AI 개발을 위한 개인정보 처리 특례 [지평 테크레이더]

AI의 진화, 데이터의 딜레마

인공지능(AI)은 학습과 추론에 막대한 양의 데이터를 필요로 한다. 의미 있는 결과를 산출하기 위해서는 단순한 통계 자료가 아니라 실제 사람의 행태ㆍ표현ㆍ이력이 담긴 데이터가 필수적인 경우가 많다. 이 과정에서 개인정보가 상당량 포함되는 것은 사실상 불가피하다. 자율주행 학습용 영상 데이터에 행인의 얼굴이 비치고, 대화형 AI 학습용 텍스트에 발화자의 이름과 신상이 묻어 있는 것이 대표적인 예이다.

「개인정보 보호법」은 개인정보 처리에 관하여 적법한 처리 근거(법 제15조)를 요구한다. 가장 보편적인 근거는 정보주체의 동의이지만, 수억 건에 이르는 학습 데이터의 정보주체로부터 일일이 동의를 받는다는 것은 현실적으로 불가능에 가깝다. 계약 이행에 필요한 경우(제15조 제1항 제4호)나 개인정보처리자의 정당한 이익(제15조 제1항 제6호) 등 다른 근거를 원용할 여지가 있으나, 그 적용 범위와 한계가 명확하지 않아 실무상 법적 불확실성이 크다. 가명정보 처리에 관한 특례(제28조의2) 역시 자율주행ㆍ의료 영상 등 가명처리만으로는 모델 성능을 담보하기 어려운 영역에서는 한계가 분명하다.

규제 공백 메우는 제도적 특례

이러한 입법 공백을 메우기 위하여 개인정보 보호법 개정안이 발의되었고, 2026년 5월 14일 국회 정무위원회는 민병덕 의원안(2025. 1. 31. 발의)과 고동진 의원안(2025. 3. 13. 발의)을 통합ㆍ조정한 위원회 대안을 의결하여 본회의에 부의했다. 정무위를 통과한 대안은 「개인정보 보호법」 제3장에 제5절(제28조의12부터 제28조의15까지)을 신설하여 AI 기술 개발을 위한 개인정보 처리의 특례 체계를 새로이 도입한 것이다.

핵심 조항인 제28조의12는, 다음 세 가지 요건을 모두 충족하고 개인정보보호위원회(이하 “보호위”)의 심의ㆍ의결을 거친 경우, 적법하게 수집된 개인정보를 AI 기술 개발(성능 개선을 포함한다) 목적으로 당초 수집 목적 외로 이용할 수 있도록 규정하였다. 첫째, 영상ㆍ음성ㆍ이미지ㆍ부호ㆍ문자 등 처리 정보의 특성과 AI 기술 개발과의 관련성을 고려할 때 익명 또는 가명 처리만으로는 AI 기술 개발이 어려울 것(제1호). 둘째, 기술적ㆍ관리적ㆍ물리적 조치가 갖추어진 환경에서 처리하거나 클라우드 환경 등 개별 상황에 따른 추가적 안전조치를 이행하는 등 대통령령이 정하는 안전장치를 마련할 것(제2호). 셋째, AI 기술 개발의 목적이 ⓐ 공공의 이익 증진, 또는 ⓑ 정보주체ㆍ제3자의 이익 보호 내지 사회적 이익 증진을 포함하고, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 현저히 낮을 것(제3호). 보호위는 정보주체의 권리 보장과 개인정보의 안전한 처리를 위하여 필요한 범위에서 심의ㆍ의결에 조건을 부과할 수 있다.

절차적 통제도 다층적이다. 민감정보ㆍ고유식별정보 등의 처리 여부와 정보주체에게 미치는 영향 및 위험의 정도 등을 고려하여 대통령령이 정하는 기준에 해당하는 경우, 보호위는 심의ㆍ의결에 앞서 개인정보처리자에게 ‘위험요인평가’를 실시하고 그 결과를 제출하도록 명할 수 있다(제3항). 다만 종전에 심의ㆍ의결을 거친 AI 기술ㆍ서비스와 내용ㆍ방식ㆍ형태가 실질적으로 동일하거나 유사한 경우에는 심의ㆍ의결 절차를 간소화할 수 있도록 하였다(제4항). 개인정보를 이용하는 목적과 유형은 개인정보 처리방침에 포함되어야 하며(제5항), 보호위는 심의ㆍ의결 후 신청자와 주요 내용, 위험요인평가 결과 요약을 인터넷 홈페이지 등에 공개하여야 한다(제6항).

사후적 통제 장치도 마련했다. 보호위는 심의ㆍ의결 사항에 대하여 주기적으로 이행 여부를 관리ㆍ감독하고 필요한 범위에서 자료 제출을 요구할 수 있다(제28조의13). 나아가 ⓐ 거짓ㆍ부정한 방법으로 심의ㆍ의결을 받은 경우, ⓑ 제28조의12 제1항 각 호의 요건이나 부과 조건을 충족하지 못한 경우, ⓒ 정보주체의 권리 보장, 개인정보의 안전한 처리를 위하여 보호위가 부여한 조건을 충족하지 못한 경우, ⓓ 심의ㆍ의결일부터 6개월 이내에 특별한 사유 없이 개인정보 처리를 개시하지 아니한 경우, ⓔ 중대한 사정 변경으로 처리 목적 달성이 명백히 불가능하다고 판단되는 경우에는 보호위가 심의ㆍ의결을 거쳐 개인정보 처리 전부를 제한하도록 의무화했다(제28조의14). 본 특례에 따라 개인정보를 이용하는 경우 그 범위 안에서 목적 외 이용ㆍ제공 제한(제18조 내지 제20조), 이용ㆍ제공 내역 통지(제20조의2), 민감정보ㆍ고유식별정보ㆍ주민등록번호 처리 제한(제23조, 제24조, 제24조의2), 영상정보처리기기 관련 규정(제25조, 제25조의2), 일부 국외 처리위탁 규정(제28조의8) 등의 적용을 배제할 수 있다(제28조의15).

합리적 규율과 미래 경쟁력

기업의 관점에서 대응 방향을 미리 설계해 둘 필요가 있다. 본 특례가 시행될 경우 단순히 “AI 개발에 필요하다”는 추상적 주장만으로는 심의를 통과하기 어려울 것이다. 학습 데이터의 출처와 적법 수집 여부, 익명ㆍ가명 처리만으로는 목적 달성이 어렵다는 점에 관한 기술적 논거, 기술적ㆍ관리적ㆍ물리적 안전조치와 클라우드 환경 등 상황별 추가 안전조치의 구체적 내용, 공익성 또는 사회적 이익 증진 효과, 정보주체에 대한 침해 우려가 현저히 낮다는 점을 입증할 자료, 처리방침 반영 계획과 정보주체의 권리 보장 방안 등을 사전에 체계적으로 마련해 두어야 한다.

AI 거버넌스 차원에서 데이터 수집ㆍ전처리ㆍ학습ㆍ운영의 전(全) 생애주기에 걸친 컴플라이언스 점검 체계를 정비하는 것이 권장된다. 영향평가 보고서, 위험 시나리오 분석, 안전조치 운영 기록 등은 향후 위험요인평가와 보호위 심의 단계에서 증빙 자료가 될 것이며, 심의ㆍ의결 후 6개월 이내 처리 개시 요건을 충족하기 위한 사업 일정 관리도 빠뜨리지 말아야 한다.

막연한 우려를 이유로 개인정보 활용 자체를 입구에서 봉쇄하는 접근은 AI 시대의 산업 경쟁력 확보라는 정책 목표에 부합하지 않는다. 위험성을 실증적으로 진단하고, 그 위험이 현실화될 우려가 구체적으로 드러나는 단계에서 이를 차단ㆍ교정하는 단계적 규율이 보다 합리적이다. 이번에 정무위를 통과한 개정안은 사전 심의ㆍ의결, 위험요인평가, 처리방침 공개, 사후 관리ㆍ감독, 처리 제한이라는 다단계 통제 장치를 통해 그러한 단계적 규율 체계를 시도한 것으로 평가할 수 있다. 본회의 의결 후 운용 과정에서 보호위와 산업계, 시민사회가 지혜를 모아 보호와 활용의 정교한 균형점을 찾아낼 수 있기를 기대한다.

[지평 테크레이더]에서는 ­AI, 데이터, 디지털 기술 발전에 따라 급변하는 법·제도 환경을 기업ㆍ기관 실무자가 이해하기 쉬운 형태로 전달하고자 합니다. 신용우 변호사는 행정부ㆍ입법부를 두루 거치고 정보통신 및 지식재산권 분야에서 경력을 쌓아온 전문변호사입니다.

이 기사가 마음에 들었다면, 좋아요를 눌러주세요.