인공지능 기술 개발 과정에서 개인정보의 활용 필요성과 정보주체의 권리 보호 사이의 균형을 모색하는 「개인정보 보호법」 개정안이 2026년 5월 14일 국회 정무위원회를 통과하였습니다.

본 개정안은 더불어민주당 민병덕 의원이 대표발의한 「개인정보 보호법 일부개정법률안」(의안번호 2207858, 2025. 1. 31. 발의)과 국민의힘 고동진 의원이 대표발의한 「개인정보 보호법 일부개정법률안」(의안번호 2208904, 2025. 3. 13. 발의)을 통합·조정한 위원회 대안으로, 향후 법제사법위원회를 거쳐 본회의에 부의될 예정입니다.

아래에서 개정안의 발의 배경과 주요 내용, 시사점에 대해 살펴보도록 하겠습니다.

1. 개정안 발의 배경

인공지능 기술 개발이 국가 경쟁력 제고와 국민 삶의 질 향상을 위한 핵심 과제로 부상하면서 사회 안전망 확보, 재난·범죄 예방 등 공익적 필요가 높은 분야는 물론 다양한 신산업 분야에서 개인정보가 포함된 데이터 활용에 대한 요구가 꾸준히 높아져 왔습니다.

그러나 현행법은 수집 목적 외 개인정보 이용을 원칙적으로 금지하고 있고 이에 익명·가명 처리를 통해 개인정보를 목적 외로 사용할 수 있으나, 영상·음성·이미지 등과 같이 인공지능 학습에 필수적인 정보의 경우 익명·가명 처리를 하여서는 충분한 성능 확보가 어려운 경우가 많다는 산업계의 문제 제기가 지속되어 왔습니다.

이에 본 개정안은, 일정한 요건을 갖추고 개인정보보호위원회(이하 ‘개인정보위’)의 심의·의결을 거친 경우 인공지능기술 개발을 위한 개인정보의 목적 외 이용을 허용하되, 사전 위험요인평가 및 사후 관리·감독 체계를 함께 마련함으로써 데이터 활용과 정보주체의 권리 보호 간에 균형을 도모하고자 발의되었습니다.

2. 개정안의 주요 내용

개정안은 법 제3장에 제5절(인공지능기술 개발을 위한 개인정보 처리의 특례)을 신설하였습니다. 주요 내용은 아래와 같습니다.

가. 인공지능기술 개발을 위한 개인정보의 이용(안 제28조의12) 및 특례 이용에 대한 일부 규정 적용 배제(안 제28조의15)

• 개인정보처리자가 아래의 세 요건을 모두 충족하고 개인정보위의 심의·의결을 거친 경우에는 기존에 적법하게 수집한 개인정보를 당초 수집 목적 외로 인공지능기술 개발(성능 개선 포함)에 이용할 수 있도록 하였습니다(안 제28조의12 제1항).
  1. 익명 또는 가명으로 처리하여서는 인공지능기술 개발이 어려울 것
  2. 대통령령으로 정하는 기준에 따른 안전장치를 마련할 것
  3. 인공지능기술 개발의 목적이 (가) 공공의 이익 증진을 위한 경우 또는 (나) 정보주체 또는 제3자의 이익을 보호하거나 사회적 이익 증진을 위한 경우로서, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 현저히 낮을 것
• 개인정보위는 민감정보·고유식별정보의 처리가 수반되는 경우 등 대통령령으로 정하는 기준에 해당하는 때에는 심의·의결 전에 개인정보처리자에게 위험요인평가 실시 및 결과 제출을 요구하여야 하며(안 제28조의12 제3항), 종전에 심의·의결한 것과 실질적으로 동일·유사한 경우에는 심의·의결 절차를 간소화할 수 있습니다(안 제28조의12 제4항).
• 개인정보위는 심의·의결 시 정보주체의 권리 보장과 개인정보의 안전한 처리를 위해 필요한 범위 내에서 조건을 붙일 수 있으며(안 제28조의12 제2항), 심의·의결한 때에는 요청한 자 및 주요 내용, 위험요인평가 결과를 요약한 내용 등을 홈페이지에 공개하여야 합니다(안 제28조의12 제6항).
• 개인정보처리자는 심의·의결을 받아 개인정보를 이용하려는 경우, 이용 목적과 유형을 개인정보 처리방침에 포함하여야 합니다(안 제28조의12 제5항).
• 본 특례에 따라 개인정보를 이용하는 범위 내에서, 개인정보 보호법상 (i) 목적 외 이용·제공 제한(제18조~제19조), (ii) 수집 출처 등 통지(제20조), 이용·제공 내역 통지(제20조의2), (iii) 민감정보·고유식별정보·주민등록번호 처리 제한(제23조, 제24조, 제24조의2), (iv) 영상정보처리기기 운영 제한(제25조, 제25조의2) 및 (v) 국외 처리위탁 관련 규정(제28조의8)의 적용을 배제할 수 있습니다(안 제28조의15).

나. 인공지능기술 개발을 위한 개인정보 처리에 대한 관리·감독(안 제28조의13) 및 제한(안 제28조의14)

• 개인정보위는 심의·의결한 사항에 대해 주기적으로 이행 여부를 관리·감독하여야 하며, 필요한 범위에서 개인정보처리자에게 자료 제출을 요구할 수 있습니다(안 제28조의13).
• 한편 심의·의결을 받은 자가 (i) 거짓·부정한 방법으로 심의·의결을 받은 경우, (ii) 법상 요건 또는 개인정보위가 부여한 조건을 충족하지 못한 경우, (iii) 심의·의결을 받은 날로부터 6개월 이내에 특별한 사유 없이 개인정보 처리를 시작하지 아니한 경우, (iv) 중대한 사정 변경으로 목적 달성이 명백히 불가능한 경우 등에 해당하는 때에는, 개인정보위는 심의·의결을 거쳐 개인정보 처리 전부를 제한하여야 하며, 개인정보처리자는 지체 없이 필요한 조치를 하고 그 결과를 개인정보위에 알려야 합니다(안 제28조의14).

3. 시사점

• (법령 개정 동향 모니터링 및 의견 개진) 본 개정안은 법제사법위원회 및 본회의의 심의·의결을 거쳐야 하므로 인공지능기술 개발 목적으로 개인정보를 그대로 사용하고자 하는 사업자는 본 개정안의 처리 동향을 주기적으로 살필 필요가 있습니다.
  
  한편, 본 개정안에 따라 개인정보를 이용할 수 있는 각 요건의 구체적인 판단 기준, 안전조치의 적정성 판단 기준, 심의·의결 절차 및 절차 간소화의 인정 범위 등 구체적인 사항들은 대통령령에 위임될 것으로 예상됩니다. 이에 본 개정안이 통과된 후 진행될 시행령 입법예고 단계에서부터 관련 동향을 면밀히 모니터링하고, 산업계의 실무적 관점이 반영될 수 있도록 의견을 적극적으로 개진할 필요가 있습니다.

• (허가 취득을 위한 사전 준비) 본 개정안이 시행될 경우, 익명 또는 가명처리로는 의미 있는 학습이 불가능한 인공지능 개발 영역에서 기업들이 겪고 있는 어려움이 상당 부분 해소될 것으로 기대됩니다. 다만, 이번 특례는 개인정보위의 사전 심의·의결을 전제로 하는 ‘사실상의 허가제’ 구조를 취하고 있으므로, 익명 또는 가명처리 없이 개인정보를 이용하고자 하는 사업자는 미리 그 허가 요건에 해당함을 소명할 수 있는 자료를 준비하여야 할 것으로 판단됩니다.

About Shin & Kim’s ICT Group

법무법인(유) 세종 ICT그룹은 ICT 분야의 독보적인 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 파악 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. AI Compliance, 침해사고 대응 등과 관련하여서도 다양한 업무경험과 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.