개인정보 유출, 원본 데이터 활용 등 정보주체 권리 침해 방지책 질의
"신임 개보위원장 개인정보보호 정책 제시해야"
1. 빅데이터와 AI 시대는 방대한 개인정보가 실시간으로 수집, 처리될 수 있으며 개인의 위치·취향·행동 패턴 등을 분석할 수 있어 프라이버시 침해 위험이 이전보다 월등히 높습니다. 이에 헌법상 기본권인 개인정보자기결정권을 수호해야 할 개인정보보호위원회의 역할이 그 어느 때보다 막중하다 할 것입니다. 이에 참여연대, 민주사회를 위한 변호사모임, 진보네트워크센터, 정보인권연구소는 최근 취임한 송경희 개인정보보호위원장에게 6개 사안 11항목에 대한 정책적 입장을 공개질의했습니다.
2. 최근 SKT, KT의 고객 정보 유출에 이어 롯데카드 고객 정보 유출에 이르기까지 기업들의 개인정보 대량 유출사건이 끊이지 않고 있어 시민들은 기업들의 개인정보 처리 관행에 대하여 신뢰하기 힘든 상황입니다. 특히 AI 등 신기술은 과거보다 더 광범위하고 불투명하게 실시간으로 개인정보를 처리할 수 있습니다. 또한 AI는 개인의 위치· 취향· 행동패턴은 물론 감정이나 생각 등 개인에 대하여 매우 사적이고 공개되지 않은 사항까지 분석할 수 있어 개인정보 등 프라이버시 침해 위험이 이전보다 월등히 높습니다. 기본권 수호 기관으로서 개인정보보호위원회가 공공기관과 기업 등 피규제기기관으로부터 독립적으로 개인정보 처리를 감독하는 것이 무엇보다 중요한 상황입니다. 그런데 개인정보보호의 수호자 역할을 해야 할 기관의 수장을 AI 전문가로 임명한 것이 자칫 개인정보보호위원회마저 이번 정부의 핵심 정책인 AI 산업육성을 위해 개인정보 활용을 우선하는 정책을 펼치게 하기 위한 교두보로 만들기 위한 것이 아닌지 우려스럽습니다. 이에 송경희 신임 개인정보보호위원장에게 개인정보보호위원회의 역할과 정보주체의 권리 보장 방안 등 6가지 주제에 대해 질의했습니다.
3. 우선 지난 정부에서 정보주체 권리보호보다 기업들의 개인정보활용 요구를 받아들여 규제완화 행보를 보여왔던 △ 개인정보보호위원회의 개인정보자기결정권 수호기관으로서의 역할 복원 관련 인공지능 시대 개인정보보호위원회의 핵심 역할과 구체적 정책제시, △ 지난 7월 공개한 ‘개인정보 처리 통합 안내서’를 통해 개인정보 개념을 협소하게 정의한 것과 관련, 다른 나라에서는 개인정보로 보호받고 있는 IP주소, 휴대전화의 IMEI번호, 광고식별자 등 기기식별자를 개인정보로서 인정할 것, △ 이용자 행태정보를 동의없이 수집, 공유하는 표적광고에 대한 규제의 필요성, △ AI 육성을 위한 원본데이터 활용 요구에 대한 정보주체의 권리 보호 방안, △ 개인정보 대량 유출 방지를 위한 감독 강화, △ 정보주체의 권리 보장을 위한 개인정보보호법 개정 방안 등 개인정보보호 관련 현안에 대한 입장과 개인정보보호를 위한 정책에 대해 물었습니다.
4. 이재명 정부가 천문학적인 지원을 약속하며 AI 육성 정책을 강하게 추진하고 있는 상황에서 다른 정부 부처를 제대로 견제하고 정보주체를 보호하는 역할을 수행하는 것이야말로 AI 시대 개인정보보호위원회의 핵심 역할입니다. 이에 단체들은 송경희 신임 개인정보보호위원장이 개인정보 자기결정권을 수호하고 개인정보 보호정책을 펼쳐나갈 것을 당부한다고 덧붙였습니다. 끝.
▣ 붙임1
개인정보보호 관련 정책질의서
최근 SKT, KT에 이어 롯데카드 고객 정보 유출에서 드러났듯이 기업들의 개인정보 처리 관행은 정보주체인 시민들이 신뢰하기 힘든 상황입니다. 특히 AI 등 신기술의 발전으로 방대한 데이터를 실시간으로 수집·처리될 수 있으며 개인의 위치·취향·행동 패턴 등을 분석할 수 있어 개인정보 등 프라이버시 침해 위험이 이전보다 월등히 높습니다. 이에 기본권 수호 기관으로서 개인정보보호위원회 위원장은 헌법상 기본권인 개인정보자기결정권을 흔들림없이 수호하고 국가와 기업 등 개인정보처리자들의 오남용을 방지하겠다는 의지가 분명해야 할 것입니다. 무엇보다 공공기관과 기업 등 피규제기기관으로부터 독립적으로 개인정보 처리를 감독할 수 있어야 할 것입니다.
그런데 최근 취임한 송경희 개인정보보호위원장은 과기정통부 인공지능기반정책관, 소프트웨어정책관, 지식재산전략기획단장을 역임한 관료 출신으로, “인공지능 정책 및 이용자 보호에 정통한 전문가”로 소개되고 있습니다. 개인정보보호의 수호자 역할을 해야 할 기관의 수장을 AI 전문가로 임명한 것이 자칫 개인정보보호위원회마저 이번 정부의 핵심 정책인 AI 산업육성을 위해 개인정보 활용을 우선하는 정책을 펼치게 하기 위한 교두보로 만들기 위한 것이 아닌지 우려스럽습니다.
2011년 출범하고 2020년 8월 개인정보 통합 감독기관으로 거듭난 개인정보보호위원회의 역할은 개인정보 처리와 보호에 관한 사항을 정하여 헌법에서 보장하는 개인정보자기결정권을 실질적으로 구현하는 데 있습니다. 아울러 1990년 유엔 <컴퓨터화된 개인정보파일의 규율에 관한 지침>을 비롯한 국제규범은 무엇보다 개인정보 보호 감독기관이 공공기관과 기업 등 피규제기기관의 이해관계로부터 독립적으로 개인정보 처리를 감독하고 피권력자인 정보주체를 보호할 것을 요구하고 있습니다.
이에 송경희 개인정보보호위원장에게 다음과 같이 공개질의하며 개인정보보위원장으로서 개인정보보호 관련 현안에 대한 입장과 개인정보보호를 위한 정책을 구체적으로 밝혀주실 것을 요청드립니다.
- 다 음 -
1. 헌법상 기본권인 개인정보자기결정권 수호 기관으로서 개인정보보호위원회 역할 복원
2011년 출범하고 2020년 8월 개인정보 통합 감독기관으로 거듭난 개인정보보호위원회의 역할은 개인정보 처리와 보호에 관한 사항을 정하여 헌법에서 보장하는 개인정보자기결정권을 실질적으로 구현하는 데 있습니다. 최근 연이은 고객 정보 유출 사건으로 기업들의 현재 개인정보 처리 관행은 정보주체인 시민들이 신뢰하기 힘든 상황입니다. 특히 AI 등 신기술의 발전으로 과거보다 방대한 데이터가 실시간으로 수집·처리될 수 있으며 학습데이터 등 개인정보 처리가 불투명합니다. 그 뿐 아니라 개인의 위치·취향·행동 패턴은 물론 감정이나 생각 등 매우 사적이고 공개되지 않은 사항까지 분석될 수 있어 정보주체의 개인정보 등 프라이버시 침해 위험이 이전보다 월등히 커졌습니다. 정보주체가 자신의 개인정보 처리에 대해 투명하고 명백하게 인지하거나 고지받을 수 없고 그 권리를 보호받을 수 없다면 장차 AI 기술의 개인정보 처리에 대해서도 신뢰하지 못하고 AI 기술에 대한 사회적 수용성 또한 떨어질 수밖에 없을 것입니다.
이에 개인정보보호위원회는 헌법상 기본권인 개인정보자기결정권을 흔들림 없이 수호하고 국가와 기업 등 개인정보처리자들의 오남용을 방지하겠다는 의지를 분명히 밝히고 이를 정책적으로 시행해야 합니다. 이를 위해서는 공공기관과 기업 등 피규제기기관의 이해관계로부터 독립적으로 개인정보 처리를 감독할 수 있어야 합니다. 무엇보다 개인정보보호의 수호자 역할을 해야 하며 AI산업육성을 위한 정부 정책을 견제하고 정보주체를 보호하는 역할을 수행해야 합니다.
- 질의1 : 개인정보의 수집, 유출, 오용, 남용으로부터 국민의 사생활의 비밀을 보호하고, 국민의 권리와 이익을 증진하며, 개인의 존엄과 가치를 구현하기 위한 목적으로 개인정보보호법에 따라 설립된 개인정보보호위원회가 인공지능 시대에 담당하여야 할 핵심적인 역할이 무엇이라고 보시는지 입장을 밝혀 주십시오. 그리고 이를 실현하기 위한 정책은 무엇인지 구체적으로 밝혀주십시오.
2. 정보주체 권리 보호를 위한 개인정보 정의
개인정보보호위원회는 2025년 7월 공개한 ‘개인정보 처리 통합 안내서’에서 개인정보를 ‘처리하는 자의’ 입장에서 판단해야 한다고 명시했습니다. 안내서에서 “2020년 법 개정으로 다른 정보와 쉽게 결합할 수 있는지 여부를 판단할 때에는 “다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려”하도록 하여 ‘처리하는 자’를 기준으로 함을 명확히 하였다”고 밝히고 있습니다. 그러나 우리 개인정보보호법이 참고한 유럽연합의 GDPR 서설 26(recital 26)은 “자연인이 식별 가능한지 아닌지를 판단하기 위해서는, 자연인을 직간접적으로 식별하기 위해 개인정보처리자나 다른 사람(either by the controller or by another person)에 의해 사용될 합리적 가능성이 있는, 개인 선별(single out) 등 모든 수단을 고려해야 한다. 어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.”고 하고 있습니다.
다른 사람이 알아볼 가능성까지 고려하지 않을 경우, 여전히 개인정보로서 개인정보보호법의 규정을 따라야 하는 가명정보가 개인정보가 아니게 되는 모순이 발생합니다. 뿐만 아니라 자동차등록번호, IP 주소, 휴대전화의 IMEI 번호, 휴대전화의 광고식별자(ADID) 등과 같이 특정 개인과 일정하게 지속적으로 결부되어 있는 기기식별자의 경우도 개인정보가 아니게 될 수 있습니다. 미국 역시 캘리포니아주 프라이버시보호법(CPRA)의 경우 쿠키 ID, 픽셀 태그, ADID 등의 부호를 명확하게 개인정보로 규정하고 있습니다. 따라서 개인정보처리자의 관점으로만 이를 해석하는 것은 식별 가능성의 판단 범위를 지나치게 제한하는 것이며 다른 나라에서는 보호받는 정보주체의 권리가 한국의 정보주체에게는 제외된다는 의미이기도 합니다.
- 질의2 : 개인정보를 다른 사람이 알아볼 가능성까지 고려하지 않을 경우, 가명정보조차 개인정보가 아닌 것으로 간주될 수 있고, 그렇다면「개인정보보호법」의 적용을 받지 않고 자유롭게 처리됨으로써 정보주체의 개인정보 자기결정권을 침해할 수 있다는 지적에 대해 어떤 입장인지 밝혀 주십시오.
- 질의3 : 유럽연합이나 미국 캘리포니아주 등이 취하고 있는 것과 동일한 수준으로, 자동차등록번호, IP 주소, 휴대전화의 IMEI 번호, 휴대전화의 광고식별자(ADID) 등 특정 개인과 일정하게 지속적으로 결부되어 있는 기기식별자의 경우 마땅히 개인정보로 간주되어야 한다는 요구에 대해 어떤 입장인지 밝혀 주십시오.
3. 표적광고(맞춤형 광고)에 대한 규제
메타, 구글 등 빅테크를 포함한 국내외 광고사업자들은 이용자의 성향이나 관심사에 따라 서로 다른 광고를 내보내는 표적광고(맞춤형 광고)를 운영하고 있습니다. 이들 사업자들은 표적광고를 위해 자사의 플랫폼뿐만 아니라 제3자 웹과 앱, 즉 이용자가 방문한 웹사이트나 사용한 앱을 통해 이용자 행태정보를 광범위하게 수집하고 있습니다. 특히 표적광고의 가장 큰 문제 중 하나는, 이용자가 사이트에 접속하는 아주 짧은 순간에, 자동적으로 광고 게재를 위한 실시간 경매(Real Time Bidding)가 수행되며 이 때 경매에 참여한 수백개의 광고사업자들에게 이용자의 개인정보(행태정보)가 공유될 뿐 아니라 낙찰받지 못한 광고사업자들도 이용자의 개인정보를 제공받을 수 있다는 것입니다.
또한 표적광고를 위해 방대한 이용자 행태정보가 수집, 처리되고 수백개 광고업체들에게 공유되고 있음에도 불구하고, 이용자는 이에 대해 고지를 받거나 동의를 요청받은 적이 없습니다. 이용자가 어떤 사이트를 방문하든 간에, 나를 따라다니는 표적광고에 수많은 이용자들이 불쾌감을 느끼거나 프라이버시를 침해당하고 있다고 생각하지만, 현실적으로 이를 거부할 수단이 없을 뿐 아니라 기업들은 행태정보 수집 활용시 개인정보보호법의 규정을 따라야 한다는 사실을 모르는 경우도 있습니다. 이와 같이 세계적으로 개인정보로 인정되고 있는 이용자 행태정보를 동의없이 수집, 공유하는 표적광고 관행에 대해서 감독기관인 개인정보보호위원회는 기업 눈치를 보며 차일피일 안내서(가이드라인)를 미루고 있습니다.
- 질의4 : 개인정보보호위원회는 2022년부터 표적광고(맞춤형 광고) 가이드라인을 마련하기 위해 작업반을 운영해 왔다고 알려져 있으나 2025년 10월 지금까지도 발표되지 않고 있습니다. 표적광고(맞춤형 광고)에 대한 규제의 필요성에 대한 입장을 밝혀 주십시오.
4. AI 시대 원본데이터 활용 요구에 대한 대처
2025년 더불어민주당 민병덕 의원(의안번호 2207858)과 국민의힘 고동진 의원(의안번호 2208904)이 각각 대표 발의한 개인정보보호법 개정안들은 인공지능기술개발 및 성능향상을 위해 개인정보를 원본 그대로 학습데이터로 활용할 수 있도록 특례를 신설하는 내용입니다. 이들 개인정보보호법 개정안에 대해 ▷ ‘인공지능기술 혁신 촉진’이라는 산업적 목적을 위해서라면 가명처리와 같은 안전조치 없이도 원본데이터를 활용할 수 있도록 하여 정보주체의 동의권, 고지받을 권리 등을 침해하고 있고, ▷ 개인정보를 인공지능 학습데이터로 활용할지 여부를 정보주체의 동의없이 개인정보보호위원회가 판단하고, 원본 데이터를 당초 수집 목적 외인 AI 기술개발을 위해 활용할 수 있도록 허용하는 등 정보주체의 개인정보 자기결정권을 중대하게 침해할 수 있어 위헌적이라는 지적을 받고 있습니다. 다시 말해, AI 기술개발, 성능향상을 위해 원본 데이터까지 활용할 수 있도록 하는 이들 법안들은 AI 산업 육성이 중차대한 정책과제라고 하더라도 개인정보보호법의 입법 목적에 배치될 뿐 아니라 헌법상 권리인 개인정보자기결정권의 본질적 내용을 침해하여 개인정보보호법의 취지를 형해화하는 것입니다.
- 질의5 : 이들 법안에 대한 개인정보보호위원회의 공식 입장은 무엇인지 밝혀주시고, 대응 계획을 밝혀 주십시오.
- 질의6 : AI는 대량의 개인정보를 실시간 수집, 프로파일링 등 처리할 수 있어 사생활 침해 위험이 높지만 정보주체는 오히려 이를 쉽게 인지하거나 확인하기가 쉽지 않습니다. 기술의 발전이 매우 빨라 이전의 개인정보보호법으로는 보호공백이 생길 수 있습니다. 보호공백을 최소화하기 위해 어떤 정책을 취할 것인지 밝혀 주십시오.
5. 개인정보 대량 유출 방지를 위한 관리 감독 강화
지난 2025년 4월 SKT의 유심 정보 등 대규모 개인정보 유출사건, 7월 KT의 대규모 해킹사건 및 최근 롯데카드의 고객 정보 유출 사건 등 기업들의 개인정보유출사건이 끊이지 않고 있습니다. 이에 개인정보보호위원회는 개인정보처리자인 기업 등이 개인정보를 오남용하지 않도록 정책적 기반을 마련하고 개인정보보호야말로 기업의 이미지 제고와 사회적 신뢰를 쌓는 가장 효율적인 방법이라는 분위기를 조성할 필요가 있습니다.
2025년 국회 정무위원회 국정감사에서 드러난 바에 따르면 최근 5년간 우리나라에서 유출된 개인정보가 8,800만 건을 넘었지만, 1건당 과징금은 1천 원 수준에 불과합니다. 솜방망이 처벌로는 개인정보 보호 효과를 기대하기 어렵다는 지적이 끊이지 않고 있지만 개인정보보호위원회는 감독당국으로서 계속된 정보유출 사고에 제대로 된 처벌보다 솜방망이 처벌을 반복해 왔다고 할 것입니다. 전국민의 절반에 달하는 2,300만 명의 유심 등 민감한 개인정보를 관리하면서 기본적인 암호화 조치도 하지 않은 사안에 대해서조차 SKT 매출액 1% 수준에 그쳤습니다. 개인정보보호법은 전체 매출액의 3% 이내에서 과징금을 부과할 수 있도록 규정하고 있지만 이마저도 취소소송을 제기하면 감액될 수 있습니다.
개인정보보호위원회의 개인정보 유출 사고 등에 대한 솜방망이 처벌은 기업 등 정보처리자들에게 자연스럽게 개인정보보호기반이나 정보 보안에 투자하는 것보다 과징금, 과태료와 같은 행정제재에 불복하고 소송을 통해 대응하는 것이 더 저렴하고, 효율적이라는 무언의 신호를 준 것이나 다름없다고 할 것입니다. 이 같은 환경에서 기업들이 자발적으로 개인정보보호나 보안 등에 투자하도록 기대하기 어렵습니다.
또한 개인정보보호법의 단체소송은 개인정보 침해행위에 대해 금지 또는 중지를 청구할 수 있지만 손해배상소송을 할 수 없어 정보주체의 침해된 권리구제 및 개인정보처리자의 침해행위를 예방 또는 억지하기에는 실효성을 담보하기 어렵습니다.
- 질의7 : 최근의 기업들의 대규모 개인정보유출 사건들에 대해 어떤 조치를 취했고, 향후 계획은 무엇인지 밝혀주십시오.
- 질의8 : 이와 같은 사건이 일어나지 않게 하기 위해 개인정보호호위원회의 감독체계를 어떻게 구성, 운영, 강화할 계획인지 밝혀 주십시오.
- 질의9 : 개인정보보호법 상 단체소송에 손해배상소송을 포함해야 한다는 요구에 대한 입장은 무엇입니까.
6. 정보주체의 권리 보장을 위한 개인정보보호법 개정
개인정보보호위원회가 강조하는 보호와 활용의 균형은 기업 편의를 위한 규제완화가 아니라 기울어진 운동장에서 정보주체의 자기결정권을 실질적으로 행사할 수 있도록 정치한 장치를 마련하는 것입니다. 그러나 개인정보보호위원회가 산업 진흥을 위한 규제완화를 표방하며, 기업의 민원창구 역할을 해왔다는 비판이 적지 않습니다. 2020년 가명정보 특례를 개인정보보호법에 신설하면서 기업의 개인정보 활용의 길을 터주었고, 2023년에는 전송요구권을 신설하여 사실상 전 분야 마이데이터 산업을 육성하는 데 앞장 서 왔습니다. 기업이 개인정보를 활용할 수 있도록 지속적으로 규제를 완화하는 정책을 펼쳐 온 것입니다.
지난 2020년 데이터 활용을 위한 가명정보 도입 등 개인정보보호법 개정과 2023년 마이데이터 지원 등을 위한 규제완화로 인해 대폭 후퇴하고 뒤로 미뤄진 정보주체의 권리 보장 방안을 마련하는 일이 시급합니다. 특히 정부의 전폭적인 AI 육성 정책에 수반되는 개인정보침해, 프라이버시 침해 문제 등 개인정보를 오로지 경제적 가치로만 환원하는 빅데이터와 AI 시대 더욱 위태로운 개인정보자기결정권 보장을 위해 개인정보보호위원회가 대책을 마련하는 것이 필요합니다.
- 질의9 : AI 시대를 맞아 현행 개인정보보호법에서 미처 대처하지 못하는 보호공백에 대해 어떻게 파악하고 있는지 밝혀 주십시오.
- 질의10 : 고지받을 권리, 열람권, 처리정지권의 실질적 행사를 위해 개인정보보호법의 개정이 필요하다는 요구에 대한 신임 개보위원장의 입장을 명확히 밝혀주십시오.
- 질의11 : 자신의 권리를 침해당한 정보주체가 가장 쉽게 접근할 수 있는 구제수단이 개인정보침해신고 제도이지만, 현재 개인정보 침해신고제도는 상담 외에 권리구제의 역할을 거의 수행하지 못하고 있습니다. 개인정보침해신고 제도 등 정보주체의 권리구제의 실효성을 높일 수 있는 방안이 무엇인지 밝혀주십시오. 끝.