PERI ai
인사이트 목록으로
중간 영향모니터링기준일 2026. 6. 2.

개인정보보호법 개정안, 방향 불확실

AI 학습데이터·위험평가 규정 논의 중, 최종 내용 미확정

요약

AI 학습데이터 활용 및 위험평가 관련 개인정보 보호법 개정안은 대안에 흡수되어 독립 법안으로는 폐기됐으나, 대안 의안의 최종 내용이 미확인 상태로 핵심 규제 방향의 입법화 가능성에 대비한 선제적 내부 체계 정비가 필요합니다.

#개인정보#AI학습데이터#투명성강화#위험평가#안전조치#보호위원회

상세 분석

1. 이슈 개요

본 개정안은 인공지능(AI) 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 안전장치를 개인정보 보호법 체계 내에 명시적으로 편입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 해당 대안 의안이 구체적으로 확인되지 않아 현재 법적 효력 및 시행 여부는 불확실합니다.

실무적으로 중요한 점은, 개정안이 담고 있는 핵심 규율 방향—AI 목적 개인정보 처리에 대한 사전 심의, 안전조치 강화, 정보주체 권리 보장—이 대안 의안을 통해 실질적으로 입법화될 가능성이 높다는 것입니다. 따라서 AI 서비스 개발·운영 조직은 원안의 의무 사항을 선제적 준비 기준으로 삼아 내부 체계를 정비할 필요가 있습니다.

기준 시점은 2025년 4월 1일 현행 개인정보 보호법이며, 대안 의안의 확정 및 시행 일정은 별도 확인이 필요합니다.

2. 실행 우선순위별 의무 사항 정리

[즉시 착수] 개인정보 처리방침 내 AI 활용 현황 공개

AI 기술 개발 또는 성능 개선을 위해 개인정보를 처리하는 경우, 해당 사실과 처리 목적·방식을 개인정보 처리방침에 사전 공개해야 합니다. 현행 처리방침에 AI 관련 항목이 누락되어 있다면 즉시 보완이 필요합니다. 이는 입법 확정 여부와 무관하게 현행 법상 투명성 원칙에도 부합하는 조치입니다.

[단기 준비] 개인정보 보호위원회 심의·의결 절차 대응 체계 구축

AI 기술 개발 목적으로 개인정보를 활용하려는 경우 개인정보 보호위원회의 심의·의결을 거쳐야 합니다. 이를 위해 조직 내에서 다음을 준비해야 합니다.

  • AI 학습·개발에 사용되는 개인정보의 종류, 규모, 처리 목적을 정리한 내부 대장 마련
  • 심의 신청에 필요한 안전조치 계획서 및 정보주체 권리 보장 방안 문서화
  • 법무·개인정보 담당 부서와 AI 개발팀 간 협업 프로세스 수립

[단기 준비] 강화된 안전조치 및 정보주체 권리 보장 방안 수립

AI 개발 과정에서 정보주체의 권리 침해가 발생하지 않도록 기술적·관리적 안전조치를 강화해야 합니다. 구체적으로는 가명처리·익명화 적용 범위 검토, 접근 권한 최소화, 데이터 보존 기간 설정, 정보주체의 열람·삭제 요청 처리 절차 정비가 포함됩니다.

[중기 준비] 민감정보·고유식별정보 포함 데이터셋에 대한 사전 위험 평가

일정 규모 이상의 민감정보 또는 고유식별정보가 포함된 데이터를 AI 학습에 활용하는 경우, 위험요인을 사전에 평가하는 절차를 도입해야 합니다. 현재 개인정보 영향평가(PIA) 제도와의 연계 가능성을 검토하고, 내부 위험 평가 기준과 체크리스트를 마련하는 것이 바람직합니다. '일정 규모'의 구체적 기준은 대안 의안 또는 하위 고시에서 확정될 것으로 예상되므로 지속적인 모니터링이 필요합니다.

[상시 운영] 개인정보 보호위원회 이행 점검 대응 준비

개인정보 보호위원회는 AI 관련 개인정보 처리에 대해 주기적으로 이행 점검 및 관리·감독을 실시하게 됩니다. 점검 대응을 위해 AI 개발 단계별 개인정보 처리 기록을 체계적으로 보관하고, 내부 감사 절차를 정기화해야 합니다.

3. 불확실성 및 주의사항

법적 효력의 불확실성
원안은 대안에 반영되어 폐기되었으나, 해당 대안 의안의 내용·번호·시행 일정이 현재 확인되지 않습니다. 따라서 본 분석에서 정리한 의무 사항이 최종 입법 내용과 다를 수 있습니다. 국회 의안정보시스템을 통해 연결 대안 의안을 직접 확인하고, 확정된 조문을 기준으로 내부 대응 계획을 재검토해야 합니다.

'일정 규모' 기준 미확정
민감정보·고유식별정보 포함 시 사전 위험 평가 의무가 적용되는 '일정 규모'의 구체적 수치는 원안에서 명시되지 않았거나 하위 법령에 위임될 가능성이 높습니다. 기준 확정 전까지는 보수적 기준을 적용하여 내부 평가를 선제적으로 수행하는 것을 권장합니다.

현행법과의 관계
2025년 4월 1일 기준 현행 개인정보 보호법에는 AI 목적 개인정보 처리에 관한 명시적 조항이 충분히 정비되어 있지 않을 수 있습니다. 개정안 확정 전이라도 현행 법상 목적 제한 원칙, 최소 수집 원칙, 안전조치 의무는 그대로 적용되므로 이를 기반으로 한 기본 준수 체계는 즉시 점검해야 합니다.

위원회 심의 절차의 구체적 방법 미확정
개인정보 보호위원회 심의·의결의 신청 요건, 처리 기간, 조건부 승인 가능 여부 등 절차적 세부 사항은 아직 확인되지 않습니다. 관련 고시 또는 가이드라인 발표 시 즉시 반영할 수 있도록 모니터링 체계를 갖추어야 합니다.

핵심 포인트

  • 1본 개정안은 상임위 심의 중 대안반영폐기 처리되어 독립 법안으로는 효력이 없으나, 핵심 내용이 대안 법안에 흡수되었을 가능성이 높아 대안 법안의 최종 내용을 즉시 확인해야 함.
  • 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 요건이 대안에 반영될 경우, 관련 AI 프로젝트의 착수 전 승인 절차를 내부 프로세스에 선제적으로 편입할 필요가 있음.
  • 3민감정보·고유식별정보를 일정 규모 이상 처리하는 사업 부문은 사전 위험평가(PIA) 체계를 조기에 구축하고, 평가 결과를 경영진 보고 체계에 연동하는 거버넌스 정비를 검토해야 함.
  • 4개인정보 처리방침의 투명 공개 및 주기적 이행 점검 의무가 확정될 경우를 대비해, 현행 처리방침의 AI 관련 항목 누락 여부를 사전 점검하고 공시 수준을 상향 조정하는 방안을 준비해야 함.
  • 5대안 법안의 국회 통과 일정(2025년 4월 기준 유동적)을 모니터링하면서, 컴플라이언스 대응 로드맵을 단계별로 수립해 법 시행 즉시 이행 가능한 체제를 갖추는 것이 리스크 최소화에 유리함.

권고 사항

대표 권고

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 민감정보·고유식별정보 포함 여부, 처리 규모, 안전조치 수준을 항목별로 문서화하고, 현행 개인정보 처리방침과의 공개 범위 차이를 파악하십시오. 정책 상태가 불확실하더라도 연결 의안이 현행법 또는 후속 개정안으로 반영될 가능성이 높으므로, 선제적 갭 분석 결과를 내부 의사결정 자료로 확보해 두는 것이 리스크 최소화에 유리합니다. 정보통신업·금융업·전문기술서비스업 모두 해당 의무 범위에 포함될 가능성이 높습니다.

P0

AI 개인정보 활용 현황 긴급 인벤토리 구축 및 갭 분석

0-30d

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 민감정보·고유식별정보 포함 여부, 처리 규모, 안전조치 수준을 항목별로 문서화하고, 현행 개인정보 처리방침과의 공개 범위 차이를 파악하십시오. 정책 상태가 불확실하더라도 연결 의안이 현행법 또는 후속 개정안으로 반영될 가능성이 높으므로, 선제적 갭 분석 결과를 내부 의사결정 자료로 확보해 두는 것이 리스크 최소화에 유리합니다. 정보통신업·금융업·전문기술서비스업 모두 해당 의무 범위에 포함될 가능성이 높습니다.

개인정보보호 담당부서(CPO실)AI/데이터 개발팀법무·컴플라이언스팀
P1

개인정보 처리방침 개정 및 AI 활용 항목 투명성 강화

30-60d

갭 분석 결과를 토대로 AI 학습·성능 개선 목적의 개인정보 처리 사실, 처리 항목, 보유 기간, 안전조치 개요를 개인정보 처리방침에 명시적으로 반영하십시오. 특히 민감정보가 포함된 경우 별도 섹션으로 구분하여 정보주체가 쉽게 인지할 수 있도록 작성하십시오. 처리방침 개정 시 법무팀 검토 후 웹사이트·앱 등 접근 가능한 채널에 즉시 게시하고, 변경 이력을 버전 관리 형태로 보존하십시오. 공공행정 부문은 행정안전부 가이드라인과의 정합성도 함께 검토하십시오.

개인정보보호 담당부서(CPO실)법무·컴플라이언스팀서비스/제품 운영팀
P1

개인정보 보호위원회 심의·의결 대응 프로세스 및 사전 영향평가 체계 설계

30-60d

AI 목적 개인정보 활용 시 개인정보 보호위원회 심의·의결 절차가 요구될 경우에 대비하여, 신청 요건·제출 서류·심의 일정 등을 사전에 파악하고 내부 승인 프로세스를 설계하십시오. 아울러 일정 규모 이상의 민감정보·고유식별정보를 처리하는 AI 시스템에 대해 위험요인 사전평가(PIA 유사 절차) 템플릿을 마련하고, 신규 AI 프로젝트 착수 전 의무적으로 수행하는 내부 게이트(Gate) 절차로 제도화하십시오. 금융업의 경우 금융위원회·금융감독원의 마이데이터·AI 관련 규제와 중복 적용 가능성을 함께 검토하십시오.

법무·컴플라이언스팀AI/데이터 개발팀리스크관리팀
P2

정기 이행 점검 대응을 위한 내부 모니터링 체계 및 교육 프로그램 수립

60-90d

개인정보 보호위원회의 주기적 이행 점검에 대비하여, AI 관련 개인정보 처리 현황을 분기별로 자체 점검하는 내부 감사 체크리스트를 수립하십시오. 점검 결과는 경영진 보고 체계에 포함시켜 거버넌스를 강화하십시오. 또한 AI 개발·운영 인력을 대상으로 개인정보 보호 의무 및 안전조치 요건에 관한 정기 교육 프로그램을 설계하고, 교육 이수 기록을 보존하십시오. 정책 확정 시 즉시 적용 가능하도록 교육 콘텐츠를 모듈화하여 준비해 두는 것을 권장합니다.

개인정보보호 담당부서(CPO실)HR/교육팀내부감사팀