따라 시행 시점이 2단계로 나뉩니다.
| 대상 | 유예기간 | 실제 의무 시작 |
|---|---|---|
| 공공시스템 운영기관 제3자 대상 정보전송자 |
공포일~6개월 | 약 2026년 8월 |
| 민간 대규모 개인정보처리자 (매출 1,800억 초과·이용자 100만명 이상) |
공포일~1년 | 약 2027년 2월 |
💡 시행령 공포일 기준으로 계산하면, 민간 대기업이 실제 의무적으로 전송 체계를 갖춰야 하는 시점은 2027년 2월입니다. “8월 시행”이 아닌 셈입니다. (출처: 전자신문 2026.02.10 / byline.network 2026.02.10)
뉴스에서 8월만 강조되다 보니 네이버·카카오·쿠팡 같은 대형 플랫폼도 8월부터 당장 전송 버튼을 열어야 한다고 오해하기 쉽습니다. 막상 해보면 다릅니다. 민간 대기업에게는 준비 기간이 약 1년 있습니다.
내 정보를 보낼 수 있는 것과 없는 것
전분야 확대라고 하면 “나와 관련된 모든 정보를 달라고 요구할 수 있는 것 아니냐”는 생각이 듭니다. 그런데 공식 시행령에는 전송 대상 정보 범위에 대해 예외 조항이 명시적으로 열거돼 있습니다.
✅ 전송 요구할 수 있는 정보
- 동의에 따라 처리된 개인정보
- 계약 체결·이행 과정에서 처리된 정보
- 법령에 따라 처리된 정보
- 홈페이지에서 직접 조회할 수 있는 정보를 암호화해 내려받는 방식
❌ 전송 요구를 거부할 수 있는 정보
- 개인정보처리자가 별도로 분석·가공해 생성한 정보 (예: 추천 알고리즘 결과값, 신용 점수 내부 산출 로직)
- 제3자의 권리·이익을 침해할 수 있는 정보
- 영업비밀에 해당하는 정보
💡 “내 구매 이력은 돌려받을 수 있는데, 그 이력을 바탕으로 기업이 만든 ‘나의 취향 프로필’은 요구할 수 없습니다.” 쌓인 원본 데이터와 기업이 가공한 파생 데이터는 다르게 취급됩니다.
솔직히 말하면, 소비자 입장에서 가장 쓸모 있는 건 가공된 프로필인데 정작 그 부분은 요구 범위 밖입니다. 기대했던 것과 달랐습니다.
온마이데이터 플랫폼, 지금 당장 쓸 수 있는가
개인정보위는 2026년 1월 20일 온마이데이터(onmydata.go.kr) 2단계 서비스 구축 완료를 발표하고, 3월부터 전국민 대상 서비스를 시작했습니다. 4월부터는 앱으로도 이용 가능해진다고 3월 16일 설명회에서 밝혔습니다. (출처: 대한민국 정책브리핑 2026.01.20, 머니투데이 2026.03.16)
온마이데이터 2단계 주요 기능
- 본인 정보 직접 내려받기 — 연결된 기관의 정보를 파일 형태로 단말기에 저장
- 개인 정보 저장소 — 내려받은 데이터를 온마이데이터 내에서 관리
- 이메일·앱 전송 — 저장된 정보를 원하는 곳으로 직접 보내기
- 전송 이력 관리 — 언제 어디에 내 정보를 보냈는지 기록 확인
단, 8월 시행 전인 지금은 연결 가능한 기관 수가 제한적입니다. 의료·통신 분야는 2025년 3월부터 먼저 적용이 시작됐고, 나머지 분야는 각 의무기관이 시스템을 구축한 뒤 순차 연동됩니다.
💡 플랫폼은 이미 열려 있지만, 실제로 연결 가능한 기관은 아직 의료·통신 위주입니다. 유통·교통·교육 분야가 연동되려면 해당 기관이 의무를 이행하는 2026~2027년을 기다려야 합니다.
산업계가 집단 반발한 3가지 이유
2025년 11월, 한국온라인쇼핑협회·코리아스타트업포럼 등 6개 단체가 공동 성명을 내고 마이데이터 전분야 확대 전면 재검토를 요구했습니다. 개정안이 의결된 지금도 이 반발의 논거들은 소비자 입장에서 충분히 따져볼 만합니다.
1. “커피 쿠폰 하나에 민감정보를 내주는 구조”
시행령은 안전성이 확인된 ‘전문기관’이 대리인으로서 이용자의 정보를 수집할 수 있도록 허용합니다. 6개 단체는 전문기관이 적립금·쿠폰 같은 소액 보상으로 이용자 동의를 확보한 뒤 구매 이력, 의료 기록, 위치 정보를 결합 수집하는 구조가 가능하다고 지적했습니다. 동의는 했지만 실제 어떤 정보가 어디로 가는지 인식 못 하는 상황이 될 수 있습니다. (출처: ZDNet Korea 2025.11.27)
2. 전문기관 자본금 요건이 1억 원 수준
전문기관으로 지정받기 위한 자본금 요건이 1억 원 수준으로 낮게 설정돼 있습니다. 6개 단체는 이 수준의 자본금으로는 수백만 명 이상의 민감정보를 안전하게 관리할 보안 역량을 갖추기 어렵다고 비판했습니다. 전문기관 1곳이 해킹당하면 그곳에 모인 여러 기관의 데이터가 동시에 유출될 수 있는 구조입니다. (출처: ZDNet Korea 2025.11.27)
3. 해외 기업도 전문기관 설립 가능
개정안은 전문기관에 대한 국적 제한을 두지 않습니다. 알리익스프레스·테무 같은 해외 이커머스 기업이 국내에 전문기관을 설립하면, 국내 기업이 수년간 쌓아온 구매 데이터를 합법적으로 가져갈 수 있습니다. 한국온라인쇼핑협회는 이를 “국내 기업이 막대한 비용을 들여 축적한 데이터의 사실상 무상 이전”이라고 표현했습니다. (출처: IT조선 2026.02.12)
개인정보위는 이러한 우려에 대해 “법령 범위 내에서 기업이 전송 범위를 설정할 수 있고, 스크래핑은 사전 협의 기반 통제 체계로 방지하겠다”고 밝혔으나, 구체적인 규제 방법은 이유가 아직 공개되지 않은 부분입니다.
소비자 입장에서 실제로 중요한 것
제도의 큰 그림보다 당장 내가 무엇을 할 수 있는지, 무엇을 조심해야 하는지가 더 실질적입니다. 공식 자료를 교차 분석하면서 소비자 관점에서 체크해야 할 포인트가 보였습니다.
💡 온마이데이터 공식 발표문과 산업계 성명을 동시에 놓고 보니 이런 구조가 보였습니다.
정부는 “내 정보를 내가 내려받아 관리하는 것”을 강조하고 있고, 실제로 직접 내려받기(본인 단말 저장) 기능은 소비자가 주도권을 가집니다. 반면, 전문기관을 통한 대리 수집은 소비자가 동의는 하되 흐름을 잘 모르는 구조로 이어질 수 있습니다. 두 가지는 엄연히 다른 방식입니다.
소비자가 당장 할 수 있는 것 (2026년 3월 현재)
- onmydata.go.kr에서 의료·통신 분야 정보 직접 내려받기 (웹 기준)
- 4월부터 모바일 앱으로도 이용 가능 예정
- 전송 이력 조회 — 누가 내 데이터를 가져갔는지 확인
- 전송 요구 철회 — 이미 동의한 전송 취소 가능
주의해야 할 상황
- “마이데이터 연동 동의”를 요청하는 서비스가 늘어납니다. 어떤 정보가 어디로 가는지 동의 전에 반드시 확인해야 합니다.
- 전문기관을 통한 대리 수집에 동의하면 내 정보가 제3의 기관에 저장될 수 있습니다. 이건 직접 내려받기와 다릅니다.
- 마이데이터 전분야 확대 이후 스미싱·피싱 문구로 “개인정보 전송 동의 요청” 사기가 늘어날 가능성이 있습니다. 공식 채널(onmydata.go.kr)이 아닌 곳에서 온 요청은 일단 의심해야 합니다.
이 부분이 좀 아쉬웠습니다. 정부 홍보는 편의성을 주로 강조하는데, 동의 방식에 따라 소비자의 통제권 수준이 완전히 달라집니다.
Q&A 5가지
마치며 — 총평
마이데이터 전분야 확대는 “내 정보를 내가 돌려받는다”는 방향성 자체는 맞습니다. 의료·통신에 갇혀 있던 본인전송요구권이 유통·교육·에너지 등으로 넓어지는 건 긍정적인 변화입니다.
다만 직접 확인해보면, “전 분야 확대”라는 표현은 적용 업종의 확장이지 모든 기업의 즉시 의무화가 아닙니다. 민간 대기업은 2027년 2월까지 준비 기간이 있고, 중소기업은 이번 의무 대상에서 제외됩니다.
소비자 입장에서는 ‘직접 내려받기’와 ‘전문기관을 통한 대리 수집’을 구분해서 이해하는 것이 핵심입니다. 전문기관에 동의할 때는 내 정보가 어디까지 가는지를 꼭 확인해야 합니다. 지금 당장 활용하고 싶다면 onmydata.go.kr에서 시작할 수 있습니다. 4월부터 앱도 출시 예정입니다.
생각보다 간단하지 않은 제도입니다. 익숙해지기까지 시간이 걸리겠지만, 제도의 구조를 알고 쓰는 것과 모르고 쓰는 건 차이가 납니다.
본 포스팅 참고 자료
- 개인정보보호위원회 공식 발표 — 마이데이터 전분야 확대 시행령 개정안 의결 (전자신문 2026.02.10)
- 바이라인네트워크 — 개인정보위, 마이데이터 ‘본인전송요구권’ 전 분야로 확대 (byline.network 2026.02.10)
- 개인정보보호위원회 — 온마이데이터 2단계 구축 완료 보고 (대한민국 정책브리핑 2026.01.20)
- ZDNet Korea — 산업계 6개 단체 공동 성명 (ZDNet 2025.11.27)
- 한국경제 — 개인정보위, 마이데이터 플랫폼 강행 (한국경제 2026.01.20)
- 머니투데이 — 전 분야 마이데이터 설명회 현장 (머니투데이 2026.03.16)
- IT조선 — 정부 마이데이터 전분야 확대에 들끓는 산업계 (IT조선 2026.02.12)
- NAVER 개인정보보호 공식 블로그 — 전분야 마이데이터 제도 확대 내용 (네이버 블로그 2026.03.19)
※ 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 개인정보보호법 시행령은 공포일 이후 유예기간을 거쳐 시행되므로, 실제 의무 이행 시점은 공포일 기준으로 산정됩니다. 세부 내용은 개인정보보호위원회 공식 발표를 확인하세요.
댓글 남기기