개인정보보호위원회(이하 “위원회”)는 2025. 1. 13. ‘2025년 주요 정책 추진계획’을 발표하였습니다. 위원회는 본 계획을 통해 ‘안전한 개인정보, 신뢰받는 인공지능(AI) 시대’라는 비전 하에 (1) 데이터와 신뢰 기반의 AI 성장 여건 조성, (2) 데이터 프라이버시 글로벌 리더십 강화, (3) 디지털 대전환 가속화에 대응한 개인정보보호 체계 재정비 등을 2025년의 3대 추진전략으로 밝혔습니다.
나아가, 위원회는 올해의 6대 핵심 과제로서 (1) AI 시대 개인정보 규율체계 혁신, (2) 지속가능한 신산업 혁신 기반 마련, (3) 글로벌 개인정보 규범 주도권 확보, (4) 마이데이터 시대 개막, 성과 창출 본격화, (5) 개인정보 보호 컨트롤타워 역할 강화, (6) 촘촘하고 탄탄한 개인정보 안전망 구축 등을 제시하였는데, 각 과제 별 주요 내용은 다음과 같습니다.
|
1.
|
AI 시대 개인정보 규율체계 혁신
위원회는 자율주행 AI 개발 등 가명처리만으로 연구 목적 달성이 어려운 경우 적정한 안전조치를 전제로 위원회 심의·의결 하에 원본 데이터 활용을 허용하는 ‘개인정보 보호법’ 상 특례 규정을 마련하고, AI 개발 사업자 등의 ‘정당한 이익’이나 ‘공익’ 등을 고려한 개인정보 적법 처리 근거의 확대를 추진할 계획입니다.
나아가, 위원회는 지난해 민·관 협력을 통해 정립한 원칙 기반 개인정보 규율체계를 구체화하여 ‘주요 분야별 AI·데이터 처리 기준’을 마련할 계획임을 밝혔습니다. 딥페이크를 악용한 합성 콘텐츠 등에 대해 정보주체가 삭제를 요구할 수 있는 법적 권리 도입을 추진하고, 인격적 가치를 훼손하는 개인정보 합성 행위를 금지·처벌하는 방안 등도 마련할 계획입니다.
|
|
2.
|
지속가능한 신산업 혁신 기반 마련
위원회는 ‘(가칭)영상정보처리기기 설치·운영 등에 관한 법률’ 제정을 추진하고, 생체인식정보의 처리 원칙과 정보주체 권리 보장 방안 등을 구체화할 계획입니다. 이에 더하여, 위원회는 가명처리의 적정성을 판단하는 심의위원회를 법제화하고 ‘가명정보 지원 플랫폼’에 비정형 데이터의 가명처리 기능을 추가하는 등으로 가명정보 활용을 활성화할 계획입니다.
또한, 위원회는 AI 등 신산업 분야 개인정보보호 강화기술(PET)의 개발을 중점적으로 지원하고, 개발이 완료된 기술은 중소·영세기업 등을 대상으로 기술 이전을 추진하여 상용화할 것이라는 점도 언급하였습니다.
|
|
3.
|
글로벌 개인정보 규범 주도권 확보
위원회는 올해 9월 서울에서 세계 최대 규모의 개인정보 관련 국제회의인 ‘글로벌 프라이버시 총회(Global Privacy Assembly)’를 개최할 계획입니다.
또한, 위원회는 외국과의 데이터 이전 협력 강화를 위해, EU에 대한 동등성 인정[1] 및 2021년 채택 후 3년의 기한 경과한 ‘EU의 한국에 대한 적정성 결정’ 갱신으로 상호 인정체계를 마련하고, 美‧英‧日 등 동등성 인정 추진 대상을 추가로 검토할 계획입니다. 아울러, 위원회는 표준계약조항(SCC) 등 안전한 개인정보 국외이전 수단 확대, 국외이전 중지명령 세부 기준 마련 등 국외이전 보호체계 강화 계획에 대해서도 언급하였습니다.
|
|
4.
|
마이데이터 시대 개막, 성과 창출 본격화
위원회는 의료·통신·에너지 분야부터 마이데이터 제도를 본격 시행할 예정으로, 제도 안착을 위해 △(의료분야) 맞춤형 만성질환 예방 관리, 해외 체류 국민 국내 의료 기록 연동, 복약 관리 및 약물 처방 지원, △(통신 분야) 최적 통신요금 추천, △(자율 분야) 여행지·여행경비 최적 설계 제안 등 선도서비스 5종을 단계적으로 출시할 계획입니다.
또한, 위원회는 개인정보 전송요구권 행사를 지원하는 ‘마이데이터 지원 플랫폼’을 개설하고, 개인정보관리 전문기관 지정 및 지속적인 실태점검을 실시하며, 부당한 전송 유도·유인방지 가이드라인을 마련할 계획이라고 밝혔습니다. 나아가, 위원회는 의료·통신 분야의 정보 전송자와 전송항목을 확대하고, 국민 편의성 등을 고려하여 교육·고용·여가 등 다양한 분야로 확대해 나가는 방안을 논의할 계획입니다.
|
|
5.
|
개인정보 보호 컨트롤타워 역할 강화
위원회는 작년에 국민 밀착 3대 분야 및 신산업 3대 분야를 지정하여 실태점검을 실시하였던 데 이어, 올해는 △공유 플랫폼, 디지털 금융, 부동산·건설, 에듀테크와 같은 ‘국민 생활 밀접 분야’, △AI 에이전트(비서)를 비롯한 AI 응용 서비스, 리걸테크와 같은 ‘신기술·신산업 분야’, △집중관리 시스템, 교육 분야(대학) 와 같은 ‘공공 분야’ 등 개인정보 보호 취약 3대 부문에 대해 선제적으로 집중 점검할 것이라고 밝혔습니다. 이는 해당 분야에서의 개인정보 처리 현황 및 법 준수 실태를 사전에 확인함으로써 개인정보 침해 발생을 예방 및 최소화하겠다는 취지로 이해됩니다.
또한, 위원회는 해외사업자 등의 매출액 자료 비협조에 대한 강제력 확보 방안을 마련하고, 해외사업자가 국내 법인을 국내대리인으로 우선 지정하도록 의무화하여 이용자 권리를 보장하는 한편, 경미한 사건이나 중·소상공인에 대한 조사·처분 면제 기준도 마련할 계획입니다.
이 외에, 위원회는 디지털 증거를 수집·분석해 개인정보 유출 원인이나 경로를 파악하는 포렌식랩 구축, 조사 全 과정(사건접수-조사-처분)을 체계적으로 관리하는 조사정보시스템 운영, 소송 전담팀 구성 등 역량 강화 계획에 대해서도 언급하였습니다.
|
|
6.
|
촘촘하고 탄탄한 개인정보 안전망 구축
위원회는 IP 카메라 등 일상에서 활용되는 IT 기기를 대상으로 개인정보보호 중심 설계(Privacy by Design) 시범인증 확대 및 법 개정을 통한 법정 인증을 추진하고, 다중이용시설에서 보안이 인증된 IP 카메라를 사용하도록 의무화할 계획입니다.
이 외에, 위원회는 공공기관의 개인정보 관리 강화를 위한 제도들을 신설하고, 국민 일상과 밀접하거나 대규모 개인정보 처리가 이루어지는 분야, 개인정보 보호 취약 분야 등을 중심으로 집중 지원 분야를 선정해 자율규제 단체의 특성과 규모에 맞는 차별화된 지원을 제공할 계획이라는 점도 언급하였습니다.
|
올해는 정보주체의 전송요구권에 기초한 마이데이터 서비스가 의료·통신·에너지 분야에서부터 본격적으로 시행될 예정이고, AI를 포함한 신기술의 발전 또한 더욱 가속화될 것으로 전망됩니다. 이에 따라, 위원회에서는 기술 개발에 필요한 개인정보 활용에 대한 요구에 부응하는 한편, 개인정보 보호 및 정보주체의 권리에 대한 우려를 해소하기 위한 업무를 추진할 것으로 이해됩니다. 위원회에서는 분야별 AI‧데이터 처리 기준 마련, 가명정보 활용 활성화, 지속적인 실태점검 및 조사 강화 등 계획을 밝히고 있으므로, 정책 방향에 대한 사전적인 이해를 바탕으로 법 위반 가능성을 사전에 예방하는 등 철저한 대비가 필요하겠습니다.
[1] 개인정보 국외이전 허용 근거 중 하나로, 개인정보가 이전되는 국가 등이 우리 개인정보 보호법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 인정하는 제도
[영문] Personal Information Protection Commission Announced Key Policy and Enforcement Plan for 2025
