PERI ai
인사이트 목록으로
중간 영향모니터링기준일 2026. 6. 6.

개인정보 보호법 개정안, 방향 불확실

AI 학습데이터·위험평가 규정 논의 중, 최종 내용 미확정

요약

AI 학습 데이터 활용 시 사전 승인·위험평가 의무를 담은 개인정보 보호법 개정안이 논의 중이나, 원안 폐기 후 대안 의안 연결이 미확인 상태로 최종 입법 내용은 불확실합니다. 대안 법안에 유사 규제가 포함될 가능성이 있어 입법 동향 모니터링과 선제적 내부 체계 정비가 필요합니다.

#개인정보#AI학습데이터#투명성강화#위험평가#안전조치#보호위원회

상세 분석

1. 이슈 개요

본 법률안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 안전장치를 마련하기 위해 발의된 개인정보 보호법 일부개정법률안입니다. 현행 개인정보 보호법 체계 내에서 AI 학습 데이터 활용의 허용 범위와 조건을 명확히 하고, 이에 상응하는 정보주체 보호 의무를 강화하는 것을 핵심 방향으로 합니다.

현재 법률안은 상임위 심의 단계에서 대안반영폐기 처리되었습니다. 즉, 원안 자체는 폐기되었으나 그 내용의 일부 또는 전부가 별도의 대안 의안에 반영되었을 가능성이 있습니다. 다만 해당 연결 의안이 공식적으로 확인되지 않아 현재 법적 효력 여부는 불확실한 상태입니다. 실무 담당자는 개인정보 보호위원회의 후속 입법 동향을 지속적으로 모니터링할 필요가 있습니다.

2. 실행 우선순위별 의무 사항 정리

🔴 즉시 검토 필요 — AI 목적 개인정보 활용의 사전 승인 절차

AI 기술 개발 또는 성능 개선을 목적으로 개인정보를 활용하려는 기관 및 기업은, 개인정보 보호위원회의 심의·의결을 사전에 거쳐야 합니다. 이는 단순한 내부 검토가 아닌 외부 규제기관의 공식 승인 절차에 해당하므로, AI 프로젝트 기획 단계에서부터 해당 절차를 일정에 반영해야 합니다. 승인 없이 개인정보를 AI 학습에 활용할 경우 법적 제재 위험이 발생할 수 있습니다.

🔴 즉시 검토 필요 — 강화된 안전조치 및 정보주체 권리 보장 방안 수립

AI 개발 목적의 개인정보 처리 시, 일반적인 개인정보 처리 기준보다 강화된 안전조치를 별도로 마련해야 합니다. 구체적으로는 접근 통제, 가명·익명 처리 수준 검토, 데이터 최소화 원칙 적용, 그리고 정보주체가 자신의 개인정보 활용에 이의를 제기하거나 열람·삭제를 요청할 수 있는 실질적인 권리 행사 채널 구축이 포함됩니다. AI 개발 과정에서 권리 침해가 발생하지 않도록 하는 것은 법적 의무이자 핵심 준수 요건입니다.

🟡 단기 내 정비 필요 — 개인정보 처리방침의 사전 공개 및 투명성 확보

개인정보 처리 현황은 사후 보고가 아닌 사전적으로 개인정보 처리방침을 통해 공개되어야 합니다. AI 학습에 활용되는 개인정보의 종류, 목적, 보유 기간, 제3자 제공 여부 등을 처리방침에 명시하고, 이를 정보주체가 쉽게 접근할 수 있는 방식으로 공개해야 합니다. 기존 처리방침이 AI 활용 목적을 포괄하지 못하는 경우, 즉시 개정이 필요합니다.

🟡 단기 내 정비 필요 — 민감정보·고유식별정보 포함 시 위험 평가 실시

일정 규모 이상의 민감정보 또는 고유식별정보가 AI 학습 데이터에 포함되는 경우, 사전에 위험요인 평가(개인정보 영향평가 성격의 절차)를 실시해야 합니다. 평가 대상 규모 기준 및 평가 방법론은 현재 법률안의 연결 의안 또는 시행령 수준에서 구체화될 가능성이 있으므로, 내부적으로는 민감정보 포함 여부를 선제적으로 분류·관리하는 체계를 갖추는 것이 바람직합니다.

🟢 지속적 관리 필요 — 개인정보 보호위원회의 이행 점검 대응 체계 구축

개인정보 보호위원회는 AI 관련 개인정보 처리에 대해 주기적인 이행 점검 및 관리·감독을 실시할 권한을 갖습니다. 이에 대비하여 내부 감사 체계, 처리 기록 보존, 담당자 지정 및 교육 등 상시적인 컴플라이언스 운영 체계를 마련해 두어야 합니다. 점검 시 소명 자료를 신속히 제출할 수 있도록 문서화 수준을 높이는 것이 중요합니다.

3. 불확실성 및 주의사항

법적 효력의 불확실성: 본 법률안은 대안반영폐기 처리되었으나, 연결된 대안 의안이 공식적으로 확인되지 않았습니다. 따라서 현재 시점에서 본 법률안의 의무 사항이 법적 구속력을 가지는지 여부는 명확하지 않습니다. 실무적으로는 개인정보 보호위원회의 공식 발표 및 국회 의안정보시스템을 통해 대안 의안의 존재와 내용을 직접 확인하는 것이 필수적입니다.

시행 기준의 미확정: 민감정보·고유식별정보의 위험 평가 대상 '일정 규모' 기준, 강화된 안전조치의 구체적 내용, 개인정보 보호위원회 심의·의결 절차의 세부 요건 등은 현재 법률안 수준에서 명확히 규정되어 있지 않습니다. 이는 향후 시행령 또는 고시를 통해 구체화될 가능성이 높으므로, 하위 법령 제정 동향을 지속적으로 추적해야 합니다.

기존 개인정보 보호법과의 관계: 본 법률안의 의무 사항 중 상당 부분은 현행 개인정보 보호법(2025년 4월 1일 기준 시행 버전)의 일반 원칙과 중첩될 수 있습니다. 대안 의안이 확인되기 전까지는 현행법상 의무를 기준으로 컴플라이언스를 유지하되, AI 활용 목적의 개인정보 처리에 대한 추가적인 규제 강화 가능성을 전제로 내부 정책을 설계하는 것이 안전합니다.

⚠️ 인용 주의: 본 분석은 제공된 법률안 정보를 기반으로 작성되었으며, 연결 대안 의안의 내용은 확인되지 않았습니다. 법적 판단이 필요한 경우 반드시 원문 의안 및 전문가 자문을 병행하시기 바랍니다.

핵심 포인트

  • 1AI 기술 개발·성능 개선 목적의 개인정보 활용 시 강화된 안전조치 및 정보주체 권리 보장 방안을 사전에 마련해야 하므로, 관련 내부 정책 및 절차 정비를 선제적으로 검토할 필요가 있음
  • 2해당 법안은 현재 상임위 대안반영폐기 상태로 최종 입법 여부가 불확실하나, 대안 법안에 유사 규제가 포함될 가능성이 있어 입법 동향을 지속 모니터링해야 함
  • 3AI 목적의 개인정보 활용 전 개인정보 보호위원회의 심의·의결 절차가 요구될 수 있으므로, 신규 AI 프로젝트 기획 단계부터 규제 대응 일정을 반영한 로드맵 수립이 필요함
  • 4민감정보·고유식별정보를 일정 규모 이상 처리하는 경우 위험요인 사전 평가 의무가 부과될 수 있어, 현재 보유 데이터셋의 민감정보 포함 규모를 즉시 점검하고 위험평가 체계를 구축해야 함
  • 5개인정보 처리방침을 통한 사전 공개 의무 및 주기적 이행 점검 강화가 예상되므로, 처리방침 현행화 및 내부 감사 체계 정비를 2025년 상반기 내 완료하는 방향으로 추진할 것을 권고함

권고 사항

대표 권고

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 현행 안전조치 수준, 개인정보 처리방침 내 AI 활용 관련 공개 여부를 점검하여 법안 요건 대비 미충족 항목을 목록화하십시오. 정책 상태가 불확실하더라도 2025-04-01 현행 개인정보 보호법 기준으로도 즉시 적용 가능한 의무가 존재하므로 선제적 대응이 필요합니다.

P0

AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시

0-30d

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 현행 안전조치 수준, 개인정보 처리방침 내 AI 활용 관련 공개 여부를 점검하여 법안 요건 대비 미충족 항목을 목록화하십시오. 정책 상태가 불확실하더라도 2025-04-01 현행 개인정보 보호법 기준으로도 즉시 적용 가능한 의무가 존재하므로 선제적 대응이 필요합니다.

개인정보보호 담당부서(CPO/DPO)AI·데이터 개발팀법무·컴플라이언스팀
P1

AI 목적 개인정보 처리방침 업데이트 및 투명성 공개 체계 구축

30-60d

개인정보 처리방침에 AI 기술 개발·성능 개선 목적의 개인정보 활용 항목을 명시적으로 추가하십시오. 처리 목적, 항목, 보유기간, 안전조치 내용을 구체적으로 기재하고, 정보주체의 열람·정정·삭제·처리정지 권리 행사 절차를 명확히 안내하는 페이지를 구성하십시오. 법안 확정 여부와 무관하게 현행법 및 규제 방향성에 부합하는 선제적 조치로서 규제 리스크를 최소화할 수 있습니다.

개인정보보호 담당부서(CPO/DPO)서비스·웹 운영팀법무팀
P1

민감정보·고유식별정보 포함 AI 데이터셋 위험평가(PIA) 프로세스 수립

30-60d

일정 규모 이상의 민감정보·고유식별정보가 포함된 AI 학습 데이터셋에 대해 개인정보 영향평가(PIA) 또는 내부 위험평가 절차를 수립하십시오. 평가 기준(데이터 규모 임계값, 민감도 등급), 평가 주기, 결과 보고 체계를 문서화하고, 개인정보 보호위원회 심의·의결 요건이 확정될 경우 즉시 대응 가능한 제출 서류 템플릿을 사전 준비하십시오. 금융·보험업 및 공공기관은 기존 의무 PIA와 연계하여 효율적으로 운영하십시오.

개인정보보호 담당부서(CPO/DPO)AI·데이터 개발팀리스크관리팀
P2

연결 의안 및 규제 동향 모니터링 체계 구축과 내부 대응 시나리오 수립

60-90d

본 법안의 원안이 다른 의안 또는 수정안에 반영되어 폐기된 상태이므로, 연결 의안의 입법 진행 상황을 주기적으로 추적하는 모니터링 담당자를 지정하십시오. 개인정보 보호위원회 고시·가이드라인 발표, 국회 법안 심의 일정을 월 1회 이상 점검하고, '법안 원안 통과', '수정안 통과', '폐기' 3가지 시나리오별 대응 계획을 사전에 수립하여 신속한 의사결정이 가능한 체계를 갖추십시오.

법무·컴플라이언스팀대관업무 담당부서경영전략팀