PERI ai
인사이트 목록으로
중간 영향모니터링기준일 2026. 6. 8.

개인정보 보호법 개정안, 방향 주목

AI 투명성·위험평가 조항 포함 가능성…최종 내용은 미확정

요약

개인정보 보호법 개정안은 AI 개발 목적의 개인정보 활용에 사전 위험평가·위원회 심의 등 강화된 규제를 도입하려 하나, 원안이 대안반영폐기된 상태로 최종 법제화 여부는 불확실합니다. 연결 의안 확인과 함께 AI 데이터 활용 체계를 선제적으로 점검할 필요가 있습니다.

#AI개인정보#투명성강화#위험평가#안전조치#개인정보법#보호위원회

상세 분석

1. 이슈 개요

본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 명시적 규율 체계를 개인정보 보호법에 도입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 연결 의안이 확인되지 않아 현재 법적 효력 여부는 불확실합니다.

실행 관점에서 핵심은 AI 개발 목적의 개인정보 처리를 일반적인 처리 행위와 구분하여 별도의 안전조치·사전평가·감독 체계를 요구한다는 점입니다. AI 서비스를 개발·운영하거나 외부 데이터를 학습에 활용하는 기업은 개정 방향이 최종 입법에 반영될 가능성을 전제로 내부 체계를 점검할 필요가 있습니다.

기준 시점은 2025년 4월 1일 현행 개인정보 보호법이며, 본 분석은 해당 법령 및 개정안 내용에 근거합니다.

2. 실행 우선순위별 의무 사항 정리

[즉시 검토] 적법하게 수집된 개인정보 범위 확인

AI 학습·개발에 활용 중인 개인정보가 최초 수집 시 고지된 목적 범위 내에서 적법하게 수집된 것인지 전수 점검이 필요합니다. 개정안은 적법하게 수집한 개인정보 외의 데이터를 AI 개발 목적으로 활용하는 것을 명시적으로 금지하고 있어, 외부 크롤링 데이터, 제3자 제공 데이터, 공개 데이터셋 등의 수집 경위와 동의 범위를 재확인해야 합니다.

[단기 준비] 개인정보 처리방침 내 AI 활용 현황 공개 체계 마련

AI 기술 개발 목적의 개인정보 처리 현황을 개인정보 처리방침에 사전 공개해야 합니다. 현재 처리방침에 AI 학습 목적 항목이 누락되어 있다면 항목 추가 및 구체적 기재 방식을 검토해야 합니다. 단순 나열이 아닌 처리 목적, 항목, 보유 기간, 안전조치 내용이 포함되어야 투명성 요건을 충족할 수 있습니다.

[단기 준비] 강화된 안전조치 및 정보주체 권리 보장 방안 수립

AI 개발 목적의 개인정보 활용 시 일반 처리 수준을 초과하는 안전조치를 마련해야 합니다. 구체적으로는 가명처리·익명화 적용 범위 확대, 접근 권한 최소화, 처리 로그 관리, 정보주체의 열람·삭제 요청 처리 절차 등을 포함한 내부 지침을 정비해야 합니다.

[중기 준비] 사전 위험평가(PIA) 체계 구축

민감정보 또는 고유식별정보가 일정 규모 이상 포함된 AI 학습 데이터를 사용하는 경우, 처리 전 위험요인 사전평가가 의무화됩니다. 현재 개인정보 영향평가(PIA) 대상이 아닌 민간 기업도 유사한 자체 평가 절차를 내재화할 필요가 있습니다. 평가 항목, 담당 조직, 결과 기록·보관 방식을 사전에 설계해야 합니다.

[중기 준비] 개인정보 보호위원회 심의·의결 대응 체계 마련

AI 기술 개발 목적의 개인정보 처리에 대해 개인정보 보호위원회의 심의·의결을 거쳐야 하는 경우가 발생할 수 있습니다. 심의 대상 범위, 신청 절차, 소요 기간 등 세부 기준은 하위 법령에서 정해질 가능성이 높으므로, 신규 AI 프로젝트 기획 단계에서 심의 일정을 사전에 반영한 타임라인 관리가 필요합니다.

[지속 관리] 이행 점검 대비 내부 감사 체계 운영

개인정보 보호위원회는 AI 목적 개인정보 처리에 대해 주기적 이행 점검 및 관리·감독을 실시할 수 있습니다. 이에 대비하여 처리 현황 기록, 안전조치 이행 증빙, 위험평가 결과물 등을 체계적으로 보관하고 내부 감사 주기를 설정해야 합니다.

3. 불확실성 및 주의사항

법적 효력의 불확실성
원안은 대안에 반영되어 폐기되었으나, 해당 대안 의안이 확인되지 않아 현재 시점에서 본 개정안의 내용이 실제로 법제화되었는지 여부를 단정할 수 없습니다. 개인정보 보호위원회 또는 국회 의안정보시스템을 통해 연결 의안의 최종 처리 결과를 직접 확인하는 것이 필수적입니다.

심의·의결 대상 범위 미확정
개인정보 보호위원회 심의·의결이 요구되는 AI 개발 행위의 구체적 범위(규모 기준, 처리 유형 등)는 개정안 본문만으로는 특정되지 않습니다. 하위 법령 또는 고시에서 세부 기준이 마련될 것으로 예상되나, 현재로서는 확인되지 않습니다.

사전 위험평가 기준 미확정
'일정 규모 이상'의 민감정보·고유식별정보에 대한 수치 기준이 개정안에 명시되어 있지 않습니다. 기존 개인정보 영향평가 기준(공공기관 5만 명 이상 등)을 참고할 수 있으나, 민간 AI 개발 영역에 동일 기준이 적용될지는 불확실합니다.

기존 법령과의 관계
현행 개인정보 보호법상 가명정보 처리 특례(제28조의2 이하), 영향평가 규정(제33조) 등과의 관계 정리가 필요합니다. 개정안이 기존 조항을 대체하는지, 추가하는지에 따라 실무 적용 방식이 달라질 수 있으나, 연결 의안 미확인으로 인해 현재 판단이 어렵습니다.

권고사항: 법적 불확실성이 해소되기 전이라도, 위 의무 사항들은 현행 개인정보 보호법의 원칙(목적 제한, 안전조치, 투명성)과 방향이 일치하므로 선제적 내부 체계 정비를 진행하는 것이 리스크 관리 측면에서 유효합니다.

핵심 포인트

  • 1현재 해당 법안은 상임위 심의 중 대안반영폐기 상태로, 원안 그대로 시행될 가능성은 낮으나 핵심 규제 내용이 대안 법안에 반영될 수 있어 동향을 지속 모니터링해야 함
  • 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 절차가 요구될 수 있으므로, AI 관련 데이터 활용 프로젝트의 사전 검토 프로세스를 정비할 필요가 있음
  • 3민감정보·고유식별정보 등 일정 규모 이상의 데이터를 처리하는 경우 사전 위험평가(PIA) 의무화가 예상되므로, 현행 데이터 처리 현황을 점검하고 위험평가 체계를 선제적으로 구축해야 함
  • 4개인정보 처리방침을 통한 투명한 사전 공개 의무가 강화될 수 있어, AI 학습 데이터 활용 내역을 포함한 처리방침 업데이트 및 공시 절차를 검토해야 함
  • 5개인정보 보호위원회의 주기적 이행 점검·감독 권한이 확대될 가능성에 대비하여, 내부 컴플라이언스 담당 조직과 대응 매뉴얼을 사전에 정비하는 것이 바람직함

권고 사항

대표 권고

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보의 전체 현황을 파악하고, 강화된 안전조치 요건 및 개인정보 보호위원회 심의·의결 의무와의 갭을 분석하십시오. 정책 상태가 불확실하나 연결 의안이 현행법에 반영될 가능성이 있으므로, 선제적으로 AI 학습 데이터셋 목록화, 처리 근거 적법성 검토, 민감정보·고유식별정보 포함 여부 분류를 즉시 착수해야 합니다. 특히 정보통신업·금융업 등 데이터 집약 산업은 규제 시행 전 내부 준비 기간이 촉박할 수 있습니다.

P0

AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시

0-30d

현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보의 전체 현황을 파악하고, 강화된 안전조치 요건 및 개인정보 보호위원회 심의·의결 의무와의 갭을 분석하십시오. 정책 상태가 불확실하나 연결 의안이 현행법에 반영될 가능성이 있으므로, 선제적으로 AI 학습 데이터셋 목록화, 처리 근거 적법성 검토, 민감정보·고유식별정보 포함 여부 분류를 즉시 착수해야 합니다. 특히 정보통신업·금융업 등 데이터 집약 산업은 규제 시행 전 내부 준비 기간이 촉박할 수 있습니다.

개인정보보호 담당부서(CPO실)AI/데이터 개발팀법무·컴플라이언스팀
P1

개인정보 처리방침 개정 및 AI 활용 투명성 공시 체계 구축

30-60d

AI 기술 개발 목적의 개인정보 처리 현황을 개인정보 처리방침에 명시적으로 반영하는 개정 작업을 진행하십시오. 처리 목적, 항목, 보유 기간, 안전조치 내용을 구체화하고, 정보주체의 권리 행사 방법(열람·정정·삭제·처리정지)을 명확히 안내하는 문구를 추가하십시오. 처리방침 개정 이력 관리 체계도 함께 수립하여 향후 규제 점검 시 증빙 자료로 활용할 수 있도록 준비하십시오.

개인정보보호 담당부서(CPO실)법무팀서비스·마케팅팀
P1

민감정보·고유식별정보 포함 AI 데이터셋 사전 위험평가(PIA) 프로세스 수립

30-60d

일정 규모 이상의 민감정보·고유식별정보가 포함된 AI 학습 데이터에 대해 사전 개인정보 영향평가(PIA) 절차를 내부 프로세스로 공식화하십시오. 평가 기준(데이터 규모 임계값, 민감도 등급), 평가 주체, 승인 절차, 결과 문서화 방식을 정의한 내부 지침을 마련하고, 신규 AI 프로젝트 착수 시 의무적으로 PIA를 거치도록 거버넌스 체계에 편입시키십시오. 개인정보 보호위원회의 심의·의결 요건에 대비한 사전 준비 자료로도 활용 가능합니다.

AI/데이터 개발팀개인정보보호 담당부서(CPO실)리스크관리팀
P2

개인정보 보호위원회 동향 모니터링 및 연결 의안 추적 체계 운영

60-90d

본 법안의 정책 상태가 불확실(원안 폐기 후 연결 의안 미확인)한 만큼, 개인정보 보호위원회 공식 발표, 국회 의안정보시스템, 관련 입법예고를 주기적으로 모니터링하는 전담 추적 체계를 구축하십시오. 연결 의안 확인 시 즉시 내부 영향 분석을 재수행하고, 시행 일정에 맞춰 준비 로드맵을 업데이트하는 절차를 사전에 정의해 두십시오. 법무법인 또는 개인정보 전문 컨설턴트와의 자문 채널도 확보해 두는 것이 권장됩니다.

법무·컴플라이언스팀대관업무 담당부서개인정보보호 담당부서(CPO실)