개인정보위, AI 개인정보 규제 '위험 비례'로 전환

이상민 개인정보보호정책국장이 3일 오전 서울 종로구 정부서울청사에서 브리핑을 진행하고 있다.
이상민 개인정보보호정책국장이 3일 오전 서울 종로구 정부서울청사에서 브리핑을 진행하고 있다.

정부가 인공지능(AI) 시대에 맞춰 개인정보 보호체계를 전면 개편한다. 획일적인 규제 대신 위험 수준에 비례해 보호 기준을 적용하는 원칙 중심 체계로 전환하고, 선제적으로 보호에 투자한 기업에는 과징금 감면 등 인센티브를 제공한다. 관리 의무를 소홀히 한 사업자에는 이행강제금 도입을 추진한다.

개인정보보호위원회는 3일 경제관계장관회의에서 관계부처 합동으로 '신뢰 기반의 AI 혁신을 촉진하는 제3차 개인정보 보호 기본계획(2027~2029)'을 발표했다.

기본계획은 '신뢰받는 개인정보 환경, 안심하고 누리는 AI 사회'를 비전으로 향후 3년간 추진할 개인정보 정책을 담았다.

정부는 AI 확산 이전에 마련된 일률적 규제를 위험 비례 규율체계로 바꿀 계획이다. 인공지능 전환(AX) 과정에서 기업이 겪는 개인정보 처리의 불확실성을 해소하기 위해 'AX 안심지원센터'를 운영한다.

특히 안전조치를 전제로 AI 학습에 불가피한 개인정보 원본 활용을 허용하는 특례 도입도 병행한다.

자율형 인공지능(에이전틱 AI)의 의사결정 책임구조와 실물 인공지능(피지컬 AI)의 상시 정보 수집에 대응한 권리보장 기준도 마련한다.

딥페이크와 사칭 등 데이터 변조 방지 방안도 마련하고 AI 투명성 확보를 위한 제도화를 추진한다.

개인정보 보호 정책의 중심은 사후 제재에서 사전 예방으로 옮긴다. 고위험 분야 집중점검과 부처 합동점검을 상시화하고 AI 보안점검을 제도화한다.

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증과 각종 평가에도 AI 기술을 접목해 기준과 절차를 개선한다.

기업의 선제적 보호투자에는 유출 과징금 감면 등 인센티브를 확대한다. 최고경영자(CEO)의 책임을 정착시키고 개인정보보호책임자(CPO)의 위상도 강화한다.

반면 법 위반 사업자에는 이행강제금 도입을 추진하고 개인정보 불법유통에 대한 형사처벌 근거를 신설하는 등 제재를 강화한다.

중소·영세기업에는 사고 발생 시 복구 기술을 지원하고 사고 이전에도 맞춤형 컨설팅과 보호·보안 지원을 제공한다.

개인정보 보호 강화기술(PET) 연구개발과 전문인력 양성도 확대한다.

범정부 개인정보 보호체계도 정비한다. 통신·교육·고용 등 위험성이 높은 분야는 개인정보위와 소관 부처가 공동 관리하고, 개인정보 위협 조기경보체계를 구축한다.

국경 간 데이터 이전 제도도 정비한다. 앞서 마련한 한·EU 상호 동등성 인정 체계에 이어 영국·일본·미국 등과 데이터 이전 협력을 확대한다. 또 표준계약조항(SCC), 구속력 있는 기업규칙(BCR) 등 국외 이전 수단도 넓힌다.

이외에도 개인정보 유출·침해가 발생하면 신고부터 조사, 분쟁조정, 손해배상까지 연계하는 원스톱 권리구제 체계를 마련한다. 또 AI 기반 개인정보 관리 플랫폼을 구축해 국민이 자신의 개인정보 처리 현황을 확인하고 권리를 행사할 수 있도록 지원할 계획이다.

박진형 기자 jin@etnews.com