개인정보 보호법 개정안, 심의 진행 중
AI 개인정보 처리 투명성·위험평가 의무화 여부, 결과 주목
요약
AI 목적 개인정보 처리에 대한 투명성 공개·사전 위험평가·보호위원회 심의 의무화를 담은 개정안이 대안반영폐기되어 최종 효력은 불확실하나, 연결 대안 법안 확인 및 내부 컴플라이언스 체계 선제 구축이 권고됩니다.
상세 분석
1. 이슈 개요
본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 규제 체계를 명확히 하기 위해 발의된 「개인정보 보호법」 일부개정법률안입니다. 현행법상 AI 학습 데이터 활용에 관한 명시적 규정이 부재하여 발생하는 법적 불확실성을 해소하고, 정보주체의 권리 보호와 AI 산업 발전 간의 균형을 도모하는 것이 핵심 취지입니다.
다만, 본 원안은 상임위 심의 과정에서 대안반영폐기 처리되었으며, 원안의 내용이 반영된 연결 의안(대안)이 현재까지 공식적으로 확인되지 않은 상태입니다. 따라서 본 개정안의 조문이 현행법에 그대로 효력을 발휘하는지 여부는 불확실하며, 실무 대응 시 주의가 필요합니다. 관련 동향은 2025년 4월 1일 기준 개인정보 보호법 현행 조문 및 개인정보 보호위원회의 후속 고시·가이드라인을 병행하여 확인하는 것이 권고됩니다.
2. 실행 우선순위별 의무 사항 정리
🔴 즉시 검토 필요 — 적법한 수집 여부 확인
AI 기술 개발 또는 모델 성능 개선을 위해 개인정보를 활용하는 경우, 적법하게 수집된 개인정보만 사용 가능합니다. 수집 당시의 동의 범위, 수집 목적, 법적 근거를 소급하여 점검해야 하며, 목적 외 활용에 해당하는 데이터셋은 즉시 사용을 중단하거나 재동의 절차를 밟아야 합니다. 이는 AI 개발 파이프라인 전반에 걸쳐 데이터 출처 및 수집 경위를 문서화하는 체계 마련을 전제합니다.
🔴 즉시 검토 필요 — 개인정보 처리방침 공개 의무
AI 목적의 개인정보 처리 현황은 사전에 개인정보 처리방침을 통해 투명하게 공개해야 합니다. 현행 처리방침에 AI 학습 목적의 데이터 활용 내용이 누락되어 있다면 즉시 개정이 필요하며, 처리 목적·항목·보유기간·제3자 제공 여부 등을 구체적으로 기재해야 합니다.
🟠 단기 준비 필요 — 강화된 안전조치 및 정보주체 권리 보장
AI 기술 개발에 개인정보를 활용하려는 경우, 일반적인 개인정보 처리 수준을 넘어서는 강화된 안전조치를 마련해야 합니다. 여기에는 가명처리·익명화 기술 적용, 접근 권한 최소화, 처리 로그 관리 등이 포함됩니다. 아울러 정보주체의 열람·정정·삭제·처리정지 요구권이 AI 학습 데이터에도 실질적으로 행사될 수 있도록 내부 절차를 정비해야 합니다.
🟠 단기 준비 필요 — 사전 위험평가 체계 구축
일정 규모 이상의 민감정보 또는 고유식별정보가 포함된 AI 학습 데이터를 처리하는 경우, 처리 전 위험요인을 사전에 평가하는 절차를 갖추어야 합니다. 구체적인 규모 기준 및 평가 방법론은 개인정보 보호위원회의 후속 고시 또는 가이드라인을 통해 확정될 것으로 예상되므로, 현재로서는 내부 데이터 분류 체계를 정비하고 민감정보 포함 여부를 사전 식별하는 프로세스를 마련하는 것이 현실적인 준비 방향입니다.
🟡 중기 대응 — 개인정보 보호위원회 심의·의결 절차 대비
AI 기술 개발 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결을 거쳐야 하는 요건이 도입될 수 있습니다. 심의 대상 범위, 신청 절차, 소요 기간 등 세부 기준은 아직 확정되지 않았으나, 대규모 AI 학습 프로젝트를 계획 중인 조직은 사전 협의 채널 확보 및 내부 승인 프로세스 연계 방안을 검토해 두어야 합니다.
🟡 중기 대응 — 이행 점검 대비 내부 관리 체계 정비
개인정보 보호위원회는 AI 목적 개인정보 처리에 대해 주기적인 이행 점검 및 관리·감독을 실시할 수 있습니다. 이에 대비하여 처리 현황 기록, 안전조치 이행 증빙, 위험평가 결과 등을 체계적으로 보관하고 언제든 제출 가능한 상태로 유지하는 것이 필요합니다.
3. 불확실성 및 주의사항
법적 효력의 불확실성이 가장 중요한 리스크입니다. 본 원안은 대안반영폐기 처리되었으나, 원안 내용이 반영된 대안 의안이 공식적으로 확인되지 않고 있습니다. 따라서 본 개정안에 명시된 의무 조항들이 현행 「개인정보 보호법」에 실제로 반영되었는지 여부를 독립적으로 확인하지 않은 채 이를 확정적 의무로 간주하는 것은 법적 판단 오류로 이어질 수 있습니다.
실무 대응 시에는 다음 사항을 병행하여 확인하시기 바랍니다.
- 국회 의안정보시스템을 통해 대안 의안 번호 및 처리 결과를 직접 조회할 것
- 개인정보 보호위원회 공식 홈페이지 및 법령정보센터에서 2025년 4월 1일 이후 시행된 개정 조문을 확인할 것
- 본 분석은 공개된 의안 정보에 기반하며, 법률 전문가의 검토를 대체하지 않습니다
또한, 세부 기준(위험평가 대상 규모, 심의·의결 신청 요건 등)은 법률 시행 이후 하위 법령 또는 고시를 통해 구체화될 가능성이 높으므로, 관련 입법 동향을 지속적으로 모니터링하는 것이 필요합니다.
핵심 포인트
- 1본 법안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태로, 최종 확정된 개정 내용과 시행 시점을 대안 법안 기준으로 재확인하는 것이 선행되어야 함.
- 2AI 기술 개발·성능 개선 목적의 개인정보 활용 시 개인정보 보호위원회의 심의·의결 절차가 요구될 수 있으므로, 관련 AI 프로젝트의 착수 전 내부 법무·컴플라이언스 검토 프로세스를 조기에 구축할 필요가 있음.
- 3민감정보·고유식별정보 등 일정 규모 이상의 데이터를 활용하는 경우 사전 위험평가(PIA) 의무화가 예상되므로, 현재 운영 중인 데이터 파이프라인 및 AI 학습 데이터셋에 대한 즉각적인 현황 점검이 요구됨.
- 4개인정보 처리방침의 투명한 사전 공개 의무 강화에 대비하여, AI 관련 개인정보 처리 목적·방식·보유기간 등을 구체적으로 기재하는 방향으로 처리방침 개정 작업을 선제적으로 준비해야 함.
- 5개인정보 보호위원회의 주기적 이행 점검·감독 권한이 명문화될 가능성이 있으므로, 내부 감사 체계와 대응 매뉴얼을 정비하고 담당 조직의 역할과 책임을 명확히 설정하는 거버넌스 강화 조치가 필요함.
권고 사항
대표 권고
현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 안전조치 수준을 전수 조사하십시오. 특히 민감정보·고유식별정보 포함 여부를 확인하고, 현행 처리 방식이 강화된 안전조치 요건을 충족하는지 체크리스트 기반으로 갭을 식별해야 합니다. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 수용할 가능성이 높으므로, 선제적 대응이 규제 리스크를 최소화합니다.
AI 개인정보 활용 현황 긴급 내부 감사 및 갭 분석 실시
0-30d현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 안전조치 수준을 전수 조사하십시오. 특히 민감정보·고유식별정보 포함 여부를 확인하고, 현행 처리 방식이 강화된 안전조치 요건을 충족하는지 체크리스트 기반으로 갭을 식별해야 합니다. 정책 상태가 불확실하더라도 연결 의안이 원안 내용을 상당 부분 수용할 가능성이 높으므로, 선제적 대응이 규제 리스크를 최소화합니다.
개인정보 처리방침 개정 및 AI 활용 목적 투명성 공개 체계 구축
0-30dAI 기술 개발 목적의 개인정보 처리 내용을 개인정보 처리방침에 명시적으로 반영하는 개정 작업을 착수하십시오. 처리 목적, 항목, 보유 기간, 안전조치 개요를 구체적으로 기술하고, 정보주체가 쉽게 접근할 수 있도록 UI/UX를 개선하십시오. 처리방침 버전 관리 및 변경 이력 보관 체계도 함께 정비하여 향후 개인정보 보호위원회 점검에 대비하십시오.
민감정보·고유식별정보 포함 AI 데이터셋 대상 사전 위험평가(PIA) 절차 수립
30-60d일정 규모 이상의 민감정보·고유식별정보가 포함된 AI 학습 데이터셋을 식별하고, 개인정보 영향평가(PIA) 또는 자체 위험평가 절차를 수립하십시오. 평가 항목에는 데이터 최소화 여부, 가명·익명처리 적용 수준, 접근통제 현황, 침해 시나리오 및 대응 방안을 포함해야 합니다. 개인정보 보호위원회 심의·의결 요건이 확정될 경우 즉시 제출 가능한 문서 패키지를 사전 준비하십시오.
개인정보 보호위원회 심의·의결 대응 내부 거버넌스 체계 정비
60-90dAI 목적 개인정보 처리에 대한 위원회 심의·의결 및 주기적 이행 점검 요건에 대비하여, 내부 승인 프로세스와 외부 대응 창구를 일원화하십시오. AI 프로젝트 착수 전 개인정보 영향 검토를 의무화하는 내부 정책(AI Privacy Gate)을 도입하고, 이행 점검 대응을 위한 증적 자료(로그, 처리 기록, 안전조치 이행 내역) 보관 기준을 표준화하십시오. 연결 의안 확정 시 즉시 세부 절차를 보완할 수 있도록 모듈형 거버넌스 구조로 설계하십시오.