마이데이터·개인정보 이동권 완전 가이드: 기업이 준비해야 할 것

2023년 개정된 개인정보보호법 제35조의2는 **개인정보 이동권(데이터 이동권)**을 도입했습니다. 정보주체(개인)가 자신의 개인정보를 본인 또는 제3자에게 전송해 달라고 요청할 수 있는 권리입니다.

"내 데이터를 내가 원하는 곳에 보낼 수 있어야 한다"는 원칙은 금융 마이데이터에서 시작되어 이제 전 산업으로 확대되고 있습니다.

개인정보 이동권이란?

| 항목 | 내용 | |------|------| | 법적 근거 | 개인정보보호법 제35조의2 | | 시행 | 2023년 9월 15일 | | 요청 주체 | 정보주체(개인) | | 전송 의무자 | 개인정보처리자(기업) | | 전송 대상 | 정보주체 본인 또는 지정한 제3자 |

정보주체는 기업에게 다음을 요청할 수 있습니다:

본인에게 직접 전송: "내 데이터를 파일로 주세요"
제3자에게 전송: "내 데이터를 A 서비스에 보내주세요"

전송 대상 데이터

모든 개인정보가 이동권 대상은 아닙니다.

전송 대상 (원칙)

정보주체가 직접 제공한 정보 (이름, 연락처, 선호 정보 등)
정보주체의 행동으로 생성된 정보 (구매 이력, 이용 기록, 검색 이력 등)
정보주체의 동의 또는 계약 이행을 근거로 처리된 정보

전송 제외 가능 (예외)

타인의 권리를 침해할 수 있는 정보
기업이 분석·가공한 결과물 (분석 모델, 점수 등)
법령상 제공이 금지된 정보
전송 기술적으로 불가능한 경우

분야별 마이데이터 현황

금융 마이데이터 (선행 도입)

금융위원회 주관으로 2022년부터 시행된 금융 마이데이터는 가장 앞선 사례입니다.

대상: 은행, 카드사, 보험사, 증권사 등
전송 항목: 계좌 잔액, 거래 내역, 대출 현황, 보험 가입 내역
전송 방식: 표준 API (마이데이터 사업자 → 금융기관 API 호출)
허가제: 마이데이터 사업자 자격 필요

의료 마이데이터

진료 기록, 처방전, 건강검진 결과를 개인이 직접 전송 가능
건강보험공단, 심평원 연계
개인의 의료 기록을 타 의료기관 또는 헬스케어 앱에 전송 가능

공공 마이데이터

정부24, 행정안전부를 통해 주민등록, 세금 납부 이력 등을 전송
공공기관 수집 데이터를 민간 서비스에 활용 가능

일반 서비스 (PIPA 이동권)

일반 기업도 이동권 의무를 집니다. 구체적 이행 기준은 분야별 가이드라인이 마련되고 있습니다.

기업의 이행 의무

1. 전송 요청 수용 기한

정보주체의 이동권 요청을 받은 날로부터 30일 이내 전송해야 합니다 (연장 가능하나 사유 고지 필요).

2. 전송 형식

기계 판독 가능한 구조화된 형식(CSV, JSON, XML 등)으로 전송해야 합니다.

비구조화된 PDF 파일로만 제공하는 것은 이동권 취지에 맞지 않습니다.

3. 본인 전송 vs 제3자 전송

| 구분 | 방법 | 주의사항 | |------|------|----------| | 본인 전송 | 파일 다운로드, 이메일 전송 | 안전한 채널로 전송 | | 제3자 전송 | 지정된 서비스에 API로 전송 | 수신 서비스의 적법성 확인 |

거부 가능한 경우

다음의 경우 전송 요청을 거부할 수 있습니다.

요청자가 정보주체 본인임을 확인할 수 없는 경우
전송하면 타인의 권리를 침해하는 경우
법령이 전송을 금지하는 경우
기술적으로 전송이 불가능한 경우 (단, 정당한 사유 필요)

거부 시에는 거부 사유를 정보주체에게 서면 또는 이메일로 통지해야 합니다.

기업 대응 시스템 구축 방법

최소 구현 방안 (소규모 서비스)

데이터 다운로드 기능: 사용자가 자신의 데이터를 JSON/CSV로 다운로드할 수 있는 기능
계정 설정 페이지: "내 데이터 다운로드" 메뉴 추가
이메일 전송 옵션: 요청 시 등록된 이메일로 파일 전송

[마이 데이터 다운로드 기능 예시]
설정 > 개인정보 > 내 데이터 다운로드
- 포함 항목: 프로필 정보, 이용 기록, 구매 내역
- 형식: JSON
- 처리 기간: 3영업일 이내

표준 API 연동 (대규모 서비스)

금융, 의료 등 마이데이터 사업자와 연동이 필요한 경우:

마이데이터 표준 API 사양에 맞춰 API 엔드포인트 구축
OAuth 2.0 기반 인증 연동
전송 로그 저장 및 감사 추적

처리방침에 이동권 기재 방법

처리방침에 정보주체 권리 항목에 이동권을 추가해야 합니다.

정보주체의 권리

귀하는 다음의 권리를 가집니다:
...
- 개인정보 이동 요청권: 귀하가 제공하였거나 이용 과정에서
  생성된 개인정보를 귀하 또는 귀하가 지정한 제3자에게
  전송하도록 요청할 수 있습니다.
  요청 방법: [이메일 또는 요청 채널]
  처리 기간: 요청 후 30일 이내

이동권과 삭제권의 차이

두 권리를 혼동하는 경우가 많습니다.

| 구분 | 이동권 | 삭제권 | |------|--------|--------| | 목적 | 데이터를 다른 서비스로 이전 | 데이터 삭제 | | 결과 | 원본 데이터 유지 (전송 후 삭제 아님) | 원본 데이터 삭제 | | 거부 사유 | 기술적 불가, 타인 권리 침해 등 | 법령 의무 보관 기간 등 |

이동권을 행사해도 기업의 원본 데이터는 보관 기간이 남은 경우 유지됩니다. 삭제를 원하면 삭제권을 별도로 행사해야 합니다.

PIPAGuard로 이동권 대응 점검하기

데이터 다운로드 기능 유무, 처리방침 이동권 기재 여부를 자동으로 점검할 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

"내 데이터를 내가 원하는 곳에 보낼 수 있어야 한다"는 원칙은 금융 마이데이터에서 시작되어 이제 전 산업으로 확대되고 있습니다.

개인정보 이동권이란?

정보주체는 기업에게 다음을 요청할 수 있습니다:

본인에게 직접 전송: "내 데이터를 파일로 주세요"
제3자에게 전송: "내 데이터를 A 서비스에 보내주세요"

전송 대상 데이터

모든 개인정보가 이동권 대상은 아닙니다.

전송 대상 (원칙)

정보주체가 직접 제공한 정보 (이름, 연락처, 선호 정보 등)
정보주체의 행동으로 생성된 정보 (구매 이력, 이용 기록, 검색 이력 등)
정보주체의 동의 또는 계약 이행을 근거로 처리된 정보

전송 제외 가능 (예외)

타인의 권리를 침해할 수 있는 정보
기업이 분석·가공한 결과물 (분석 모델, 점수 등)
법령상 제공이 금지된 정보
전송 기술적으로 불가능한 경우

분야별 마이데이터 현황

금융 마이데이터 (선행 도입)

금융위원회 주관으로 2022년부터 시행된 금융 마이데이터는 가장 앞선 사례입니다.

대상: 은행, 카드사, 보험사, 증권사 등
전송 항목: 계좌 잔액, 거래 내역, 대출 현황, 보험 가입 내역
전송 방식: 표준 API (마이데이터 사업자 → 금융기관 API 호출)
허가제: 마이데이터 사업자 자격 필요

의료 마이데이터

진료 기록, 처방전, 건강검진 결과를 개인이 직접 전송 가능
건강보험공단, 심평원 연계
개인의 의료 기록을 타 의료기관 또는 헬스케어 앱에 전송 가능

공공 마이데이터

정부24, 행정안전부를 통해 주민등록, 세금 납부 이력 등을 전송
공공기관 수집 데이터를 민간 서비스에 활용 가능

일반 서비스 (PIPA 이동권)

일반 기업도 이동권 의무를 집니다. 구체적 이행 기준은 분야별 가이드라인이 마련되고 있습니다.

기업의 이행 의무

1. 전송 요청 수용 기한

정보주체의 이동권 요청을 받은 날로부터 30일 이내 전송해야 합니다 (연장 가능하나 사유 고지 필요).

2. 전송 형식

기계 판독 가능한 구조화된 형식(CSV, JSON, XML 등)으로 전송해야 합니다.

비구조화된 PDF 파일로만 제공하는 것은 이동권 취지에 맞지 않습니다.

3. 본인 전송 vs 제3자 전송

거부 가능한 경우

다음의 경우 전송 요청을 거부할 수 있습니다.

요청자가 정보주체 본인임을 확인할 수 없는 경우
전송하면 타인의 권리를 침해하는 경우
법령이 전송을 금지하는 경우
기술적으로 전송이 불가능한 경우 (단, 정당한 사유 필요)

거부 시에는 거부 사유를 정보주체에게 서면 또는 이메일로 통지해야 합니다.

기업 대응 시스템 구축 방법

최소 구현 방안 (소규모 서비스)

데이터 다운로드 기능: 사용자가 자신의 데이터를 JSON/CSV로 다운로드할 수 있는 기능
계정 설정 페이지: "내 데이터 다운로드" 메뉴 추가
이메일 전송 옵션: 요청 시 등록된 이메일로 파일 전송

[마이 데이터 다운로드 기능 예시]
설정 > 개인정보 > 내 데이터 다운로드
- 포함 항목: 프로필 정보, 이용 기록, 구매 내역
- 형식: JSON
- 처리 기간: 3영업일 이내

표준 API 연동 (대규모 서비스)

금융, 의료 등 마이데이터 사업자와 연동이 필요한 경우:

마이데이터 표준 API 사양에 맞춰 API 엔드포인트 구축
OAuth 2.0 기반 인증 연동
전송 로그 저장 및 감사 추적

처리방침에 이동권 기재 방법

처리방침에 정보주체 권리 항목에 이동권을 추가해야 합니다.

정보주체의 권리

귀하는 다음의 권리를 가집니다:
...
- 개인정보 이동 요청권: 귀하가 제공하였거나 이용 과정에서
  생성된 개인정보를 귀하 또는 귀하가 지정한 제3자에게
  전송하도록 요청할 수 있습니다.
  요청 방법: [이메일 또는 요청 채널]
  처리 기간: 요청 후 30일 이내

이동권과 삭제권의 차이

두 권리를 혼동하는 경우가 많습니다.

이동권을 행사해도 기업의 원본 데이터는 보관 기간이 남은 경우 유지됩니다. 삭제를 원하면 삭제권을 별도로 행사해야 합니다.

PIPAGuard로 이동권 대응 점검하기

데이터 다운로드 기능 유무, 처리방침 이동권 기재 여부를 자동으로 점검할 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

마이데이터·개인정보 이동권 완전 가이드: 기업이 준비해야 할 것

개인정보 이동권이란?

전송 대상 데이터

전송 대상 (원칙)

전송 제외 가능 (예외)

분야별 마이데이터 현황

금융 마이데이터 (선행 도입)

의료 마이데이터

공공 마이데이터

일반 서비스 (PIPA 이동권)

기업의 이행 의무

1. 전송 요청 수용 기한

2. 전송 형식

3. 본인 전송 vs 제3자 전송

거부 가능한 경우

기업 대응 시스템 구축 방법

최소 구현 방안 (소규모 서비스)

표준 API 연동 (대규모 서비스)

처리방침에 이동권 기재 방법

이동권과 삭제권의 차이

PIPAGuard로 이동권 대응 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

마이데이터·개인정보 이동권 완전 가이드: 기업이 준비해야 할 것

개인정보 이동권이란?

전송 대상 데이터

전송 대상 (원칙)

전송 제외 가능 (예외)

분야별 마이데이터 현황

금융 마이데이터 (선행 도입)

의료 마이데이터

공공 마이데이터

일반 서비스 (PIPA 이동권)

기업의 이행 의무

1. 전송 요청 수용 기한

2. 전송 형식

3. 본인 전송 vs 제3자 전송

거부 가능한 경우

기업 대응 시스템 구축 방법

최소 구현 방안 (소규모 서비스)

표준 API 연동 (대규모 서비스)

처리방침에 이동권 기재 방법

이동권과 삭제권의 차이

PIPAGuard로 이동권 대응 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글