한국법제연구원 KLRI

Ⅰ. 배경 및 목적

▶ 논의의 배경

○ 최근 인공지능 기술이 급속도로 발전하면서 그에 따른 위험성 관리, 데이터의 합법적 처리, 투명성 확보 등이 주요 과제로 부상하고 있음

- 특히, 인공지능 기술이 가져오는 혁신을 저해하지 않으면서도 개인정보를 합리적으로 보호할 수 있는 균형 있는 법제도 마련이 시급한 상황임

○ 인공지능은 국가 경쟁력·산업경제 가치 창출의 핵심 인프라로 부상했지만 이를 규율하는 개인정보 법제는 기존 틀에서 벗어나지 못한 한계를 보이고 있음

- 인공지능 도입 이후 등장한 새로운 데이터 처리 형태들은 기존 법률이 예상하지 못한 범위를 포함하면서 법적 회색지대가 확장되는 양상임

○ 인공지능의 개발자나 개발기업은 “동의 외의 적법 근거가 불명확하다”는 점을 가장 큰 애로사항으로 지적하고 있음

- 고성능 인공지능을 개발하려면 대량·고품질 데이터가 필수적이나, 현행 제도 아래에서는 비식별·가명처리 방식의 한계, 동의 기반 처리의 부담 등으로 인한 데이터 확보에 제약이 크다는 문제가 있음

○ 인공지능의 개발에 있어 공개 데이터와 함께 활용 가능한 개인정보에 대한 명확한 법적 근거와 기준 마련의 필요성이 요청됨

▶ 본 연구의 목표

○ 본 연구는 다음의 두 가지를 목표로 연구를 진행하였음

○ 먼저, 인공지능 기술이 개인정보를 처리하는 과정에서 발생하는 법적 쟁점을 살펴보고, 개인정보의 합법적 처리를 위한 규율현황을 검토함으로써 제도개선방안을 논의하기 위한 논의의 기초를 제시하였음

- 2026년 1월 22일부터 시행이 예정되어 있는 인공지능기본법 및 동법시행령의 법적 쟁점 검토를 시작으로, 개인정보보호법이 인공지능 기술의 특성을 잘 반영하고 있는지, 어떤 문제점이 있는지 등 평가

- 현행 개인정보 보호법에 따른 투명성, 책임성에 대한 요청, 정보주체의 권리보장 그리고 원칙 기반의 규율체계를 분석하여 인공지능 규제체계와 개인정보 보호법의 정합성을 확보하기 위한 제도개선논의 검토

○ 다음으로는 인공지능 개발을 위한 개인정보처리의 합법성을 제고하기 위한 방안으로서의 제도개선 방향을 검토 및 제시하였음

- 해외 주요국(EU, 미국, 일본, 싱가포르 등)의 입법례를 중심으로 비교법적 논의를 통해 우리나라의 개인정보 규율법제의 개선방안 모색

- 최근 국회에 제출된 인공지능 개발을 위한 개인정보 규율 특례 법안의 입법 배경, 목적, 세부 규정 내용을 면밀히 분석하고, 각 법안 도입 시 예상되는 법제도적 쟁점, 제도적 선결 조건 등 검토

 

Ⅱ. 주요 내용

▶ 쟁점 1: 인공지능 개발에서 개인정보 처리의 법적 문제

○ 인공지능 기술 개발 관련 국내 가이드라인 현황을 검토함

- 개인정보보호위원회 <공개된 개인정보 처리 안내서>(2024년 7월)는 공개된 개인정보를 AI 학습에 이용하는 경우 「개인정보 보호법」 제15조 제1항 제6호(정당한 이익)를 법적 근거로 활용할 수 있음을 제시하였고, 개인정보처리자(AI 개발자, 서비스 제공자)의 정당한 이익이 정보주체의 권리보다 명백히 우월해야 하며, 안전성 확보 조치와 권리 보장 방안이 마련되어야 함을 강조하고 있음

- 개인정보보호위원회 <생성형 AI 개발·활용 개인정보 처리 안내서> (2025년 8월)는 생성형 AI 확산에 따른 개인정보 보호 이슈에 대응하기 위해 개발 및 학습 단계에서 데이터 수준, 모델 수준, 시스템 수준의 안전조치를 권고하고, 데이터 수준과 관련하여 학습 데이터 출처 검증, 고유식별정보·민감정보에 대한 삭제 및 가명/익명 처리, 프라이버시 강화 기술(PETs) 도입을 권장하고, 모델/시스템 수준과 관련하여 모델 미세조정을 통한 리스크 보완, 개인정보 암기·노출 최소화, 운영 환경 접근제어, 입출력 필터링, 프롬프트/결과값의 개인정보 자동 탐지·차단 기능의 도입 권고

- 국가인권위원회 <인권가이드라인> (2022년 4월) AI 개발 및 활용으로 인한 인권침해와 차별을 예방하기 위해 ① 인간의 존엄성 존중, ② 투명성 및 설명 의무, ③ 자기결정권 보장, ④ 차별 금지, ⑤ 인권영향평가 시행, ⑥ 위험도 등급 및 법·제도 마련의 여섯 가지 장으로 구성하고, 투명성 및 설명 의무와 관련하여 인공지능 기술을 통한 판단 과정 및 결과는 합리적으로 설명되어야 하며, 공공기관이 활용하는 인공지능은 설명 가능해야 하고, 개인의 기본권에 중대한 영향을 미치는 완전히 자동화된 의사결정은 제한되어야 하며, 당사자는 거부권이나 인간 개입 요구 권리를 보장받아야 하도록 하고, 자기결정권과 관련하여 정보주체가 자신의 정보 처리에 대해 파악하고 참여할 수 있는 권리를 가지며, 데이터는 목적에 필요한 최소한의 범위에서 정확하고 완전하게 처리하도록 하며, 차별 금지와 관련하여 인공지능 생애주기 전반에서 편향적 결과를 배제하기 위해 데이터 검사, 조정, 주기적인 모니터링이 필요함을 강조

○ 인공지능법과 데이터법제의 관계에 대하여 인공지능 규제는 데이터의 수집, 처리, 활용에 기반하기 때문에 데이터 법제와 불가분의 관계이므로 유럽연합(EU)은 AI Act, GDPR, Data Act 등을 통해 통합적으로 규율하고 있음

- 인공지능 규제는 데이터의 수집, 처리, 활용에 기반하기 때문에 데이터 법제와 불가분의 관계이므로 유럽연합(EU)은 AI Act, GDPR, Data Act 등을 통해 통합적으로 규율

- (이중 규제 및 충돌) 생성형 AI 학습에 개인정보가 포함될 경우, 개인정보보호법의 합법적 처리 근거와 인공지능법의 투명성 요건 충돌 가능

- (적용범위의 간극) 개인정보보호법은 '개인정보'에 한정되나, 인공지능기본법은 비개인정보 및 산업데이터까지 포괄하여 규율 영역의 차이 발생

- (감독기관 간 권한 충돌) 인공지능 규제기관과 개인정보 보호 규제기관 간의 관할 및 감독권 경합 가능성

- (목적 외 이용 금지 원칙) 인공지능의 학습용 데이터로 활용하는 것이 초기 정보주체의 동의 목적을 벗어나는 경우, 별도의 동의나 법적 근거가 필요하다는 지적.

- 이러한 문제를 해결하기 위해 통합적 가이드라인 마련 및 법체계 정합성 확보, 법 집행기관 간의 협력 체계 강화(공동 규제·감독 모델) 필요

- 인공지능법과 개인정보보호법 간의 적용 순위 혼선을 막기 위해, 개인정보가 포함된 사안에 대해서는 개인정보보호법을 우선 적용하도록 명확히 규정하는 것이 바람직

○ 인공지능의 발달이 개인정보 보호에 미치는 위험과 관련하여 특히, 대규모 언어 모델(LLM) 기반의 생성형 인공지능은 개인정보 침해의 가능성이 있음

- (개인 식별 및 추론) 공개된 비정형 텍스트 학습 과정에서 작성자의 개인적 특성(성별, 인종 등)을 정확하게 추론할 수 있어 차별과 편견을 강화할 위험성

- (불투명성 및 정보 노출) 기업들이 '영업비밀'을 이유로 알고리즘을 공개하지 않아 불투명한 관행이 지속되며 , 인공지능이 장기적으로 개인정보를 기억하고 노출시킬 위험성

- (환각, Hallucination) 인공지능이 허위·조작된 개인정보를 사실처럼 제공할 가능성이 있고, 인권 밀접 분야에서 오류 발생 시 정보보안의 취약성과 정보주체의 수정·삭제 요구권(잊혀질 권리) 보장이 논란이 될 수 있음

- 신뢰할 수 있는 인공지능을 위해서는 개인정보 보호가 핵심적 요소이고 인공지능 기술 혁신과 개인정보 자기결정권 보장 간의 합리적인 균형을 맞추기 위해 법제도적 장치를 마련하고 지속적으로 정비할 필요성

▶ 쟁점 2: 비교법적 검토

○ EU 법제 분석

- EU에서 인공지능과 관련한 중요한 두 가지 규범체계를 언급한다면, EU AI ACT와 GDPR을 들 수 있음

- EU AI ACT와 GDPR은 병존하는 형태의 규범으로, 인공지능에 대한 규율에 있어 상호 배척하는 형태를 갖고 있지 않음

- 오히려 EU AI ACT 제2조 제7항에서는 유럽연합 차원에서 규정되고 있는 개인정보 및 프라이버스 등과 관련된 규율이 EU AI ACT로 인해 배척되지 않는다는 점을 명시하고 있어, 인공지능과 관련해서는 EU AI ACT가 적용되더라도, 인공지능과 관련하여 개인정보나 프라이버시와 관련된 이슈가 존재하는 경우 GDPR이 적용될 수 있음

- GDPR이 담고 있는 법적 규율이 인공지능의 활용, 그리고 이를 실현하기까지의 과정에서 이루어지는 인공지능 기술개발과 관련하여 명확하게 규범적 가이드를 제공하는지에 대해서는 모호한 측면이 존재함

- GDPR 제6조 제1항 각 호에서 정하고 있는 개인정보처리의 적법성 사유 중 하나인, 개인정보 처리자 또는 제3자의 정당한 이익(the legitimate interests)과 관련된 사유를 통해 인공지능 개발 및 활용 과정에서 이루어지는 개인정보 처리의 적법성을 확보하는 것과 관련된 접근 방법이 논의 존재

- 다만, GDPR 제6조 제1항 f호를 활용한 인공지능 개발에 있어서의 개인정보처리의 적법성 확보는 구체적이고 명확한 위법 내지 적법에 대한 판단을 제시하지는 못하기 때문에, GDPR이 갖고 있는 모호성 및 이로 인한 GDPR 위반 여부의 모호성이 해결되지는 못하는 대안으로 판단될 수 있음

- 한편, EU AI ACT는 개인정보의 처리가 수반될 수 있는 인공지능 기술의 개발과 관련한 특례 제도로서 샌드박스 제도를 마련하고 있음

-  EU AI ACT 제59조 제1항의 경우 인공지능 규제 샌드박스 내에서 다른 목적으로 적법하게 수집된 개인 데이터가 샌드박스 내에서 특정 인공지능 시스템의 개발, 훈련 및 테스트를 위한 목적으로만 처리될 수 있다고 규정하고 있음

-  인공지능 샌드박스를 통한 개인정보처리에 대한 예외는 매우 협소하게 설정되어 있고, 목적 외로 사용하려는 원본 개인정보 데이터가 적법하게 수집된 것인지를 지속적으로 확인해야만 하므로, 인공지능 샌드박스에서 일반적인 목적을 가진 인공지능 시스템을 개발하는 것이 사실상 불가능하다는 지적이 존재함

- 한편, EU AI ACT 제60조 제1항 및 제2항에 따르면 인공지능 규제 샌드박스 밖의 실제 상황에서 고위험 인공지능의 실증과 관련하여 고위험 인공지능 시스템의 제공자 또는 제공을 하려는 자가 시장 출시 또는 사용 개시 전에 자체적으로, 또는 배포자 내지 배포를 하려는 자와 함께 실증계획에 따른 실증을 수행할 수 있음을 규정하고 있음

- 프랑스의 경우, EU AI ACT가 발효되기 전에 이미 일정 부분 인공지능과 관련된 샌드박스를 운영해 오면서, 새로운 법적 및 기술적 문제를 지원함과 동시에 전문적 자문을 제공하는 것을 목표 주된 목표로 삼고 있었으며, 특히 이러한 전문적 자문과 관련해서는 특히, GDPR의 준수와 관련된 법적 자문에 주된 초점이 맞추어져 있음

- 독일의 경우, EU AI ACT와 관련하여 샌드박스 관련 법제를 형성하려고 노력 중임

○ 미국 법제 분석

- 미국은 인공지능은 물론이고 개인정보 보호에 관하여 연방차원에서의 법률을 통한 규율이 매우 자제되어 있음

- 개인정보 보호에 관하여는 점차 주 단위에서 법률이 제정되고 있는 상황이지만 이 역시 소비자 권리 보호 차원에서 이루어지고 있음

- 다만, 미국에서는 빅테크 기업들이 인공지능 기술과 서비스 개발을 위해 지속적으로 학습데이터를 무차별적으로 수집해왔다는 정황이 지적되어 왔고, 타인의 저작권 침해 문제와 함께 개인정보 침해 문제도 이슈가 되고 있음

- 연방 차원의 개인정보 보호에 관한 일반 법률이 존재하지는 않더라도, 아동의 개인정보를 보호하기 위한 COPPA 등이 있음

- 개별 사건에서 사업자에 대하여 FTC가 COPPA 위반으로 해당 개인정보의 제품 개선 목적의 활용 중단 및 삭제명령을 내리기도 함

- 그럼에도 미국의 경우, 여전히 입법적으로 인공지능 개발을 위한 개인정보의 처리의 범위가 명확하지 않고, 그 접근 자체가 기술 개발 및 산업 발전과 정보주체의 권리 보호라고 하는 양 가치의 균형 추구 차원에서의 입법적 움직임이 크지는 않다는 점에서 입법 개선을 위한 우리나라에 대한 시사점은 높지 않아 보임

○ 일본 법제 분석

- 일본은 가이드라인에 의한 규제체계가 운영되고 있었으나, 가이드라인과 개별법상의 근거 규정들만으로는 안전한 인공지능 이용이 어렵다는 사회적 분위기가 존재하였고, 이에 ‘인공지능 관련 기술의 연구개발 및 활용의 추진에 관한 법률’이 제정되었음

- 다만, ‘인공지능 관련 기술의 연구개발 및 활용의 추진에 관한 법률’에는 인공지능 기술개발과 관련된 개인정보 특례 규정이 존재하지 않음

- ‘생성형 인공지능의 활용과 관련한 주의환기’를 살펴보면, 일본개인정보보호위원회는 기본적으로 일본개인정보보호법에서 정하고 있는 기본적인 개인정보보호 관련 의무를 준수할 것과, 생성형 인공지능을 사용하는 이용자 중 개인정보를 처리하는 주체들의 경우 생성형 인공지능 사용 과정에서 일본개인정보보호법에서 정하고 있는 각종 규정에 위반이 생길 소지가 있으므로, 이를 조심히 활용할 것을 권고하는 자세를 취하고 있었음

- 한편, ‘개인정보보호법의 제도적 과제에 대한 접근방법(안)에 대하여’라는 일본개인정보보호위원회의 문건에는 기존의 일본개인정보보호법이 담고 있는 규제의 수준을 완화할 필요성이 있다는 점을 담고 있지만, 다른 한편으로는 개인정보보호와 관련하여 규제가 강화될 필요가 있는 사항에 대해서도 동시에 검토하고 있음

○ 싱가포르 법제 분석

- 싱가포르에서는 인공지능에 대한 일반법은 존재하지 않으며, 주로 연성규범을 통해서 기술과 산업의 발전과 인공지능의 안전성·신뢰성·윤리 등의 균형을 확보하려는 정책 방향을 가지고 있음

- 다만, 인공지능을 직접 규율하지는 않지만 개별 분야의 법제가 인공지능 시스템이 적용된 제품이나 서비스에 대한 규제로 작동하기도 하고, 때로는 인공지능 기술 개발과 활용의 전반에 걸쳐 큰 영향력을 행사하기도 함

- 2012년 제정되고 2020년 개정된 싱가포르의 PDPA는 개인정보처리자에 해당하는 조직이 개인정보를 수집, 이용 등을 하고자 하는 경우 원칙적으로는 정보주체의 동의를 받도록 하고 있음

- PDPA 제17조와 별표 규정을 통해 인정되고 있는 정보주체의 동의를 전혀 받지 않고 개인정보의 수집, 이용 등이 가능하다는 점에 주목할 필요가 있음

- 개인의 중대한 이익, 공공에 영향을 미치는 사항, 정당한 이익, 사업자산 거래 등의 목적이나 상황에서 정보주체의 동의 없이 개인정보의 수집과 이용 등이 가능한데, 특히 사업 개선과 연구 목적에서 그 특례가 인정되므로 인공지능 시스템을 개발하는 기업 등이 수혜자가 될 수 있는 지점이 우리나라 법제에 큰 시사점이 있음

- 싱가포르 PDPC와 IMDA는 해당 규정을 인공지능 개발 사업자 등이 쉽게 해석하고 적용할 수 있도록 권고 가이드라인을 마련하기도 하였음

- 사업 개선을 위한 특례는 기업이 기존의 제품이나 서비스의 개선을 위해 인공지능 시스템을 개발할 때 적용될 수 있다는 점에서 매우 폭넓게 적용될 수 있는 규정이 될 것임

- 연구를 위한 특례는 공익을 위한 인공지능 시스템 개발할 때 적용될 수 있으므로 그 범위가 제한될 수는 있겠으나, 이러한 공익적 목적의 인공지능 시스템도 상업적 성격을 가진 경우를 배제하지 않고 연구 역시 상업적 연구를 포함하고 있으므로 폭넓게 적용될 수 있을 것임

- 다만, 이러한 특례 규정이 존재한다고 하더라도 인공지능 시스템의 개발 목적을 달성하는 데 익명정보나 가명정보로도 개발이 가능한 경우이거나 정보주체의 권리를 침해할 가능성이 있는 경우라면 허용되지 않음

- 또한 특례의 수혜자가 되는 조직은 해당 개인정보의 안전한 보호를 위해 적절한 통제 조치가 필요한데, 이때에는 개인정보가 노출되어 있는 위험의 유형이나 민감도, 양, 접근 인력 등 다양한 요소를 고려해야 함

▶ 쟁점 3: 인공지능 개발 개인정보 특례 입법안 분석

○ 인공지능 대전환 속에서 뒤처지지 않기 위해 데이터 생태계의 활기를 불어넣기 위한 노력을 경주하고 있으며 대표적으로 인공지능 개발에 있어 개인정보 처리의 특례 도입을 위한 개인정보 보호법 개정안 발의(민병덕 의원 대표발의 법안, 고동진 의원 대표발의 법안 등)

○ 개정안의 공통점은 AI 기술 개발 및 성능 개선을 위해 이미 적법하게 수집된 개인정보를 개인정보보호위원회의 관리·감독하에 기술적·관리적·물리적 조치를 한 경우 원본 개인정보를 정보주체의 별도 동의를 받지 않은 채 목적 외로 활용할 수 있게 하는 새로운 법적 근거를 마련하는 것을 골자 함

- 이는 일종의 법률적 근거로서 개인정보보호위원회의 의결을 통해 동의를 갈음하는 활용을 보장하는 것

- 이 특례는 현행 개인정보 보호법상 엄격히 제한되는 개인정보의 수집목적 외 활용에 대해 정보주체의 동의나 가명처리라는 대체 수단을 거치지 않더라도 합법적으로 개인정보 원형을 활용할 수 있도록 하는 특단의 예외

- 이러한 특례의 입법배경은 무엇보다 인공지능을 둘러싼 패권 경쟁에서 뒤쳐지지 않겠다는 절박함이 있고, 아울러 변화된 기술환경하에서도 개인정보의 보호와 안전한 활용의 조화로운 동행을 모색하기 위한 새로운 법적 구도의 마련이라 할 수 있음

- 고동진 의원안은 “개인정보보호위원회의 동일·유사한 심의·의결이 있었던 경우 등에는 심의·의결 절차를 간소화할 수 있도록” 하는 조항을 두어 심의 절차 간소화 근거를 추가

○ 또한 인공지능 개발시 학습데이터에 대한 별도 규율로서 데이터 산업진흥 및 이용촉진에 관한 기본법 일부개정법률안도 발의(김태년 의원대표발의)

- 데이터 가치평가 체계를 인공지능 학슴데이터에 특화되도록 보완하고, 반복 활용 및 대규모 가공이 전제된 학습데이터 특성을 반영한 별도의 거래 표준계약서를 마련하며, 개인정보 보호를 위한 익명화ㆍ비식별화 기준 및 품질인증 기준을 제도적으로 정비함으로써, 인공지능 학습용 데이터 거래를 촉진하고, 데이터 기반 신산업의 성장을 뒷받침하고자 제안

▶ 쟁점 4: 인공지능 개발 개인정보 처리 특례 법안 도입시 고려사항

○ 특례 적용을 위해서는 실체적 요건과 절차적 요건 충족해야 함

- 실체적 요건으로 ① 개인정보를 익명·가명처리로는 인공지능기술 개발 곤란, ② 기술적·관리적·물리적 조치가 된 공간 등 강화된 안전장치 마련, ③ 공공이익 또는 사회적 이익 증진 목적 포함+정보주체·제3자 이익의 부당한 침해 우려 현저히 낮을 것 등 충족 필요

- 절차적 요건으로 요건 해당 여부에 대해 사전에 보호위 심의·의결(필요시, 조건 부가 가능)을 통해 예외 인정

○ 특례에 대해서는 정보주체의 개인정보자기결정권에 대한 지나친 제약 논란, 개인정보 보호법 전체 구조상에 있어 법체계의 정합성 문제, 공익 또는 사회적 이익의 모호성 등 다양한 쟁점이 논의되어야 함

- 이미 가명정보를 통해 인공지능 학습데이터에 대한 활용가능성을 열어두고 있는데, 굳이 가명처리 없이 원본 개인정보의 사용을 허용하는 이중적 체계를 마련하는 것이 필요한지, - 인공지능 개발 목적의 폭넓은 예외를 규정하는 것이 자칫 전체 규율체계를 무력화하는 것은 아닌지 등이 문제됨

- 또한 일종의 목적 통제장치인 “공공의 이익 증진” 및 “사회적 이익 증진”의 요건은 특례의 무분별한 확대를 경계하기 위해 만든 목적 제한이나 과연 공공성에 대한 판단이 구체적으로 가능할지 의문이 제기

- 반면 이러한 공공성 요건이 인공지능 개발에 있어 특례의 활용도를 매우 위축시키는 요인이 될 수 있다는 반론도 유력하게 제기되는 바, ‘사회적 이익 증진’이 요건에 포함된 것은 기업의 단순 사익 추구에만 국한된 경우를 배제하기 위함으로, 영리적 목적이 있다고 해도, AI 기술개발이 사회적으로 가져올 수 있는 파급력 등을 종합적으로 고려하여 사회적 이익을 가져올 수 있는지에 대해 판단하여야 할 것임

- “익명 또는 가명으로 처리하여서는 인공지능 기술 개발이 어려운 경우”라는 요건은 대부분의 개인정보처리자가 기준을 충족하는 것이 현실적으로 매우 어려움

○ 개인정보보호위원회의 역할 증대에 따른 조직 보강 등 인프라 강화가 시급

- 특례의 심의의결은 개인정보보호위원회의 전체회의를 통해 결정을 하게 될 것이지만, 사전적으로 이에 대한 분석, 안전성 확보조치에 대한 평가 등이 필수적으로 필요

- 특례의 활용도가 높아지면 심의건수도 확대될 것이고, 무엇보다 분야별 인공지능의 특성을 반영한 전문적 심사를 위한 심사인력과 조직의 강화도 반드시 필요

- 특례인정 이후에도 사후적 관리를 위한 조직도 필요할 것인 바, 인공지능 학습데이터에 특화된 관리체계와 조직의 강화가 필요

○ 원본 데이터를 다수 활용하는 만큼 프라이버시 보호 기술의 병행 도입이 요구됨

- 프라이버시 보호 머신러닝(PPBML) 기법, 차등정보보호(Differential Privacy), 연합학습(Federated Learning) 등 새로운 기술을 접목해 개인정보 노출을 줄이는 노력이 중요

○ 심의 내용 공개 조항은 투명성을 위해 도입되었으나, 기업 입장에선 민감한 AI 개발 전략이나 데이터 활용 내용이 노출될 수 있다는 우려가 제기될 수 있음

▶ 쟁점 5: 인공지능 학습데이터에 대한 특화체계 마련을 위한 데이터산업법상 근거 도입시 고려사항

○ 인공지능 학습데이터에서 개인정보가 포함되는 것은 필연적이고, 데이터산업법상 익명화 기준을 개인정보보호법상 가명정보 체계와 적절하게 연동시킬 필요

- 개인정보보호위원회가 발간하는 각종 가이드라인은 관련 분야별 지침을 통합적으로 반영한느 협업체계가 필수적

○ 인공지능기본법·데이터산업법·개인정보보호법의 관계를 명확히 정의하여, 인공지능 학습데이터의 개념과 범위를 통일적으로 규정해야 

- 특히 인공지능기본법의 정의조항을 인용하거나, 데이터산업법 내에 “인공지능 학습데이터” 정의를 신설할 필요

- 현행 데이터산업법은 데이터 표준계약서 작성 시 공정거래위원회와 협의를 거치고 이해관계자 및 전문가의 의견을 청취하도록 하고 있는데, 인공지능 학습데이터 거래 표준계약서의 경우에도 관련 사항 반영 필요

 

Ⅲ. 기대효과

○ 본 연구는 개인정보 보호법이 2011년 제정 당시에는 정보주체의 권리를 보호하는 정보보호를 주된 가치로 출발한 된 개인정보 보호법은 최근 국가사회 전분야에 심화된 디지털화에 더하여 인공지능 기술의 비약적인 발달로 개인정보도 적정 활용되어야 하고, 그저 개인정보의 활용을 사전적으로 차단하는 것만이 최선은 아니라는 인식의 전환 필요함을 강조함

- 인공지능 기술이 국가의 전략적 핵심자산으로 인식되면서 인공지능 발전의 가장 중요한 기반이 데이터라는 점에 주목하여 원활한 데이터 활용생태계를 구축하여야 하는 가치가 정보주체가 개별적으로 개인정보의 처분권한을 보유하여야 하는 가치에 비하여 결코 가볍지 않다는 점도 공감대를 얻고 있음

○ 또한 본연구에서는 이제는 단순한 개인정보의 보호와 적정 활용의 균형점을 찾는 것을 넘어 개인정보를 포함하는 데이터의 활용을 통한 우리사회의 공적 가치 창출과 극대화로 논의를 진전해야 할 때임을 확인함

- 개인정보를 배타적 소유권과 같이 바라만 볼 것이 아니라 디지털심화기를 맞이하는 현대사회에서 공동체적 자산의 성격에도 주목할 필요

- 이제는 정보주체의 관리통제권을 존중하면서도 개인화된 데이터의 활용을 통한 우리 사회 전체 공공의 이익 내지 사회적 이익의 증대에도 기여할 수 있는, 최소한 관성적인 장애요인이 되지 않도록 적절하게 제도를 구성해야 할 시대적 책무가 있음

- 인공지능의 경쟁력을 위해 개인정보나 저작물과 같은 고가치 데이터의 활용이 가장 핵심적인 기반임을 고려할 때 기존 사전 동의 중심의 경직된 합법성 체계에 대한 대안적 제도 모색이 절실하고, 여기에 인공지능 개발시 개인정보 처리 특례의 의의가 있음

○ 한편, 본 연구는 인공지능 학습데이터에 대한 혁신적 예외 절차의 도입을 허용하더라도 이를 통해 정보주체의 권리가 형해화되지 않도록 세밀한 안전장치를 강구해야 할 것을 강조함

- 인공지능에 대한 신뢰와 우리 공동체의 수용성은 결국 얼마나 정보주체의 권리가 소외되지 않으면서 오히려 실질화되느냐가 가늠자가 될 것이기 때문

- 보호와 활용이라는 전통적인 이분법을 넘어 디지털심화기 우리 사회의 주요 자산으로서 데이터의 공적 활용과 실효적 권리보장이라는 관점이 우리 법제 전반에 투영되어야 할 것본 연구는 하위법령과 가이드라인 등의 내용을 구성하고, 추후 후속적인 입법 추진과 인공지능기본법의 발전적인 규율에 있어서 참고가 될 수 있는 연구로서 의미를 찾을 수 있을 것임

제1장 

서론 / 1

제1절 연구의 필요성 1

제2절 연구의 배경 및 목적 4

Ⅰ. 인공지능의 발전과 데이터의 가치 4

Ⅱ. 인공지능 기술과 개인정보 보호의 상호관련성 4

Ⅲ. 인공지능 기술 개발을 위한 개인정보 규제 특례 6

제3절 연구의 대상 및 범위 8

제2장

인공지능 개발에서 개인정보 처리의 법적 문제 / 11

제1절 들어가며 11

Ⅰ. 우리나라 인공지능기본법의 제정과정 및 주요 쟁점 11

Ⅱ. 안전하고 신뢰할 수 있는 인공지능 규제체계에 대한 해외 논의동향 16

Ⅲ. 인공지능기본법 시행령의 주요내용 및 시민사회의 비판 20

Ⅳ. 인공지능 기술 개발 관련 개인정보 처리에 대한 국내 가이드 현황 47

제2절 인공지능기본법과 데이터법제의 관계 53

Ⅰ. 인공지능과 데이터의 상호관련성 53

Ⅱ. 인공지능법과 데이터법의 관계 및 주요 쟁점 54

제3절 인공지능법과 개인정보보호법의 관계 57

Ⅰ. 인공지능의 신뢰성을 확보하기 위한 조건 : 개인정보보호 57

Ⅱ. 인공지능의 발달이 개인정보 보호에 미치는 위험요인 59

Ⅲ. 개인정보 침해의 우려에 대응하기 위한 규제당국의 역할 62

Ⅳ. 법의 지배와 인권을 포괄하는 민주주의에 대한 존중 64

제4절 인공지능의 발달에 따른 현행 개인정보보호법의 한계 68

Ⅰ. 개인정보보호법의 개정 : 가명처리를 통한 개인정보 활용의 확대 68

Ⅱ. 가명정보와 관련된 대법원과 헌법재판소 판례 70

Ⅲ. 개인정보의 수집 및 제공의 적법성 근거 74

Ⅳ. 개인정보보호법의 분절적 규율과 인공지능기술의 간극 76

Ⅴ. 인공지능 개발과 개인정보 보호의 조화로운 병행 84

제3장

비교법 연구 / 91

제1절 EU 법제 분석 91

Ⅰ. EU AI ACT와 GDPR의 중첩적용 가능성 91

Ⅱ. 인공지능 개발 및 활용에 있어서 개인정보 처리와 GDPR의 적용 가능성 92

Ⅲ. 인공지능 기술 개발 관련 GDPR 규율의 적용 여부 95

Ⅳ. EU AI Act에 따른 인공지능 개발 관련 개인정보 처리 특례와 회원국 동향 99

Ⅴ. 시사점 111

제2절 미국 법제 분석 114

Ⅰ. 인공지능 규제법제 114

II. 개인정보 보호법제 124

III. 시사점 130

제3절 일본 법제 분석 131

Ⅰ. 가이드라인에 의한 인공지능 규율 131

Ⅱ. 일본인공지능법에 따른 규율 133

Ⅲ. 개인정보보호 법제 및 행정실무에서의 인공지능과 개인정보보호 이슈 135

Ⅳ. 인공지능 개발 및 개인정보보호 관련 법적 이슈 145

Ⅴ. 시사점 149

제4절 싱가포르 법제 분석 150

I. 가이드라인과 개별 법제 중심의 인공지능 규율 151

II. 개인정보의 이용 법제에서의 동의, 동의의 간주, 특례 155

III. 인공지능 개발을 위한 개인정보 이용의 특례 158

IV. 시사점 166

제4장

인공지능 개발을 위한 개인정보 활용 특례 입법안 분석 / 169

제1절 논의 배경 169

제2절 인공지능 개발 개인정보 특례 입법안 170

Ⅰ. 민병덕 의원안: AI 개발을 위한 개인정보 활용 특례 신설 170

Ⅱ. 고동진 의원안: 절차 간소화를 통한 AI 데이터 활용 특례안 177

Ⅲ. 김태년 의원안: 인공지능 학습데이터에 대한 특화체계 마련 181

제3절 인공지능 개발 합법성 제고를 위한 특례 설계 방안 184

Ⅰ. 민병덕 의원안: AI 개발을 위한 개인정보 활용 특례 신설 184

Ⅱ. 고동진 의원안: 절차 간소화를 통한 AI 데이터 활용 특례안 187

Ⅲ. 김태년 의원안: 인공지능 학습데이터에 대한 특화체계 마련 189

제5장

결 론 / 193

Ⅰ. 현행 개인정보 보호법의 한계와 가능성 193

Ⅱ. 인공지능 개발시 개인정보 처리 특례의 도입·시행을 위한 과제 195

참고문헌 199

부 록 207