2025년 1월 13일 개인정보보호위원회(이하 “개인정보위”)는 『2025년 개인정보보호위원회 주요 정책 추진계획』을 발표하였습니다. 이번 추진계획은 3대 추진 전략을 기초로 6대 핵심 추진과제를 담고 있으며, 각 추진 과제의 주요 내용과 시사점은 아래와 같습니다.

1. AI 시대 개인정보 규율체계 혁신

가. AI 시대에 부합하는 개인정보 법제 정비

가명처리만으로 연구 목적 달성이 곤란한 경우 개인정보위 심의·의결 하에 원본 데이터 활용을 허용하는 특례 마련하고, AI 개발 사업자 등의 ‘정당한 이익’이나 ‘공익’ 등을 고려한 개인정보 적법 처리 근거를 확대하겠다는 방침을 밝혔습니다. 

나. 현행 법 체계 하에서 현장 애로 해소

원칙 중심의 개인정보 규율 체계를 신기술·신산업에 실제 적용하는 과정에서 법적 불확실성으로 인한 고충을 겪는다는 현장의 목소리를 반영하여, 중소기업·소규모 사업자를 위한 AI·데이터 처리 기준 등 보다 구체적인 처리 기준을 마련할 예정입니다. 나아가, 법 개정 추진과 함께 합리적이고 유연한 법 해석, 규제 샌드박스 등을 지속 병행하고, 혁신지원 원스톱 창구 및 사전적정성 검토제의 운영을 활성화하겠다고 밝혔습니다.

다. 신기술에 대한 이용자 신뢰 확보

합성 콘텐츠(딥페이크) 등에 대한 정보주체의 삭제 요구권을 도입하고, 인격권을 침해하는 개인정보 합성 등을 금지·처벌하는 방안을 마련할 예정입니다. 또한, AI 분야 개인정보 영향평가에서 자체평가를 인정하는 방안 등 민간 확대를 검토하고 자율적 준수 시 인센티브 부여하고자 합니다.

2. 지속가능한 신산업 혁신 기반 마련

가. 급격한 신기술 변화에 상응하는 법체계 마련

영상정보의 특수성을 고려한 『(가칭) 가칭영상정보처리기기 설치·운영 등에 관한 법률』 제정을 추진하고, 생체인식정보(얼굴·지문 등) 규율체계를 개선할 예정입니다. 

나. 가명정보 활용 확산으로 신산업 성장 지원

가명처리 활용 확산을 위하여 ① AI 연구자 등이 안전한 환경에서 가명처리가 가능한 ‘(가칭)개인정보 이노베이션존’의 추가 지정·활성화 및 사용자 편의성 개선, ② 가명처리 적정성 심의위원회 법제화 및 가명처리 기준·절차 간소화, ③ 지역 가명정보 활용 지원센터(총7개소) 협의회 및 산업별 가명처리 전문가 협의체 도입 ④ ‘가명정보 지원 플랫폼’에 AI 등 핵심재료인 비정형 데이터(영상·이미지·음성등) 가명처리 기능 추가 등에 나설 예정입니다.

다. 안전한 데이터 활용을 위한 기술적 인프라 구축

개인정보보호 강화기술(PET) 연구개발과 핵심 분야에서의 표준 개발 및 표준 채택 지원에 나서겠다고 밝혔습니다. 구체적으로는 LLM 프라이버시 취약성 평가, 멀티모달 데이터에 대한 비식별화 기술 개발, 딥페이크 예방 기술 개발에 나서고, ’24년 완료된 기술의 상용화에 나설 예정입니다. 

3. 글로벌 개인정보 규범 주도권 확보

가. 글로벌 AI·프라이버시 규범 논의 주도

’25년 9월 예정된 GPA(Global Privacy Assembly)를 계기로, 현재 유럽과 미국 중심의 개인정보 규범 논의에 아시아 등 다양한 이해를 반영하는 새로운 규범의 형성을 선도하고자 합니다. 

나. 안전하고 자유로운 데이터 이전 체계 구축

EU와 상호 데이터 이전 협력을 강화(동등성 인정 추진, 적정성 결정 갱신)하는 한편, 미국, 영국 및 일본 등에 대한 동등성 인정 추진 대상 검토에 나설 예정입니다. 또한 ‘글로벌 CBPR 포럼’에 적극 참여하여 CBPR 인증요건 수준을 상향 추진하고, 우리 법 상의 보호체계와의 상호운용성을 강화하고자 합니다.

다. 국외이전 제도 개선 및 해외조사 역량 제고

표준계약조항(SCC) 등 안전한 데이터 이전 수단 확대를 추진하는 동시에 국외 이전 중지명령 세부 기준 마련 등 국외이전 보호체계를 강화하고자 하며, 해외사업자 안내서를 구체화하는 등 국제적 정보 공유 체제를 구축하고 해외조사 역량을 제고하고자 합니다.

4. 마이데이터 시대 개막, 성과 창출 본격화

가. 마이데이터 본격 시행으로 국민 체감 성과 창출

3월부터 의료·통신·에너지 등 국민생활 밀접분야로 마이데이터 제도가 확대 시행될 예정이며, 이를 위하여 ① 맞춤형 만성질환 예방 관리, ② 해외 체류 국민 국내 의료 기록 연동, ③ 복약 관리 및 약물 처방 지원(이상 의료분야), ④ 최적 통신요금 추천(통신 분야), ⑤ 여행지·여행경비 최적 설계 제안(자율 분야) 등 선도서비스 5종을 단계적으로 출시할 예정입니다. 

나. 全 분야 마이데이터 단계적 확산 추진

우선 시행되는 의료·통신 분야 마이데이터의 정보 전송자 및 전송항목을 확대하고, 신규 부문(교육·고용·여가 등)에 대한 단계적 확대를 논의할 예정입니다. 또한, 선행부문(금융·공공등)과 신규부문(의료·통신등) 간 데이터 융합을 지원하며, 합리적인 전송비용 분담체계 구축, 데이터 연계 촉진을 위한 중계 전문기관 운영 지원 등 마이데이터의 확산 기반을 조성할 방침입니다.

다. 투명하고 안전한 마이데이터 생태계 구축

‘마이데이터 지원 플랫폼’을 오픈하여 개인정보 전송요구권 행사를 지원하고, 개인정보관리 전문기관 안내서 발간, 엄격한 지정요건 심사 및 안전실태 점검 등을 통해 지속적인 관리에 나서며, 다크패턴 등 부당한 전송 유도‧유인방지 가이드라인 마련 및 정보주체 대상 교육 등으로 건전한 마이데이터 문화 조성에 나서고자 합니다. 

5. 개인정보 보호 컨트롤타워 역할 강화

가. 프라이버시 취약 분야 중점 점검

개인정보 보호 취약 3대 부문, 구체적으로는 국민 생활 밀접 분야(① 공유 플랫폼, ② 디지털 금융, ③ 부동산·건설, 신기술·신산업 분야(④ 에듀테크, ⑤ AI 에이전트 등 AI 응용 서비스, ⑥ 리걸테크), 공공 분야(⑦ 집중관리 시스템, ⑧ 교육 분야(대학))에 대한 선제적 집중 점검에 나서고, 그 결과를 정책·제도 개선에 반영하고자 합니다.

나. 디지털 기술 기반 조사 역량 강화

조사 역량 강화를 위하여 ① 디지털 증거 수집·분석으로 유출 원인 등을 파악하는 포렌식랩 구축(3월~), ② 조사 전과정(사건접수-조사-처분)을 체계적으로 관리하는 조사정보시스템 운영(1월~), ③ 기능 조정(1월~) 및 전문 조사관 육성, ④ 소송 전담팀 구성(상반기) 등을 계획하고 있습니다.

다. 조사·처분 제도 합리적 정비

해외사업자의 자료(매출액 등) 제출에 대한 강제력 확보 방안을 마련하고, 국내 법인 의무 지정 등 국내 대리인 제도 개선하고자 합니다. 또한 딥페이크에 악용 가능한 사진 등 민감도 높은 개인정보 관련 위반 행위의 과징금 부과기준율 조정 등 위반행위와 과징금 간 비례성 강화하는 한편, 경미한 사건, 중·소상공인 위반 등에 대하여는 조사·처분 면제 기준을 마련할 예정입니다. 

6. 촘촘하고 탄탄한 개인정보 안전망 구축 

가. 디지털 대전환 심화에 따른 프라이버시 침해 대응

디지털 심화에 따라 새로이 대두되는 프라이버시 침해 문제에 대응하기 위하여, ① 일상에서 활용되는 IT 기기(IP 카메라 등) 대상 개인정보보호 중심 설계(Privacy by Design) 시범인증 확대 및 법정 인증화, ② 온라인 맞춤형 광고 제공 목적의 행태정보 안전관리 체계 강화, ③ AI, 홈IoT, 에듀테크, 방송, 통신 등 50여 개사 대상 개인정보 처리방침 심층 평가 실시, ④ 사망자 프라이버시 보호 및 디지털 유산에 대한 정책방안 연구 등을 추진하고자 합니다.

나. 공공기관 개인정보 관리 강화

공공기관에 대한 개인정보 관리 강화를 위하여 ① 공공기관 법 위반행위 전면 공표제 시행 및 대규모 유출사고 기관에 대한 조사·처분 후 3년 내 추가적인 실태점검 의무화(3월~), ② 주요 공공기관 시스템(50여개) 대상 접속기록 저장 등 10대 안전조치 점검, ③ 대학·특수법인 등으로 공공기관 보호수준 평가제 대상 확대(대학·협회·방송사 등 8개 기관 추가) ④ 희망 자치단체 대상 자치법규 개인정보 침해요인 분석·평가(3월~) 등에 나설 예정입니다.

다. 민간부문 개인정보 보호 수준 제고

민간 부문에 대하여는 ① 영상정보관리사 국가공인 민간자격시험 시행(3월~) 등 공공·민간 CCTV 관제시설 종사자의 전문성 제고 및 역량 강화, ② 자율규제 단체의 특성·규모 등을 고려한 차등화된 지원 체계 마련, ③ 딥페이크, 큐싱 사기 등 실제 피해 사례에 기반한 교육 콘텐츠 개발 및 아동·청소년, 고령자, 소상공인 등 디지털 취약계층 맞춤형 교육 강화에 나설 예정입니다. 

About Shin & Kim’s ICT Group 개인정보데이터팀, AI센터

법무법인(유) 세종은 개인정보 분야의 독보적인 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보 보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 최근 발간된 개인정보보호위원회·KCPO의 CPO 핸드북의 감수 및 집필에 참여하는 등 조직 내 개인정보 거버넌스 구축에 전문성을 보유하고 있습니다. 또한 개인정보 보호법 제2차 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.

[English version] PIPC Reveals its Key Priorities and Policy Agenda for 2025