개인정보보호법 시행령 개정
2026.08 본격 시행 예정
마이데이터 전송요구권,
8월 전에 확인할 것이 있습니다
“내 개인정보를 내가 원하는 곳으로 직접 보내달라”고 요구하는 권리가 드디어 전 분야로 넓어집니다. 그런데 ‘전 분야 확대’라는 말을 그대로 믿으면 실망할 가능성이 높습니다. 중소기업은 의무 대상이 아니고, 민간 대기업도 사실상 2027년 초까지 시간을 벌었습니다. 8월 이전에 실제로 무엇이 달라지는지, 뭘 조심해야 하는지를 공식 시행령 기준으로 정리했습니다.
마이데이터 전송요구권, 이번 개정으로 뭐가 달라지나
결론부터 말씀드리면, 마이데이터 전송요구권은 “내 개인정보를 내가 원하는 곳으로 보내달라”고 법적으로 요구할 수 있는 권리입니다. 2026년 2월 10일 국무회의를 통과하고 2월 19일 공포된 개인정보보호법 시행령 개정안은, 이 권리의 적용 범위를 기존 의료·통신 분야에서 사실상 전 산업으로 넓혔습니다. (출처: 연합뉴스, 2026.02.10)
실생활에 대입하면 이렇게 됩니다. 지금까지는 병원 진료기록을 직접 다른 앱으로 보내거나, 통신사의 이용 내역을 금융 앱에 직접 연동시키는 게 까다로웠습니다. 8월 이후에는 원칙적으로 쇼핑 구매 내역, 교통 이용 기록, 복지 수급 내역, 에너지 사용량까지 내가 지정한 기관으로 전송을 요청할 수 있게 됩니다. 흩어진 정보를 한 곳에 모아 맞춤형 서비스를 받거나, 다른 금융·의료 앱에서 활용하는 게 목적입니다.
💡 공식 발표문과 실제 시행 흐름을 같이 놓고 보니 이런 차이가 보였습니다.
전송요구권은 ‘권리’입니다. 기관이 먼저 알려주거나 자동으로 이동시켜주지 않습니다. 8월 이후에도 본인이 직접 요청해야만 제도가 작동합니다. 기다리는 것은 아무 의미가 없습니다.
전송요구권을 행사할 수 있는 정보의 원칙적 범위는 상당히 넓습니다. 내가 동의한 모든 개인정보, 계약 체결·이행 과정에서 처리된 정보, 법령에 따라 처리된 정보가 포함됩니다. 하지만 예외 조항이 있고, 그 예외 조항이 실생활에서는 꽤 큰 벽이 됩니다. 이 부분은 다음 섹션에서 자세히 다룹니다.
‘전 분야 확대’인데 내 정보는 왜 못 가져오나
시행령에는 전송 제외 대상이 명확하게 규정돼 있습니다. 세 가지입니다. 첫째, 기업이 내 정보를 분석·가공해 별도로 생성한 정보는 전송 요구 대상이 아닙니다. 예를 들어, 병원이 내 진료기록을 바탕으로 만든 ‘고위험군 분류 등급’, 보험사가 산출한 ‘신용 점수’, 플랫폼이 쌓은 ‘구매 성향 데이터’는 내가 만들어낸 원본 정보가 아니라 기업이 가공한 2차 정보이므로 청구 불가입니다. (출처: 개인정보보호법 시행령 개정안, 2026.02.19)
둘째, 제3자의 권리·이익을 침해하는 정보도 제외됩니다. 셋째, 영업비밀에 해당하는 정보도 전송 대상이 아닙니다. 이 세 가지 예외 조항은 기업 입장에서 유리하게 해석할 여지가 넓습니다. 어디까지가 ‘별도 생성 정보’인지 세부 가이드라인이 아직 확정되지 않은 상황이어서, 기업이 자의적으로 전송을 거부하더라도 당장 반박하기가 어렵습니다. 한국경제인협회, 이커머스 업계 협회 등이 공개 반대 성명을 낸 이유 중 하나도 이 경계가 모호하기 때문입니다. (출처: zdnet.co.kr, 2025.08.21)
💡 쿠팡의 구매 이력은 ‘원본 정보’에 해당하지만, 그 이력을 분석해 만든 ‘배송 우선순위 점수’나 ‘재구매 가능성 등급’은 가공 정보로 분류될 수 있습니다. 같은 데이터에서 파생됐는데 어디서 경계가 갈리는지 공식 가이드라인이 나와야 명확해집니다.
기업이 정당한 사유 없이 전송을 거절하는 것은 위법입니다. 이 경우 개인정보보호위원회에 신고하면 조치를 요청할 수 있습니다. 그러나 “정당한 사유”의 해석 범위가 넓기 때문에, 전송 거부가 위법인지 판단하는 데 시간이 걸릴 수 있습니다.
8월 시행, 그런데 실제 적용은 2027년 초일 수 있습니다
여기서 많은 글이 제대로 짚지 않는 부분이 있습니다. 2026년 8월 시행이지만, 민간 대기업이 실제로 전송 의무를 지는 시점은 공포일(2026.02.19)로부터 1년 후입니다. 즉, 매출 1,800억 원을 초과하는 민간 대형 개인정보처리자는 약 2027년 2월까지 시스템을 갖추면 됩니다. (출처: 연합뉴스, 2026.02.10 / 개인정보보호법 시행령 개정안)
| 대상 구분 | 유예기간 | 실제 적용 시점(예상) |
|---|---|---|
| 공공시스템 운영기관 | 6개월 | 약 2026년 8월 |
| 제3자 대상 정보전송자 | 6개월 | 약 2026년 8월 |
| 민간 대형기업 (매출 1,800억↑, 정보주체 100만↑) | 1년 | 약 2027년 2월 |
| 중소기업 | 의무 없음 | 제외 |
(출처: 개인정보보호법 시행령 개정안, 공포일 2026.02.19 기준 / 연합뉴스 2026.02.10)
이 표가 의미하는 건 간단합니다. 내가 일상에서 가장 많이 이용하는 네이버·카카오·쿠팡 같은 대형 플랫폼은 2027년 초가 되어야 전송 의무가 생깁니다. 동네 병원, 중소 쇼핑몰, 지역 택시 앱은 아예 의무 대상이 아닙니다. “8월부터 내 정보를 마음대로 가져올 수 있다”고 기대하면 실망하게 됩니다.
💡 민간 대규모 개인정보처리자의 추가 조건도 확인이 필요합니다. 매출 1,800억 원 초과이면서 정보주체가 100만 명 이상이거나, 민감·고유식별정보를 5만 명 이상 처리해야 합니다. 매출만 크고 이용자 수가 그 이하면 의무에서 빠질 수 있습니다.
온마이데이터 플랫폼, 지금 써볼 수 있는 것과 없는 것
정부는 마이데이터 전송 통합 포털인 온마이데이터(on.mydata.go.kr)를 운영하고 있습니다. 개인정보보호위원회 설명에 따르면, 8월 시행 이후 이 플랫폼에서 전송 요청, 전송 중단, 이미 전송된 정보 삭제 요청이 모두 가능해집니다. 2026년 1월 기준으로 2단계 시범서비스가 진행됐고, 3월부터 국민 대상 서비스를 개시한다고 개인정보보호위원회가 밝혔습니다. (출처: 개인정보보호위원회 공식 보도, 2026.01.20)
전송 방식은 원칙적으로 API(응용프로그램 인터페이스) 연계 방식이 권장됩니다. API는 프로그램끼리 정해진 규칙으로 안전하게 정보를 주고받는 구조입니다. 웹에서 데이터를 자동으로 수집하는 ‘스크래핑’은 단기적으로만, 사전 협의를 마친 신뢰 가능한 대리인에 한해 제한적으로 허용합니다. 직접 홈페이지에서 암호화된 파일을 내려받는 방식도 인정됩니다. (출처: 개인정보보호법 시행령 개정안, 2026.02.19)
💡 전문기관은 개인정보보호위원회의 안전성 심사를 통과해야만 ‘개인정보관리 전문기관’으로 지정됩니다. 3월 설명회 이후 공식 지정 목록이 온마이데이터와 개인정보보호위원회(pipc.go.kr)에 순차 공개될 예정입니다. 목록에 없는 곳이 마이데이터 서비스를 표방한다면 이용하지 않는 게 안전합니다.
전문기관을 통해 제3자에게 정보를 보내는 경우, 반드시 동의서 전문을 읽어야 합니다. 제3자 제공 범위, 보유 기간, 간접적 프로파일링 허용 여부가 동의서 안에 포함돼 있을 수 있습니다. 클릭 한 번으로 예상보다 광범위한 정보 활용에 동의하게 되는 구조입니다. 이 부분이 가장 조심해야 할 실생활 위험 지점입니다.
기업·시민단체·소비자단체가 동시에 반발하는 이유
솔직히 말하면, 이번 마이데이터 전 분야 확대를 둘러싼 반응은 이례적입니다. 보통 기업과 소비자단체는 반대 방향에서 목소리를 냅니다. 그런데 이번엔 양쪽이 같은 방향으로 우려를 내고 있습니다. 이커머스 업계는 영업비밀 유출, 전송 시스템 구축 비용 부담, 해외 사업자와의 형평성 문제를 이유로 반대 성명을 냈습니다. (출처: zdnet.co.kr, 2025.08.21 / 한국경제인협회, 2025.08.21)
소비자 단체 쪽에서도 비슷한 방향의 우려가 나왔습니다. 소비자 시민모임은 “유통 분야 마이데이터 확대를 중단하라”는 성명을 발표했습니다. 핵심은 개인 구매 내역, 숙박 이력 같은 민감한 정보가 전문기관에 집중되면서 오히려 대규모 유출 위험이 커진다는 것입니다. 보안 업계에서도 “핵심 개인정보를 한 곳에 모아놓고, 동의만 있으면 제3자 활용까지 허용하는 구조는 AI 기반 해킹 기술이 빠르게 진화하는 지금 매우 위험하다”는 목소리가 나왔습니다. (출처: 한국경제, 2026.01.20)
💡 “정보 주권을 강화하는 법”이 역설적으로 정보를 더 많이 노출시키는 구조를 만들 수 있다는 점에서, 기업과 시민단체가 이례적으로 같은 방향의 우려를 내고 있습니다. 개인정보보호위원회는 “전문기관의 보안 수준을 엄격히 관리하겠다”고 답했지만, AI 기반 해킹 기술 발전 속도를 방어 기술이 따라가고 있는지에 대한 의문은 공식 문서에서 별도 답변을 내놓지 않은 부분입니다.
결국 이 제도가 제대로 작동하려면, 전문기관 보안 기준 강화, 사고 발생 시 책임 소재 명확화, 세부 가이드라인 조속 확정이라는 세 가지가 뒤따라야 합니다. 지금은 “열어놓겠다”는 선언 단계에 가까운 것이 현실입니다.
공인 전문기관 아닌 곳에 데이터를 넘기면 생기는 일
마이데이터 제도가 주목받으면서 공인받지 않은 민간 서비스가 “내 정보를 대신 이동해 드리겠다”고 접근할 가능성이 있습니다. 이건 피싱·사기와 경계가 모호합니다. 개인정보관리 전문기관은 개인정보보호위원회의 엄격한 안전성 심사를 통과한 기관만 해당하며, 공식 지정 목록은 온마이데이터(on.mydata.go.kr)와 개인정보보호위원회 공식 사이트(pipc.go.kr)에 공개됩니다. 목록에 없는 기관이 마이데이터 서비스를 표방하면 이용하지 말아야 합니다. (출처: 개인정보보호위원회, 개인정보관리 전문기관 지정 절차 안내)
전송 중단과 삭제 요청에도 현실적인 한계가 있습니다. 전송 이후 제3자 기관이 다시 다른 곳으로 재전송한 경우, 그 연쇄를 전부 끊고 삭제하는 것은 기술적으로 어렵습니다. 법령상 ‘정당한 사유’가 있으면 삭제 요청을 기관이 지연하거나 거부할 수도 있습니다. 처음 전송할 때 범위를 최소화하는 것이 가장 실질적인 방어 방법입니다.
⚠️ 개인정보 침해 신고: 개인정보보호위원회 공식 신고·상담센터 privacy.go.kr 또는 국번 없이 ☎ 182. 전송 거부가 위법이라고 판단되면 바로 신고하세요.
데이터 전송 과정에서 유출이나 오전송 사고가 발생했을 때 책임이 전송자, 수신자, 플랫폼 중 누구에게 있는지는 계약과 내부 정책에 따라 구분됩니다. 이 부분의 기준이 아직 세부적으로 정비되지 않은 상태입니다. 이유는 아직 공개되지 않았습니다만, 시행령 공포 이후 추가 가이드라인이 나올 예정입니다.
마이데이터 전송요구권, 지금 당장 해야 할 준비
지금 당장 실행 가능한 것 세 가지입니다.
8월 시행 전에 미리 인터페이스에 익숙해지면, 시행 직후 바로 전송 요청을 할 수 있습니다. 지금도 기본 기능을 사전에 확인할 수 있습니다.
3월 설명회 이후 공인 전문기관 목록이 순차 공개됩니다. 목록에 없는 서비스가 마이데이터를 표방한다면 이용을 보류하세요.
전문기관에 데이터를 보낼 때 동의서 전문을 읽고, 제3자 제공 범위와 보유 기간을 반드시 확인하세요. 클릭 한 번으로 예상보다 넓은 범위의 정보 활용에 동의하게 될 수 있습니다.
이번 제도의 방향성 자체는 맞습니다. 내 정보를 내가 통제하고, 흩어진 데이터를 한 곳에 모아 맞춤형 서비스를 받는다는 개념은 실생활에서 실질적 혜택을 줄 수 있습니다. 다만, 지금은 ‘선언의 단계’이고 완성된 인프라가 갖춰지는 건 2027년 이후입니다. 기대치를 적정하게 조정하면서 주요 일정만 따라가는 것이 현재로선 가장 현명한 접근입니다.
Q&A — 핵심 질문 5가지
마치며 — 권리는 알아야 쓸 수 있습니다
마이데이터 전송요구권 전 분야 확대의 방향은 맞습니다. 흩어진 내 정보를 내 손으로 통제하고, 원하는 서비스에 직접 연결하는 것은 디지털 시대에 당연히 가져야 할 권리입니다. 하지만 ‘전 분야 확대’라는 표현에서 기대했던 것과 실제 시행 조건 사이에는 꽤 큰 차이가 있습니다. 중소기업은 의무가 없고, 민간 대기업은 2027년 초까지 시간이 있습니다. 가공 정보는 청구 불가이고, 삭제 요청도 연쇄 취소가 보장되지 않습니다.
기대치를 현실에 맞게 조정하고, 지금 당장은 온마이데이터에 접속해 플랫폼을 익혀두고 공인 전문기관 목록이 나오면 확인하는 것만으로도 충분합니다. 8월 이후 준비가 된 사람과 뒤늦게 찾아보는 사람 사이엔 분명 차이가 생깁니다.
📌 본 포스팅 참고 자료
- 연합뉴스 — 마이데이터 본인 전송요구권 전분야 확대 시행령 개정안 의결 (2026.02.10) 바로가기 →
- 바이라인네트워크 — 마이데이터 전 분야 확대 개정 시행령 상세 분석 (2026.02.11) 바로가기 →
- 개인정보보호위원회(PIPC) 공식 사이트 pipc.go.kr →
- 온마이데이터 공식 플랫폼 on.mydata.go.kr →
- 네이버 개인정보보호 공식 블로그 — 전분야 마이데이터 제도 확대 설명회 정리 (2026.03.19) 바로가기 →
본 포스팅은 공개된 공식 보도자료 및 개인정보보호법 시행령 개정안(2026.02.19 공포)을 바탕으로 작성된 정보성 콘텐츠입니다. 마이데이터 전송요구권 관련 세부 시행 일정, 적용 범위, 전문기관 지정 목록은 개인정보보호위원회의 추가 발표에 따라 변경될 수 있습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있습니다. 법적 판단이나 개인정보 관련 분쟁은 개인정보보호위원회(pipc.go.kr) 또는 전문가의 조언을 받으시기 바랍니다.
댓글 남기기