개인정보 보호법 개정안, 심의 진행 중
AI 기술개발 안전조치·위험평가 의무화 논의, 최종 방향 미확정
요약
AI 개발 목적 개인정보 활용 시 안전조치·위험평가 의무화를 담은 개정안으로, 원안은 대안반영폐기 상태이나 연결 의안이 미확인되어 최종 입법 여부가 불확실하므로 관련 동향을 지속 모니터링할 필요가 있습니다.
상세 분석
1. 이슈 개요
본 개정안은 인공지능(AI) 기술 개발 및 성능 개선 목적의 개인정보 활용에 관한 법적 근거와 안전장치를 개인정보 보호법 체계 내에 명시적으로 편입하려는 시도입니다. 원안은 상임위 심의 과정에서 대안에 반영되어 폐기된 상태이나, 해당 대안 의안이 구체적으로 확인되지 않아 현재 법적 효력 여부는 불확실합니다.
실무적으로 주목해야 할 핵심은, AI 개발 목적의 개인정보 처리가 기존의 일반적 처리 기준보다 강화된 요건을 적용받는 별도 규율 체계로 설계되었다는 점입니다. 특히 개인정보 보호위원회의 사전 심의·의결이라는 행정적 관문이 신설되는 구조로, AI 개발 조직의 데이터 활용 프로세스 전반에 상당한 영향을 미칠 수 있습니다. 2025년 4월 1일 기준 현행 개인정보 보호법이 적용 기준점이 됩니다.
2. 실행 우선순위별 의무 사항 정리
[즉시 검토] 개인정보 적법 수집 여부 사전 확인
AI 기술 개발에 활용하려는 개인정보는 반드시 적법하게 수집된 것이어야 합니다. 기존에 수집·보유 중인 데이터셋을 AI 학습에 전용(轉用)하려는 경우, 최초 수집 목적과의 합치 여부 및 동의 범위를 재검토해야 합니다. 목적 외 이용에 해당할 경우 별도의 법적 근거 확보가 선행되어야 하며, 이를 소홀히 할 경우 이후 모든 절차가 무효화될 수 있습니다.
[핵심 절차] 개인정보 보호위원회 심의·의결 사전 이행
AI 기술 개발·성능 개선 목적의 개인정보 활용 전에 개인정보 보호위원회의 심의·의결을 거쳐야 합니다. 이는 기업 내부 결정만으로 처리를 개시할 수 없음을 의미하며, 심의 신청을 위한 준비 자료(처리 목적, 데이터 범위, 안전조치 계획 등) 작성 역량을 내부적으로 갖추어야 합니다. 심의 소요 기간을 감안한 AI 개발 일정 수립이 필요합니다.
[병행 준비] 강화된 안전조치 및 정보주체 권리 보장 방안 마련
심의·의결 신청 시 강화된 안전조치와 정보주체의 권리 보장 방안을 함께 제출해야 합니다. 구체적으로는 가명처리·암호화 등 기술적 보호조치, 정보주체의 열람·삭제 요구 대응 절차, 데이터 접근 권한 관리 체계 등을 문서화하여 준비해야 합니다. 방안의 충실성이 심의 통과 여부에 직접적인 영향을 미칩니다.
[위험 관리] 민감정보 처리 시 위험요인 평가 실시
민감정보 등의 처리로 정보주체의 권리·이익에 중대한 영향을 미치거나 위험 우려가 있는 경우, 위험요인 평가를 별도로 실시해야 합니다. 의료·생체·신념 등 민감정보를 AI 학습에 활용하는 조직은 위험요인 평가 방법론과 담당 체계를 사전에 구축해야 하며, 평가 결과는 심의 자료에 포함될 가능성이 높습니다.
[지속 의무] 개인정보 보호위원회의 이행 점검 대응 체계 유지
위원회는 심의·의결 이후에도 주기적으로 이행 점검 및 관리·감독을 실시합니다. 심의 통과로 절차가 종결되는 것이 아니라, 승인된 조건의 지속적 준수 여부가 사후 점검 대상이 됩니다. 내부 컴플라이언스 담당자를 지정하고, 이행 현황을 정기적으로 기록·보관하는 체계를 갖추어야 합니다.
[투명성] 위원회 공개 정보 모니터링 활용
개인정보 보호위원회는 심의·의결한 주요 내용을 인터넷 홈페이지에 공개해야 합니다. 이는 조직에 대한 직접 의무는 아니나, 동종 업계의 심의 사례와 위원회의 판단 기준을 파악하는 데 활용할 수 있으므로 정기적인 모니터링이 권장됩니다.
3. 불확실성 및 주의사항
법적 효력의 불확실성이 가장 중요한 전제입니다. 본 개정안은 상임위에서 대안에 반영되어 원안이 폐기되었으나, 해당 대안 의안이 구체적으로 확인되지 않습니다. 따라서 현재 시점에서 본 개정안의 내용이 실제로 법률로 확정·시행되었는지 여부는 명확하지 않으며, 실무 적용 전 반드시 개인정보 보호위원회 공식 발표 또는 법제처 법령 데이터베이스를 통해 최종 입법 여부를 확인해야 합니다.
심의·의결 절차의 세부 기준이 미확정입니다. 개인정보 보호위원회 심의·의결의 신청 요건, 심사 기간, 조건부 승인 가능 여부 등 세부 절차는 하위 법령 또는 위원회 규칙으로 정해질 가능성이 높으나, 현재 확인된 내용이 없습니다. 시행 초기에는 위원회의 가이드라인 발표를 주시해야 합니다.
위험요인 평가의 구체적 방법론이 불명확합니다. 민감정보 처리 시 요구되는 위험요인 평가의 항목, 기준, 결과 활용 방식 등이 법안 수준에서는 구체화되어 있지 않습니다. 현행 개인정보 영향평가(PIA) 제도와의 관계 및 중복 여부도 추가 확인이 필요합니다.
현행법 적용 기준 병행 준수가 필요합니다. 개정안의 효력이 불확실한 상황에서도 2025년 4월 1일 기준 현행 개인정보 보호법상 의무(목적 제한, 최소 수집, 안전조치 등)는 그대로 적용됩니다. 개정안 내용을 선제적으로 준비하되, 현행법 준수를 기본 전제로 운영해야 합니다.
핵심 포인트
- 1AI 기술 개발·성능 개선 목적의 개인정보 활용 시 강화된 안전조치 및 정보주체 권리 보장 방안을 사전에 마련해야 하므로, 관련 내부 프로세스 및 거버넌스 체계 점검이 필요하다.
- 2해당 법안은 현재 '대안반영폐기' 상태로, 핵심 내용이 다른 법안에 통합 반영될 가능성이 있어 최종 입법 동향을 지속 모니터링해야 한다.
- 3민감정보 처리가 정보주체 권리·이익에 중대한 영향을 미칠 우려가 있는 경우 위험요인 평가(Risk Assessment) 의무화가 예상되므로, AI 서비스 기획 단계부터 위험 평가 절차를 내재화할 필요가 있다.
- 4개인정보 보호위원회의 심의·의결 및 주기적 이행 점검 의무가 도입될 경우, 규제 대응을 위한 전담 조직 또는 책임자 지정 등 컴플라이언스 체계 강화를 선제적으로 검토해야 한다.
- 5위원회의 심의·의결 주요 내용이 홈페이지에 공개될 예정이므로, 대외 공개에 대비한 개인정보 처리 방침 및 AI 활용 현황의 투명성 제고 방안을 경영진 차원에서 논의할 필요가 있다.
권고 사항
대표 권고
현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보(특히 민감정보 포함 여부)를 전수 조사하고, 개인정보 보호위원회 심의·의결 요건 및 강화된 안전조치 기준과의 갭을 분석하십시오. 정책 상태가 불확실하나 연결 의안이 현행법에 반영될 가능성이 있으므로, 사전 대비 차원에서 데이터 처리 목록(Data Processing Inventory)을 최신화하고 AI 활용 개인정보 처리 항목을 별도 분류하여 관리하십시오. 정보통신업·보건업 등 고위험 산업군은 우선 점검 대상으로 지정하십시오.
AI 개인정보 활용 현황 긴급 인벤토리 점검 및 갭 분석
0-30d현재 AI 기술 개발·성능 개선 목적으로 처리 중인 개인정보(특히 민감정보 포함 여부)를 전수 조사하고, 개인정보 보호위원회 심의·의결 요건 및 강화된 안전조치 기준과의 갭을 분석하십시오. 정책 상태가 불확실하나 연결 의안이 현행법에 반영될 가능성이 있으므로, 사전 대비 차원에서 데이터 처리 목록(Data Processing Inventory)을 최신화하고 AI 활용 개인정보 처리 항목을 별도 분류하여 관리하십시오. 정보통신업·보건업 등 고위험 산업군은 우선 점검 대상으로 지정하십시오.
AI 개인정보 위험요인 평가(Risk Assessment) 체계 구축
30-60d민감정보 처리 또는 정보주체 권리·이익에 중대한 영향을 미칠 수 있는 AI 서비스를 대상으로 위험요인 평가 절차를 설계하십시오. 평가 항목에는 ①처리 목적의 적법성, ②민감정보 포함 여부, ③정보주체 권리 침해 가능성, ④안전조치 충족 여부를 포함하십시오. 개인정보 영향평가(PIA) 기존 프레임워크와 통합하여 중복 부담을 최소화하고, 평가 결과를 문서화하여 향후 개인정보 보호위원회 심의 요청 시 즉시 제출 가능한 형태로 유지하십시오.
개인정보 보호위원회 심의·의결 대응 프로세스 사전 설계
30-60dAI 개인정보 활용 시 개인정보 보호위원회 심의·의결이 요구될 경우를 대비하여 내부 신청·승인 프로세스를 사전에 설계하십시오. 심의 신청 트리거 조건(AI 학습 데이터 규모, 민감정보 포함 여부 등) 기준을 내부 정책으로 명문화하고, 심의 요청 문서 템플릿(처리 목적, 안전조치 계획, 정보주체 권리 보장 방안 포함)을 준비하십시오. 정책 확정 시 즉시 운영 가능하도록 담당자 역할과 책임(R&R)을 지정하십시오.
정책 확정 모니터링 및 임직원 교육 계획 수립
60-90d현재 정책 상태가 불확실하므로 개인정보 보호위원회 공식 발표, 국회 입법 동향, 연결 의안 진행 상황을 월 1회 이상 정기 모니터링하는 체계를 구축하십시오. 정책 확정 즉시 AI 개발·운영 인력 대상으로 강화된 의무사항(안전조치, 위험요인 평가, 심의 절차)에 관한 교육을 실시할 수 있도록 교육 커리큘럼과 일정을 사전에 준비하십시오. 보건업·공공행정 등 민감정보 처리 비중이 높은 산업군 종사자는 별도 심화 교육 과정을 편성하십시오.