올해 개인정보보호위원회는 AI 시대를 맞아 관련 산업에 대한 규제 완화와 함께 AI 범죄에는 강경 대응하는 ‘투트랙’ 전략을 꺼냈다.
13일 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 정부서울청사에서 ‘안전한 개인정보, 신뢰받는 인공지능(AI) 시대’를 비전으로 2025년 주요 정책 추진 계획을 발표했다. 올해 개인정보위는 AI 시대에 부응하는 개인정보 법제 정비 등 강화된 AI‧데이터 정책을 추진한다. 동시에 딥페이크, 개인정보 국외 유출 등 프라이버시 침해 위협에 선제 대응한다.
이에 3대 추진 전략으로 △데이터와 신뢰 기반의 AI 성장 여건 조성 △데이터 프라이버시 글로벌 리더십 강화 △디지털 대전환 가속화에 대응한 개인정보보호 체계 재정비를 제시했다. 3대 전략 아래 6대 핵심 과제를 진행한다.
AI 시대 개인정보 규율체계 혁신이 첫 번째 핵심 추진과제로 꼽혔다. AI 개발에 필수적인 개인정보를 안전하게 활용할 수 있는 법적 기반을 마련해 AI‧데이터 생태계 발전을 지원할 계획이다.
자율주행 AI 개발 등 가명처리만으로 연구 목적 달성이 어려운 경우 적정한 안전조치를 전제로 개인정보위 심의‧의결 하에 원본 데이터 활용을 허용하는 개인정보 보호법 상 특례 규정을 마련한다. 개인정보를 적법하게 처리할 수 있는 근거도 확대해 탄력적으로 운영할 예정이다.
최근 피해자가 늘고 있는 딥페이크를 악용한 합성 콘텐츠 등에 대해 정보 주체가 삭제를 요구할 수 있는 법적 권리를 도입하고, 인격적 가치를 훼손하는 개인정보 행위 등을 금지‧처벌하는 방안도 준비한다.
지속가능한 신산업 혁신 기반을 마련하기 위해 ‘(가칭)영상정보처리기기 설치‧운영 등에 관한 법률’ 제정을 추진한다. 얼굴‧지문 등 생체인식정보의 처리 원칙과 정보주체 권리 보장 방안 등을 구체화한다. 가명 정보 활용을 활성화하고자 가명처리의 적정성을 판단하는 심의위원회를 법제화하고 ‘가명정보 지원 플랫폼’에 비정형 데이터의 가명처리 기능을 추가한다. AI 등 신산업 분야의 개인정보보호 강화기술(PET) 개발을 중점적으로 지원할 예정이다. 기술의 상용화를 위해 중세‧영세기업 등을 대상으로 기술 이전을 추진한다.
오는 9월 서울에서 열리는 2025년 글로벌 프라이버시 총회를 계기로 글로벌 개인정보 규범 논의 과정에서 한국이 주도권을 확보한다. EU를 대상으로 동등성 인정과 EU의 한국에 대한 적정성 결정 갱신을 통해 상호 데이터 이전 협력도 강화한다. 특히 표준계약조항(SCC) 등 안전한 개인정보 국외이전 수단 확대와 국외이전 중지명령 세부 기준을 마련해 국민의 우려를 줄인다.
개인정보위는 의료‧통신‧에너지분야를 시작으로 마이데이터 제도를 본격 시행한다. 마이데이터 제도 안착을 위해 선도서비스 5종을 단계적으로 출시할 예정이다. 전송요구 이력 조회, 전송 철회 등을 지원하는 마이데이터 지원 플랫폼을 개설한다. 국민의 전송요구권 행사를 돕고, 엄격한 심사를 거쳐 개인정보 관리 전문 기관을 지정해 지속적인 실태점검을 실시할 계획이다.
개인정보위는 개인정보 보호 컨트롤타워의 역할을 강화한다. 국민 생활 밀접 분야, 신기술·신산업 분야, 공공 분야 등 개인정보 보호 취약 3대 부문에 대해 선제적 집중 점검을 실시한다. 조사 역량을 키우기 위해 디지털 증거를 수집‧분석해 개인정보 유출 원인이나 경로를 파악하는 ‘포렌식랩’을 구축한다.
또 조사 전 과정(사건접수‧조사‧처분)을 체계적으로 관리하는 조사정보 시스템과 소송 전담팀도 구성한다. 아울러 해외사업자 등 매출액 자료 비협조에 대한 강제력 확보 방안을 마련하고, 국내 법인을 국내 대리인으로 우선 지정하도록 의무화한다.
이정렬 개인정보위 사무처장은 소송 전담팀에 대해 “4급 상당의 팀장과 내부 법률 전문가 등으로 구성되며 3월 쯤 출범하겠다”며 “인원과 자금이 없어 안된다는 말이 나오지 않도록 철저히 대응하겠다”고 강조했다.
개인정보위는 빈틈없는 개인정보 안전망 구축을 위해 IP 카메라 등 IT 기기를 대상으로 개인정보보호 중심설계의 시범인증을 확대한다. 더 나아가 개인정보 보호법 개정을 통해 법정 인증화도 추진하며 다중이용시설에서는 보안이 인증된 IP 카메라만 사용하도록 의무화할 계획이다. 올해부터 공공기관의 법 위반행위에 대해 전면 공표제를 시행한다. 대규모 유출사고가 발생한 공공기관은 3년 내 추가적인 실태점검이 의무화된다. 민간부문에서는 영상정보관리사 국가공인 민간자격시험을 올해 3월부터 시행해 공공‧민간 CCTV 관제시설 종사자의 전문성과 역량을 강화한다.
고학수 개인정보위 위원장은 “개인정보 규제 혁신을 요구하는 목소리와 잠재적인 프라이버시 침해 위협에 대한 우려가 동시에 나타나고 있다”며 “AI 환경 변화에 원칙 기반 개인정보 규율체계의 완성도를 높여 나감으로써 국민 불안을 해소하고 국내 AI 생태계 발전을 지원하겠다”고 말했다.
