PERI ai
인사이트 목록으로
중간 영향모니터링기준일 2026. 6. 4.

개인정보 보호법 개정안, 심의 진행 중

AI 학습데이터 투명성·위험평가 의무화 논의, 최종 방향 미확정

요약

AI 학습 목적 개인정보 활용에 대한 사전 심의·위험평가 의무화를 담은 개정안이 대안반영폐기되어 현재 법적 효력이 불확실하며, 연결 의안의 최종 내용 확인 전까지 내부 컴플라이언스 체계를 선제적으로 점검해 두는 것이 필요합니다.

#개인정보#AI학습데이터#투명성강화#위험평가#안전조치#보호위원회

상세 분석

1. 이슈 개요

본 개정안은 인공지능(AI) 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 안전장치를 개인정보 보호법 체계 내에 명시적으로 편입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 해당 내용이 반영된 연결 의안이 현재 확인되지 않아 법적 효력 발생 여부가 불확실합니다.

실무적으로 주목해야 할 핵심은, AI 학습·개발 목적의 개인정보 처리가 기존의 일반적 처리 기준보다 강화된 요건 하에 규율될 수 있다는 방향성입니다. 특히 개인정보 보호위원회의 사전 심의·의결 절차, 민감정보에 대한 사전 위험평가, 주기적 이행 점검 등이 새로운 의무로 부과될 수 있어, AI 서비스를 운영하거나 준비 중인 기업은 지금부터 내부 체계를 점검할 필요가 있습니다.

기준 시점은 2025년 4월 1일 현행 개인정보 보호법이며, 본 개정안의 내용이 어떤 형태로 최종 입법화되었는지는 추가 확인이 필요합니다.

2. 실행 우선순위별 의무 사항 정리

[즉시 검토] 개인정보 처리방침 사전 공개 의무

AI 기술 개발 또는 성능 개선 목적으로 개인정보를 처리하는 경우, 해당 처리 현황을 개인정보 처리방침에 사전에 투명하게 공개해야 합니다. 이는 현행 개인정보 보호법상 처리방침 공개 의무의 연장선이므로, 현재 운영 중인 AI 서비스의 처리방침이 AI 학습 목적 처리를 명시적으로 기재하고 있는지 즉시 점검해야 합니다. 누락 시 현행법 위반 리스크도 동시에 발생할 수 있습니다.

[단기 대응] 강화된 안전조치 및 정보주체 권리 보장 체계 마련

AI 개발 목적의 개인정보 활용 시, 일반적인 안전조치 수준을 넘어서는 강화된 기술적·관리적 보호조치를 마련해야 합니다. 아울러 정보주체가 자신의 개인정보가 AI 학습에 활용되는 사실을 인지하고 이의를 제기하거나 처리 중단을 요청할 수 있는 실질적 권리 행사 경로를 구축해야 합니다. 단순한 고지 절차에 그치지 않고, 실제 권리 행사가 가능한 운영 체계가 요구됩니다.

[단기 대응] 민감정보·고유식별정보 포함 시 사전 위험평가 실시

일정 규모 이상의 민감정보 또는 고유식별정보가 AI 학습 데이터에 포함되는 경우, 처리 전 위험요인을 사전에 평가하는 절차를 의무적으로 수행해야 합니다. 현재 AI 학습 데이터셋에 이러한 정보가 포함되어 있는지 여부를 데이터 분류 체계 관점에서 재검토하고, 위험평가 방법론과 담당 조직을 사전에 정비해 두는 것이 바람직합니다. '일정 규모'의 구체적 기준은 하위 규정에서 정해질 가능성이 높으므로 추후 확인이 필요합니다.

[중기 준비] 개인정보 보호위원회 심의·의결 절차 대응 체계 구축

AI 기술 개발 목적의 개인정보 활용이 개인정보 보호위원회의 사전 심의·의결 대상이 될 경우, 이를 위한 내부 검토 문서, 처리 목적 및 범위 정의, 안전조치 계획서 등을 사전에 준비하는 체계가 필요합니다. 심의 대상의 범위와 절차가 아직 구체화되지 않았으므로, 관련 고시 및 가이드라인 발표를 지속적으로 모니터링해야 합니다.

[지속 관리] 이행 점검 대응 내부 감사 체계 운영

개인정보 보호위원회가 AI 관련 개인정보 처리에 대해 주기적으로 이행 점검 및 관리·감독을 실시할 수 있으므로, 기업 내부에서도 AI 개인정보 처리 현황을 주기적으로 자체 점검하는 내부 감사 루틴을 마련해야 합니다. 점검 결과를 문서화하고 개선 이력을 관리하는 것이 외부 감독 대응의 핵심입니다.

3. 불확실성 및 주의사항

법적 효력 불확실: 본 개정안은 상임위에서 대안에 반영되어 원안이 폐기된 상태이나, 해당 내용이 반영된 연결 의안이 확인되지 않습니다. 따라서 현재 시점에서 본 개정안의 내용이 법적 구속력을 갖는지 여부는 명확하지 않습니다. 국회 의안정보시스템 및 개인정보 보호위원회 공식 발표를 통해 최종 입법 경과를 반드시 확인해야 합니다.

'일정 규모' 기준 미확정: 민감정보·고유식별정보에 대한 사전 위험평가 의무가 적용되는 '일정 규모'의 구체적 기준이 법안에 명시되지 않았습니다. 기준은 시행령 또는 고시를 통해 정해질 가능성이 높으므로, 하위 규정 제정 동향을 지속적으로 추적해야 합니다.

심의·의결 대상 범위 불명확: 개인정보 보호위원회의 사전 심의·의결이 요구되는 AI 개인정보 처리의 구체적 범위와 절차가 현 단계에서 명확하지 않습니다. 모든 AI 개발 활동이 대상이 되는지, 특정 규모 또는 유형에 한정되는지 여부가 추후 규정에서 구체화될 것으로 보입니다.

현행법과의 관계: 본 개정안의 내용 중 일부(처리방침 공개, 안전조치 등)는 현행 개인정보 보호법 및 기존 고시·가이드라인과 중첩될 수 있습니다. 개정안의 입법 여부와 무관하게, 현행법상 의무 이행 여부를 우선적으로 점검하는 것이 실무적으로 더 시급할 수 있습니다.

주의: 본 분석은 공개된 의안 정보를 기반으로 작성되었으며, 법적 자문을 대체하지 않습니다. 실제 의사결정 전 법률 전문가 검토 및 최신 입법 현황 확인을 권장합니다.

핵심 포인트

  • 1본 개정안은 상임위 심의 중 대안반영폐기 처리되어 독립 법안으로는 효력이 없으나, 핵심 내용이 대안 법안에 흡수되었을 가능성이 높아 대안 법안의 최종 내용을 즉시 확인해야 함.
  • 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 요건이 대안에 반영될 경우, 관련 AI 프로젝트의 착수 전 승인 절차를 내부 프로세스에 선제적으로 설계해 두는 것이 필요함.
  • 3민감정보·고유식별정보를 일정 규모 이상 처리하는 사업 부문은 사전 위험평가(PIA) 체계를 조기에 구축하고, 개인정보 처리방침의 투명성 공개 수준을 현행 대비 점검·보완해야 함.
  • 4개인정보 보호위원회의 AI 관련 개인정보 처리에 대한 주기적 이행 점검이 제도화될 가능성에 대비해, 내부 감사 및 컴플라이언스 모니터링 주기를 AI 서비스 운영 사이클에 맞게 재정비할 필요가 있음.
  • 52025년 4월 1일 기준 시행 예정 일정을 감안하여, 대안 법안의 확정 내용을 조속히 파악하고 법무·개인정보 담당 부서 중심으로 영향 범위 분석 및 대응 로드맵을 수립해야 함.

권고 사항

대표 권고

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 처리 목적의 명확성, 현행 안전조치 수준을 법안 의무 요건과 대조하여 갭 리스트를 작성해야 합니다. 정책 상태가 불확실하더라도 연결 의안이 현행법에 반영될 가능성이 있으므로, 선제적 내부 감사는 규제 대응 리드타임을 확보하는 데 필수적입니다. 정보통신업·금융업·전문기술서비스업 모두 AI 데이터 파이프라인 문서화가 미흡한 경우가 많으므로 우선 착수하십시오.

P0

AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시

0-30d

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 처리 목적의 명확성, 현행 안전조치 수준을 법안 의무 요건과 대조하여 갭 리스트를 작성해야 합니다. 정책 상태가 불확실하더라도 연결 의안이 현행법에 반영될 가능성이 있으므로, 선제적 내부 감사는 규제 대응 리드타임을 확보하는 데 필수적입니다. 정보통신업·금융업·전문기술서비스업 모두 AI 데이터 파이프라인 문서화가 미흡한 경우가 많으므로 우선 착수하십시오.

개인정보보호책임자(CPO)AI/데이터팀법무·컴플라이언스팀
P1

개인정보 처리방침 내 AI 활용 항목 명시 및 사전 공개 체계 정비

0-30d

현행 개인정보 처리방침에 AI 기술 개발·성능 개선 목적의 개인정보 처리 내용을 별도 항목으로 신설하십시오. 처리 목적, 항목, 보유 기간, 제3자 제공 여부, 안전조치 개요를 구체적으로 기재하고, 정보주체가 쉽게 접근할 수 있도록 UI/UX를 개선해야 합니다. 법안의 '투명한 사전 공개' 의무는 현행 개인정보 보호법 기조와도 일치하므로, 정책 확정 여부와 무관하게 즉시 이행 가능한 조치입니다. 공공행정 부문은 행정 포털 내 공개 방식도 함께 검토하십시오.

개인정보보호책임자(CPO)서비스기획팀법무팀
P1

민감정보·고유식별정보 포함 AI 데이터셋 사전 위험평가(PIA) 프로세스 수립

30-60d

일정 규모 이상의 민감정보·고유식별정보가 포함된 AI 학습 데이터셋에 대해 개인정보 영향평가(PIA) 또는 내부 위험평가 절차를 표준화하십시오. 평가 트리거 기준(데이터 건수, 민감도 등급 등), 평가 주체, 결과 문서화 양식, 개인정보 보호위원회 심의·의결 연계 절차를 포함한 내부 가이드라인을 수립해야 합니다. 금융·보험업은 기존 금융 규제상 PIA 경험을 활용하여 AI 특화 항목을 추가하는 방식으로 효율적으로 적용할 수 있습니다.

개인정보보호책임자(CPO)AI/데이터팀리스크관리팀
P2

개인정보 보호위원회 심의·의결 대응 체계 및 정기 이행 점검 내부 거버넌스 구축

60-90d

AI 관련 개인정보 처리에 대한 개인정보 보호위원회 심의·의결 요청 및 주기적 이행 점검에 대비하여 내부 거버넌스 체계를 정비하십시오. 구체적으로 ▲심의 대상 판단 기준 내부화 ▲심의 신청 문서 템플릿 준비 ▲연 1회 이상 내부 이행 점검 일정 수립 ▲점검 결과 경영진 보고 체계 마련이 필요합니다. 정책 상태가 불확실하므로 연결 의안 입법 동향을 분기별로 모니터링하고, 확정 시 즉시 가동할 수 있도록 체계를 사전 준비해 두십시오.

개인정보보호책임자(CPO)법무·컴플라이언스팀경영진(C-Suite)