개인정보보호위원회는 지난 1월 13일, ‘안전한 개인정보, 신뢰받는 AI 시대’를 비전으로 한 2025년 주요 정책 추진계획을 발표했습니다.
▲ 데이터 프라이버시 글로벌 리더십 강화
▲ 디지털 대전환 가속화에 대응한 개인정보보호 체계 재정비
이번 계획은 위의 3대 전략을 중심으로 한 6대 핵심과제로 구성되었습니다.
이에 따라 기업은 개인정보보호 법제 변화와 디지털 규제환경에 선제적으로 대응할 필요가 있습니다.
AI 시대 개인정보 규율체계 혁신
AI 기술의 빠른 발전 속도에 맞춰 개인정보보호 제도가 새롭게 정비될 예정입니다.
개인정보위는 기술 혁신을 막지 않으면서도, 개인정보를 안전하게 활용할 수 있는 방향으로 제도를 설계한다고 밝혔는데요.
먼저 가명 처리만으로는 충분한 분석이 어려운 AI 연구개발 분야에서는 개인정보 원본을 일정 조건 하에 사용할 수 있는 특례가 마련됩니다.
또한 AI 개발 시 정당한 이익이나 공익이 있다면 개인정보를 활용할 수 있는 길도 열립니다.
더불어 딥페이크에 대해서는 개인정보를 합성한 영상이나 이미지를 삭제하거나 금지·처벌할 수 있는 근거가 마련될 것입니다.
개인정보위는 이러한 법 개정 추진과 함께, 합리적이고 유연한 법 해석과 규제 샌드박스 등을 병행할 것이라고 밝혔는데요.
이를 통해 신기술 변화와 현행 법 체계 간의 간극을 완화할 수 있을 것으로 보입니다.
이러한 변화에 따라 기업은 AI 학습이나 모델 개발 시 개인정보 활용 계획이 있다면, 관련 법적 정당성 확보 여부를 사전에 검토해야 할 것으로 보입니다.
지속가능한 신산업 혁신 기반 마련
신산업이 지속적으로 성장하려면 기술 변화에 걸맞은 법 제도가 뒷받침돼야 합니다.
이를 위해 개인정보위는 영상정보와 생체정보 등 새로운 기술에 맞는 별도의 법률을 추진하고, 가명정보 활용을 확대하는 방식으로 신산업 성장을 도울 계획입니다.
구체적으로는 얼굴이나 지문 같은 생체정보에 대해선 보호 원칙을 정비하고, 사전 동의가 어려운 대규모 영상정보에 대해선 새로운 법률을 제정해 처리 기준을 마련할 예정입니다.
또한 연구자가 보다 유연하게 가명정보를 활용할 수 있도록 ‘개인정보 이노베이션존’을 확대하고, 클라우드 환경 등 사용자 편의성도 개선할 것입니다.
더불어 문서, 이미지, 영상 등 비정형 데이터에 대한 가명처리 기능도 지원 플랫폼에 추가해 AI 등 신기술 개발에도 힘을 보탤 예정인데요.
아울러 개인정보 비식별화, 탐지, AI 안전성 등 기술개발(R&D)도 본격적으로 진행되며, 중소기업이 이를 실제 서비스에 활용할 수 있도록 상용화도 추진됩니다.
개인정보위는 이처럼 기술과 법, 인프라가 조화를 이루도록 하여, 개인정보 보호와 산업 혁신을 함께 끌고 갈 계획입니다.
이에 따라 기업은 가명정보의 활용 가능성을 검토하고, 비정형 데이터 처리 기술이나 관련 인프라 활용 방안에 대한 전략을 마련해둘 필요가 있습니다.
글로벌 개인정보 규범 주도권 확보
개인정보위는 EU와의 데이터 이전 협력을 강화하고, 미국, 일본 등과도 협의해 국제 공동 연구나 AI 서비스 개발이 원활히 이루어질 수 있도록 제도 기반을 마련한다고 밝혔습니다.
국경 간 개인정보 이전 관련 프라이버시 규칙인 CBPR 인증 요건을 높이고, 우리 법과의 연계성을 강화하여 기업의 글로벌 진출에도 도움이 되도록 할 예정입니다.
또한 개인정보위는 해외 기업에 대한 조사 역량도 강화할 계획인데요.
해외 사업자에게 법 적용 사례나 국내대리인 지정 요건 등을 구체화한 안내서를 제공하고, 주요 외국의 감독 사례도 공유해 글로벌 공조 체계를 마련할 방침입니다.
이에 따라 글로벌 기업이나 해외 진출을 계획하는 기업은 각국의 개인정보 규제 동향과 연계성을 고려해, 내부 정책과 글로벌 기준 간의 정합성을 사전에 점검해야 할 것입니다.
마이데이터 시대 개막, 성과 창출 본격화
마이데이터는 국민이 자신의 정보를 스스로 관리하고 원하는 서비스를 선택할 수 있도록 돕는 제도입니다.
의료, 통신, 에너지 등 국민 생활과 밀접한 분야에서 3월부터 먼저 시행되며, 5가지 선도 서비스도 단계적으로 출시될 예정입니다.
5가지 선도서비스
① 맞춤형 만성질환 예방 관리 |
② 해외 체류 국민 국내 의료 기록 연동 |
③ 복약 관리 및 약물 처방 지원(이상 의료분야) |
④ 최적 통신요금 추천(통신 분야) |
⑤ 여행지·여행경비 최적 설계 제안(자율 분야) |
앞으로는 교육, 고용, 여가 등 다른 분야로도 확대될 것이며, 금융·공공 부문과 데이터를 융합해 더 혁신적인 서비스가 나올 수 있도록 기반을 마련할 것이라고 밝혔습니다.
이를 통해 데이터 전송 과정의 비용 부담을 줄이고, 중계기관을 통해 데이터 연계도 활성화해 마이데이터 생태계를 지속 가능하게 만든다는 것이 개인정보위의 계획입니다.
정보주체가 자신의 데이터 전송 요청 이력이나 철회, 동의 현황 등을 직접 확인할 수 있는 통합 플랫폼도 마련될 예정이며, 개인정보 관리기관의 지정과 점검도 철저히 이뤄질 예정입니다.
아울러 다크패턴 같은 부당한 정보 유도 행위를 방지하고, 정보주체 대상 교육도 병행해 건강한 마이데이터 문화를 만들어갈 것이라고 밝혔습니다.
이에 따라 관련 기업은 마이데이터 연계 서비스 기획과 동시에, 정보 주체의 권리를 보호할 수 있는 안전한 데이터 전송 및 관리 체계를 구축해야 할 것으로 보입니다.
개인정보 보호 컨트롤타워 역할 강화
개인정보위는 본연의 역할인 컨트롤타워 기능도 더욱 강화할 것이라고 밝혔습니다.
이를 위해 개인정보 취급이 많은 국민 생활 밀접 분야, 신기술 분야, 공공기관 등을 집중 점검할 예정인데요.
점검 결과는 정책과 제도 개선에도 반영될 예정입니다.
또한 디지털 기술을 활용한 조사 역량도 업그레이드되는데요.
디지털 증거를 수집·분석하는 포렌식랩이 도입되고, 조사 전 과정을 체계적으로 관리하는 시스템도 운영될 예정입니다.
더불어 조사 전문성을 높이기 위해 전담조사관을 육성하고, 행정소송 증가에 대비해 소송팀도 운영될 계획인데요.
이와 함께 해외사업자의 비협조에 대한 강제력을 강화하고, 과징금 산정 기준도 합리적으로 조정됩니다.
특히 경미한 사건에 대한 면제 기준도 마련함으로써 실효성 높은 제도로 거듭날 전망입니다.
이런 변화 속에서 기업은 개인정보 처리 실태를 주기적으로 점검해야 합니다.
또한 조사·소송 대응 역량을 강화하는 동시에, 위반 리스크를 사전에 차단할 수 있는 내재화된 관리 체계를 갖춰야 할 것으로 보입니다.
촘촘하고 탄탄한 개인정보 안전망 구축
개인정보위는 ‘개인정보보호 중심 설계’ (Privacy by Design)를 확대 적용해 IP 카메라 등 일상생활에서 활용되는 IT 기기의 법정 인증화를 추진할 것이라고 밝혔습니다.
이와 함께 다중이용시설에서는 보안이 인증된 IP 카메라를 사용하도록 의무화할 계획입니다.
개인정보위는 공공기간 및 민간부문의 개인정보 관리도 함께 강화할 예정인데요.
먼저 공공기관에 대해서는 모든 법 위반 행위를 공표하고, 대규모 유출 사고가 발생한 기관은 추가 실태점검을 의무화할 예정입니다.
또한 대학이나 방송사 등도 공공기관 보호 수준 평가 대상에 포함하여 점검의 사각지대를 줄일 계획입니다.
민간 분야에선 공공·민간 CCTV 관제 시설 종사자의 전문성을 제고하고 역량을 강화하기 위해 3월부터 ‘영상정보관리사 국가공인 민간자격시험’ 제도를 시행하고 있습니다.
또한 공인중개사, 여행업과 같이 대규모 개인정보를 다루는 분야와 개인정보 보호 취약 분야 등에 대해서는 자율규제 단체의 특성과 규모에 맞게 차별화된 지원을 제공할 예정입니다.
이에 따라 기업은 취급하는 개인정보의 유형과 범위를 면밀히 분석하고, 취약 계층 보호와 맞춤형 관리 기준을 반영한 내부 정책을 정비해 나가야 할 것입니다.
개인정보위 정책 변화에 철저히 대비해야
2025년 개인정보보호위원회의 주요 정책 추진계획은 기술 발전을 촉진하면서도 개인정보 보호를 강화하는 방향입니다.
이에 따라 기업은 단순한 컴플라이언스 차원을 넘어, 개인정보 보호를 비즈니스 전략의 핵심 요소로 삼아야 할 시점입니다.
특히 최근 개인정보위 조사에 따르면, 국민 생활과 밀접한 기업의 72%가 개인정보처리방침에 기재한 내용과 실제 개인정보 수집·이용 실태가 일치하지 않는 것으로 나타났습니다.
이에 따라 기업은 개인정보처리방침을 단순한 형식적 문서로 취급하지 않고, 실제 개인정보 처리 현황과 일관되게 관리하는 체계를 갖추는 것이 필수적입니다.
아울러 개인정보위는 2025년 처리방침 평가제 시행을 앞두고, 기업 부담을 완화하는 방향으로 🔗처리방침 작성지침 개정안을 마련했습니다.
수범기업이 개인정보 항목·보유기간 등을 보다 유연하게 기재할 수 있도록 지원하되, 정보주체 권리보장을 실질화하기 위한 조치는 강화되었습니다.
정책 변화는 단기적 대응에 그칠 것이 아니라, 지속적인 모니터링과 조직 차원의 체계적 준비가 요구됩니다.
앞으로도 개인정보보호위원회의 후속 조치 및 입법 동향을 면밀히 살피면서, 자사 서비스와 기술에 맞는 대응 방안을 마련하는 것이 중요합니다.
