개인정보 보호법 개정안, 심의 진행 중
AI 기술개발·위험평가·투명성 조항 포함, 최종 결과는 미확정
요약
AI 목적 개인정보 활용에 대한 사전 위험평가·투명 공개·위원회 심의 의무화를 담은 개정안으로, 원안은 폐기되었으나 연결 의안이 불확실해 법적 효력은 미확정 상태입니다. 기업은 학습 데이터 적법성 점검과 처리방침 정비 등 선제적 대응을 검토할 필요가 있습니다.
상세 분석
1. 이슈 개요
본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 명시적 규율 체계를 개인정보 보호법에 도입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 연결 의안이 확인되지 않아 현재 법적 효력 여부는 불확실합니다.
다만 개정안에 담긴 핵심 방향—AI 목적 개인정보 처리에 대한 사전 평가, 위원회 심의, 투명 공개, 이행 점검—은 향후 입법 또는 고시·가이드라인 형태로 구체화될 가능성이 높습니다. AI 서비스를 개발·운영하는 기업 및 기관은 방향성을 선제적으로 내재화할 필요가 있습니다.
2. 실행 우선순위별 의무 사항 정리
[즉시 검토] 적법 수집 여부 확인 및 불법 데이터 활용 차단
적법하게 수집되지 않은 개인정보를 AI 학습·성능 개선에 활용하는 행위를 명시적으로 금지합니다. 현재 보유 중인 학습 데이터셋의 수집 경위와 동의 범위를 즉시 점검해야 하며, 목적 외 활용에 해당하는 데이터는 AI 파이프라인에서 분리·제거해야 합니다. 이는 기존 개인정보 보호법 원칙의 연장선이므로 현행법 하에서도 이행 의무가 존재합니다.
[단기 조치] 개인정보 처리방침 내 AI 활용 현황 투명 공개
AI 기술 개발 목적의 개인정보 처리 현황을 개인정보 처리방침에 사전 공개해야 합니다. 처리 목적, 항목, 보유 기간, 제3자 제공 여부 등을 AI 활용 맥락에 맞게 구체적으로 기재해야 하며, 기존 처리방침이 AI 학습 목적을 포괄하지 않는 경우 즉시 개정이 필요합니다.
[단기 조치] 강화된 안전조치 및 정보주체 권리 보장 방안 수립
AI 기술 개발 목적으로 개인정보를 활용하는 경우, 일반적인 안전조치 수준을 넘어선 강화된 보호 조치를 마련해야 합니다. 정보주체의 열람·정정·삭제·처리 정지 요구권이 AI 학습 데이터에도 실질적으로 작동할 수 있도록 내부 프로세스를 정비해야 합니다.
[중기 준비] 민감정보·고유식별정보 포함 시 사전 위험평가 체계 구축
일정 규모 이상의 민감정보 또는 고유식별정보가 포함된 데이터를 AI에 활용하는 경우, 사전에 위험요인을 평가하는 절차를 제도화해야 합니다. 평가 기준, 담당 조직, 문서화 방식 등을 내부 정책으로 수립하고, 개인정보 보호위원회의 향후 세부 기준 고시에 대응할 수 있는 체계를 갖추어야 합니다.
[중기 준비] 개인정보 보호위원회 심의·의결 대응 체계 마련
AI 목적 개인정보 처리에 대해 개인정보 보호위원회의 심의·의결을 거쳐야 하는 요건이 도입될 경우, 심의 신청 절차, 필요 서류, 내부 검토 프로세스를 사전에 설계해야 합니다. 심의 대상 범위와 절차는 향후 시행령 또는 고시로 구체화될 것으로 예상되므로, 관련 동향을 지속 모니터링해야 합니다.
[지속 관리] 이행 점검 대비 내부 감사 및 기록 관리
개인정보 보호위원회가 AI 목적 개인정보 처리에 대해 주기적 이행 점검을 실시할 수 있습니다. 처리 목적, 안전조치 이행 내역, 위험평가 결과, 정보주체 권리 처리 이력 등을 체계적으로 기록·보관하고, 내부 감사 주기를 설정하여 점검에 대비해야 합니다.
3. 불확실성 및 주의사항
법적 효력 불확실: 원안은 대안에 반영되어 폐기되었으나, 해당 대안 의안이 확인되지 않습니다. 현재 시점에서 본 개정안의 내용이 법률로서 효력을 갖는지 여부는 명확하지 않으며, 반영된 대안의 내용이 원안과 동일한지도 확인이 필요합니다. 개인정보 보호위원회 공식 발표 및 국회 의안정보시스템을 통한 지속적인 확인이 요구됩니다.
심의 대상 범위 미확정: 개인정보 보호위원회 심의·의결이 필요한 AI 처리의 구체적 범위(규모, 유형, 민감도 기준 등)가 아직 정해지지 않았습니다. 시행령 또는 위원회 고시로 구체화될 예정이므로, 현 단계에서 과도하게 좁거나 넓게 해석하지 않도록 주의해야 합니다.
사전 위험평가 기준 미비: '일정 규모 이상'의 기준이 구체적으로 제시되지 않아, 어느 수준의 데이터 처리부터 사전 평가 의무가 발생하는지 현재로서는 판단하기 어렵습니다. 향후 세부 기준이 마련될 때까지 보수적으로 적용하는 것이 권고됩니다.
기존 법령과의 관계: 본 개정안의 내용 중 상당 부분은 현행 개인정보 보호법의 목적 제한, 안전조치, 처리방침 공개 원칙과 중첩됩니다. 개정안 통과 여부와 무관하게 현행법상 의무를 우선 이행하는 것이 리스크 관리 측면에서 바람직합니다.
인용 주의: 본 분석은 공개된 개정안 내용을 기반으로 작성되었으며, 연결 대안 의안의 내용이 확인되지 않은 상태입니다. 법적 판단이 필요한 경우 반드시 원문 의안 및 개인정보 보호위원회 공식 자료를 직접 확인하시기 바랍니다.
핵심 포인트
- 1AI 기술 개발·성능 개선 목적의 개인정보 활용 시 강화된 안전조치 및 정보주체 권리 보장 방안을 사전에 수립해야 하므로, 관련 내부 정책 및 절차 점검이 필요함
- 2개인정보보호위원회의 심의·의결 요건이 도입될 가능성이 있어, AI 프로젝트 기획 단계부터 규제 승인 일정을 프로젝트 로드맵에 반영하는 것이 바람직함
- 3민감정보·고유식별정보를 일정 규모 이상 처리하는 경우 사전 위험평가(PIA) 의무화가 예상되므로, 데이터 처리 규모 및 유형에 대한 현황 파악을 선제적으로 실시해야 함
- 4개인정보 처리방침을 통한 투명한 사전 공개 의무가 강화될 수 있어, AI 학습 데이터 활용 내역을 처리방침에 명확히 기재하는 방향으로 문서 체계를 정비할 필요가 있음
- 5해당 법안은 현재 대안반영폐기 상태로 최종 내용이 확정되지 않았으나, 대안 법안에 유사 규제가 포함될 가능성이 높으므로 입법 동향을 지속 모니터링하고 대응 시나리오를 준비해야 함
권고 사항
대표 권고
현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 처리 근거의 적법성, 기존 개인정보 처리방침 기재 여부를 항목별로 점검하고, 법안의 강화된 안전조치 요건과의 격차(Gap)를 문서화하십시오. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 수용할 가능성이 높으므로, 선제적 내부 감사는 향후 규제 대응 비용을 크게 절감합니다. 정보통신업·금융업 등 AI 활용 빈도가 높은 업종은 우선 순위를 높여 진행하십시오.
AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시
0-30d현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 처리 근거의 적법성, 기존 개인정보 처리방침 기재 여부를 항목별로 점검하고, 법안의 강화된 안전조치 요건과의 격차(Gap)를 문서화하십시오. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 수용할 가능성이 높으므로, 선제적 내부 감사는 향후 규제 대응 비용을 크게 절감합니다. 정보통신업·금융업 등 AI 활용 빈도가 높은 업종은 우선 순위를 높여 진행하십시오.
개인정보 처리방침 개정 및 AI 활용 목적 투명성 공시 체계 구축
0-30dAI 기술 개발·성능 개선 목적의 개인정보 처리 항목을 개인정보 처리방침에 명시적으로 기재하는 방향으로 문서를 개정하십시오. 처리 목적, 보유 기간, 제3자 제공 여부, 정보주체 권리 행사 방법 등을 구체화하고, 웹사이트·앱 등 접근 가능한 채널에 공개하십시오. 법안 확정 전이라도 현행 개인정보 보호법 제30조 처리방침 공개 의무와 정합성을 맞추는 작업이므로 즉시 실행 가능하며, 향후 규제 강화 시 추가 수정 부담을 최소화합니다.
민감정보·고유식별정보 포함 AI 데이터셋 사전 위험평가(PIA) 프로세스 수립
30-60d일정 규모 이상의 민감정보·고유식별정보가 포함된 AI 학습 데이터셋에 대해 개인정보 영향평가(PIA) 또는 내부 위험평가 절차를 표준화하십시오. 평가 항목에는 데이터 최소화 원칙 준수 여부, 비식별·가명처리 적용 수준, 접근통제 및 암호화 현황, 정보주체 권리 침해 가능성 등을 포함하십시오. 개인정보 보호위원회의 심의·의결 요건이 확정될 경우 프로세스가 심의 신청 자료의 기반이 되므로, 내부 템플릿과 검토 주기(예: 신규 AI 프로젝트 착수 전, 연 1회 정기 검토)를 미리 정립해 두십시오.
개인정보 보호위원회 심의·의결 대응 내부 거버넌스 체계 정비 및 모니터링 체계 구축
60-90d법안 또는 연결 의안의 최종 확정 내용을 지속적으로 모니터링하고, 개인정보 보호위원회 심의·의결 절차가 구체화될 경우 즉시 대응할 수 있도록 내부 의사결정 체계를 정비하십시오. AI 프로젝트별 개인정보 처리 승인 프로세스, 이행 점검 대응 담당자 지정, 주기적 내부 감사 일정 등을 포함한 AI 개인정보 거버넌스 정책 문서를 작성하십시오. 공공행정·금융업 등 규제 민감도가 높은 업종은 외부 전문가 자문 채널도 함께 확보하십시오.