개인정보보호위원회, AI 혁신 뒷받침하고 국민 권익 증진하는 예방중심 개인정보 보호 실현 추진

개인정보보호위원회(이하 개인정보위)는 지난 7월 16일 청와대 영빈관에서 '2026년 하반기 업무계획'을 보고하며 AI 혁신을 뒷받침하고 국민 권익을 증진하는 예방 중심의 개인정보 보호 실현 방안을 제시했다. 이날 보고에는 개인정보위를 비롯해 과학기술정보통신부, 방송미디어통신위원회, 우주항공청 등 16개 기관이 참석했다.
개인정보위는 지난해 12월 발표한 "2026년 주요업무 추진계획"에 따라, 중대 반복 위반 시 매출액의 최대 10%를 부과하는 징벌적 과징금을 지난 3월 「개인정보 보호법」 개정을 통해 도입했다.
또한, 쿠팡명품3사 등 대규모 유출 사고에 엄정하게 처분하는 한편, 사후 대응 방식을 벗어나 사전 상시적 보호 체계로 전환하기 위해 지난 5월 「예방 중심 개인정보 관리체계 전환 계획」을 발표했다. 이에 따라 상조 회사, 금융 등 민간 고위험 분야에 대한 사전 실태 점검과 2,300여 개 공공 부문의 자체 점검 관리를 지원하고, 정보보호 및 개인정보 보호 관리체계 인증(ISMS-P) 제도도 전면 개편했다.
안전한 데이터 활용을 위한 기반 조성에도 힘썼다. 가명 처리 기간을 기존 126일에서 30일 이내로 단축하고, 지난 5월부터는 전문기관이 가명 처리 전반을 지원하는 '가명 처리 원스톱 지원 체계'를 도입했다. 사전 적정성 검토제와 비조치 의견서 등 혁신 지원 제도를 운영하여 AI 에이전트 서비스 출시와 의료 연구 활성화를 지원하기도 했다.
그러나 최근 AI 해킹 등으로 개인정보 침해 위협이 상존하고, 사회 전방위적 AX(AI 전환)로 인해 데이터 활용 수요가 폭증하는 복합적인 정책 여건에 대응하기 위해 개인정보위는 ▲예방 체계 확산으로 개인정보 보호 생활화 ▲AX 혁신을 위한 안전한 개인정보 활용 체계 구축 ▲국민이 체감하는 개인정보 권익 증진 ▲신속한 조사 처분 및 실효적 제재 등 4대 역점 과제를 추진한다고 밝혔다.
4대 역점과제 추진 상세 내용
첫째, 개인정보 보호 예방 체계를 확산하고 생활화한다. 개인정보위는 국민 생활 밀접 분야와 유출 파급효과가 큰 분야를 대상으로 정기·수시 실태 점검 체계를 시행하며, 각 부처에 소속·산하 기관의 보호 실태 점검 책임성을 부여했다.
우수한 보안 시스템 구비, 전문성 높은 개인정보 보호 책임자(CPO) 지정 등 법적 의무를 뛰어넘는 예방 투자에 대해서는 과징금을 감경하고, 신속한 사고 대응과 재발 방지 노력을 과징금 부과 시 고려할 예정이다.
중소·영세 기업에는 경미한 사건에 대해 시정을 전제로 처분을 면제하는 '처분성 경고제'를 도입하고, 자가 점검 도구 배포 및 현장 컨설팅을 제공한다. 공공 부문에 대해서는 주요 공공 시스템(387개) 의무 사항을 확대하고 보호 인력·예산을 확충하여 관리 체계를 강화한다.
둘째, AX 혁신을 위한 안전한 개인정보 활용 체계를 구축한다. 공익·사회적 목적의 AI 기술 개발 시 맞춤형 안전 조치를 전제로 개인정보 활용을 허용하는 「AI 원본 활용 특례」 도입을 추진한다. 이는 지난 5월 14일 「개인정보 보호법」 개정안이 국회 정무위원회에서 의결된 내용이다.
또한, 사전 적정성 검토, 비조치 의견서, 적극 법령 해석, 규제 샌드박스 등 다양한 혁신 지원 제도를 통합하여 '가칭 AX 안심 지원 체계'를 구축하여 규제 불확실성을 해소한다.
국가 간 데이터 이동의 안전성을 높이기 위해 표준 계약서(SCC)와 개인정보위 승인을 받은 기업 내부 규정(BCR)을 통한 국외 이전 방안을 마련하고, 아태지역 등과의 전략적 협력을 추진한다.
셋째, 국민이 체감하는 개인정보 권익 증진을 목표로 한다. 개인정보 유출 피해 당사자인 국민에 대한 실질적인 보상을 위해 기업의 손해배상 책임 원칙을 명시하고, 법정 손해배상 제도를 강화하여 기업이 유출 책임 전반을 입증하도록 한다.
징수된 과징금 수입이 국민의 피해 회복에 쓰일 수 있도록 통합 기금 마련도 계획한다. AI 기반의 「개인정보 침해 종합 지원 서비스」를 구축하여 상담, 신고, 피해 구제, 회원 탈퇴 지원 등을 한곳에서 이용할 수 있도록 할 예정이다. 신기술이 야기하는 프라이버시 침해를 예방하기 위해 다크패턴 현황과 침해 요인을 분석하고, 개인정보 보호 강화 기술(PET) 연구 개발을 통해 새로운 위협에 대비한다.
넷째, 신속한 조사 처분 및 실효적 제재를 강화한다. 개인정보 유출 신고 건수가 2024년 307건, 2025년 447건, 2026년 상반기 432건으로 증가함에 따라, 100만 건 이상 유출 등 중요 사건을 중심으로 전담 조사단(TF)을 구성하여 집중 조사하고, 소규모 사건에 대해서는 신속 처리 절차를 도입한다.
매출액의 최대 10%를 부과하는 징벌적 과징금이 오는 9월부터 시행됨에 따라 관련 시행령 및 고시 등 제재 체계 전반을 정비할 계획이다. 이와 함께 조사 비협조에 대한 이행강제금, 증거 보전 명령, 위반 확정 전 침해 중지 명령 등 조사력 강화 제도를 마련한다.
랜섬웨어 등 복잡한 증거 수집·분석이 가능하도록 디지털 포렌식 센터 기능을 고도화하고, 연내 기술 분석 센터도 구축하여 전문 역량을 강화한다.
국가적 중점 사안도 적극 추진
개인정보위는 4대 역점 과제와 더불어 하반기 국가적 중점 사안인 개혁 과제, 지방 주도 성장 과제, 국가 정상화 과제도 적극 추진한다.
개혁 과제로는 AI 시대 환경을 반영하여 위험에 비례하도록 개인정보 규율 체계를 전환한다. 사회적 합의를 통해 개인정보 적법 처리 근거를 확대하고, 스마트 글라스 등 현실 데이터 환경을 반영한 개인정보 처리 및 보호 원칙을 수립한다.
사망자 개인정보 처리 기준을 담은 안내서를 발간하고, 생전 의사 표시에 따라 유족이 사망자 계정에 접근할 수 있도록 허용하는 등 사망자와 제3자의 프라이버시 보호 균형 방안을 마련한다.
마이데이터 제도를 통해 국민이 편리하고 주체적으로 데이터를 활용할 수 있도록 국민 체감 혁신 서비스를 출시하고, 개인정보 활용 수익의 일정 부분을 소유자(국민)에게 환원하는 '이익 공유' 방안을 구상하여 돌봄·응급 이송 등 사회 난제 해결에 시범 적용할 계획이다.
지방 주도 성장 과제로는 개인정보 활용 제도를 혁신하여 '5극 3특 균형 성장 전략', '3대 메가 프로젝트' 등 국가 역점 사업을 지원한다. 가명 정보를 다양한 연구에 재사용할 수 있도록 지역에서부터 시범 사업을 실시한 후 단계적으로 제도화한다.
또한, 가명 정보 활용 지원 센터의 가명 처리 서비스 대상을 텍스트뿐만 아니라 영상·음성·이미지 등 비정형 데이터까지 확대하고, 각 지역 센터에 가명 정보 결합 기능도 새롭게 부여한다. 거점별 이노베이션 존들을 클라우드로 연계하여 지역적 한계를 극복하는 개인정보 분석·활용이 가능하도록 지원할 방침이다.
청년 인재를 대상으로 지역 현장에서 역할 가능한 데이터 프라이버시 전문가를 양성하여 지방 청년 취업난 해소와 개인정보 보호 기반 강화에 기여하고, 지방 청년 기업 대상 개인정보 법률·기술 컨설팅도 추진한다.
국가 정상화 과제로는 성실하게 유출 사실을 신고한 기업에 인센티브를 부여하고, 의도적 방치 시에는 과징금을 가중하여 성실 신고 기업이 더 큰 부담을 지는 역설 구조를 해소한다.
개인정보 유출 등 사고 발생 시 관련 증거를 은닉·폐기하는 행위에 대한 제재를 신설하고, 위법 행위 처분에 도움이 된 자에게는 신고 포상금을 지급하는 제도도 추진한다.
개인정보 불법 유통 탐지·대응을 강화하기 위해 유출된 개인정보임을 알면서도 다크웹 등에 유통하는 행위를 금지하고, 5년 이하 징역 또는 5천만 원 이하 벌금의 형벌 규정도 신설한다.
개인정보위가 불법 유통 관련 정보를 수집하고 탐지·삭제·차단할 수 있는 근거를 마련하며, 수사기관 등과의 협업도 강화할 예정이다.
송경희 개인정보보호위원회 위원장은 "지난해 대규모 유출 사고를 계기로 제재의 실효성을 높이는 한편, 예방 중심으로 개인정보 보호 체계를 전환하고 있다"며, "하반기에는 예방 투자와 보호 노력이 현장에 자리 잡을 수 있도록 제도적 지원을 강화하고, 안전한 데이터 활용 혁신도 속도감 있게 추진해 국민이 체감할 수 있는 변화와 성과를 만들어 내겠다"고 말했다.
