국회 정무위원회는, 원본 개인정보 활용 허용 목적 개보법 심사를 중단하라
개인정보 보호원칙 훼손하는 AI 예외주의 반대한다
어제(2026년 5월 12일) 국회 정무위원회 법안심사소위원회는 인공지능기술 개발을 명분으로 원본 개인정보를 정보주체의 동의없이 수집 목적 외로 이용할 수 있도록 하는 「개인정보보호법」 개정안을 심의하였다. 개인정보 수집 목적 내 처리라는 가장 기본적인 개인정보 보호원칙을 훼손하는 법안이 상임위에서 처리될 위험에 처한 것이다. 인공지능기술 개발을 위해서라면 헌법상 기본권은 무시해도 좋다는 것이 국회의 기본적인 입장인가? 국회 정무위원회는 인권침해적이고 위헌적인 법안 처리를 중단할 것을 요구한다.
목적 달성을 위한 최소한의 개인정보만 수집하고, 수집 목적 내에서만 처리해야 한다는 것은 역사적으로 형성되어 온 개인정보 보호원칙이다. 한번 수집된 개인정보를 향후에 다른 목적으로 필요하다는 이유로 활용할 수 있다면 개인정보처리자 입장에서는 얼마나 편리할 것인가. 그러나 이는 개인정보를 편의에 따라 남용할 수 있는 근거가 되고, 정보주체는 자신의 개인정보가 어떻게 활용되는지도 모른 채, (재산적 피해, 신체적 피해, 차별, 감시에 대한 우려 등) 개인정보 남용의 피해를 감내해야만 하는 상황에 처하게 된다. 이러한 개인정보 남용을 막고자 개인정보 보호원칙이 수립되어 온 것인데, 단지 특정 기술의 개발을 위해 개인정보 기본원칙을 훼손해야 할 합당한 이유가 있는지 의문이다.
더구나 이미 과학적 연구를 위한 가명정보의 처리, 규제샌드박스 실증특례 등 일정한 조건 하에 개인정보를 목적 외로 활용할 수 있는 방안이 없는 것도 아니다. 그러나 보다 더 쉽고 저렴하게 개인정보를 활용하고자 하는 산업계의 탐욕은 멈출 줄을 모른다.
더 심각한 것은 이를 감독해야 할 개인정보보호위원회(이하 개보위)가 오히려 개인정보 보호 원칙을 허무는 법 개정을 위해 발벗고 나서고 있다는 것이다. 개보위는 원본 개인정보의 목적 외 활용을 자신들이 관리하는게 안전한다고 둘러댄다. 그러나 개인정보 보호원칙을 훼손해가며 활용에 앞장서는 개보위를 어떻게 신뢰할 수 있을지 의문이다. 정보주체의 권리 옹호를 위해 개보위가 이렇게 적극적으로 나선 적이 있는가. 표적 광고를 위한 동의없는 행태정보 수집 규제, 주민등록번호와 연계정보의 무분별한 활용 규제, 수사기관과 군의 CCTV 무단 열람 규제, SNS 행태정보의 동의없는 AI 학습 목적 이용 등에 대한 규제 등 시민사회가 개보위의 적극적인 역할을 요구했던 사안들에 대해서는 모르쇠로 일관하고 있지 않은가. 정작 자신들의 역할과 임무를 망각하고 산업 진흥부처에서나 할 법한 행태를 보이는 개보위에 분노하지 않을 수 없다.
개보위는 주무부처별로 인공지능기술 개발 관련 특례를 신설하려는 법안들이 국회에 상정되어 있는 점들을 들어 인공지능기술 개발을 위한 개인정보 처리에 관한 문제를 개인정보보호법 개정을 통하여 통제할 필요가 있다고 주장한다, 그러나 민병덕, 고동진 의원안 어디에도 다른 주무부처 법안에 반영될 인공지능기술 개발 특례규정과의 관계를 정확히 명시하지 않고 있다. 따라서 다른 주무부처에 의한 인공지능기술 개발 관련 특례 규정 입법을 막지도 못할 뿐만 아니라, 오히려 개인정보 보호를 위한 기본법인 개인정보 보호법에 법체계상으로도 맞지 않게 인공지능기술 개발을 위한 특례를 신설함으로써 “공공의 이익” 이나 “사회적 이익” 증진이라는 포괄적인 요건에 따른 인공지능기술 개발이 시민의 기본권보다 우월한 것으로 법에서 규정하게 되는 오류를 범하고 있다.
법안 논의 과정에서, 민병덕, 고동진 의원안에 대해 시민사회가 문제로 지적했던 내용도 거의 반영되지 않은 것으로 보인다.
첫째, ‘인공지능기술 개발’을 명분으로 하는 것은 인공지능 예외주의이며 기술 중립성 원칙에도 어긋난다. 특정한 기술 개발이 기본원칙을 훼손하는 명분이 될 수 있는지 의문이다. 인공지능기술 개발을 위해 허용된다면, 다른 기술 개발을 위해 허용되지 않아야 할 이유가 어디에 있는가.
둘째, 기본권 제한이 정당화되려면, 단지 인공지능 기술 개발이 아니라 최소한 그에 상응하는 공익 목적으로 제한해야 하지만, 법안은 “익명·가명처리로는 인공지능기술 개발이 곤란”, “사회적 이익 증진을 목적” 등 모호한 표현을 사용하여 목적 외 이용 범위를 확대하고 있다.
셋째, 개보위는 자신들이 사전심의를 하기 때문에 안전하다고 하지만, 이조차 간소화하도록 허용하는 고동진 의원안을 채택하려고 하고 있다. 모든 신청 사례는 나름의 고유한 위험이 있을 수 있기 때문에, 단순히 유사한 목적이라고 간소화를 허용해서는 안된다.
넷째, 민병덕, 고동진 의원안 모두 위험요인 평가조차 의무화하고 있지 않다. 민병덕 의원안 역시 일정한 조건에서만 의무화하고 있을 뿐이다. 기본원칙을 벗어나 개인정보를 활용하고자 한다면, 최소한 사전에 위험요인을 평가하고 위험에 상응하는 완화조치를 하는 것은 당연하다.
다섯째, 기본원칙에 벗어나서 개인정보를 활용하는 과정에서 개인정보 침해가 있을 경우 훨씬 가중하여 처벌해야 함에도 불구하고, 법안은 이에 대해 다루고 있지 않다.
유수의 대기업에서 발생한 연이은 대량 개인정보 유출 사고로 국내 개인정보 보호수준이 얼마나 허술한지 드러난 것이 얼마 되지 않았다. 그런데 기본적인 개인정보 보호조치도 하지 않는 기업들에게 정부와 국회는 가명정보도 아닌 ‘원본 개인정보’ 자체를 선물하려고 하고 있다. 이 정부가 그 책임을 어떻게 지려고 하는지 모르겠지만, 그 피해는 오롯이 정보주체에게 돌아갈 것이다.
정부와 국회에 다시 한번 촉구한다. 개인정보 보호원칙을 벗어나 원본 개인정보를 제공하려는 시도를 즉각 중단하라. 개보위는 개인정보 감독기구로서 자신의 역할을 자각하고, 정보주체의 권리 보호를 위해 적극 나서라.
2026년 5월 13일
디지털정의네트워크, 민주사회를 위한 변호사모임 디지털정보위원회, 정보인권연구소, 참여연대
