PERI ai
인사이트 목록으로
중간 영향모니터링기준일 2026. 6. 7.

개인정보 보호법 개정안, 방향 불확실

AI 학습데이터·위험평가 규정 강화 논의 중, 최종 내용 미확정

요약

AI 학습데이터 활용 시 개인정보 보호위원회 사전 심의·의결 및 민감정보 위험평가 의무화를 추진하는 개정안이나, 대안반영폐기로 처리되어 실제 법적 구속력 여부는 불확실하므로 연결 의안 및 후속 입법 동향을 지속 모니터링해야 합니다.

#개인정보#AI학습데이터#투명성강화#위험평가#안전조치#보호위원회

상세 분석

1. 이슈 개요

본 개정안은 인공지능(AI) 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 별도 규율 체계를 개인정보 보호법에 신설하려는 시도입니다. 현행 개인정보 보호법상 AI 학습 데이터 활용에 대한 명시적 근거 및 절차가 불명확한 상황에서, 개정안은 개인정보 보호위원회의 사전 심의·의결, 강화된 안전조치, 정보주체 권리 보장 등을 의무화하는 내용을 담고 있습니다.

현재 상태는 상임위 심의 단계에서 대안반영폐기로 처리되었으나, 원안이 반영된 연결 의안이 확인되지 않아 실제 입법 효력 여부가 불확실합니다. 다만 2025년 4월 1일 기준 개인정보 보호법 시행 일정과 맞물려 있어, AI 관련 개인정보 처리 업무를 수행하는 기업 및 기관은 관련 동향을 지속적으로 모니터링할 필요가 있습니다.

2. 실행 우선순위별 의무 사항 정리

[즉시 검토] 개인정보 보호위원회 사전 심의·의결 절차 확인

AI 기술 개발 또는 성능 개선을 목적으로 개인정보를 활용하려는 경우, 개인정보 보호위원회의 심의·의결을 사전에 거쳐야 합니다. 이는 기존의 사후 신고·등록 방식과 달리 사전 승인 구조에 해당하므로, AI 프로젝트 기획 단계에서부터 심의 일정을 고려한 업무 프로세스 재설계가 필요합니다. 심의 절차의 구체적 기준과 소요 기간은 현재 확정되지 않은 상태이므로, 위원회의 후속 고시·가이드라인 발표를 주시해야 합니다.

[단기 조치] 개인정보 처리방침 내 AI 활용 현황 사전 공개

AI 학습 등에 개인정보를 활용하는 경우, 해당 처리 현황을 개인정보 처리방침에 사전 반영하여 투명하게 공개해야 합니다. 현재 처리방침에 AI 관련 항목이 누락된 경우 즉시 보완이 필요하며, 특히 제3자 제공, 위탁 처리, 자동화된 의사결정 등과의 연계 기재 여부도 함께 검토해야 합니다.

[단기 조치] 민감정보·고유식별정보 포함 시 사전 위험평가 실시

일정 규모 이상의 민감정보 또는 고유식별정보가 AI 학습 데이터에 포함되는 경우, 위험요인에 대한 사전 평가가 의무화됩니다. 평가 대상 규모 기준 및 평가 항목의 세부 기준은 하위 법령에서 정해질 것으로 예상되므로, 현재 보유 중인 데이터셋의 민감정보 포함 여부를 사전에 분류·목록화하는 작업을 선행하는 것이 실무적으로 유리합니다.

[중기 조치] 강화된 안전조치 및 정보주체 권리 보장 체계 구축

AI 개발 과정에서 정보주체의 권리 침해가 발생하지 않도록 기술적·관리적 안전조치를 강화해야 합니다. 구체적으로는 데이터 익명화·가명화 처리 수준 점검, 접근 권한 관리 강화, 정보주체의 열람·정정·삭제 요청 대응 절차 정비 등이 포함됩니다. 특히 AI 모델 학습 완료 후에도 원본 데이터 삭제 또는 분리 보관 여부에 대한 내부 정책 수립이 필요합니다.

[지속 관리] 개인정보 보호위원회의 주기적 이행 점검 대응 체계 마련

위원회는 AI 관련 개인정보 처리에 대해 주기적으로 이행 점검 및 관리·감독을 실시할 권한을 갖습니다. 이에 대비하여 AI 프로젝트별 개인정보 처리 기록 관리, 내부 감사 체계 정비, 담당 조직 내 책임자 지정 등 상시 대응 체계를 구축해야 합니다.

3. 불확실성 및 주의사항

입법 효력의 불확실성: 본 개정안은 대안반영폐기 처리되었으나, 원안이 반영된 연결 의안이 공식적으로 확인되지 않습니다. 따라서 현 시점에서 본 개정안의 의무 사항이 법적 구속력을 갖는지 여부는 단정할 수 없으며, 반드시 개인정보 보호위원회 공식 발표 및 법제처 입법예고 현황을 통해 최종 입법 여부를 확인해야 합니다.

하위 법령 미비: 사전 위험평가 대상 규모 기준, 심의·의결 절차의 구체적 요건, 안전조치의 세부 기준 등은 시행령 또는 위원회 고시를 통해 확정될 예정으로, 현재로서는 구체적 이행 기준을 특정하기 어렵습니다.

기존 법령과의 관계: 현행 개인정보 보호법상 가명정보 처리 특례(제28조의2 이하) 및 개인정보 영향평가 제도(제33조)와의 중복·충돌 가능성이 있으므로, 개정안 확정 시 기존 내부 절차와의 정합성을 재검토해야 합니다.

AI 기업·연구기관의 선제적 대응 권고: 입법 불확실성에도 불구하고, 국내외 AI 규제 강화 흐름을 고려할 때 본 개정안에서 제시된 의무 사항들은 향후 유사한 형태로 입법화될 가능성이 높습니다. 법 시행 전이라도 내부 준비 체계를 갖추는 것이 리스크 관리 측면에서 바람직합니다.

인용 주의: 본 분석은 제공된 정책 정보를 기반으로 작성되었으며, 개정안의 최종 입법 여부 및 조문 내용은 국회 의안정보시스템 및 개인정보 보호위원회 공식 자료를 통해 반드시 직접 확인하시기 바랍니다.

핵심 포인트

  • 1본 개정안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태로, 최종 확정된 법적 의무 내용은 대안 법률안을 별도로 확인해야 하며 현 시점에서 직접적인 법적 구속력은 불확실함.
  • 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 절차가 요구될 수 있으므로, AI 관련 데이터 활용 프로젝트의 사전 검토 프로세스를 선제적으로 정비할 필요가 있음.
  • 3민감정보·고유식별정보를 일정 규모 이상 처리하는 경우 사전 위험평가(PIA) 의무화가 추진되고 있어, 해당 데이터를 다루는 사업 부문은 위험평가 체계 구축 여부를 즉시 점검해야 함.
  • 4개인정보 처리방침을 통한 투명한 사전 공개 및 주기적 이행 점검 의무가 강화될 가능성이 높으므로, 현행 개인정보 처리방침의 AI 관련 항목 기재 수준을 조기에 보완하는 것이 바람직함.
  • 5대안 반영 폐기 이후 실제 시행될 법령 내용을 2025년 4월 기준으로 재확인하고, 변경된 의무 조항에 맞춰 내부 컴플라이언스 정책 및 감독 대응 체계를 업데이트할 것을 권고함.

권고 사항

대표 권고

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 처리 규모, 안전조치 수준을 항목별로 점검하고, 현행 운영 방식과 개정안 요건(위원회 심의·의결, 사전 위험평가, 처리방침 공개) 간의 격차를 문서화하십시오. 정책 상태가 불확실하더라도 연결 의안이 확인될 경우 즉시 대응 가능한 기반을 마련해 두는 것이 핵심입니다. 법무·개인정보보호 담당 부서가 협력하여 2주 내 초안 보고서를 완성하는 것을 목표로 하십시오.

P0

AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시

0-30d

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 특히 민감정보·고유식별정보 포함 여부, 처리 규모, 안전조치 수준을 항목별로 점검하고, 현행 운영 방식과 개정안 요건(위원회 심의·의결, 사전 위험평가, 처리방침 공개) 간의 격차를 문서화하십시오. 정책 상태가 불확실하더라도 연결 의안이 확인될 경우 즉시 대응 가능한 기반을 마련해 두는 것이 핵심입니다. 법무·개인정보보호 담당 부서가 협력하여 2주 내 초안 보고서를 완성하는 것을 목표로 하십시오.

개인정보보호팀법무팀AI개발팀
P1

AI 목적 개인정보 처리방침 개정 및 사전 위험평가 체계 구축

30-60d

개정안이 요구하는 투명한 공개 의무에 대비하여, AI 학습·성능 개선 목적의 개인정보 처리 내용을 처리방침에 명시적으로 반영하는 개정 작업을 진행하십시오. 동시에 민감정보·고유식별정보가 일정 규모 이상 포함된 AI 프로젝트에 대해 사전 위험평가(PIA) 절차를 표준화하고, 평가 기준·양식·승인 프로세스를 내부 정책으로 문서화하십시오. 개인정보 보호위원회의 심의·의결 요건에 대비한 제출 서류 목록도 사전에 준비하십시오.

개인정보보호팀컴플라이언스팀AI개발팀
P1

개인정보 보호위원회 동향 모니터링 및 연결 의안 추적 체계 운영

0-30d

원안이 다른 의안 또는 수정안에 반영되어 폐기된 상황이므로, 연결 의안의 입법 진행 상황을 주 단위로 추적하는 모니터링 체계를 구축하십시오. 국회 의안정보시스템 및 개인정보 보호위원회 공식 채널을 정기적으로 확인하고, 관련 가이드라인·고시 변경 사항을 즉시 내부에 공유하는 알림 프로세스를 마련하십시오. 정책 확정 시 30일 이내 대응 계획을 실행할 수 있도록 시나리오별 대응 매뉴얼을 병행 준비하십시오.

법무팀컴플라이언스팀경영전략팀
P2

AI 개인정보 처리 관련 임직원 교육 및 내부 거버넌스 체계 정비

60-90d

AI 개발·운영 부서 임직원을 대상으로 개정안의 주요 의무사항(강화된 안전조치, 위원회 심의 요건, 정보주체 권리 보장)을 반영한 교육 프로그램을 설계하고 시행하십시오. 아울러 AI 프로젝트 기획 단계부터 개인정보보호팀이 참여하는 Privacy by Design 프로세스를 내부 개발 방법론에 통합하십시오. 주기적 이행 점검에 대비하여 내부 감사 주기(반기 1회 이상)와 점검 항목을 사전에 확정하고, 감독기관의 현장 점검 시 제출 가능한 증빙 자료 관리 체계도 정비하십시오.

개인정보보호팀HR팀AI개발팀내부감사팀