공유하기
TMT 이슈리포트 - 개인정보보호위원회, 2025년 주요 정책 추진계획 발표
개인정보보호위원회, 2025년 주요 정책 추진계획 발표
법무법인 대륙아주 김정은 변호사1
법무법인 대륙아주 나희수 변호사
1. 들어가며
개인정보보호위원회는 2025. 1. 13. ‘안전한 개인정보, 신뢰받는 인공지능(AI) 시대’를 비전으로 하여 2025년 주요 정책 추진계획을 발표하였습니다.
개인정보보호위원회는 개인정보 활용에 대한 수요 증대, 프라이버시 침해 우려 증대, 데이터 경제 패권 경쟁 심화라는 배경에서, ① 데이터와 신뢰 기반의 AI 성장 여건 조성, ② 데이터 프라이버시 글로벌 리더십 강화, ③ 디지털 대전환 가속화에 대응한 개인정보보호체계 재정비를 3대 추진 전략으로 수립하였습니다. 개인정보보호위원회는 3대 추진 전략에 따라 (1) AI 시대 개인정보 규율체계 혁신, (2) 지속가능한 신산업 혁신 기반 마련, (3) 글로벌 개인정보 규범 주도권 확보, (4) 마이데이터 시대 개막, 성과 창출 본격화, (5) 개인정보 보호 컨트럴타워 역할 강화, (6) 촘촘하고 탄탄한 개인정보 안전망 구축이라는 6대 핵심 과제를 추진할 예정입니다.
이하에서는 개인정보보호위원회의 2025 주요 정책 추진계획의 주요 내용을 살펴보겠습니다.
2. AI 시대 개인정보 규율체계 혁신
(AI 시대에 부합하는 개인정보 법제 정비) 자율주행 AI 등 가명처리만으로 연구 목적 달성이 곤란할 경우, 개인정보보호위원회 심의·의결을 거쳐 원본 데이터의 활용을 허용하는 특례를 도입할 계획입니다. 또한, AI 개발 사업자 등의 ‘정당한 이익’이나 ‘공익’ 등을 고려하여 개인정보 적법 처리의 근거를 확대할 방침입니다.
(현행 법 체계 하에서 현장 애로 해소) 원칙 기반 개인정보 규율체계를 보다 구체화하여 주요 분야별 AI·데이터 처리 기준(예: 중소기업·소규모 사업자를 위한 AI·데이터 처리 기준)을 마련할 예정입니다. 또한 관련 법제 정비와 함께, 합리적이고 유연한 법 해석, 규제 샌드박스 등을 추진하고, 혁신지원 원스톱 창구 및 사전적정성 검토제를 활성화하여 현장 맞춤형 개인정보 보호법 적용방안을 제시할 예정입니다.
(신기술에 대한 이용자 신뢰 확보) 악성 합성 콘텐츠에 대한 정보주체의 삭제 요구권 규정, 인격권을 침해하는 개인정보 합성을 금지·처벌하는 규정 등을 도입할 예정입니다.
3. 지속가능한 신산업 혁신 기반 마련
(급격한 신기술 변화에 상응하는 법체계 마련) ‘(가칭)영상정보처리기기 설치·운영 등에 관한 법률’ 제정을 추진하고, 생체인식정보 처리 원칙 및 정보주체 권리보호 방안을 마련하는 등 생체인식정보 규율체계를 개선할 예정입니다.
(가명정보 활용 확산으로 신산업 성장 지원) 가명처리 적정성 심의위원회를 법제화하고 가명처리 기준·절차를 간소화할 예정이며, 지역 가명정보 활용 지원센터 협의회 및 산업별 가명처리 전문가 협의체를 도입할 예정입니다.
(안전한 데이터 활용을 위한 기술적 인프라 구축) 중소기업이나 영세기업을 대상으로 개발 완료된 기술을 상용화하고, 대규모 언어 모델(LLM)의 프라이버시 취약성 평가 등 개인정보보호 강화기술의 연구개발을 추진할 계획입니다.
4. 글로벌 개인정보 규범 주도권 확보
(글로벌 AI·프라이버시 규범 논의 주도) 2025년 GPA(Global Privacy Assembly) 개최를 계기로 하여, 다양한 지역·국가의 이해를 반영한 개인정보 규범 형성을 선도하고, MOU 체결, ODA 등 글로벌 공조도 강화할 계획입니다.
(안전하고 자유로운 데이터 이전 체계 구축) 동등성 인정 추진, 적정성 결정 갱신 등 EU와의 상호 데이터 이전 협력을 강화하고, ‘글로벌 CBPR(Cross-Border Privacy Rules) 포럼’에 참여하여 CBPR 인증요건의 수준을 상향 추진할 계획입니다.
(국외 이전 제도 개선 및 해외조사 역량 제고) 국외이전 중지명령 세부 기준 마련 등 국외 이전 보호체계를 강화하고, 국내 대리인 지정 요건, 국내 대리인의 역할 및 의무 등을 포함하여 해외사업자 안내서를 구체화하며, 주요 외국 감독기구 처분 사례를 분석할 예정입니다.
5. 마이데이터 시대 개막, 성과 창출 본격화
(마이데이터 본격 시행 및 단계적 확산 추진) 의료·통신·에너지 등 국민생활 밀접분야부터 마이데이터를 시행하고, 교육·고용·여가 등 신규 부문의 단계적 확대도 논의할 방침입니다. 또한, 금융·공공 등 선행 부문과 의료·통신 등 데이터 융합을 지원하여 마이데이터 서비스 창출 여건을 조성할 계획입니다.
(투명하고 안전한 마이데이터 생태계 구축) ‘마이데이터 지원 플랫폼’을 오픈하여 여러 부문에 흩어져 있는 본인 정보를 확인·저장·활용할 수 있는 기반을 마련하고, 안전한 데이터 활용을 위하여 개인정보관리 전문기관 지정요건을 엄격 심사하고 안전실태 역시 지속적으로 점검할 예정입니다.
6. 개인정보 보호 컨트롤타워 역할 강화
(프라이버시 취약 분야 중점 점검) 국민 생활 밀접 분야(공유 플랫폼, 디지털 금융, 부동산·건설, 에듀테크), 신기술·신산업 분야(AI 응용 서비스, 리걸테크), 공공(집중관리시스템, 교육) 분야 등 개인정보 보호에 취약한 분야부터 선제적으로 집중 점검을 실시하고, 국토부, 교육부 등 부처와 협업을 추진하여 개인정보침해요인을 해소하기 위한 정책을 추진할 계획입니다.
(디지털 기술 기반 조사 역량 강화) 유출 원인 등을 파악하는 포렌식 랩, 조사 전 과정을 체계적으로 관리하는 조사정보시스템, 전문조사관 육성, 소송 전담팀 구성 등을 추진할 예정입니다.
(조사·처분 제도 합리적 정비) 해외사업자에 대한 강제력 확보 방안 마련 및 국내 대리인 제도를 개선하고, 민감도 높은 개인정보 관련 위반행위의 과징금 부과기준율을 조정하는 등 위반행위와 과징금 간 비례성을 강화하며, 경미한 사건의 경우 조사·처분 면제 기준을 마련할 계획입니다.
7. 촘촘하고 탄탄한 개인정보 안전망 구축
(디지털 대전환 심화에 따른 프라이버시 침해 대응) 일상에서 활용되는 IT 기기를 대상으로 개인정보보호중심 설계(Privacy by Design) 시범인증 확대 및 법정 인증화를 추진하고, AI, 홈 IoT, 에듀테크, 방송, 통신 분야의 50여 개 기업을 대상으로 개인정보처리방침 심층 평가를 실시할 계획입니다. 또한, 온라인 맞춤형 광고 제공 목적의 행태정보 안전관리 체계를 강화하고, 사망자 프라이버시 보호 및 디지털 유산에 대한 정책방안 연구 등을 추진할 것입니다.
(공공기관 개인정보 관리 강화) 공공기관의 개인정보보호 법규 위반에 대해서는 전면 공표제를 도입하고, 대규모 유출사고 발생 기관에 대한 사후관리를 강화할 예정입니다.
(민간부문 개인정보 보호 수준 제고) CCTV 영상관제시설 종사자의 역량 강화를 위해 영상정보관리사 국가공인 자격제도를 도입하고, 대규모 개인정보 처리 분야 등에 대한 맞춤형 자율규제 지원을 확대할 계획입니다.
8. 시사점
개인정보보호위원회의 2025년 주요 정책은 데이터 기반 산업의 활성화와 개인정보 보호의 균형을 맞추는 데 중점을 두고 있습니다.
원본 데이터 활용 특례, AI 개발을 위한 ‘정당한 이익’, ‘공익’ 기반의 개인정보 처리 근거 확대, 가명정보 활용 절차의 간소화, ‘(가칭)영상정보처리기기 설치·운영 등에 관한 법률’ 제정 등의 변화는 기업들의 데이터 수집·활용을 더욱 용이하게 만들고, AI 및 데이터 기반 신사업의 기회를 확대할 것으로 기대됩니다. 다만, 동시에 Privacy by Design 인증 시범 확대, 국외이전 보호체계 강화, 해외 기업의 국내 대리인 제도 개선, 프라이버시 취약 분야 중점 점검 등 규제도 강화될 예정입니다.
개인정보보호위원회는 이번 주요 정책 추진계획에 따라 세부적인 정책을 구체화하고 이를 지속적으로 개선해 나갈 예정이므로, 관련 기업들은 개인정보보호위원회의 정책 방향을 주시하고 이를 반영하여 개인정보 보호 정책 및 데이터 활용 전략을 정비할 필요가 있습니다.
