개인정보 전송요구권 확대: 마이데이터 전송의무자 판단 기준과 2026년 8월 20일 준비사항

한 줄 결론

이번 발표는 단순한 “마이데이터 홍보”가 아닙니다. 일정 규모 이상의 개인정보처리자와 공공시스템운영기관은 본인전송 요구 방법, 전송 대상 정보, 홈페이지 다운로드 기능, 스크래핑 대리 전송 사전협의까지 실제 서비스 화면과 약관에 반영해야 할 수 있습니다.

공식 자료로 확인된 내용

• 개인정보위는 2026년 4월 29일 정부세종청사에서 행정안전부, 보건복지부, 건강보험공단 등 주요 공공기관과 간담회를 열었습니다.
• 간담회는 2026년 2월 19일 공포되고 2026년 8월 20일 시행되는 개인정보 보호법 시행령 개정에 맞춰 진행됐습니다.
• 개정 후 본인전송요구 범위는 기존 의료·통신 분야에서 평균매출액등과 정보주체 수 기준을 충족하는 개인정보처리자, 공공시스템운영기관 등으로 확대됩니다.
• 민간 기준은 평균매출액등이 1,800억 원을 초과하면서 5만 명 이상 정보주체의 고유·민감정보 또는 100만 명 이상 정보주체의 개인정보를 처리하는 경우로 제시됐습니다.
• 평균매출액등은 국내외 매출액 전체를 기준으로 보고, 정보주체 수는 전체 시스템이 처리하는 정보주체 수 총합을 기준으로 판단합니다.
• 공공시스템운영기관은 해당 공공시스템뿐 아니라 기관이 관리하는 모든 시스템을 기준으로 판단합니다.
• 인터넷 홈페이지에서 정보주체가 즉시 열람·조회할 수 있는 개인정보를 본인에게 다운로드하게 하는 기능도 본인전송으로 인정될 수 있다고 설명됐습니다.
• 개인정보위는 안내서 개정안 의견을 검토한 뒤 2026년 6월 확정 안내서를 공개할 예정이라고 밝혔습니다.

쇼핑몰·SaaS가 오해하면 안 되는 부분

모든 쇼핑몰이 2026년 8월 20일부터 곧바로 전송의무자가 된다는 뜻은 아닙니다. 먼저 평균매출액등과 처리 인원 기준을 충족하는지, 처리하는 정보가 고유식별정보·민감정보인지, 전체 시스템 기준으로 정보주체 수가 얼마인지 확인해야 합니다.

다만 대형 플랫폼, 멤버십 서비스, 예약·헬스케어·교육·금융 연계 서비스, 외부 정보를 이용자 대신 조회하는 서비스는 영향을 받을 가능성이 큽니다. “우리는 개인정보 다운로드 기능이 있으니 끝”이 아니라, 전송 요구 방법, 전송 대상 정보, 제외 정보, 대리 전송 사전협의까지 문서와 화면에 연결해야 합니다.

실무 체크리스트

• 법인 단위 평균매출액등이 1,800억 원을 초과하는지 국내외 매출액 전체 기준으로 확인합니다.
• 전체 시스템 기준 개인정보 처리 인원이 100만 명 이상인지, 고유·민감정보 처리 인원이 5만 명 이상인지 산정합니다.
• 본인전송 요구 대상 정보가 동의·계약 또는 법령에 의해 수집된 정보인지, 별도 생성 정보나 영업비밀에 해당하지 않는지 구분합니다.
• 개인정보처리방침에 본인전송 요구 방법, 전송 대상 정보, 단계적 확대 일정이 필요한지 검토합니다.
• 이용자가 홈페이지에서 즉시 열람·조회·다운로드할 수 있는 기능을 본인전송 구현 방식으로 설계할 수 있는지 확인합니다.
• 스크래핑 등 자동화 도구로 본인전송요구를 대리하는 구조가 있다면 전송 범위, 목적, 방식, 위임권 확인, 보호조치, 책임 범위를 사전에 협의하는 절차를 둡니다.

실무자가 오해하기 쉬운 부분

기존 자동 초안은 “전 분야 확대”라는 표현 때문에 모든 사업자에게 즉시 같은 의무가 생기는 것처럼 읽힐 수 있었습니다. 이번 글은 공식 원문에 맞춰 전송의무자 판단 기준, 산정 기준, 홈페이지 다운로드 구현 가능성, 스크래핑 대리 전송 사전협의 항목으로 범위를 좁혀 다시 정리했습니다.

공식 출처

• 개인정보보호위원회 보도자료 원문