국민이 안심할 수 있는 개인정보 보호체계 확립

다음은 대한민국 정부 부처인 개인정보보호위원회에서 발표한 보도자료 '국민이 안심할 수 있는 개인정보 보호체계 확립'에 대한 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 '개인정보위')는 2025년 9월 16일 국무회의에서 '국민이 안심할 수 있는 개인정보 보호체계 확립'이 이재명 정부의 국정과제로 최종 확정되었음을 9월 22일 발표했습니다. 이 국정과제는 최근 빈번한 대규모 개인정보 유출 사고에 대응하여 기업의 개인정보 보호 책임성을 강화하고 국민의 개인정보 자기결정권을 확대하는 것을 핵심 목표로 합니다. 나아가 인공지능(AI) 시대에 발맞춰 안전한 개인정보 활용 체계를 마련함으로써 AI 혁신을 지원하겠다는 방침이며, 이를 위해 5대 세부 실천과제를 중점적으로 추진할 계획입니다. 주요 실천과제로는 중대 사고 엄정 제재, 디지털 잊힐 권리 보장, 예방 중심 보호체계 재정립, AI·데이터 시대 컨트롤타워 역할 강화, 그리고 원본정보 특례 등 안전한 활용체계 마련이 포함됩니다.

2. 주요 내용

• 중대 사고 엄정 제재 및 피해자 보상 실질화: 대규모 개인정보 유출 사고 발생 시 신속하고 정확한 조사를 위해 디지털 증거 확보를 위한 포렌식랩을 구축·강화하고, 조사 대상자의 협조를 의무화하는 자료제출명령 등 강제력 확보 방안을 마련합니다. 피해 규모에 비례한 과징금을 가중하고 중대한 피해 발생 시 전체 이용자에게 즉시 유출 내용을 공지하도록 의무화하며, 온라인상 불법 유통 개인정보를 탐지·삭제하는 시스템을 고도화하고 불법 거래 처벌 법적 근거를 마련하여 2차 피해를 최소화할 계획입니다. 경미한 위반은 자발적 개선을 유도하고 중소·영세 사업자에게는 피해 복구를 지원합니다.

• 디지털 잊힐 권리 등 개인정보 자기결정권 보장: 취약 계층을 중심으로 국민의 개인정보 자기결정권을 강화합니다. 아동·청소년의 개인정보 보호 대상을 기존 14세 미만에서 18세 미만으로 확대하고, 아동·청소년 시기에 작성된 온라인 게시물 삭제를 지원하는 명확한 근거를 마련하여 '디지털 잊힐 권리'를 활성화합니다. 공공기관이 수사기관에 개인정보를 제공한 경우 정보주체에게 통지하도록 의무화하며, 사망자의 프라이버시 및 유족의 권리를 보장하는 정책을 추진합니다. 또한, 딥페이크와 같은 AI 합성 콘텐츠에 대한 정보주체의 삭제 요구권과 처벌 근거를 도입하고, 안전한 영상정보 활용과 정보주체 권리 강화를 위한 영상정보처리기기법을 제정할 예정입니다.

• 예방 중심의 개인정보 보호체계 재정립: 사후 제재 중심에서 벗어나 침해 사고를 사전에 예방하는 방향으로 전환합니다. 기업이 개인정보 처리 규모에 적합한 전담 인력과 예산을 확보하도록 2025년 12월까지 기준을 마련하고, 개인정보 보호책임자(CPO)의 법적 지위를 보장합니다. 기업의 실질적인 침해대응 역량 검증을 위해 개인정보보호 관리체계 인증(ISMS-P 등)에 현장심사(취약점 점검, 모의해킹 등)를 도입하고 핵심 항목의 인증 기준을 강화합니다. 국민 생활과 밀접한 스마트기기 등 취약 분야를 선제적으로 집중 점검하고, 대규모 개인정보를 처리하는 공공 부문 시스템의 보호 조치를 강화하며, 법령 및 자치법규의 개인정보 침해 요인을 평가하고 개선합니다.

• AI·데이터 시대 개인정보 컨트롤타워 역할 강화: AI 시대의 복잡한 개인정보 처리 환경에 대응하여 개인정보 보호법의 기본원칙 및 지위를 확립하고 개별 법률과의 중복 규제를 합리적으로 조정합니다. 마이데이터 제도를 의료, 통신 등 국민 생활과 밀접한 10대 분야로 확대하고, 전송요구 이력 조회 및 철회를 지원하는 '온마이데이터 플랫폼' 기능을 강화합니다. 국제적으로는 2025년 9월 서울에서 개최되는 글로벌 프라이버시 총회(GPA)를 계기로 다양한 지역·국가의 이해를 반영한 새로운 개인정보 규범 형성을 선도하고, 국제기구와 공동으로 개인정보 분야 공적개발원조(ODA)를 추진하는 등 국제협력을 강화할 방침입니다.

• 원본정보 특례 등 안전한 개인정보 활용체계 마련: AI 개발에 필요한 고품질 원본 데이터의 활용을 허용하는 법적 근거인 'AI 특례'를 마련하기 위해 개인정보 보호법 개정을 추진하고, 신산업 현장에 적용 가능한 개인정보 처리 기준을 구체화합니다. 데이터 가치를 유지하면서 비용을 최소화하는 가명정보 제도·운영 혁신방안을 추진하고, 공공기관의 가명처리 전 과정을 지원하는 원스톱 서비스를 제공할 예정입니다. AI 등 신기술 위협에 대응하여 개인정보보호 강화기술(PET) 개발을 확대하고 전문 인력을 양성하며, 지난 9월 16일 발효된 한-EU 동등성 인정 외에도 영국·일본 등 데이터 이전 수요가 높은 국가에 대한 동등성 인정을 추진하여 디지털 통상 활성화를 위한 안전한 데이터 이전 협력체계를 구축합니다.

3. 배경 및 목적

이번 국정과제는 최근 사회 전반에서 빈번하게 발생하고 있는 대규모 개인정보 유출 사고로 인해 국민들의 개인정보 보호에 대한 우려가 커지고 있다는 배경에서 출발합니다. 디지털 전환이 가속화되고 인공지능(AI) 기술이 빠르게 발전하면서 개인정보의 중요성과 활용 범위가 폭발적으로 증가하고 있지만, 이에 상응하는 보호 체계는 미흡하다는 지적이 많았습니다.

이에 개인정보위는 기업의 개인정보 보호 책임성을 강화하여 유사 사고의 재발을 방지하고, 동시에 정보주체인 국민 개개인의 개인정보 자기결정권을 실질적으로 보장하여 디지털 시대에 걸맞은 권리 확대를 목표로 합니다. 더 나아가 인공지능(AI) 기술의 급속한 발전과 데이터 활용의 중요성이 증대되는 시대적 흐름에 맞춰, 개인정보를 안전하게 활용할 수 있는 법적·제도적 기반을 마련함으로써 대한민국의 AI 혁신을 적극적으로 지원하려는 목적도 포함하고 있습니다. 이 과제는 2025년 9월 16일 국무회의에서 확정된 이재명 정부의 123대 국정과제 중 하나(국정과제 25)로 채택되어 그 중요성이 더욱 강조됩니다.

4. 세부 추진 내용

개인정보위는 이번 국정과제의 성공적인 추진을 위해 다각적인 세부 실행 계획을 수립하고 있습니다. 우선, 개인정보 유출 사고 발생 시 신속하고 정확한 조사를 위해 디지털 증거 확보를 위한 포렌식랩을 구축·강화하고, 조사 대상자의 협조를 의무화하는 자료제출명령 등 강제력 확보 방안을 마련할 예정입니다. 또한, 온라인상 불법 유통 개인정보를 신속하게 탐지하고 삭제하는 시스템을 고도화하며, 불법 거래를 처벌할 수 있는 법적 근거를 마련하여 2차 피해를 최소화할 계획입니다.

국민의 개인정보 자기결정권 강화를 위해 아동·청소년의 개인정보 보호 대상을 18세 미만으로 확대하고, 아동·청소년 시기에 작성된 온라인 게시물 삭제를 지원하는 명확한 근거를 마련하여 '디지털 잊힐 권리'를 활성화할 것입니다. 특히 딥페이크와 같은 AI 합성 콘텐츠에 대한 정보주체의 삭제 요구권과 처벌 근거를 도입하여 새로운 기술 위협에 선제적으로 대응합니다. 아울러, 개인정보 침해 위험이 높은 영상정보의 특수성을 고려하여 안전한 영상정보 활용과 정보주체의 권리 강화를 위한 '영상정보처리기기법'을 제정할 방침입니다.

기업의 자율적인 개인정보 보호 역량 강화를 위해 2025년 12월까지 개인정보 처리 규모에 적합한 전담 인력 및 예산 확보 기준을 마련하고, 개인정보 보호책임자(CPO)의 법적 지위를 보장합니다. 기업의 실질적인 침해대응 역량을 검증할 수 있도록 개인정보보호 관리체계 인증(ISMS-P 등)에 현장심사(취약점 점검, 모의해킹 등)를 도입하고, 사고와 직결되는 핵심 항목의 인증 기준을 강화하는 등 전반적인 인증 품질 향상을 위한 내실화를 추진할 것입니다. 국민 생활과 밀접한 스마트기기 등 취약 분야를 선제적으로 집중 점검하고, 대규모 개인정보를 처리하는 공공 부문 시스템에 대한 보호 조치를 강화하며, 국민 생활과 밀접한 법령 및 자치법규의 개인정보 침해 요인을 평가하고 개선하여 실생활에서의 개인정보 보호를 더욱 공고히 합니다.

AI 시대의 개인정보 컨트롤타워로서 개인정보 보호법의 기본원칙 및 지위를 확립하여 개별 법률과의 중복 규제를 합리적으로 조정하고 국민·기업의 고충을 해결합니다. 마이데이터 제도를 의료, 통신, 에너지, 교육, 고용, 여가, 복지, 교통, 부동산, 유통 등 국민 생활과 밀접한 10대 분야로 확대하고, 투명하고 안전한 마이데이터 생태계 구축을 위해 전송요구 이력 조회, 전송 철회 등 개인정보 전송요구권 행사를 지원하는 '온마이데이터 플랫폼' 기능을 강화합니다. 국제적으로는 2025년 9월 서울에서 개최되는 글로벌 프라이버시 총회(GPA)를 계기로 다양한 지역·국가의 이해를 반영한 새로운 개인정보 규범 형성을 선도하고, 국제기구와 공동으로 개인정보 분야 공적개발원조(ODA)를 추진하는 등 국제협력을 강화할 방침입니다.

마지막으로, AI 개발에 필요한 고품질 원본 데이터의 활용을 허용하는 법적 근거인 'AI 특례'를 마련하기 위해 개인정보 보호법 개정을 추진하고, 신산업 현장에 적용 가능한 개인정보 처리 기준을 구체화합니다. 데이터 가치를 유지하면서도 비용을 최소화하는 '가명정보 제도·운영 혁신방안'을 추진하고, 공공기관의 가명처리 전 과정을 지원하는 원스톱 서비스를 제공할 예정입니다. AI 등 신기술 위협에 대응하여 개인정보보호 강화기술(PET)의 개발을 확대하고 전문 인력을 양성하여 개인정보 보호 기술을 강화합니다. 아울러, 지난 9월 16일 발효된 한-EU 동등성 인정 외에도 영국·일본 등 데이터 이전 수요가 높은 국가에 대한 동등성 인정을 추진하는 등 디지털 통상 활성화를 위한 안전한 데이터 이전 협력체계를 구축할 것입니다.

5. 기대 효과

이번 국정과제 추진을 통해 대한민국은 공공과 민간 전 영역에 걸쳐 국민이 신뢰할 수 있는 개인정보 처리 환경을 조성할 것으로 기대됩니다. 개인정보의 안전한 보호와 더불어 혁신적인 활용이 증진됨으로써 국민 개개인의 자유와 권리가 실질적으로 보장되고, 나아가 국가의 인공지능(AI) 경쟁력 제고에도 크게 기여할 것입니다. 특히 아동·청소년, 유족 등 취약 계층의 권리 보호가 강화되고, 중소·영세 사업자에게도 실질적인 지원이 제공되어 모든 국민이 직접 체감할 수 있는 구체적인 성과를 창출할 것으로 예상됩니다. 이는 궁극적으로 디지털 시대에 국민이 안심하고 생활하며 혁신을 이룰 수 있는 기반을 마련하는 데 중요한 역할을 할 것입니다.

6. 향후 계획

개인정보보호위원회는 이번 국정과제에 포함된 5대 세부 실천과제들을 차질 없이 이행하기 위해 정책 역량을 집중할 계획입니다. 법령 제정 및 개정, 시스템 구축 및 고도화, 그리고 국내외 협력 강화 등 각 과제별 구체적인 추진 일정을 수립하고 지속적으로 관리해 나갈 것입니다. 특히 2025년 12월까지 기업의 개인정보보호 예산·인력 투자 준칙을 마련하고, 2025년 9월 글로벌 프라이버시 총회를 성공적으로 개최하는 등 주요 이정표들을 달성하며 국민이 안심하고 개인정보를 맡길 수 있는 디지털 환경을 구축하는 데 최선을 다할 예정입니다. 개인정보위는 앞으로도 변화하는 디지털 환경에 맞춰 개인정보 보호와 활용의 균형을 찾아 지속 가능한 발전을 도모할 것입니다.