개인정보 보호법 개정안, 심의 진행 중
AI 개인정보 처리 투명성·위험평가 의무화 여부, 결과 주목 필요
요약
AI 개인정보 처리 투명성·위험평가 의무화를 담은 개정안은 대안반영폐기로 현재 독립적 법적 효력이 불확실하나, 핵심 규율 내용이 후속 입법에 반영될 가능성이 있어 AI 데이터 활용 기업은 처리방침 공개 및 사전 위험평가 체계를 선제적으로 정비할 필요가 있습니다.
상세 분석
1. 이슈 개요
본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 명시적 규율 체계를 개인정보 보호법에 도입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 연결 의안이 확인되지 않아 현재 법적 효력 여부는 불확실합니다. 다만 개정안에 담긴 규율 방향—AI 학습 데이터의 적법성 요건 강화, 사전 위험 평가, 감독기관 심의 의무화—은 향후 입법 또는 유권해석에 반영될 가능성이 높아 실무적 대비가 필요합니다.
2025년 4월 1일 시행된 개인정보 보호법 개정 내용과의 연계 여부도 현재로서는 명확히 확인되지 않으므로, 기업 및 기관은 해당 시행 법령을 기준으로 우선 대응하되 본 개정안의 내용을 선제적 리스크 관리 기준으로 참고하는 것이 적절합니다.
2. 실행 우선순위별 의무 사항 정리
[즉시 점검] 개인정보 수집 적법성 확인
AI 모델 학습, 파인튜닝, 성능 평가 등에 활용 중인 데이터셋 전반에 대해 수집 당시의 법적 근거(동의, 계약 이행, 정당한 이익 등)를 재검토해야 합니다. 적법하게 수집되지 않은 개인정보를 AI 목적으로 전용하는 행위는 명시적으로 금지되며, 이는 현행 개인정보 보호법 원칙과도 일치합니다. 외부 데이터 구매·크롤링·제3자 제공 데이터의 출처 및 수집 경위를 문서화하는 것이 우선 과제입니다.
[단기 조치] 개인정보 처리방침 내 AI 활용 현황 공개
AI 기술 개발 또는 성능 개선을 위해 개인정보를 처리하는 경우, 해당 사실과 처리 목적·방식을 개인정보 처리방침에 사전 공개해야 합니다. 현재 처리방침에 AI 학습 목적의 처리 항목이 누락되어 있다면 즉시 보완이 필요합니다. 특히 이용자 행동 데이터, 음성·영상 데이터 등을 모델 개선에 활용하는 경우 그 내용이 명확히 기재되어야 합니다.
[중기 준비] 고위험 처리에 대한 사전 위험 평가 체계 구축
민감정보(건강, 생체, 신념 등) 또는 고유식별정보(주민등록번호 등)가 일정 규모 이상 포함된 AI 학습 데이터를 처리하는 경우, 처리 전 위험요인을 평가하는 절차를 내부적으로 마련해야 합니다. 현행법상 개인정보 영향평가 제도와 연계하여 AI 특화 위험 평가 항목(모델 편향, 재식별 가능성, 출력 결과의 개인정보 노출 등)을 추가하는 방식으로 체계를 정비하는 것이 실무적으로 유효합니다.
[중기 준비] 강화된 안전조치 및 정보주체 권리 보장 방안 마련
AI 목적의 개인정보 처리에 대해서는 일반적인 안전조치 수준을 넘어 강화된 기술적·관리적 보호조치가 요구됩니다. 구체적으로는 학습 데이터 접근 통제, 익명화·가명화 처리 수준 검토, 정보주체의 처리 정지·삭제 요청에 대한 AI 파이프라인 내 대응 절차 등을 정비해야 합니다. 특히 학습 완료 후 모델에 잔존하는 개인정보 처리 문제는 현재 기술적·법적으로 미해결 영역이므로 내부 정책 수립이 필요합니다.
[지속 대응] 개인정보 보호위원회 심의·의결 및 이행 점검 대비
개정안은 AI 목적의 개인정보 처리에 대해 개인정보 보호위원회의 사전 심의·의결을 요건으로 규정하고 있으며, 주기적 이행 점검도 예정하고 있습니다. 조항이 향후 입법화될 경우 대규모 AI 서비스 운영 기업은 사전 신고·심의 절차를 거쳐야 할 수 있습니다. 현재 시점에서는 내부 거버넌스 문서(AI 개발 목적, 데이터 처리 현황, 안전조치 내역)를 체계적으로 관리하여 향후 점검에 대비하는 것이 적절합니다.
3. 불확실성 및 주의사항
법적 효력 불확실: 본 개정안은 대안반영폐기 상태로, 원안의 내용이 어느 의안에 어떤 형태로 반영되었는지 현재 확인되지 않습니다. 따라서 위 의무 사항들이 현행법상 직접적인 법적 구속력을 갖는다고 단정할 수 없으며, 반드시 2025년 4월 1일 시행된 개인정보 보호법 조문 및 개인정보 보호위원회의 공식 가이드라인을 기준으로 법적 의무를 확인해야 합니다.
연결 의안 추적 필요: 대안이 된 의안의 내용에 따라 의무의 범위와 수준이 달라질 수 있습니다. 국회 의안정보시스템을 통해 관련 대안 의안을 직접 확인하고, 필요 시 법률 전문가의 검토를 받는 것을 권장합니다.
"일정 규모" 기준 미확정: 사전 위험 평가 의무가 적용되는 민감정보·고유식별정보의 규모 기준이 개정안에 구체적으로 명시되지 않았습니다. 향후 시행령 또는 고시를 통해 기준이 확정될 예정으로 보이며, 그 전까지는 보수적 기준을 적용하는 것이 안전합니다.
AI 특화 규율의 국제적 정합성: 본 개정안의 방향은 EU AI Act 및 GDPR의 고위험 AI 시스템 규율 체계와 유사한 흐름을 보입니다. 글로벌 서비스를 운영하는 경우 국내 법령 대응과 함께 해외 규제 동향도 병행하여 검토할 필요가 있습니다.
핵심 포인트
- 1본 법안은 상임위 심의 중 대안반영폐기 처리되어 현재 독립 법안으로는 효력이 없으나, 핵심 내용이 대안 법안에 반영될 가능성이 있으므로 후속 입법 동향을 지속 모니터링해야 함.
- 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 절차가 도입될 수 있어, AI 관련 사업 추진 일정에 규제 심의 기간을 사전에 반영한 계획 수립이 필요함.
- 3민감정보·고유식별정보 등 일정 규모 이상의 데이터를 활용하는 경우 사전 위험평가(PIA) 의무화가 예상되므로, 현행 데이터 처리 프로세스에 위험평가 절차를 조기에 내재화하는 것이 바람직함.
- 4개인정보 처리방침을 통한 투명한 사전 공개 및 주기적 이행 점검 의무가 강화될 수 있어, AI 서비스 운영 부서는 처리방침 갱신 체계와 내부 감사 주기를 점검하고 정비할 필요가 있음.
- 5대안 법안의 최종 내용이 확정되지 않은 불확실한 상태이므로, 법무·컴플라이언스 팀은 개인정보 보호위원회의 가이드라인 및 관련 입법 진행 상황을 분기별로 검토하여 경영진에 보고하는 체계를 마련해야 함.
권고 사항
대표 권고
현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 민감정보·고유식별정보 포함 여부, 처리 규모, 안전조치 수준을 항목별로 매핑하고, 현행 내부 통제와 법안 요구사항 간 갭을 문서화하십시오. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 수용할 가능성이 있으므로, 선제적 감사 결과는 향후 규제 대응의 핵심 근거 자료가 됩니다. 특히 정보통신업·금융업 등 데이터 집약 산업은 처리 목적별 법적 근거 재검토를 병행하십시오.
AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시
0-30d현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 전수 조사를 즉시 착수하십시오. 민감정보·고유식별정보 포함 여부, 처리 규모, 안전조치 수준을 항목별로 매핑하고, 현행 내부 통제와 법안 요구사항 간 갭을 문서화하십시오. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 수용할 가능성이 있으므로, 선제적 감사 결과는 향후 규제 대응의 핵심 근거 자료가 됩니다. 특히 정보통신업·금융업 등 데이터 집약 산업은 처리 목적별 법적 근거 재검토를 병행하십시오.
개인정보 처리방침 개정 및 AI 활용 투명성 공시 체계 구축
30-60dAI 기술 개발 목적의 개인정보 처리 항목을 개인정보 처리방침에 명시적으로 기재하는 개정 작업을 착수하십시오. 처리 목적, 항목, 보유 기간, 안전조치 개요를 정보주체가 이해할 수 있는 수준으로 서술하고, 처리방침 버전 관리 이력을 유지하십시오. 법안 확정 전이라도 투명성 강화는 현행 개인정보 보호법 제30조 요건과도 부합하므로 즉시 실행 가능합니다. 공공 행정 기관의 경우 내부 결재 프로세스를 고려해 일정을 앞당겨 착수하십시오.
개인정보 보호위원회 심의·의결 대응을 위한 내부 거버넌스 절차 설계
30-60dAI 개발 프로젝트 착수 전 개인정보보호위원회 심의·의결 요건 충족 여부를 사전 검토하는 내부 게이트(Gate) 프로세스를 설계하십시오. 프로젝트 제안 단계에서 개인정보 영향평가(PIA) 트리거 기준, 심의 신청 준비 서류 목록, 담당 부서 역할을 명확히 정의한 내부 지침을 마련하십시오. 금융·보험업은 기존 금융당국 규제와의 중복 심의 가능성을 고려해 규제 기관 간 협의 채널도 사전에 확인하십시오. 법안 최종 확정 시 즉시 운영 가능한 수준으로 준비하십시오.
민감정보·고유식별정보 포함 AI 데이터셋 사전 위험평가 프레임워크 도입
60-90d일정 규모 이상의 민감정보·고유식별정보가 포함된 AI 학습 데이터셋에 대해 위험요인을 사전 평가하는 표준 프레임워크를 수립하십시오. 위험 등급 분류 기준(데이터 규모, 민감도, 처리 목적), 평가 주기, 결과 보고 체계를 문서화하고, 주기적 이행 점검에 대비한 증적 관리 시스템을 구축하십시오. 전문·과학·기술 서비스업의 경우 외부 위탁 처리 시 수탁사 관리 기준도 프레임워크에 포함하십시오. 연결 의안 확정 후 세부 기준이 구체화되면 프레임워크를 신속히 업데이트할 수 있도록 모듈형 구조로 설계하십시오.