PERI ai
인사이트 목록으로
높은 영향모니터링기준일 2026. 6. 5.

개인정보보호법 개정안, 불확실성 지속

AI 학습데이터·위험평가 규정 논의 중, 기업 대응 방향 주시 필요

요약

AI 학습데이터 활용 및 위험평가 의무화를 담은 개인정보 보호법 개정안이 대안반영폐기되어 법적 효력이 불확실하나, 연결 의안 확정 시 즉각 적용될 수 있으므로 처리방침 정비 및 내부 대응 체계를 선제적으로 검토해야 합니다.

#개인정보#AI학습데이터#투명성#위험평가#보호위원회#안전조치

상세 분석

1. 이슈 개요

본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 규제 체계를 명확히 하기 위해 발의된 개인정보 보호법 일부개정법률안입니다. 현행법상 AI 학습 데이터로서의 개인정보 활용에 대한 명시적 규정이 부재한 상황에서, 개정안은 강화된 안전조치 의무, 개인정보 보호위원회의 사전 심의 절차, 투명성 공개 요건 등을 도입하는 것을 핵심 내용으로 합니다.

현재 법안은 상임위 심의 과정에서 대안반영폐기 처리되었습니다. 즉, 원안 자체는 폐기되었으나 그 내용의 일부 또는 전부가 다른 의안이나 수정안에 반영되었을 가능성이 있습니다. 다만 연결 의안이 공식적으로 확인되지 않아 현재 법적 효력 여부는 불확실한 상태입니다. 2025년 4월 1일 기준 개인정보 보호법 현행 규정이 적용되고 있으므로, 실무 대응은 현행법 체계를 기준으로 하되 후속 입법 동향을 면밀히 모니터링해야 합니다.

2. 실행 우선순위별 의무 사항 정리

🔴 즉시 검토 필요 — 적법한 개인정보 수집 여부 확인

AI 기술 개발 및 성능 개선 목적으로 활용하려는 개인정보가 적법하게 수집된 것인지 사전에 전수 점검해야 합니다. 개정안은 적법하게 수집되지 않은 개인정보의 AI 목적 활용을 명시적으로 금지하고 있으며, 이는 현행 개인정보 보호법의 목적 외 이용 제한 원칙과도 연결됩니다. 기존에 수집된 데이터셋의 수집 경위, 동의 범위, 이용 목적 적합성을 법무·개인정보 담당 부서가 함께 검토해야 합니다.

🔴 즉시 검토 필요 — 개인정보 처리방침 사전 공개 체계 정비

AI 학습 목적의 개인정보 처리 현황을 개인정보 처리방침에 사전적으로 투명하게 공개해야 합니다. 현재 처리방침에 AI 활용 관련 항목이 누락되어 있다면 즉시 보완이 필요합니다. 공개 항목에는 처리 목적, 처리하는 개인정보의 항목, 보유 기간, 제3자 제공 여부 등이 포함되어야 합니다.

🟠 단기 대응 — 강화된 안전조치 및 정보주체 권리 보장 방안 마련

AI 기술 개발 목적의 개인정보 활용 시 일반적인 안전조치 수준을 상회하는 강화된 보호 조치를 수립해야 합니다. 구체적으로는 가명처리·익명처리 적용 범위 확대, 접근 권한 최소화, 처리 로그 관리 강화 등이 포함될 수 있습니다. 아울러 정보주체의 열람·정정·삭제·처리정지 요구권이 AI 데이터 파이프라인 내에서도 실질적으로 행사 가능하도록 내부 프로세스를 정비해야 합니다.

🟠 단기 대응 — 민감정보·고유식별정보 포함 데이터에 대한 사전 위험평가 체계 구축

일정 규모 이상의 민감정보(건강정보, 생체정보 등) 또는 고유식별정보(주민등록번호 등)가 포함된 AI 학습 데이터를 활용하는 경우, 처리 전 위험요인을 사전에 평가하는 절차를 내부적으로 마련해야 합니다. 위험평가 항목, 평가 주기, 결과 문서화 방식 등을 내부 지침으로 규정하고, 평가 결과에 따른 처리 여부 결정 프로세스를 확립하는 것이 필요합니다.

🟡 중기 대응 — 개인정보 보호위원회 심의·의결 절차 대응 준비

개정안은 AI 기술 개발 목적의 개인정보 처리에 대해 개인정보 보호위원회의 사전 심의·의결을 요건으로 규정하고 있습니다. 해당 절차가 실제 법제화될 경우를 대비하여, 심의 신청에 필요한 서류 목록, 처리 계획서 작성 기준, 내부 검토 프로세스 등을 미리 준비해 두어야 합니다. 위원회의 주기적 이행 점검에 대응하기 위한 내부 감사 체계도 병행하여 정비할 필요가 있습니다.

3. 불확실성 및 주의사항

법적 효력 불확실: 본 개정안은 대안반영폐기 처리되었으나, 내용이 반영된 연결 의안이 공식 확인되지 않았습니다. 따라서 현 시점에서 개정안의 의무 사항이 법적 구속력을 갖는다고 단정할 수 없습니다. 실무 대응의 법적 근거는 반드시 **현행 개인정보 보호법(2025년 4월 1일 기준 시행본)**을 기준으로 삼아야 하며, 개정안 내용은 향후 입법 방향을 예측하는 참고 자료로 활용하는 것이 적절합니다.

후속 입법 모니터링 필수: 대안반영폐기의 특성상 유사한 내용이 다른 법안에 통합되어 입법화될 가능성이 있습니다. 개인정보 보호위원회의 고시·가이드라인 발표, 국회 상임위 심의 동향, 관련 법안 발의 현황을 정기적으로 추적해야 합니다.

'일정 규모' 기준 미확정: 민감정보·고유식별정보 포함 시 사전 위험평가 의무가 발생하는 '일정 규모'의 구체적 기준이 개정안에 명시되지 않았습니다. 향후 시행령 또는 위원회 고시를 통해 기준이 구체화될 것으로 예상되므로, 현 단계에서는 보수적 기준을 적용하여 내부 위험평가 범위를 넓게 설정하는 것이 권장됩니다.

AI 개발 범위 해석 문제: 'AI 기술 개발 및 성능 개선'의 범위가 어디까지인지 — 예컨대 내부 추천 알고리즘 개선, 챗봇 학습, 외부 AI 모델 파인튜닝 등이 모두 포함되는지 — 에 대한 해석 기준이 아직 명확하지 않습니다. 법제화 이후 위원회의 유권해석 또는 가이드라인을 통해 확인이 필요하며, 그 전까지는 AI 관련 개인정보 처리 전반에 대해 강화된 내부 검토 절차를 적용하는 것이 안전합니다.

인용 주의: 본 분석은 발의된 개정안 내용을 기반으로 하며, 현행 법령의 직접 인용이 아닙니다. 법적 판단이 필요한 사항은 반드시 관할 법무 전문가 또는 개인정보 보호위원회의 공식 해석을 확인하시기 바랍니다.

핵심 포인트

  • 1AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 절차가 요구될 수 있으므로, 사전 승인 프로세스 구축 여부를 검토해야 함
  • 2본 개정안은 상임위 심의 단계에서 대안반영폐기된 상태로, 최종 확정된 대안 법률의 내용을 신속히 확인하여 실제 적용 의무 범위를 재점검해야 함
  • 3민감정보·고유식별정보를 일정 규모 이상 처리하는 경우 사전 위험평가(PIA) 의무화가 도입될 가능성이 있어, 현행 데이터 처리 규모 및 유형에 대한 내부 실태 파악이 선행되어야 함
  • 4AI 관련 개인정보 처리 현황을 개인정보 처리방침에 투명하게 공개하는 요건이 강화될 수 있으므로, 처리방침 갱신 및 공시 체계를 사전에 정비할 필요가 있음
  • 5개인정보 보호위원회의 주기적 이행 점검·감독이 예고됨에 따라, AI 개발 부서와 개인정보 보호 담당 조직 간 협업 체계 및 내부 컴플라이언스 모니터링 절차를 강화해야 함

권고 사항

대표 권고

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 안전조치 수준을 전수 조사하십시오. 특히 민감정보·고유식별정보 포함 여부를 확인하고, 현행 처리 방식이 강화된 안전조치 요건을 충족하는지 체크리스트 기반으로 갭을 식별해야 합니다. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 반영할 가능성이 높으므로, 선제적 대응이 규제 리스크를 최소화합니다. 정보통신업·금융업·전문기술서비스업 모두 AI 학습 데이터셋 보유 가능성이 높아 즉시 착수가 필요합니다.

P0

AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시

0-30d

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 안전조치 수준을 전수 조사하십시오. 특히 민감정보·고유식별정보 포함 여부를 확인하고, 현행 처리 방식이 강화된 안전조치 요건을 충족하는지 체크리스트 기반으로 갭을 식별해야 합니다. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 반영할 가능성이 높으므로, 선제적 대응이 규제 리스크를 최소화합니다. 정보통신업·금융업·전문기술서비스업 모두 AI 학습 데이터셋 보유 가능성이 높아 즉시 착수가 필요합니다.

개인정보보호책임자(CPO)AI/데이터팀법무·컴플라이언스팀
P1

개인정보 처리방침 개정 및 AI 목적 처리 항목 투명 공개 체계 구축

30-60d

AI 기술 개발 목적의 개인정보 처리 내용을 개인정보 처리방침에 명시적으로 기재하는 방향으로 문서를 개정하십시오. 처리 목적, 항목, 보유 기간, 안전조치 개요를 포함하고, 정보주체가 열람·정정·삭제·처리정지를 요청할 수 있는 절차를 구체화해야 합니다. 처리방침 공개는 사전적 투명성 의무의 핵심이므로, 법 시행 전 완료를 목표로 내부 검토 및 법무 확인 절차를 병행하십시오. 공공기관(O)의 경우 행정예고 절차도 함께 검토하십시오.

개인정보보호책임자(CPO)법무팀서비스기획팀
P1

개인정보 보호위원회 심의·의결 대응 프로세스 및 사전 영향평가 체계 설계

30-60d

AI 목적 개인정보 처리 시 개인정보 보호위원회 심의·의결을 거쳐야 하는 요건과 절차를 내부 프로세스로 정형화하십시오. 신규 AI 프로젝트 착수 전 심의 필요 여부를 판단하는 의사결정 트리를 만들고, 민감정보·고유식별정보가 일정 규모 이상 포함되는 경우 위험요인 사전평가(PIA 유사 절차)를 의무화하는 내부 정책을 수립하십시오. 금융업(K)과 정보통신업(J)은 대규모 데이터 처리 가능성이 높아 우선 적용 대상으로 설정하십시오.

개인정보보호책임자(CPO)AI거버넌스팀컴플라이언스팀
P2

주기적 이행 점검 대비 내부 모니터링 체계 및 감독 대응 매뉴얼 마련

60-90d

개인정보 보호위원회의 주기적 이행 점검에 대비하여, AI 개인정보 처리 현황을 지속적으로 추적·기록하는 내부 모니터링 체계를 구축하십시오. 처리 로그, 안전조치 이행 증빙, 심의 결과 문서 등을 체계적으로 보관하고, 외부 감독 시 신속하게 제출할 수 있는 대응 매뉴얼을 작성하십시오. 정책 상태가 확정되는 시점에 맞춰 매뉴얼을 최종 업데이트하고, 관련 임직원 대상 교육을 실시하십시오.

개인정보보호책임자(CPO)IT보안팀내부감사팀