개인정보 보호법 개정안, 방향 불확실
AI 학습데이터·위험평가 규정 논의 중, 최종 내용 미확정
요약
AI 학습데이터 활용 시 개인정보보호위원회 사전 심의·의결 및 위험평가 의무 도입이 논의 중이나, 원안이 대안에 흡수·폐기되어 최종 법적 효력은 미확정 상태입니다. 대안 법안 내용을 즉시 확인하고 사전 승인 절차 및 처리방침 정비를 선제적으로 준비할 것을 권고합니다.
상세 분석
1. 이슈 개요
본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 안전장치를 개인정보 보호법 체계 내에 명시적으로 편입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 해당 대안 의안이 구체적으로 확인되지 않아 현재 법적 효력 여부는 불확실합니다.
실행 관점에서 핵심은 AI 개발·학습 목적의 개인정보 처리가 기존의 일반적 처리 기준보다 높은 수준의 사전 승인, 투명성 공개, 위험 평가 의무를 수반한다는 점입니다. 특히 개인정보 보호위원회의 심의·의결이 선행 요건으로 설정되어 있어, AI 프로젝트의 기획 단계부터 규제 대응을 내재화해야 합니다. 2025년 4월 1일자 개인정보 보호법 시행 내용과의 연계성도 검토가 필요합니다.
2. 실행 우선순위별 의무 사항 정리
[즉시 대응] 개인정보 보호위원회 심의·의결 절차 확인
AI 기술 개발 또는 모델 성능 개선을 위해 개인정보를 활용하려는 경우, 처리 착수 전에 개인정보 보호위원회의 심의·의결을 거쳐야 합니다. 이는 사후 보고가 아닌 사전 승인 성격의 절차로 해석되므로, 프로젝트 로드맵 수립 시 해당 절차 소요 기간을 반드시 반영해야 합니다. 현재 위원회의 구체적인 심의 기준 및 절차가 공식 확정되지 않은 상태일 수 있으므로, 관련 고시·가이드라인 발행 여부를 지속 모니터링해야 합니다.
[단기 조치] 강화된 안전조치 및 정보주체 권리 보장 체계 구축
AI 개발 목적의 개인정보 활용 시에는 일반적인 안전조치 기준을 초과하는 강화된 기술적·관리적 보호조치가 요구됩니다. 구체적으로는 다음을 포함해야 합니다.
- 정보주체의 열람·정정·삭제·처리정지 요구권이 AI 학습 데이터에도 실질적으로 행사될 수 있는 절차 마련
- 데이터 접근 권한 최소화, 비식별화·가명처리 적용 범위 명확화
- AI 개발 전 과정에서의 침해 방지 내부 통제 절차 문서화
[단기 조치] 개인정보 처리방침 사전 공개 의무 이행
AI 기술 개발 목적의 개인정보 처리 현황은 처리방침을 통해 사전적으로 투명하게 공개되어야 합니다. 기존 처리방침에 AI 학습 목적 항목이 누락되어 있다면 즉시 보완이 필요하며, 처리 목적·항목·보유기간·제3자 제공 여부 등을 구체적으로 기재해야 합니다.
[중기 조치] 민감정보·고유식별정보 포함 시 위험 평가 실시
일정 규모 이상의 민감정보 또는 고유식별정보가 AI 학습 데이터에 포함되는 경우, 처리 전 위험요인 평가(영향평가 유사 절차)를 수행해야 합니다. '일정 규모'의 구체적 기준은 현재 확인되지 않으므로, 보수적 기준을 적용하여 민감정보가 일부라도 포함된 경우 평가 절차를 준비하는 것이 권고됩니다.
[상시 체계] 개인정보 보호위원회의 주기적 이행 점검 대응
위원회는 AI 개발 목적 개인정보 처리에 대해 주기적으로 이행 점검 및 관리·감독을 실시할 수 있습니다. 이에 대비하여 처리 기록, 안전조치 이행 증빙, 위험 평가 결과물 등을 체계적으로 보관하고 언제든 제출 가능한 상태로 유지해야 합니다.
3. 불확실성 및 주의사항
법적 효력 불확실: 본 원안은 대안에 반영되어 폐기된 상태이나, 연결된 대안 의안이 확인되지 않습니다. 따라서 본 개정안의 내용이 현행법에 실제로 반영되었는지, 반영되었다면 어느 범위까지인지 현 시점에서 단정할 수 없습니다. 개인정보 보호위원회 공식 발표 및 법령 정보 시스템(국가법령정보센터)을 통해 최종 확정 내용을 반드시 직접 확인해야 합니다.
2025년 4월 1일 시행 개인정보 보호법과의 관계: 타임라인상 2025년 4월 1일 개인정보 보호법이 시행된 것으로 표시되어 있으나, 본 개정안의 내용이 해당 시행분에 포함되었는지 여부는 별도 확인이 필요합니다. 시행령·고시 등 하위 규범의 내용에 따라 의무의 구체적 범위가 달라질 수 있습니다.
'일정 규모' 기준 미확정: 위험 평가 의무가 발생하는 민감정보·고유식별정보의 '일정 규모' 기준이 현재 명확히 공개되지 않았습니다. 하위 규정 또는 위원회 고시를 통해 확정될 것으로 예상되므로, 관련 기준 발표 전까지는 보수적 접근이 필요합니다.
심의·의결 절차 세부 기준 부재: 개인정보 보호위원회의 AI 목적 개인정보 활용 심의 절차, 심의 기간, 제출 서류 등 운영 세칙이 아직 공개되지 않았을 가능성이 있습니다. 실무 적용 전 위원회에 직접 문의하거나 관련 가이드라인 발행을 확인하는 것이 필요합니다.
핵심 포인트
- 1본 개정안은 상임위 심의 중 대안반영폐기 처리되어 독립 법안으로는 효력이 없으나, 핵심 내용이 대안 법안에 흡수되었을 가능성이 높아 대안 법안의 최종 내용을 즉시 확인해야 함.
- 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 요건이 도입될 수 있으므로, AI 관련 데이터 활용 프로젝트의 사전 승인 절차를 내부 프로세스에 반영하는 준비가 필요함.
- 3민감정보·고유식별정보를 일정 규모 이상 처리하는 경우 위험요인 평가 의무가 부과될 수 있어, 현재 보유 데이터셋의 민감정보 포함 규모를 점검하고 영향평가 체계를 선제적으로 구축할 것을 권고함.
- 4개인정보 처리방침을 통한 사전 공개 의무 강화가 예상되므로, AI 학습 목적의 데이터 활용 내역을 처리방침에 명시하는 방향으로 문서 체계를 조기에 정비해야 함.
- 5개인정보 보호위원회의 주기적 이행 점검 및 관리·감독 강화가 예고된 만큼, 내부 컴플라이언스 담당 조직의 역할과 대응 체계를 경영진 차원에서 재검토할 필요가 있음.
권고 사항
대표 권고
현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 안전조치 수준을 전수 조사하십시오. 특히 민감정보·고유식별정보 포함 여부를 확인하고, 개인정보 보호위원회 심의·의결 요건 해당 여부를 사전 판단하는 내부 체크리스트를 즉시 마련해야 합니다. 법안이 불확실 상태이나 2025-04-01 기준 현행 개인정보 보호법 적용이 이미 진행 중이므로 지체 없이 착수해야 합니다. 정보통신업·금융·전문기술서비스업 모두 해당됩니다.
AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시
0-30d현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 안전조치 수준을 전수 조사하십시오. 특히 민감정보·고유식별정보 포함 여부를 확인하고, 개인정보 보호위원회 심의·의결 요건 해당 여부를 사전 판단하는 내부 체크리스트를 즉시 마련해야 합니다. 법안이 불확실 상태이나 2025-04-01 기준 현행 개인정보 보호법 적용이 이미 진행 중이므로 지체 없이 착수해야 합니다. 정보통신업·금융·전문기술서비스업 모두 해당됩니다.
개인정보 처리방침 전면 검토 및 AI 활용 항목 투명성 강화
0-30d현행 개인정보 처리방침에 AI 기술 개발 목적의 개인정보 활용 내역이 명시되어 있는지 점검하고, 누락된 경우 처리 목적·항목·보유기간·제3자 제공 여부를 구체적으로 기재하도록 개정하십시오. 법안 확정 여부와 무관하게 현행법상 사전 공개 의무가 적용되며, 규제 강화 방향성이 명확하므로 선제적 대응이 리스크를 최소화합니다. 공공기관(O)은 행정안전부 가이드라인과의 정합성도 함께 검토하십시오.
민감정보·고유식별정보 포함 AI 데이터셋 위험성 평가 체계 구축
30-60d일정 규모 이상의 민감정보·고유식별정보를 포함한 AI 학습 데이터셋에 대해 개인정보 영향평가(PIA) 또는 자체 위험요인 평가 절차를 수립하십시오. 평가 기준(데이터 규모 임계값, 위험 등급 분류), 담당 조직, 주기적 재평가 일정을 문서화하고, 개인정보 보호위원회의 향후 이행 점검에 대비한 증빙 자료를 체계적으로 보관하십시오. 금융업(K)과 정보통신업(J)은 기존 금융보안원·ISMS-P 체계와 연계하여 중복 부담을 줄일 수 있습니다.
개인정보 보호위원회 심의·의결 대응 프로세스 및 연결 법안 모니터링 체계 마련
30-60d원안이 수정안에 반영되어 폐기된 불확실 상태이므로, 연결 의안의 입법 진행 상황을 정기적으로 추적하는 모니터링 담당자를 지정하십시오. 동시에, AI 개인정보 활용이 심의·의결 대상에 해당할 경우를 대비하여 신청 서류 목록, 내부 승인 절차, 예상 소요 기간을 사전에 정리한 대응 매뉴얼을 준비하십시오. 법안 확정 시 즉각 실행 가능한 상태를 유지하는 것이 목표입니다.