Executive Summary
개인정보보호위원회가 2026년 7월 3일 제3차 개인정보 보호 기본계획(2027~2029)을 발표했습니다. 핵심은 지금까지 개인정보를 활용할 때 원칙으로 여겨졌던 가명·익명 처리를 조건부로 면제한다는 것입니다. 적법하게 수집한 개인정보라면, 개인정보위 심사와 위험평가를 통과하는 조건으로 영상·음성·이미지를 원본 그대로 AI 학습에 쓸 수 있게 됩니다.
배경에는 산업 현장의 오래된 불만이 있습니다. 얼굴 표정, 재난 현장의 동선, 주변 상황처럼 AI가 학습해야 할 신호가 정작 가명처리 과정에서 지워진다는 것입니다. 위원회는 여기에 대해 모든 데이터를 같은 잣대로 막던 획일 규제를 거두고, 위험의 크기에 비례해 관리하는 원칙 중심 체계로 방향을 틀었습니다. 이 글은 그 전환이 규제 준수의 문법을 어떻게 다시 쓰는지 봅니다.
원본 데이터의 문이 열릴수록, 기업이 내밀 수 있는 방어 논리는 데이터를 쓰지 않았다는 부정이 아니라 어떤 데이터를 어떤 절차로 관리하며 썼는지를 보여주는 증명으로 옮겨갑니다. 데이터의 계보와 위험 이력을 언제든 꺼낼 수 있는 상태, 곧 데이터 거버넌스와 프로비넌스가 이 대목에서 선택지가 아니라 심사를 통과하기 위한 인프라가 됩니다.
가명처리라는 안전장치가 걷힌 이유
그동안 한국에서 개인정보를 분석·활용하려면 이름과 주민번호 같은 식별자를 가리는 가명처리가 사실상 기본 관문이었습니다. 원본을 그대로 쓰는 길은 좁았고, 가명처리는 프라이버시를 지키는 마지막 안전장치로 기능했습니다.
문제는 데이터의 종류가 바뀌면서 드러났습니다. 표 형태의 정형 데이터에서는 식별자를 지워도 통계적 가치가 크게 훼손되지 않지만, 영상·음성·이미지에서는 사정이 다릅니다. 얼굴을 흐리고 목소리를 변형하고 배경을 지우는 순간, 표정의 미세한 변화나 재난 현장에서 사람들이 움직인 동선처럼 AI가 학습해야 할 바로 그 신호가 함께 사라집니다. 산업계는 가명처리가 데이터의 안전을 지키는 대신 학습 가치를 무너뜨린다고 지적해 왔습니다.
제3차 기본계획의 특례는 이 지점을 겨냥합니다. 이미 적법하게 수집한 개인정보에 한해, AI 기술 개발을 목적으로 원본 형태 그대로 활용할 수 있는 예외를 마련한 것입니다. 안전장치를 아예 없앤 것이 아니라, 데이터의 성격상 가명처리가 오히려 목적을 훼손하는 경우에 다른 방식의 통제를 조건으로 걸고 문을 열었다는 편이 정확합니다.
허용이 아니라 심사 통과
특례를 무조건적 허가로 읽으면 안 됩니다. 원본 데이터를 쓰려는 기업은 두 개의 관문을 통과해야 합니다. 하나는 개인정보위의 심사이고, 다른 하나는 그 데이터를 쓸 때 발생할 위험을 사전에 따지는 위험요인 평가입니다. 문은 열렸지만, 그 앞에는 검문소가 서 있는 셈입니다.
이 검문소가 갑자기 생긴 것은 아닙니다. 개인정보위는 2024년 12월 AI 프라이버시 위험평가·관리 모델을 이미 수립해, AI 기업이 스스로 위험을 진단하고 관리하도록 지원해 왔습니다. 이번 기본계획은 그 토대 위에서 적용 범위를 원본 데이터까지 넓힌 확장판에 가깝습니다.
위험평가의 대상도 함께 넓어집니다. 스스로 판단하고 행동하는 에이전틱 AI의 의사결정 책임 구조, 실시간으로 주변 데이터를 수집하는 피지컬 AI의 권리 보장, AI를 악용한 사이버 위협과 데이터 조작 방지까지 신흥 기술이 평가 범위에 들어옵니다. 동시에 통신·교육·고용 세 분야는 위험이 큰 영역으로 지정돼, 개인정보위와 소관 부처가 함께 점검하고 관리합니다. 데이터를 쥔 기업이라면 자신이 어느 관문 앞에 서 있는지부터 확인해야 하는 이유입니다.
획일적 금지에서 위험 비례 관리로
이번 기본계획을 관통하는 표현은 획일적 규제에서 위험도에 비례한 원칙 중심 체계로의 전환입니다. 모든 데이터에 같은 금지선을 긋는 대신, 위험이 낮은 활용에는 길을 터주고 위험이 큰 활용에는 통제를 집중하겠다는 뜻입니다. 규제의 무게중심이 쓰지 마라에서 위험에 걸맞게 관리하라로 이동합니다.
방향은 사전예방으로도 함께 움직입니다. 사고가 난 뒤 벌을 무겁게 매기는 방식만으로는 한계가 있다고 보고, 위원회는 경영진의 책임을 명시하는 CEO 책임제, 조사 실효성을 높이는 이행강제금, 그리고 재발방지 대책과 피해 보상을 충분히 마련하면 제재를 면제하는 동의의결제 도입을 함께 추진합니다. 처벌을 키우는 쪽과 합법적 활용의 길을 넓히는 쪽이 한 계획 안에 담겨 있습니다. 개인정보위도 이번 3개년 계획을 두고 개인정보 규율 체계를 AI 환경에 맞게 재설계하고 사전예방 중심의 보호 체계를 확립하는 데 중점을 뒀다고 밝혔습니다.
앞서 2026년 9월 11일 시행되는 개정 개인정보보호법은 가명정보를 AI 학습에 쓰는 특례를 이미 열었습니다. 이번 제3차 기본계획은 그 다음 단계로, 가명처리를 거치지 않은 원본 데이터까지 조건부로 여는 청사진입니다. 앞의 법 개정이 지금 시행되는 규칙이라면, 이번 계획은 2027~2029년을 겨냥한 방향 설정에 가깝습니다. (관련 리포트: 9월 시행 개정 개인정보보호법 분석)
기업의 방패가 바뀐다
원본 개인정보를 쓸 길이 열리면, 기업이 규제 앞에서 내밀 수 있는 방패의 모양도 바뀝니다. 지금까지 가장 안전한 답은 그 데이터를 수집하지도 활용하지도 않았다는 부정이었습니다. 하지만 활용이 합법의 영역으로 들어오는 순간, 안 썼다는 방어는 오히려 경쟁에서 뒤처지는 선택이 됩니다. 새 방패는 누가, 어떤 데이터를, 어떤 위험평가를 거쳐, 어떻게 썼는지를 증명하는 이렇게 관리했다는 기록이 됩니다.
이 증명은 말로 되지 않습니다. 데이터가 어디서 왔고 어떤 동의와 목적 범위 안에서 수집됐는지, 학습 과정에서 누가 어떤 권한으로 접근했는지, 어떤 위험평가를 통과했는지가 데이터에 이력으로 붙어 있어야 합니다. 심사관이 물었을 때 곧바로 계보를 펼쳐 보일 수 있는 상태, 이것이 특례를 통과하는 실질 조건입니다.
여기서 데이터 거버넌스와 프로비넌스의 위상이 달라집니다. 잘해 두면 좋은 관리 활동이 아니라, 원본 데이터를 합법적으로 쓰기 위한 필요조건이 됩니다. 규제 준수가 사후 대응이 아니라 데이터가 파이프라인에 들어오는 입구에서부터 설계되어야 하는 인프라의 문제로 넘어가는 것입니다.
다음 3년의 준비물
기본계획에는 기업을 돕는 장치도 함께 담겼습니다. 법적 불확실성을 풀어 주는 AX 안심지원센터, 가명·익명 데이터를 안전하게 다루는 지역 데이터안심구역 확대, 초기 10개 분야에서 복지·돌봄·의료로 넓혀 갈 마이데이터 플랫폼 고도화가 그것입니다. 다만 이런 지원이 아무리 촘촘해도, 데이터를 쓸 자격을 증명할 책임은 결국 그 데이터를 쥔 기업에 남습니다.
그래서 원본 개인정보를 다루려는 조직이 지금 챙겨야 할 준비물은 분명합니다.
- 데이터의 수집 출처와 적법 근거, 동의 범위를 기록으로 남기는 체계
- 학습 이전 단계에 위험평가를 끼워 넣어 상시로 돌리는 프로세스
- 접근 이력과 처리 이력을 데이터에 동반시키는 계보 추적 구조
세부 시행 규칙은 아직 발표 전이고, 위험평가의 통과 기준이나 적용 범위도 앞으로 구체화될 부분이 많습니다. 그러나 방향은 이미 정해졌습니다. 2027년부터 이어질 3년은 데이터를 못 쓰게 막는 규제가 아니라, 잘 쓴 것을 증명하는 규제의 시간입니다. 그 증명을 미리 준비한 조직에게는 열린 문이, 준비하지 않은 조직에게는 통과하지 못하는 검문소가 됩니다. 읽어 주셔서 감사합니다.
참고문헌
공식 문서
- 1.개인정보보호위원회. (2026). 「신뢰 기반의 AI 혁신을 촉진하는 제3차 개인정보 보호 기본계획(2027~2029)」. 경제관계장관회의 발표(2026-07-03).
- 2.개인정보보호위원회. (2024). 「AI 프라이버시 위험평가 및 관리모델」.
업계·보도
- 3.Seoul Economic Daily. (2026). "Korea Overhauls Data Privacy Framework for AI Era." en.sedaily.com
- 4.ZDNet Korea. (2026). "개보위 'AI 유연 적용 규율로 전환'…'3차 개인정보 기본계획' 발표." zdnet.co.kr
- 5.아주경제. (2026). "개인정보위, 제3차 개인정보 보호 기본계획 발표…AI 시대 맞춤형 규제로 전환." ajunews.com
- 6.한국경제. (2026). "개인정보위, AI 시대 맞춰 개인정보 보호 체계 혁신." hankyung.com
- 7.파이낸셜뉴스. (2026). "정부, 개인정보 유출사고에 동의의결제 도입 추진." fnnews.com