개인정보위, AI 시대 개인정보 규율 개편…위험비례·사전예방 전환
개인정보보호위원회(이하 개인정보위)는 3일 경제관계장관회의에서 관계부처 합동으로 ‘제3차 개인정보 보호 기본계획(2027~2029년)’을 발표했다고 밝혔다. 인공지능(AI) 환경에 맞춰 개인정보 규율을 위험도에 비례하는 방식으로 바꾸고 유출 사고 대응을 사후 제재에서 사전 예방 중심으로 전환하는 내용이다.
개인정보위는 개인정보 보호법에 따라 3년마다 중앙행정기관과 기본계획을 수립한다. 이번 계획은 ▲AI 대전환 시대 개인정보 보호체계 혁신 ▲사전예방 중심 보호체계 확립 ▲전략적 개인정보 거버넌스 고도화 ▲국민 권익 증진과 신뢰문화 정착 등 4대 전략과 12대 과제로 구성됐다.
개인정보위에 접수된 개인정보 유출 신고는 2020년 219건에서 2025년 447건으로 2배 늘었다. 유출 규모는 같은 기간 1200만3000건에서 1억354만6000건으로 8.6배 증가했다.
AI 규율, 일률적 규제에서 위험비례 방식으로
개인정보위는 AI 확산 이전에 설계한 일률적 규제를 원칙 중심의 위험비례 규율체계로 전환한다. 개인정보 처리에 따른 위험이 낮으면 데이터 활용에 유연성을 부여하고 위험이 높으면 보호조치를 강화하는 방식이다.
기업과 기관이 AI를 도입하는 과정에서 발생하는 법적 불확실성을 줄이기 위해 가칭 ‘인공지능 전환(AX) 안심지원센터’도 운영한다. 지역별로 가명정보와 익명정보를 연계·활용할 수 있는 데이터 허브도 구축한다.
안전조치를 전제로 AI 학습에 불가피한 개인정보 원본 활용을 허용하는 특례도 추진한다. 개인이 자신의 정보 활용 여부를 결정할 수 있는 ‘온마이데이터’ 플랫폼을 강화하고 데이터 활용으로 발생한 가치를 정보주체에게 돌려주는 체계도 마련한다.
개인정보위는 자율적으로 업무를 수행하는 에이전틱 AI의 의사결정 책임 구조를 검토한다. 로봇과 자율주행차 등 피지컬 AI가 주변 정보를 지속해서 수집하는 환경에 맞춰 정보주체의 권리보장 기준과 사전 위험평가 체계도 설계한다.
딥페이크와 사칭 등 데이터 변조를 막는 방안을 마련하고 AI 투명성 확보를 제도화한다. 에이전틱 AI 기반 공격과 AI 사이버 위협을 반영해 개인정보 안전조치 기준도 개정할 계획이다.
유출 이후 제재보다 사고 예방에 집중
개인정보 보호체계는 사고 발생 후 조사·제재하는 방식에서 사고 전 취약점을 점검하는 방식으로 바뀐다. 개인정보위는 고위험 분야 집중점검과 부처 합동점검을 확대하고 AI 보안점검을 제도화한다.
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증과 각종 평가에도 AI 기술을 접목한다. 개인정보를 대량으로 보유한 공공기관에는 강화한 안전조치 기준을 적용하고 상시점검과 평가를 확대한다.
기업이 법적 의무를 넘어 개인정보 보호에 선제적으로 투자하면 유출 과징금을 감면하는 제도도 확산한다. 최고경영자(CEO)의 책임을 정착시키고 개인정보보호책임자(CPO)의 권한과 역할도 강화한다.
반대로 관리 의무를 소홀히 한 기업에는 조사와 제재를 강화한다. 시정명령 등을 이행하지 않을 때 금전적 부담을 부과하는 이행강제금 도입을 추진하고 개인정보 불법 유통에 대한 형사처벌 근거도 신설한다.
중소기업에서 유출 사고가 발생하면 조사·제재에 그치지 않고 복구 기술을 지원한다. 사고 전에는 중소·영세기업을 대상으로 보안 점검과 상담을 제공한다. 암호기술 등 개인정보보호 강화기술(PET) 연구개발도 확대한다.
국외이전 제도 확대하고 피해구제 창구 통합
개인정보위는 통신·교육·고용 등 개인정보 위험이 높은 분야를 관계부처와 공동으로 점검한다. 개인정보 위협을 사전에 파악하는 조기경보체계도 구축한다.
AI와 클라우드 확산으로 증가하는 개인정보 국외이전에 대응해 표준계약조항(SCC)과 구속력 있는 기업규칙(BCR)을 새로운 이전 수단으로 확대한다. SCC는 개인정보를 국외로 보내는 기업 간 계약에 보호 의무를 부과하는 제도다. BCR은 다국적 기업이 내부 개인정보 이전 규칙을 마련해 감독기관의 승인을 받는 방식이다.
영국·미국·일본 등과 데이터 상호 이전 네트워크를 확대하는 동시에 국외이전 현황조사와 영향평가 제도를 도입한다. 개인정보 유출 피해자는 신고부터 조사, 분쟁조정, 손해배상까지 하나의 체계에서 지원받을 수 있게 된다. 개인정보 처리 현황을 확인하고 삭제·정정 등 권리를 행사할 수 있는 AI 기반 플랫폼도 구축한다.
개인정보위는 정보주체 권익 증진을 담당하는 전문기관 설립과 피해회복 동의의결제 도입도 추진한다. 영상정보와 생체정보에 특화한 보호 기준을 마련하고 아동·청소년 등 권리행사가 어려운 계층의 보호도 강화한다.
송경희 개인정보위 위원장은 “이번 3개년 기본계획은 개인정보 규율체계를 인공지능 환경에 맞게 재설계하고 사전 예방 중심의 보호체계를 확립하는 데 정책 역량을 집중하겠다”고 말했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.
일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40



