여러분 아시는 바와 같이 최근에 생성형 AI와 같은 신기술이 급속하게 발전하면서 현장에서는 개인정보에 대한 규제 혁신을 요구하는 목소리가 커지고 있고, 동시에 잠재적인 프라이버시 침해 위협에 대한 국민들의 우려 또한 커지고 있습니다.
이처럼 대량의 데이터가 한꺼번에 복잡한 방식으로 처리되고 있는 인공지능 환경하에서는 무엇보다도 개인정보 보호에 대한 국민들 그리고 사회적 신뢰를 확보하는 것이 중요하다고 하겠습니다.
이에 우리 위원회는 이러한 시대적 요구를 반영해서 2025년도 업무계획을 '안전한 개인정보, 신뢰받는 인공지능 시대'란 실현을 목표로 설정하고, 3대 전략과 6대 핵심 과제를 수립하였습니다.
먼저, 3대 추진전략으로 국민의 신뢰를 기반으로 AI의 성장 여건을 조성하도록 하겠습니다. 그리고 데이터 프라이버시 분야에서 글로벌 리더십을 강화해 나가겠습니다. 그리고 디지털 대전환에 부응해서 개인정보 보호체계를 재정립하도록 하겠습니다.
다음으로, 2025년도 6대 핵심 과제를 말씀드리도록 하겠습니다.
첫째, AI 시대에 맞게 개인정보 규율체제를 과감하게 혁신해 나가겠습니다.
자율주행, AI 개발과 같이 가명 처리만으로는 연구 목적 달성이 아주 어려운 경우 강화된 안전조치를 전제로 해서 원본 데이터의 안전한 활용을 허용하는 AI 특례 규정을 마련하려고 합니다. 아울러, AI와 데이터 시대에 탄력적으로 대응할 수 있도록 개인정보를 적법하게 처리할 수 있는 근거를 확대해 나가겠습니다.
그동안 민관 협력을 통해 마련한 원칙 기반의 개인정보 규율체계를 올해는 현장에서 뿌리내릴 수 있도록 보다 구체화한 분야별 AI 데이터 처리 기준을 마련해서 국내 AI 생태계 발전을 지원하겠습니다.
아울러, 딥페이크 기술을 악용한 합성 콘텐츠 등에 대해 정보 주체가 삭제를 요구할 수 있는 권리와 인격적인 가치를 훼손하는 개인정보 합성 행위 등을 금지하고 처벌하는 방안도 마련하겠습니다.
다음으로 두 번째, 지속 가능한 신산업 혁신 기반을 마련하겠습니다.
자율주행차라든지 안면·지문 인식 등 급격한 신기술 변화에 대응해서 개인 영상정보의 합리적인 활용 기준과 안전장치를 규율하고자 하는 영상정보 처리기기 설치 운영에 관한 법률 제정을 추진하겠습니다. 또한, 생체 인식 정보의 처리 원칙과 정보 주체의 권리 보장 방안을 구체화해 나가겠습니다.
아울러, 가명 정보의 적정성을 판단하는 심의위원회를 법정위원회로 법제화하고, 가명 정보 지원 플랫폼에 비정형 데이터의 가명 처리 기능을 추가하여 가명 정보 활용을 활성화해 나갈 계획이며, AI 등 신산업 분야에 개인정보 강화 기술, PET 기술의 연구개발을 중점적으로 지원하고, 개인정보 강화 기술의 상용화를 위해서 중소 또는 영세기업 등을 대상으로 기술의 이전을 추진해 나가겠습니다.
세 번째, 글로벌 개인정보 규범 논의 과정에서 대한민국이 주도권을 확보해 나가겠습니다.
올해 9월 서울에서 개최되는 글로벌 프라이버시 총회, GPA 총회를 계기로 그간 유럽과 미국 중심으로 이루어진 개인정보의 규범 논의에 한국이 주도하는 아시아 등의 다양한 지역의 시각을 반영한 새로운 글로벌 규범 형성을 선도해 나가겠습니다.
또한, EU를 대상으로 동등성 인정과 지난해, 지난 2021년에 체결된 EU의 한국에 대한 적정성 결정 갱신 등을 통해서 한국과 EU 간의 상호 데이터 이전 협력도 강화해 나가겠습니다.
아울러, 표준계약조항 등 안전한 개인정보 국외 이전 수단을 확대하고, 국외 이전 중지 명령의 세부 기준도 마련하겠습니다.
네 번째, 마이데이터 제도의 본격적인 시행으로 국민이 체감할 수 있는 성과를 창출해 나가겠습니다.
금년은 전 분야 마이데이터가 시행된 원년으로 먼저, 국민 일상에 밀접한 의료, 통신, 에너지 분야부터 마이데이터를 우선 시행하고 이런 분야를 중심으로 선도 서비스를 5종을 선정해서 단계적으로 출시하도록 하겠습니다.
또한, 국민의 편의성 등을 고려해서 나아가서는 교육, 고용, 여가 등 다양한 분야로 확대해 가는 방안을 논의해 나가겠습니다.
이와 함께 마이데이터 지원 플랫폼을 개설하고 국민의 편리한 전송요구권 행사를 지원하고 엄격한 심사를 통해 개인정보 관리 전문기관을 지정하고 실태점검 통해서 안전한 마이데이터 생태계를 조성해 나가겠습니다.
다섯 번째로, 개인정보 보호 컨트롤타워로서의 역할을 강화하겠습니다.
먼저, 국민 생활 밀접 분야, 신기술·신산업 분야, 공공 분야 등 개인정보 보호 3대 중점 분야에 대해 선제적으로 점검을 실시해 나가겠습니다.
또한, 디지털 증거를 바탕으로 개인정보 유출 원인이나 경로를 파악하는 디지털포렌식 랩을 구축하고 조사 전 과정을 체계적으로 관리하는 조사정보시스템을 올해부터 운영하겠으며, 소송 전담팀을 구성해서 조사 역량과 전문성을 한층 강화해 나가겠습니다.
아울러, 해외 사업자 등의 자료 비협조에 대해 강제력을 확보할 수 있는 방안을 논의하고, 마련하고, 해외 사업자가 국내 법인을 국내 대리인으로 지정하도록 하는, 의무화하도록 하는 법안을 추진하겠습니다.
마지막으로, 촘촘하고 탄탄한 개인정보 안전망을 구축하겠습니다.
국민 여러분께서 많은 걱정을 하고 있는 IP 카메라 등 국민 일상과 밀접한 IT 기기를 대상으로 개인정보 보호 중심 설계 PbD의 시범 인증을 확대하고 법 개정을 통해서 법정 인증도 추진하겠습니다.
또한, 다중이 밀집하는 다중이용시설에서는 보안이 인증된 IP 카메라 사용을 의무화해 나갈 계획입니다. 특히, 공공기관의 법 위반 행위에 대해서는 올해부터 전면공표제를 시행하고 대규모 유출 사고가 발생한 공공기관에 대해서는 처분을 받은 후 3년 내 추가적인 실태점검을 통해 개선 여부를 확인하도록 하겠습니다.
민간부문에서도 CCTV 영상 관제시설 등의 보호 수준을 강화하기 위해서 지난해 처음으로 국가공인 민간자격으로 승격된 정보 영... 영상정보관리사 자격시험을 올해 3월부터 시행할 예정입니다.
마지막으로, 2025년도를 맞이해서 아직 민생 경제는 요즘처럼 상당히 춥고 어렵습니다. 이러한 어려운 상황에서 개인정보위원회는 개인정보 컨트롤타워로서 막중한 책임감과 사명감을 가지고 현장과 적극 소통하면서 국민과 기업이 체감할 수 있는 성과를 만들어 나가겠습니다.
2025년은 우리 위원회가 출범한 지 만 5년이 되는 해입니다. 더욱더 국민에게 신뢰받고 안심할 수 있는, 개인정보 안심할 수 있는 사회가 마련될 수 있도록 적극 노력하겠습니다.
국민 여러분들의 많은 관심과 응원을 부탁드립니다. 감사합니다.
[질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 6번 부분에서 공공기관의 법 위반 행위에 대해 전면공표제를 시행하고 그리고 대규모 유출 사고가 발생한 공공기관에 3년 내에 추가적인 실태점검 받도록 의무화한다고 했는데 그러면 어떤 체감적 효과가 있는 걸로 보실까요?
<답변> 이데일리 기자님, 공공부문은 우리 기자님들 잘 알다시피 모범적으로, 가장 모범적으로 개인정보를 관리해야 하는 기관입니다. 그리고 우리의 아주 중요한 주민번호 등을 비롯해서 민감 정보를 거의 가지고 있어요. 그래서 그동안에는 법 위반 사업자에 대해, 공공기관에 대해서도 마스킹 처리를 해서 공표를 해왔습니다. 공표 기준에 합당한 경우에만 일부, 일부 공개를 했는데 앞으로는 공공기관은 법 위반 사실, 조사처분을 받은 경우에는 전면 공개하도록 하겠습니다. 그것이 국민에 대한 요구의 답이라고 생각하고요.
그리고 이런 특히, 얼마 전에도 공공기관의 개인정보 유출, 대학이라든지 사회복지사협회라든지 여러 군데서 주민번호를 다량으로 유출된 사고가 있었는데 이런 기관들은 3년 내에 반드시 한 번 더 실태점검을 해서 개선이 됐는지를 확인하고 컨설팅을 해 나갈 계획입니다. 이렇게 되면 공공기관이 보다 책임감을 가지고 개인정보 관리를 철저히 하리라고 기대합니다.
<질문> 매출액 비협조적으로 나온 사업자들 강제력 확보 방안이라고 하셨는데 구체적으로 어떻게 하시겠다는.
<답변> 이 부분은 우리 조사조정국에서 여러 의견을 듣고 있고요. 타 법·제도도 좀 보고 있고, 실제 지난해 여러 우리 글로벌 빅테크라든지 알리페이라든가 알리익스프레스라든지 여러 군데를 조사했는데 사실은 자료를 덜 내서, 늦게 내거나 지연한 사례가 꽤 있었어요.
그래서 이런 부분들은 차제에 그렇게 하면 안 된다는 거를 보여드리려고 합니다. 그래서 의견을 좀 더 듣고 그리고 타 기관 사례를 보고 해서 올해부터는 조사기관으로서의 조사 처분의 엄정성 그리고 법 집행의 실효성을 확보해 나가도록 하겠다, 구체적인 내용은 저희들이 정리가 되는 대로 보고드리도록 하겠습니다.
<질문> ***
<답변> 여러 가지가 있겠죠, 가중 처벌하는 방법도 있고 경감을 덜 하는 방법도, 여러 가지가 있을 텐데 그건 예시고 저희들이 해외 기관, 해외 기업도 국내 기업과 똑같이 동등하게 처리하겠다, 이렇게 한 말씀드립니다.
<질문> ***
<답변> 저희 세부적인 우리 내부 기준들이 있는데요. 가중 처벌, 가중하거나, 과징금을. 또는 경감률을 줄이는 이런 쪽으로는 하고 있는데 좀 더 확대하려고 합니다. 이 부분은 아직은 논의 단계기 때문에 올해 계획에 넣었던 부분이고 법 집행의 실효성을 확보하겠다, 이렇게 생각해 주시면 되겠습니다.
<질문> 5번 보시면 소송 전담팀을 구성한다고 돼 있는데 그 규모가 어느 정도 되는지.
<답변> 여러분들 아시다시피 저희가 신생 중앙행정기관으로 출범한 지 4년 반, 5년을 가고 있는데 행정소송 건수가 약 20여 건에 달하고 있어요. 그리고 갈수록 커지고 복잡해집니다. 그래서 작년에 정말 어렵게 소송 전담팀에 4급 상당 팀장 정원을 확보했어요.
그래서 물론 조금 더 하면 좋겠지만 우리 내부에 있는 또 법률 전문가들이 꽤 있습니다. 변호사들도 있고 해서 팀을 만들려고 합니다. 그래서 조만간 이것은 그렇게 멀지 않아서 한 1/4분기, 3월 이쯤에는 출범하도록 하겠고요.
절대 소송에서 저희들이 위원회가 예를 들어 인력이 없어서 안 된다든지 돈이 없어서 안 돼, 이런 말이 안 나오도록 철저히 대응하겠습니다.
<질문> 영상정보 처리기기 설치·운영 등에 관한 법률 제정에 관련한 사항이 있는데 이게 아마 자율주행차 관련 내용인 것 같습니다. 그래서 최근에 테슬라에서 영상정보를 수집하는 것들이 해서 외신에 나온 바가 있는데 이런 것들이 또 산업 발전 측면 혹은 영상정보에 대한 개인정보 보호 측면이 상당히 충돌하는 바가 있는 것 같은데 여기에 대해서 방향성이 어떻게 되는지 구체적으로 내용이 없어서.
<답변> 그래요. 우리 매일경제 기자님, 이 법안은 저희가 법을 제정하겠다고 했는데요. 실제는 한 10여 년 전부터 개인영상정보보호법이라 그래서 제가 알기로는 18대 국회부터 해서 계속 제안이 됐었던 건데 지금 특히 중요성을 갖습니다.
특히, 우리 자율차라든지 드론이라든지 로봇이라든지 이런 이동형 영상기기에 의한 개인정보 침해 우려도 있고 또는 산업, 관련 산업에 대한 잘 가이드해 주는 이런 측면이 필요해서 이 부분은 제정법으로 지금 저희들이 국회하고 지금 협의를 하고 있다, 이런 말씀을 드리고요.
방향은 크게 한 두세... 세 가지 정도만 말씀을 드릴게요. 이거는 우리 법안이 나갈 때 또 한 번 말씀드리겠지만 실제 영상정보는 특수성이 있어요, 그렇죠? 실제 사전동의 없이 이렇게 막 찍고 그리고 한 그 영상이 여러 사람들이 들어가 있고 그리고 가명 처리가 상당히 어려운 점, 만약 완전 익명·가명 하면 효율성이 떨어지는 이런 부분도 있어서 아주 엄격한 안전조치, 암호화를 비롯해서 엄격한 안전조치하에서 연구개발 목적으로 할 때는 일부 허용하는 방안, 이 부분을 검토하고 있고요.
그리고 예전에 어린이집이라든지 유치원 이런 데서 영상을 보려고 하는데, 학대행위가 있다든지 이런 걸 보려고 할 때 당사자 아니면 못 봤거든요. 그래서 이걸 조금 더 확대해서 정당한 이해관계자, 예를 들어 가족이라든지 예를 들어 친권자, 대리인 또는 다른, 이런 분들도 영상정보 원본도 열람할 수 있는 권리, 정보주체 권리를 강화하는 방안 그리고 최근에 CCTV관제센터 이런 데에 대한, 상당히 많지 않습니까? 공공부문만 한 60여 만 대가 넘거든요. 이런 부분에 대한 종사자의 자격 기준이 없어요. 그래서 이런 부분들을 통합적으로 저희 이거 규정할 필요가 있다.
그리고 아까 말씀드린 거 중의 하나가 IP카메라 같은 거, 이런 부분들을 법정 인증을 하려고 하면 여기에 넣어야 될 것 같아요. 그래서 이런 부분들을 종합적으로 고려해서, 안은 거의 저희 안이 있어요. 이런 부분들을 국회의 정무위원회라든지 여야 협의해서, 여기에 반대를 하지는 않으리라고 봅니다. 해서 콘센서스를 이뤄서 조만... 조속한 시일 내에 법 제정이 되도록 노력하겠습니다.
<질문> 조금 더 설명을 듣고 싶은 두 가지가 있는데요. 하나는 딥페이크 관련해서 삭제요구권 도입, 이 부분은 조금 어떤 형태일지 가늠이 되는데 '인격권을 침해하는 합성을 금지하는 처벌 방안 마련' 이 부분은 어떤 형태로, 어떤 대상을 대상으로 하는 건지 궁금하고요.
그리고 하나는 해외 사업자 관련해서 '비협조적인 데에 대한 강제력 확보 방안' 이 내용이 있는데 이 부분도 조금 더 구체적으로 설명 주실 수 있는지요.
<답변> 그래요. 이제 질문들이 더 깊어지는데 제가 아는 범위에서 먼저 설명을 할게요. 딥페이크 문제는 어제오늘 일은 아니지만 지난해 상당히 핫 이슈가 됐지 않습니까? 그래서 범정부 T/F도 만들었고 저희도 거기 들어가서 국무조정실장 주재로 발표하는 데에 저희들이 같이 참여하고 했는데 우리, 현재 우리 법에는 유·노출 관련된 개인정보를 삭제하는 조항이 있어요. 탐지하고 차단하는 34조의2로 제가 알고 있는데 그거는 주로 정형 데이터 중심입니다.
예를 들어서 우리 주민번호라든지 이런 이름, 휴대폰 번호, 이런 부분들이 파일로 정리돼 있어서 바로바로 캐치가 되는데 이게 지금 우리 비정형 데이터, 영상, 그렇죠? 딥페이크가 얼굴 바꾸는 거 아닙니까? 그런 거라든지 음성, 이런 부분은 상당히 어려워요. 그래서 이거를 법적 근거를 명확하게 하려고 하는 것이 첫 번째고요.
두 번째, 인격권 침해 배제 또는 침해 제거 요구권 이 부분은 저희 망법에도 비슷한 게 있어요. 있는데 관계부처와 지금 협의하고 있고요. 그리고 우리 개인정보보호법은 '인간의 자유 그리고 권리를 보장하고 개인의 존엄 가치를 실현하기 위해서 개인정보보호법을 만든다.'라고 1조에 돼 있... 그 범위에 따라. 예를 들어서 우리에게는 딥페이크에 따른 그런 성범죄 이런 경우는 사실은 개인을 사실상 말살할 정도의 대단히 중요한 개인 인격 말살에 해당하는 행위입니다.
이런 부분에 대해서는 개인정보 보호원칙이라든지 이런 쪽에도 놓고 그리고 그것을 배제를, 침해 배제를 청구할 수 있는 권리를 찾으려고 하고요. 타 법과 중복되지 않는 범위에서 이런 부분, 인격권이 사실은 헌법상 권리라고 하는 분들이 많잖아요. 그거하고 자기결정권에서도 나간 부분이 있기 때문에 이거를 법제화하려고 합니다. 관계부처와 협의하고 그리고 정치권, 여야하고 협의해서 구체화해 나가도록 하겠고요.
해외 사업자는 지금 우리 방향을 지금 저희가 조사의 역량과 전문성을 강화하겠다, 이러면서 해외 사업자들이 사실은 우리 위원회, 조사당국의 자료 제출 요구에 미온적인 경우에 페널티를 준다든지 여러 가지 방법이 있는데 아직은 지금 말씀드리기가 조금 빠른 부분이 있어요. 좀 더 구체화되면 자세하게 말씀드리도록 하겠습니다.
<질문> 개인정보 국외이전 중단 명령 있잖아요. 이거 지금까지 내려진 적이 있어요?
<답변> 이 부분은 지난번 우리 기자님 아시다시피 개인정보보호법 2023년 9월 15일 자 개정할 때 들어온 조항입니다. 국외이전을 예전에 동의 하나밖에 없었잖아요, 일반 규정에 따른. 그런데 그거를 이전 사유를 수단을 다섯 가지로 늘리면서 만약에 개인... 국민의 개인정보라든지 이런 것이 심각하게 침해될, 침해 당할 우려가 있을 때는 중단을 명령할 수 있다, 이렇게 돼 있고 시행령에 일부 풀어놨는데 고시로 이거를 사례를 좀 더 구체화하려고 하고요.
실제 국외이전은 아직까지는 그렇게 이슈가 되지 않았죠. 그래서 예를 들어 지금 EU하고 하고 있는 적정성, 우리는 동등성 인정이고 EU에서는 우리가 적정성 결정 대상인데 이런 게 아닌 경우, 그리고 앞으로는 제가 아까 업무보고에도 말씀드렸지만 표준계약 조항, SCC라고 그러죠? 그런 거라든지, 기업규칙, 엄격한 기업규칙 BCR 같은 경우가 된다고 하면 그런 것도 상당히 높은 수준의 개인정보를 담보하면 그런 쪽도 허용을 하려고 합니다. 이건 의견을 듣고 있고요.
거기에 발맞춰서 실제 이전이 됐는데 문제가 생기면 중단을 시킬 수 있는 이런 부분이 구체화돼야 되기 때문에 이 부분을 좀 더 사례를 구체화하고 고시로 좀 더 먼저 해보려고 그래요. 올해 이것도 저희 지금 T/F를 만들어서 국외이전 관련 연구반을 벌써 한 1년여 가동하고 있습니다. 그래서 거기에 논의 중에 있어서 결론이 나면 말씀드리겠습니다.
<질문> 작년, 올해 카카오페이도 있었고 국내 정보 해외로 넘어가면서 문제가 많았었잖아요. 그런 사례 중에서 그러면 이렇게 중단 명령이 내려진 거는 한 번도 없는 거예요?
<답변> 아직은 이 법 조항을 적용한 사례는 없습니다. 그리고 가정을 전제로 말씀드리기는 어렵고요. 저희가 규정을 만들고 나서 어떻게 운용할 건지 설명드리도록 하겠습니다.
이게 연초 업무계획이다 보니까 아주 상세하게 못 하는 부분은 우리 여기 계신 분들께서 양해해 주시면 고맙겠습니다.
<질문> 개인정보위가 지난해 추진했던 AI용 공개데이터 활용지침의 구체성을 하실 계획이 없는지 궁금한데, 왜냐하면 한국에서 AI법이 통과돼서 기업들도 이런 필수는 아니지만 가이드라인에 대한 구체적인 그런 안이 필요할 것 같아서 여쭤봅니다.
<답변> 지디넷코리아요. 우리 업무계획에 보면 그 내용이 들어가 있어요. 우리 보도자료에도 조금 더 설명이 돼 있을 텐데, 올해 우리 AI에 맞게 개인정보 2.0을 추진하겠다, 그것은 지금까지 해왔던 우리 개인정보, AI 시대 개인정보 정책 방향을 2023년 8월에 발표를 했지 않습니까? 거기서부터 쭉 한 1년 반 동안 작년에 해왔고요. 그거의 연장선상에서 이제 2.0을 하겠다는 건데 작년에 저희 가이드라인 한 4개 정도 냈지 않습니까? 안내서를. 그중에 공개 정보, 공개된 개인정보 안내서가 있는데 이 부분을 좀 더 사례를 구체화할 생각을 갖고 있습니다.
그리고 여기에 민관협의회가 있어요. 분과가 따로 있고 해서 올해는 실제 그럼 기업에 적용할 때 어떤 사례, 어떤 케이스에 어떻게 적용하는 게 맞겠는지 케이스 바이 케이스로 좀 더 구체화할 필요가 있고, 또 하나는 중소기업이나 영세 소상공인 같은 영세기업 이런 데는 하고 싶어도 못 하는 게 많습니다. 여기에 저희가 컨설팅을 한다든지 하는 부분, 그리고 또 하나는 우리 사전적정성 검토를 지금 하고 있어요. 이런 부분으로 적극 유도를 해서, 작년 10월, 12월 이때도 로펌이라든지 기업에 찾아가서 설명회에서도 이런 제도를 설명하고 공개데이터 활용기준 이런 것도 설명했어요.
그래서 그런 쪽으로 요구가 들어오면 저희들이 적극 해석하고 또 하나는 찾아가서 하겠다. 그동안 해왔던 거를 발전시키고 현장에서 회색지대를 없애주는 그런 역할을 올해 본격화하겠다, 이렇게 말씀드리겠습니다.
<답변> (사회자) 더 이상 질문이 없으시면 이상으로 오늘 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사합니다.
이 누리집은 대한민국 공식 전자정부 누리집입니다.
속기자료.hwp
속기자료.pdf
