개인정보위, AI 특례 도입 추진...AI 학습에 개인정보 활용 허용

[디지털투데이 황치규 기자]개인정보보호위원회는 5대 추진방향 및 10대 핵심과제를 담은 2026년 업무계획을 보고했다.

최근 유통·통신 등 국민 생활밀접 분야 대규모 개인정보 유출사고가 잇따르고, AI와 클라우드 등 신기술 확산으로 개인정보 정책 환경이 급변하는 상황에서, 개인정보위는 사후제재 중심 개인정보 수집 규제에서 벗어나 개인정보 보호 체계를 근본적으로 전환한다는 방침이다.

이를 위해 실효적 제재 및 보호투자 촉진, 공공·민간 선제적 예방·점검, 신뢰 기반 AI 사회 구축, 국민 생활 속 프라이버시 보호, 글로벌 데이터 신뢰 네트워크 구축을 5대 추진방향으로 제시했다.

먼저, 반복·중대한 위반 행위에 대해서는 징벌적 과징금 특례를 신설해 강력한 억지력을 확보하고, 단체소송 요건에 ‘손해배상’을 추가해 유출 사고로 인한 국민 피해를 실질적으로 보상할 방침이다.

정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증에 예비심사를 도입하고, 현장 기술심사도 강화해 중대·반복적 법 위반 시 원칙적으로 인증을 취소하는 등 사후 관리를 강화한다.

기업 규모 및 리스크에 비례하는 책임을 강화하고, 적극적인 개인정보 분야 투자를 촉진하기 위해 과징금 필수 감경 등 인센티브도 제도화한다. 대표자(CEO)에게 최종 개인정보 보호 책임자로서 관리의무를 법제화하고, 개인정보보호책임자(CPO) 지정 신고제도 도입할 계획이다.

개인정보위는 유통·플랫폼 포함 대규모·민감 개인정보 처리 분야 사전 실태점검을 추진하고, 사전적·상시적으로 개인정보 침해요인을 분석할 수 있는 기술분석센터 구축한다. 공공부문 대상으로는, 개인정보 보호 수준 평가 시 유출사고 패널티를 확대하고, 주요 공공시스템 취약점 점검 의무 등을 강화한다.

개인정보 보호 투자 여력이 부족한 창업·중소·영세기업을 대상으로 선제적인 모니터링과 개선 유도 등 안전조치 지원사업을 추진하고, 유출사고 발생 시 신속한 기술적 지원과 함께 즉시 시정하는 경우 처분 부담도 경감할 계획이다.

개인정보 보호 강화 기술(P.E.T) 연구개발(R&D) 및 전문인력 양성을 통해 신산업 육성도 지원한다. 특히, AI 생애주기를 고려한 개인정보 특화 기술 개발과 국제표준 선점을 통해 신뢰 기반 AI 산업을 육성하고, 산업현장 개인정보 침해사고에 즉시 대응하면서 리스크 예방도 가능한 개인정보 특화 석박사급 인재를 배출할 계획이다.

개인정보위는 AX 시대를 맞아 개인정보 안전한 활용이 현실화될 수 있도록 AI 특례를 도입한다. AI 특례는 AI 모델 성능 개선을 위해 고품질 개인정보 원본을 AI 학습 데이터로 활용할 수 있도록 허용한하는 것이 골자다. 자율주행 성능개선, 보이스피싱 예방 AI 등 공익·사회적 이익에 부합하고 익명·가명처리로는 목적 달성이 곤란한 경우, 강화된 안전장치 확보를 전제로 심의·의결 거쳐 허용된다.

개인정보위는 양질의 데이터를 보유하고 있으나, 가명처리 역량이 미흡한 공공기관을 대상으로 가명처리 원스톱 지원체계를 운영하고, 개인정보 이노베이션존 연계 허브 구축을 통해 안전하고 막힘없는 데이터 흐름을 지원할 예정이다.

에이전트 AI 등 고도화된 AI 확산에 따라 새로운 데이터 처리 가이드라인을 AI 프라이버시 민·관 정책협의회 중심으로 마련할 계획이며, 공공 AX 혁신 지원 헬프데스크 운영을 통해 사회적 난제 해결을 위한 AI 개발에 개인정보 침해 우려가 없도록 지원한다는 방침이다.

마이데이터 생태계 확대에도 나선다. 국민이 마이데이터 전 과정을 원스톱으로 관리할 수 있는 ‘마이데이터 지원 플랫폼’을 본인 정보 통제권이 강화되는 방향으로 개선하고, 2025년 의료, 통신 분야에 도입된 개인정보 제3자 전송 서비스를 2026년 에너지, 교육, 고용, 문화여가 분야까지 확대할 예정이다.

개인정보위는 개인정보체계도 강화한다. 주요 시설 내 보안인증 IP카메라 사용 의무화와 영상관제시설 안전성 강화 등의 근거 법률을 제정하고, 로봇청소기, 키오스크 등 생활밀착형 스마트기기를 중심으로 PbD(Privacy by Design ) 인증제를 확산한다.

딥페이크 악용 범죄 등 신기술 합성콘텐츠에 대한 국민(정보주체) 권리를 신설하고 범정부 협력체계에 적극 참여하여 대응을 강화한다.

개인정보위는 국경 간 데이터 이동이 증가함에 따라 개인정보위가 마련한 표준계약서(SCC) 및 개인정보위 승인을 받은 구속력 있는 기업내부규정(BCR) 등을 통해 안전하고 원활한 국외이전을 지원한다.

민감도가 높은 대규모 개인정보 국외이전 시 기업 등이 위험성을 자체적으로 평가하도록 하는 ‘국외이전 영향 평가제’를 도입하고, 기업 인수합병 시에는 국외이전 사전심사제를 도입한다.

송경희 개인정보위 위원장은 “최근 개인정보와 데이터를 둘러싼 환경이 급변함에 따라 그간의 사후 제재 중심 제도가 그 한계를 여실히 드러낸 것으로 보인다”며 “개인정보위는 개인정보 보호 체계를 근본적으로 전환하여 확실한 변화를 이끌고, 국민이 안심하며 신뢰할 수 있는 AI 융합사회를 구축하겠다”고 말했다.