개인정보 보호법 개정안, 방향 불확실
AI 학습데이터·위험평가 규정 강화 논의 중, 최종 내용 미확정
요약
AI 학습데이터 활용 규제를 강화하는 개인정보 보호법 개정안이 논의 중이나 최종 입법 내용은 미확정 상태입니다. 유사 규제가 대안 법률에 포함될 가능성이 있어 AI 데이터 파이프라인 점검과 위험평가 체계 선제 구축이 권고됩니다.
상세 분석
1. 이슈 개요
본 개정안은 AI 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 별도 규율 체계를 개인정보 보호법에 도입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 해당 대안 의안이 명확히 확인되지 않아 현재 법적 효력 여부는 불확실합니다.
다만 정책 방향성 자체는 명확합니다. AI 학습용 데이터 활용에 대한 사전 승인, 투명성 공시, 위험 평가, 주기적 감독이라는 네 가지 축을 중심으로 기존 개인정보 보호 체계보다 훨씬 강화된 의무를 AI 개발 주체에게 부과하는 것이 핵심입니다. 2025년 4월 1일 기준 현행 개인정보 보호법의 틀 안에서 이미 일부 의무가 적용되고 있을 수 있으므로, 기업은 현행법 준수 여부를 우선 점검해야 합니다.
2. 실행 우선순위별 의무 사항 정리
[즉시 대응] 적법 수집 여부 확인 — 위반 시 AI 활용 자체 차단
적법하게 수집되지 않은 개인정보는 AI 기술 개발 및 성능 개선 목적으로 활용할 수 없습니다. 이는 가장 기본적이면서도 위반 시 파급력이 큰 요건입니다. AI 학습 데이터셋 전반에 대해 수집 경위, 동의 여부, 제3자 제공 적법성 등을 즉시 점검하고, 출처가 불분명하거나 동의 범위를 벗어난 데이터는 즉시 분리·제거해야 합니다.
[단기 과제] 개인정보 처리방침 공개 — 투명성 의무 이행
AI 기술 개발 목적의 개인정보 처리 현황은 개인정보 처리방침을 통해 사전에 투명하게 공개해야 합니다. 현재 처리방침에 AI 학습 목적 항목이 누락되어 있는 경우, 처리 목적·항목·보유기간·안전조치 내용을 구체적으로 기재하는 방향으로 즉시 개정이 필요합니다. 단순한 포괄적 기재는 투명성 요건을 충족하지 못할 수 있습니다.
[단기 과제] 강화된 안전조치 및 정보주체 권리 보장 방안 마련
AI 목적 개인정보 활용 시에는 일반적인 안전조치 수준을 넘어 강화된 기술적·관리적 보호조치가 요구됩니다. 구체적으로는 가명처리·접근통제·암호화 수준 상향, 정보주체의 열람·삭제·처리정지 요청에 대한 대응 절차 정비가 포함됩니다. 특히 AI 모델에 학습된 데이터에 대한 삭제 요청 처리 방식은 기술적 구현 방안까지 사전에 마련해 두어야 합니다.
[중기 과제] 사전 위험 평가 실시 — 민감정보·고유식별정보 포함 시
일정 규모 이상의 민감정보(건강, 신념, 생체정보 등) 또는 주민등록번호 등 고유식별정보가 포함된 데이터를 AI 학습에 활용하는 경우, 위험요인을 사전에 평가해야 합니다. '일정 규모'의 구체적 기준은 현재 확인되지 않으므로, 보수적으로 해당 정보가 포함된 모든 AI 학습 데이터셋에 대해 위험 평가 절차를 선제적으로 도입하는 것이 권고됩니다.
[중기 과제] 개인정보 보호위원회 심의·의결 절차 준비
AI 기술 개발 목적의 개인정보 처리는 개인정보 보호위원회의 심의·의결을 거쳐야 합니다. 이는 사전 승인 절차로서, 신규 AI 프로젝트 기획 단계부터 심의 일정을 고려한 개발 로드맵 수립이 필요합니다. 심의 절차의 구체적 요건(신청 서류, 심의 기간 등)은 시행령 또는 위원회 고시를 통해 확정될 것으로 예상되므로, 관련 하위 규정 동향을 지속 모니터링해야 합니다.
[지속 대응] 이행 점검 대비 내부 관리 체계 구축
개인정보 보호위원회는 AI 목적 개인정보 처리에 대해 주기적으로 이행 점검 및 관리·감독을 실시합니다. 이에 대비하여 AI 학습 데이터 처리 이력, 안전조치 적용 기록, 정보주체 권리 행사 대응 이력 등을 체계적으로 문서화하고 보관하는 내부 거버넌스 체계를 구축해야 합니다.
3. 불확실성 및 주의사항
법적 효력 불확실 — 본 원안은 대안에 반영되어 폐기된 상태이나, 연결된 대안 의안이 확인되지 않습니다. 따라서 본 개정안의 내용이 현행법에 실제로 반영되었는지 여부는 현재 시점에서 단정할 수 없습니다. 개인정보 보호위원회 공식 고시 및 법령 개정 현황을 직접 확인하는 것이 필수적입니다.
'일정 규모' 기준 미확정 — 사전 위험 평가 의무가 발동되는 민감정보·고유식별정보의 '일정 규모' 기준이 구체적으로 정해지지 않았습니다. 하위 법령 제정 전까지는 보수적 기준을 자체 적용하는 것이 안전합니다.
심의·의결 절차 세부 기준 미비 — 개인정보 보호위원회 심의·의결의 신청 요건, 처리 기간, 조건부 승인 가능 여부 등 절차적 세부 사항이 확인되지 않습니다. 관련 시행령 및 위원회 운영 규정 제정 동향을 지속적으로 추적해야 합니다.
현행법과의 관계 — 본 개정안의 내용 일부는 현행 개인정보 보호법(2025년 4월 1일 기준)의 일반 원칙(목적 제한, 안전조치, 투명성 등)과 중첩될 수 있습니다. 개정안의 법적 효력과 무관하게, 현행법상 의무 준수 여부를 우선 점검하는 것이 실무적으로 가장 안전한 접근입니다.
인용 주의: 본 분석은 제공된 정책 정보를 기반으로 작성되었으며, 법적 조언을 구성하지 않습니다. 구체적인 법적 판단은 개인정보 보호위원회 공식 자료 및 법률 전문가 검토를 통해 확인하시기 바랍니다.
핵심 포인트
- 1AI 기술 개발·성능 개선 목적의 개인정보 활용 시 강화된 안전조치 및 정보주체 권리 보장 방안을 별도로 마련해야 할 가능성이 높으므로, 현행 AI 데이터 파이프라인의 개인정보 처리 절차를 선제적으로 점검할 필요가 있음
- 2해당 안은 상임위 심의 단계에서 대안에 반영되어 폐기된 상태로, 최종 입법 내용이 확정되지 않았으나 유사 규제가 대안 법률에 포함될 수 있어 대안 법률안의 진행 경과를 지속 모니터링해야 함
- 3AI 목적 개인정보 처리에 대해 개인정보 보호위원회의 사전 심의·의결 요건이 도입될 경우 신규 AI 서비스 출시 일정에 행정 절차 소요 기간이 추가될 수 있으므로, 프로젝트 로드맵에 규제 대응 버퍼를 반영할 것을 권고함
- 4민감정보·고유식별정보를 일정 규모 이상 처리하는 AI 시스템은 사전 위험평가(PIA) 의무화 가능성에 대비해 위험평가 체계와 담당 조직을 조기에 구축하는 것이 바람직함
- 5개인정보 처리방침을 통한 AI 활용 현황의 사전 공개 의무가 구체화될 수 있으므로, 현재 처리방침 내 AI 관련 고지 항목의 충분성을 법무·개인정보 보호 부서와 함께 검토해야 함
권고 사항
대표 권고
현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 민감정보·고유식별정보 포함 여부를 전수 조사하여 내부 대장을 작성하십시오. 정책 상태가 불확실하더라도 연결 의안이 현행 개인정보 보호법 체계에 반영될 가능성이 높으므로, 인벤토리는 규제 확정 전 선제적 대응의 핵심 기반이 됩니다. 정보통신업·금융업 등 데이터 집약 업종은 특히 학습 데이터셋 단위까지 세분화하여 기록하십시오.
AI 개인정보 활용 현황 즉시 인벤토리 구축
0-30d현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보 항목, 처리 근거, 민감정보·고유식별정보 포함 여부를 전수 조사하여 내부 대장을 작성하십시오. 정책 상태가 불확실하더라도 연결 의안이 현행 개인정보 보호법 체계에 반영될 가능성이 높으므로, 인벤토리는 규제 확정 전 선제적 대응의 핵심 기반이 됩니다. 정보통신업·금융업 등 데이터 집약 업종은 특히 학습 데이터셋 단위까지 세분화하여 기록하십시오.
개인정보 처리방침 내 AI 활용 조항 점검 및 업데이트
0-30d현행 개인정보 처리방침에 AI 기술 개발 목적의 개인정보 처리 사실, 처리 항목, 보유 기간, 안전조치 내용이 명시되어 있는지 검토하십시오. 누락된 경우 즉시 보완하여 공개하고, 향후 개인정보 보호위원회 심의·의결 요건 충족 시 제출 가능한 수준의 문서 체계를 갖추십시오. 공공기관(O)은 행정안전부 가이드라인과의 정합성도 함께 확인하십시오.
AI 목적 개인정보 처리에 대한 사전 위험평가(PIA) 체계 마련
30-60d민감정보·고유식별정보가 포함된 AI 학습·운영 프로젝트를 대상으로 개인정보 영향평가(PIA) 또는 내부 위험평가 절차를 설계하십시오. 평가 항목에는 데이터 최소화 여부, 가명·익명처리 적용 가능성, 정보주체 권리 보장 방안(열람·삭제·처리정지 요구 대응)을 포함하십시오. 개인정보 보호위원회 심의 요건이 확정될 경우 체계가 제출 자료의 근거가 됩니다. 금융업(K)은 금융위원회 마이데이터 규정과의 중복 규제 여부도 병행 검토하십시오.
개인정보 보호위원회 심의·의결 대응 프로세스 사전 설계
60-90d연결 의안 확정 여부를 모니터링하면서, AI 목적 개인정보 처리가 위원회 심의 대상에 해당할 경우를 대비한 내부 승인 프로세스와 제출 서류 템플릿을 미리 준비하십시오. 주기적 이행 점검 대응을 위해 처리 로그 보존 정책과 담당자 지정도 함께 수립하십시오. 전문·과학·기술 서비스업(M) 및 정보통신업(J)은 복수 프로젝트가 동시에 심의 대상이 될 수 있으므로 프로젝트별 관리 체계를 표준화하는 것이 효율적입니다.