개보위 "AI 유연 적용 규율로 전환"...'3차 개인정보 기본계획' 발표

방은주 기자 2026. 7. 3. 10:01
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

12대 추진과제 설정..."개인정보보호 기술·산업인프라도 마련"

(지디넷코리아=방은주 기자)개인정보보호위원회가 3일 '제3차 개인정보 보호 기본계획(2027-2029)'을 발표했다. 4대 전략과 12대 추진과제를 마련, 추진한다. AI위험에 대응하는 상시적 예방 체계 등을 구축한다. 개보위는 이날 열린 경제관계장관회의에서 이 안을 관계부처 합동 안건으로 보고했다.

이번 '기본계획'은 개인정보위가 법에 따라 3년마다 중앙행정기관의 장과 함께 수립한 것이다. 인공지능 대전환에 따른 데이터 활용 수요 증대와 반복하는 대규모 개인정보 유출이라는 당면환경에 대응, 향후 3년간 추진할 개인정보 정책 청사진을 마련했다.

'기본계획'은 '신뢰받는 개인정보 환경, 안심하고 누리는 인공지능(AI) 사회'를 비전으로 삼았다. ▲인공지능 대전환 시대 개인정보 보호체계 혁신 ▲사전예방 중심 보호체계 확립 ▲전략적 개인정보 정책 고도화 ▲국민 권익 증진 및 신뢰문화 정착이라는 4대 전략과 12대 추진과제를 중심으로 마련했다.

첫째, 신뢰기반 데이터 활용 촉진 개인정보 보호체계 혁신

인공지능 환경을 유연하게 반영하는 규율체계로의 전환을 추진한다. 인공지능 환경 이전에 설계된 일률적 규제로 법령 준수가 어렵고 데이터 활용에 제약이 있다는 현장의 목소리를 반영, 위험에 비례한 보호를 규율하는 원칙 중심 보호체계로 전환한다.

이와 함께, 인공지능 전환(AX) 과정에 수반되는 개인정보 처리의 불확실성을 신속하게 해소하기 위해 맞춤형 혁신지원 종합 창구로서 ‘인공지능 전환(AX) 안심지원센터’도 운영할 계획이다. 나아가, 5극3특 균형성장 전략에 발맞춰 전국 어디서나 접근 가능한 데이터 혁신 환경을 조성하기 위해 지역 거점별 데이터(가명·익명) 연계·활용 허브를 구축·확대한다.

그간 기업·기관 중심으로 이뤄진 데이터 활용에 대한 국민주권도 강화한다. 국민이 내 정보에 대한 결정권을 갖도록 마이데이터 지원(온마이데이터) 플랫폼을 강화하고, 데이터로부터 산출된 가치에 대한 정보주체 환원 체계를 수립하고 확산한다. 10대 분야 확대 등 마이데이터 1단계를 완수하고, 마이데이터 2단계 추진을 통해 복지·돌봄·의료 등 데이터 기반 사회적 난제 해결에 앞장선다.

또 인공지능 데이터 신뢰 확보를 위한 프라이버시 리스크 대응을 강화한다. 자율형 인공지능(에이전틱 AI)에 의한 처리 등 의사결정의 책임구조 검토, 실물 인공지능(피지컬 AI)의 상시적 정보 수집 확대에 대응하는 권리보장, 위험평가 등 최신 기술에 대한 규율체계와 보호 기준도 수립한다.

급변하는 인공지능 사이버 위협에 선제적으로 대응해 리스크 관리 모델 및 환경변화를 반영한 안전조치 기준도 제시한다. 디지털 환경에서 개인 권리 보호를 위한 개인정보 정확성 및 투명성 확보가 강조되면서, 딥페이크(deepfake) 등 데이터 변조 방지 방안 마련, 인공지능 투명성 확보 제도화도 추진한다.

둘째, 개인정보 보호체계 사전예방 중심 정착

유출사고가 발생한 후에는 온전한 피해 회복이 어렵다는 점을 고려해 사전예방 중심의 보호체계를 확립하고 현장 정착 및 내재화를 지원한다.

고위험군 집중점검, 부처 합동점검 등 상시적 점검 체계를 고도화해 사고 발생 전 취약점이나 보호 조치를 미리 점검해 개선하는 데 집중한다. 이와 함께, 취약점 점검 등 범정부적 상시적 방어체계를 확립하고 인공지능 보안점검 등 보안점검 제도화를 추진한다.

정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증 및 각종 평가체계에 인공지능 기술을 접목해 기준과 절차를 개선해 실효성을 높인다. 특히, 국민 개인정보를 다량 보유·처리하는 공공분야는 안전조치 기준 강화, 상시적 점검체계 확대, 평가제도 실효성 제고를 우선 추진해여 보호 수준을 획기적으로 개선한다.

또 사고 전 선제적 보호조치에 대한 강력한 유인체계를 강화하고 기업의 책임성을 강화한다. 의무기준을 넘어서는 선제적인 보호 투자 시에는 유출 과징금을 감면하는 등 인센티브 사례를 확산, 기업의 자발적 보호조치를 적극 유도한다. 나아가, 조직 의사결정 과정에 개인정보 보호가 적극 고려될 수 있도록 대표자(CEO) 책임을 정착하고 개인정보보호책임자(CPO)의 위상도 한층 강화한다.

반면, 관리의무 소홀 등 법 위반에 대해서는 엄정 조사 및 제재로 억지력을 대폭 강화한다. 이를 뒷받침하기 위해 조사 실효성 확보를 위한 이행강제금 도입 등 제도개선을 추진하고, 기술분석 환경 구축·확대 등 과학적 조사를 위한 역량도 지속 강화한다. 개인정보 불법유통에 대해서는 형사처벌 근거를 신설하고, 탐지·삭제 및 관련 정보 수집·분석 등 정부 역할을 강화한다.

기존 유출 시 조사·제재 중심으로 대응했으나, 상시적 유출 위협 환경을 고려해 ‘회복력(resilience) 지원’ 중심으로 대응 인프라를 재정비한다. 중소기업 유출 발생 시 복구 기술지원 중심으로 대응하고, 사고 이전에도 중소·영세기업에 맞춤형 컨설팅, 보호·보안 지원 사업을 제공한다. 이를 통해 보호·보안 산업 육성을 지원하고, 산업계 전반의 보호수준을 상향평준화 할 수 있는 기반을 수립해나간다.

사고 대응이 가능한 개인정보 보호 특화 전문인력을 양성해 회복력 강화를 지원하고, 인력풀의 효과적인 활용을 위해 인공지능 보안인력 관리 플랫폼을 구축한다. 아울러, 암호기술 등 개인정보보호 강화기술(PET) 연구개발(R&D) 지속 확대를 통해 전 분야 보호 인프라를 강화한다.

또 실물 인공지능(피지컬 AI) 환경 확산에 대응해 디지털 보안과 물리 안전 규제에 대한 사이버-물리 통합보안 체계도 검토하고, 자율형 인공지능(에이전틱 AI) 기반 공격을 반영한 안전조치 기준 개선을 추진한다. 상시적 방어체계 강화를 위해 취약점 발굴·대응 등 관련 산학연·범부처 협력도 강화한다.

이상민 개인정보위 개인정보정책국장이 3차 기본계획 주요 내용을 발표하고 있다.

셋째, 범정부 보호 협력체계 및 안전한 국경간 데이터 이전 체계 고도화

전 산업 분야에서 개인정보 활용 확대를 고려, 개인정보 보호가 범정부 차원의 과제로 이행되도록 범부처 협력체계를 확립한다. 통신, 교육, 고용 등 상대적으로 위험성이 높은 분야는 개인정보위와 소관부처가 공동 점검·관리하는 체계를 수립하고, 개인정보 위협 요소에 대한 조기경보체계를 구축해 위기대응 역량 강화를 추진한다.

또 디지털 환경의 규제 체계 간 정합성도 확보한다. 개인정보 중복규제 등을 합리적으로 조정해 체계를 정비하고, 금융·공정거래 등 관련 규제기관 간 협력을 강화한다. 인공지능 및 데이터 정책 소관 기관과도 긴밀하게 협력해 디지털 분야의 법령 간 적용 관계를 명확화한다.

생성형 인공지능, 클라우드 환경 등 국외이전 수요가 증가함에 따라 데이터 이전 네트워크도 확대한다. 이미 수립된 한-EU 상호 동등성 인정 체계에 이어, 영국, 일본, 미국 등 법체계 유사성, 교역규모 등을 고려한 맞춤형 대응으로 데이터 상호 이전 네트워크를 확대한다. 이와 함께, 보호수준이 상대적으로 미흡한 국가로의 데이터 관리 대응력 강화로 안보위협을 최소화한다.

국외이전 확대에 대응해 제도적 기반도 지속 개선한다. 안전한 국외이전 수단(SCC*, BCR**)을 확대해 글로벌 공동 연구 등 국경간 데이터 이전에 대한 유연성을 확보한다. 이와 동시에, 국외이전 현황조사를 실시하고, 국외이전 영향평가를 신설하는 등 리스크 관리체계 수립을 병행한다.

SCC(Standard Contract Clauses, 표준계약조항) 개인정보를 이전하고 받는 경우 준수해야 할 계약상 의무를 통해 국외로 이전된 후에도 보호 수준 유지

** BCR(Binding Corporate Rules, 구속력있는 기업규칙) 다국적 기업 내에서 발생하는 개인정보의 국경 간 이전을 위해 기업에서 정하여 감독기관의 승인을 받아 이행하는 법적 구속력이 있는 기업내 개인정보 보호 규정

넷째, 국민 권익 증진하고 일상 속 프라이버시 보호 강화 신뢰 확립

최근 유출 피해를 경험한 국민이 늘어나면서 간편한 권리구제 방안에 대한 요구가 증대함에 따라, 유출·침해 시 신고부터 조사, 분쟁조정, 손해배상까지 모든 절차를 연계하는 원스톱 권리구제 체계를 마련한다. 또한, 인공지능 기반으로 개인정보 관리 플랫폼을 구축, 국민이 쉽게 자신의 개인정보 처리현황을 확인하고 권리를 행사할 수 있게 지원한다.

정보주체 권리보장을 강화하기 위한 제도 기반도 수립한다. 정보주체 권익 증진 전문기관 수립 및 피해회복 동의의결제 추진, 적극적 분쟁조정 등을 통해 신속한 피해보상 및 분쟁해결 제도 실질화를 추진한다.

일상 접점에서 발생하는 프라이버시 침해 우려도 적극 해소한다. 특히, 디지털 환경에서 영상·생체정보 등 상대적으로 민감도가 높은 정보의 수집·이용이 보편화됨에 따라 특화된 보호가 가능하도록 규율체계를 개선하고, 아동·청소년 등 권리행사 취약계층에 대해서도 보호 체계도 강화한다.

이번 기본계획은 인공지능 사회 도래에 대응하는 개인정보 보호체계를 확립하고, 국민 신뢰를 바탕으로 데이터가 안전하게 활용되는 인공지능 혁신 환경을 조성하는 데 중점을 뒀다.이를 바탕으로 부처별 시행계획을 수립하고 이행함으로써 국민이 안심하고 향유할 수 있는 인공지능 사회 도래를 지원해 나갈 예정이다.

송경희 개인정보보호위원장은 "이번 3개년 기본계획은 개인정보 규율체계를 인공지능 환경에 맞게 재설계하고 사전 예방 중심의 보호체계를 확립, 국민은 안심하고 인공지능 편익을 누리고 기업은 신뢰를 바탕으로 혁신하는 환경을 만들어 나가는 데 정책 역량을 집중하겠다"고 밝혔다.

방은주 기자(ejbang@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.