마이데이터 전분야 확대,
8월에 내가 쓸 수 있을까요?

“내 데이터를 내가 원하는 곳으로 보낼 수 있다.” 2026년 2월 정부가 공식 발표한 마이데이터 전분야 확대의 핵심 문구입니다. 그런데 막상 내용을 파고들면 8월 시행이지만 실제로 내가 쓸 수 있는 시점은 생각보다 훨씬 늦고, 요청 대상 기업도 훨씬 좁습니다. 발표 그대로 받아들이면 놓치는 게 생깁니다.

마이데이터 전분야 확대, 정확히 무엇이 바뀌었나

개정 전에는 의료·통신 두 분야만 가능했습니다

2025년 3월부터 시행된 개인정보 전송요구권은 병원·통신사에 한정된 권리였습니다. 내 진료기록이나 통신 이용 내역을 본인이 직접 내려받거나 원하는 곳으로 보낼 수 있다는 개념인데, 적용 범위가 좁아 체감하기 어려운 제도였습니다.

2026년 2월 10일 국무회의, 8월 시행 공표

개인정보보호위원회는 2026년 2월 10일 국무회의에서 개인정보보호법 시행령 개정안을 의결하고, 2월 19일 공포했습니다. (출처: 개인정보보호위원회 보도자료, 2026.02.10) 이번 개정의 핵심은 의료·통신으로 묶여 있던 ‘본인전송요구권’ 대상을 쇼핑·교육·금융·고용·여가 등 전 분야로 열어놓은 것입니다. 쉽게 말해, 쿠팡이나 네이버쇼핑에서 내 구매 내역을 다른 서비스로 직접 가져갈 수 있게 되는 거라고 보면 됩니다.

전송 대상 정보의 범위도 명확해졌습니다

요청 가능한 정보는 ① 동의받아 처리된 개인정보, ② 계약 이행 과정에서 생성된 정보, ③ 법령에 따라 처리된 정보입니다. 단, 기업이 내 데이터를 분석·가공해서 만든 2차 결과물(예측 모델, 신용점수 등)이나 영업비밀은 제외됩니다. (출처: 개인정보보호법 시행령 제42조의4, 2026.02.19 개정 공포) 내 원본 데이터는 요청할 수 있지만, 기업이 그 데이터로 만든 ‘분석 결과’는 가져올 수 없다는 뜻입니다.

▲ 목차로 돌아가기

내가 요청할 수 있는 기업, 생각보다 많지 않습니다

의무 대상 조건이 까다롭습니다

본인전송요구를 받아야 하는 기업(‘본인대상정보전송자’)이 되려면 두 가지를 동시에 충족해야 합니다. 평균매출 1,800억 원 초과 + 정보주체 100만 명 이상(또는 민감·고유정보 5만 명 이상) 처리 기업입니다. (출처: 개인정보보호법 시행령 제42조의4 제1항, 2026.02.19) 중소기업·스타트업은 아예 해당되지 않습니다. 소규모 쇼핑몰이나 앱에 내 데이터 전송을 요청해도 법적 의무가 없다는 뜻입니다.

그렇다면 실제로 어디에 요청할 수 있을까요

이 두 조건을 모두 충족하는 곳은 사실상 대형 플랫폼·유통사·금융사·통신사 수준입니다. 네이버·카카오·쿠팡·롯데·신세계 정도의 규모를 갖춘 기업들이 여기에 해당됩니다. 업계 추정으로는 전체 사업자 중 0.1% 미만이 해당될 것으로 보입니다. 내가 자주 쓰는 앱이나 플랫폼이 대기업 계열인지 아닌지가 이 권리를 실제로 쓸 수 있는 관건입니다.

공공기관은 시행 초기부터 포함됩니다

공공시스템운영기관은 민간 기업과 별개로 이번 개정에 포함됩니다. 즉, 주민센터·건강보험공단·고용노동부 등 정부 시스템이 보유한 내 정보는 매출 기준과 관계없이 전송 요청이 가능한 방향으로 정비됩니다. 공공기관 데이터 활용에서는 오히려 빠르게 움직일 수 있습니다.

※ 표 출처: 개인정보보호법 시행령 개정안 (개인정보보호위원회, 2026.02.10)

▲ 목차로 돌아가기

8월 시행인데 실제 사용은 언제부터일까요

8월 시행은 맞지만, 민간 대기업은 1년 더 기다려야 합니다

2026년 8월부터 시행되는 건 공공기관과 기존 의료·통신 분야의 제3자 전송 확대입니다. 정작 가장 많이 쓰이는 민간 대형 플랫폼·쇼핑사는 1년 유예가 적용돼 빨라도 2027년 2월부터 실질 의무가 생깁니다. (출처: 개인정보보호위원회 보도자료, 2026.02.10) 즉, 8월에 쿠팡에 “내 구매 내역 보내줘”라고 요청해도 법적 의무가 아직 없습니다.

지금 당장 쓸 수 있는 건 공공 마이데이터입니다

mydata.go.kr(공공 마이데이터 포털)에서는 이미 건강보험, 국세청, 행정안전부 자료 일부를 직접 내려받거나 제3자 서비스에 전송하는 기능이 운영 중입니다. 전분야 확대 이전부터 존재하던 공공 채널로, 이 부분은 지금도 쓸 수 있습니다. 민간 데이터까지 기다리는 동안 공공 마이데이터를 먼저 활용해보는 게 현실적입니다.

에너지·교육·고용 분야 제3자 전송은 2026년 내 실무협의 중

개인정보위는 2026년 에너지·교육·고용·문화·여가 분야의 제3자 전송 확대를 위한 실무협의체를 구성 중이라고 밝혔습니다. (출처: 개인정보보호위원회 보도자료, 2026.02.10) 이 분야는 아직 협의 단계이므로, 실제 서비스로 이어지려면 빨라도 2026년 말~2027년 초를 봐야 합니다.

▲ 목차로 돌아가기

정부가 말하지 않는 보안 우려 — 업계·시민단체가 지적한 것들

자본금 1억 원짜리 전문기관에 내 정보가 집중될 수 있습니다

이번 시행령은 ‘개인정보관리 전문기관’이라는 새 역할을 만들었습니다. 내 데이터를 대신 전송·관리해주는 기관인데, 업계는 최소 자본금 기준이 1억 원에 불과하다는 점을 가장 크게 우려합니다. SKT·카카오페이처럼 자본력이 풍부한 대기업에서도 해킹·유출 사고가 반복되는 상황에서, 자본금 1억 원짜리 전문기관의 보안 역량을 신뢰하기 어렵다는 것입니다. (출처: 연합뉴스, 2025.11.30, 한국온라인쇼핑협회 입장)

해외 기업이 전문기관 지위를 얻는 건 가능할까요

한국온라인쇼핑협회는 알리익스프레스·테무 같은 해외 이커머스 기업이 전문기관을 설립해 한국 소비자의 구매·생활 데이터를 사실상 무상으로 수집할 수 있다는 우려를 공식 표명했습니다. 개인정보위는 “현장 실사를 거쳐야 하므로 해외 기업이 전문기관이 될 가능성은 사실상 없다”고 반박했지만, ‘가능성이 없다’는 공식 법적 제한은 시행령 원문에 명시되지 않은 상태입니다. (출처: 연합뉴스 인용, 개인정보위 해명 자료, 2025.11)

쇼핑 구매 내역이 왜 민감한 정보일까요

소비자주권시민회의는 유통 분야 구매 내역이 금융·의료 데이터보다 오히려 더 민감할 수 있다고 지적합니다. 구매 내역에는 건강 관련 소비, 가족 구성원 정보, 생활 패턴, 개인 취향이 고스란히 담기기 때문입니다. 유출되면 회복하기 어려운 사생활 침해로 이어질 수 있습니다. (출처: 소비자주권시민회의 성명, 2025.11.27) 내 쇼핑 내역이 내 의료기록보다 ‘덜 중요하다’는 생각, 한 번쯤 다시 봐야 합니다.

▲ 목차로 돌아가기

해외는 어떻게 했을까요 — 영국·호주와 비교해보면

영국은 금융 한 분야부터 철저히 시작했습니다

영국 오픈뱅킹은 2018년 금융 분야 단일 영역에서만 시작했습니다. 은행이 고객 거래 데이터를 제3자 핀테크에 API로 전달하도록 강제하는 제도로, 9개 대형 은행을 먼저 의무화한 뒤 점진적으로 확대했습니다. 한 분야에 집중해서 표준 API 규격을 정밀하게 만든 게 성공 요인으로 평가됩니다. (출처: 개인정보보호위원회 발표자료 내 해외 사례 인용, 2026.02.10)

호주 CDR은 분야마다 별도 법령으로 단계적으로 확대했습니다

호주는 소비자데이터권리(CDR)를 2019년 법제화한 뒤 금융 → 에너지 → 통신 순서로 각 분야별 별도 고시와 기준을 만들어가며 확대했습니다. 에너지 분야까지 확장하는 데만 3년 이상 걸렸습니다. 분야마다 처리 데이터의 성격이 다르기 때문에 일괄 적용이 아니라 세분화된 접근이 필요하다는 판단이었습니다. 한국이 ‘전 분야 동시 확대’를 선언한 것과 방향이 다릅니다.

한국 방식의 차이 — 속도는 빠르지만 섬세함이 부족합니다

개인정보위 입장에서는 “데이터 산업 활성화를 위해 빠르게 확대해야 한다”는 논리가 강합니다. 그러나 영국·호주 모두 한 분야씩, 업계와 충분한 협의를 거쳐 표준을 만든 뒤 다음 분야로 이동했습니다. 규제개혁위원회도 한 차례 유통·쇼핑 분야 확대를 제동한 바 있습니다. (출처: 연합뉴스, 2025.11.30) 속도와 정밀함 사이에서 어느 쪽을 선택하느냐의 문제입니다.

▲ 목차로 돌아가기

지금 내가 실제로 쓸 수 있는 것과 준비할 것

지금 당장 가능한 것들

아래는 현재 실제로 이용 가능한 마이데이터 관련 채널입니다.

• 공공 마이데이터 포털(mydata.go.kr) — 국세, 건강보험, 행정 정보 다운로드·전송 가능
• 의료 분야 — 병원 진료기록 본인 전송, 2025년 3월부터 이미 시행 중
• 통신 분야 — 이동통신 이용 내역 전송, 2025년 3월부터 시행 중
• 금융 마이데이터 — 뱅크샐러드·토스 등 기존 금융 마이데이터 서비스 이용 가능

2026년 8월 이후 달라지는 것들

공공기관 데이터 전송 범위가 넓어지고, 개인정보관리 전문기관이 공식 등장합니다. 전문기관을 통해 여러 기업의 내 데이터를 통합해서 서비스에 활용하는 구조가 처음 법적 기반을 갖추는 시점입니다.

2027년 2월 이후 가능한 것들

민간 대형 플랫폼(네이버·카카오·쿠팡 수준)에 직접 내 데이터 전송을 요청할 수 있는 법적 의무가 생깁니다. 이때부터가 ‘전 분야 마이데이터’가 실제 생활에서 체감 가능해지는 시점입니다. 지금은 공공 채널 위주로 먼저 연습해두는 게 현실적인 전략입니다.

▲ 목차로 돌아가기

자주 묻는 질문 5가지

▲ 목차로 돌아가기

마치며 — 솔직한 총평

마이데이터 전분야 확대는 방향 자체는 맞습니다. 내 정보를 내가 통제한다는 개념은 당연히 필요한 권리고, 데이터 독점을 가진 플랫폼에 맞서는 소비자 권한이기도 합니다.

다만 현실은 좀 다릅니다. 8월 시행이지만 민간 대기업은 2027년 2월까지 의무 없음, 요청 가능한 기업 조건은 매출 1,800억 + 100만명 이상이라는 높은 장벽, 보안 우려는 여전히 해소되지 않음. 이 세 가지를 모르면 “8월부터 다 된다”는 발표를 그대로 믿고 기대만 할 수 있습니다.

지금 당장 쓸 수 있는 건 공공 마이데이터 포털과 기존 금융 마이데이터입니다. 민간 플랫폼 데이터까지 실질적으로 활용되려면 최소 2027년 이후를 봐야 합니다. 제도가 정착되는 과정에서 보안 기준과 전문기관 지정 고시가 어떻게 나오는지 지켜보는 것도 중요합니다.

이 제도가 “내 권리”가 되려면, 나부터 먼저 정확히 알고 써야 합니다.

📌 본 포스팅 참고 자료

1. 개인정보보호위원회 — 마이데이터 전 분야로 확대, 국민이 직접 본인정보를 관리한다 (2026.02.10)
   https://www.korea.kr/briefing/pressReleaseView.do?newsId=156743965
2. 카카오 개인정보보호 블로그 — 전 분야 마이데이터 도입 살펴보기 (2026.03.24)
   https://brunch.co.kr/@kakaoprivacy/89
3. 연합뉴스 — 유출우려 vs 정보권리, 마이데이터 전면확대 앞두고 논란 (2025.11.30)
   https://www.yna.co.kr/view/AKR20251129020600530
4. 소비자주권시민회의 — 소비자 민감정보 활용하는 유통 분야 마이데이터 확대 중단하라 (2025.11.27)
   http://cucs.or.kr/?p=18150
5. 디지털투데이 — 마이데이터 본인전송요구권 전분야 확대, 8월 본격 시행 (2026.02.10)
   https://www.digitaltoday.co.kr/news/articleView.html?idxno=629385