개인정보보호위원회가 징벌적 과징금 도입, 개인정보보호관리체계(ISMS-P) 의무화, 개인정보보호책임자(CPO) 권한 강화 등을 담은 ‘개인정보보호법 개정안’이 10일 공포된다고 밝힌 가운데 인공지능(AI) 시대에 데이터 활용과 규제 간 균형을 어떻게 맞출지가 정책 과제로 떠오르고 있다.
9일 개인정보위는 서울 중구 한국지능정보사회진흥원(NIA) 서울사무소에서 올해 여섯 번째 ‘현문현답(현장에 묻고 현장에서 답을 찾다)’으로 ‘개인정보 유관학회 정책간담회’를 개최하고 개인정보보호법 개정안과 개인정보위가 추진 중인 관련 정책들을 소개했다.
이날 간담회에는 개인정보보호법학회, 대한의료정보학회, 한국공법학회, 한국데이터인공지능법정책학회, 한국인공지능법학회, 한국인공지능학회, 한국정보통신법학회, 한국정책학회, 한국행정학회, 한국IT서비스학회 등 10개 유관학회의 학회장 및 대표인사 10명이 참여했다.
개정안에는 전체 매출액의 10%까지 징벌적 과징금, 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해 ISMS-P 인증 의무화, ‘유출 등의 가능성이 있음을 알게 됐을 때’에도 지체 없이 통지하도록 하는 유출 가능성 통지제, 개인정보보호책임자(CPO)의 신분 보장 및 권한 강화, 개인정보 투자 인센티브 도입 등이 담겼다.
개정안은 9월 11일부터 시행될 예정이지만, ISMS-P 인증 의무화 규정은 관련 예산 확보 등에 소요되는 기간을 고려하여 2027년 7월 1일부터 시행된다.
‘개인정보 보호 신뢰 기반의 AI융합사회 촉진’이라는 비전을 제시한 개인정보위는 이날 간담회에서 2026년 주요 정책 추진 계획을 먼저 공유했다. 정혜원 개인정보위 기획조정관 혁신기획담당관은 “개인정보위는 징벌적 과징금 같은 사후 제재 강화로 개인정보 처리자들의 경각심을 제고하고 사고 발생에 대한 억지 효과를 높이고자 한다”며 “동시에 사전 예방 체계를 구축하고 각종 유인을 통해 자발적인 개인정보 거버넌스를 만들어 가는 것이 주요 방향성”이라고 설명했다.
이어 “국민 피해를 실질적으로 보상하기 위해 손해배상 제도, 기금 조성 및 동의의결제 도입 등을 검토하고 있다”며 “과징금이 피해 구제에 쓰일 수 있도록 피해 회복 지원, 기금 신설 등도 추진 중”이라고 말했다. 개인정보위는 ‘AI 특례’ 도입과 ‘AI 에이전트 관련 가이드라인’ 발간도 준비하고 있다.
간담회에 참석한 유관 학회 관계자들은 개인정보위의 정책 방향성이 ‘보호’ 중심으로 가는 것에 대해 우려를 표하며 ‘활용’에 방점을 둘 것을 강조했다. 이성엽 한국정보통신학회장은 “개인정보 보호에 치중된 측면이 있는데 AI 시대에 개인정보 활용과의 균형점을 가져가면 좋겠다”며 “사전 동의 체제를 새로운 패러다임으로 전환해야 한다”고 지적했다.
최경진 한국인공지능법학회장은 “중점 추진 과제 안에 ‘AX 시대 안전한 개인정보 활용’이 담긴 만큼 위원회가 균형감 있게 운영할 것이라고 기대한다”며 “대규모 AI 원본 정보 처리 과정에서의 사전적 통제가 매우 중요하다”고 말했다. 원본 정보 사용을 허용하되, 오남용을 통제하는 역할을 정부가 맡아야 한다는 것이다.
김도승 개인정보보호법학회장은 “AI 데이터 환경에서 가장 중요한 것은 신뢰할 만한 데이터 생태계를 만드는 것”이라며 “안전벨트 없이는 자동차 산업이 발전할 수 없는 것처럼 국민의 불안감을 해소하기 위해선 정부의 강력한 제재가 불가피하다”고 말했다. 이어 “기금 도입은 실행하기 가장 어려운 정책이지만 실질적으로 가져올 수 있는 편익이 큰 만큼 위원회의 적극적인 관심이 중요하다”고 덧붙였다.
송경희 개인정보위 위원장은 “대규모 개인정보 유출과 같은 사회적 비용을 초래한 사건이 없었다면 데이터 활용 논의도 지금보다 수월했을 것”이라며 “이런 사건들은 우리가 데이터를 안전하게 활용할 준비가 돼 있는지 돌아보게 하는 계기가 됐다”고 말했다. 이어 송 위원장은 “사회 전반에 신뢰가 갖춰질 때 개인정보 활용도 용이해진다”며 “AX 시대에 개인정보위는 리스크 기반의 접근을 구체화하며 사전예방 체계로 나아가겠다”고 강조했다.
