송경희 개보위원장, G7 개인정보 감독기구 라운드테이블 참석…생성형 AI 규제 국제 공조 논의

핵심 요약

• 송경희 개인정보보호위원회 위원장이 2026년 6월 26일 캐나다 토론토에서 개최된 G7 개인정보 감독기구 라운드테이블에 참석했다.
• 생성형 AI의 개인정보보호 리스크 관리, 국경 간 집행 협력 강화, 아동·청소년 온라인 보호 등이 핵심 의제로 다뤄졌다.
• 송 위원장은 한국의 자동화 평가 거부권 도입 사례 등을 공유하며 글로벌 개인정보보호 거버넌스 구축에 대한 협력 의지를 표명했다.

주요 내용

개인정보보호위원회(이하 개보위)는 송경희 위원장이 2026년 6월 26일 캐나다 토론토에서 개최된 G7 개인정보 감독기구 라운드테이블에 참석했다고 밝혔다. 이번 회의는 G7 회원국(미국·캐나다·영국·프랑스·독일·이탈리아·일본)과 한국, EU, 호주 등 주요국 개인정보 감독기구 수장들이 모여 글로벌 현안을 논의하는 자리로, 급속히 발전하는 AI 기술에 대한 규제 협력 방안이 중점적으로 다뤄졌다.

생성형 AI의 개인정보보호 리스크 관리

이번 라운드테이블의 핵심 의제는 생성형 AI의 개인정보보호 리스크 관리였다. 각국 감독기구는 ChatGPT, Claude, Gemini 등 대규모 언어모델(LLM)이 학습 과정에서 개인정보를 무단 수집·활용하는 문제, AI 생성 콘텐츠의 투명성 부족, 알고리즘 편향성으로 인한 차별 우려 등을 집중 논의했다. 송경희 위원장은 한국이 2024년 개정한 개인정보보호법에 자동화 평가에 대한 프로파일링 거부권(제37조의2)을 도입한 사례를 공유하며, AI 시스템의 투명성 확보와 정보주체 권리 강화의 중요성을 강조했다.

국경 간 개인정보 침해 공동 집행 협력

글로벌 플랫폼 사업자가 여러 국가에서 동시에 서비스를 제공하면서 발생하는 개인정보 침해 사안에 대해, 각국 감독기구가 정보 공유 및 공동 조사를 통해 실효성 있는 규제를 추진하기로 의견을 모았다. 이는 유럽 GDPR의 One-Stop-Shop 메커니즘과 유사한 방식으로, 주 감독기구를 중심으로 관련국이 협력 대응하는 체계를 의미한다. 개보위는 2023년 메타코리아에 대한 과징금 661억 원 부과 사례를 언급하며 글로벌 빅테크에 대한 강력한 집행 의지를 재확인했다.

아동·청소년 온라인 개인정보 보호

소셜미디어, 온라인 게임, 교육 플랫폼 등에서 아동의 개인정보가 과도하게 수집되고 프로파일링되는 문제도 중요한 논의 주제로 다뤄졌다. 송 위원장은 한국이 2026년 시행 예정인 '아동·청소년 개인정보 보호 가이드라인'을 소개하며, 만 14세 미만 아동에 대한 법정대리인 동의 강화(개인정보보호법 제22조)와 행동 추적 기반 타겟 광고 제한 등의 정책 방향을 공유했다.

전문가 분석

공학박사 백남정 기자는 이번 G7 라운드테이블의 논의 결과가 국내 기업의 개인정보 관리체계 구축에 중요한 시사점을 제공한다고 분석했다.

생성형 AI를 활용하는 기업은 개인정보보호법 제37조의2(자동화 평가 거부권)의 이행 수준을 재점검해야 한다. AI 학습 데이터의 출처 명확화, 개인정보 비식별화 절차, 알고리즘 투명성 확보 방안 등을 문서화하고 실제 운영에 반영하는 것이 필수적이다. 특히 ISMS-P 인증 심사 시에는 AI 학습 데이터 관리 대장, 비식별화 절차서, 정보주체 고지 화면 등의 증적 자료가 요구될 수 있다.

국경 간 집행 협력 강화 추세는 글로벌 서비스를 제공하는 국내 기업에게 더욱 엄격한 컴플라이언스 의무를 부과한다. 개보위가 EU GDPR, 일본 APPI, 캐나다 PIPEDA 등 주요국 감독기구와 정보 공유·공동 조사 체계를 구축함에 따라, 국내에서 발생한 개인정보 침해 사안이 해외 감독기구의 추가 조사로 이어질 가능성이 높아졌다. 따라서 국제 표준(ISO/IEC 27701 등)과의 정합성을 고려한 관리체계를 구축하고, 개인정보 국외 이전 시 GDPR 제46조의 적정성 결정 또는 표준계약조항(SCC) 체결 여부를 반드시 점검해야 한다.

정보주체 권리보호 관점에서도 이번 논의는 주목할 만하다. 각국 감독기구가 AI 시스템에 대한 설명 요구권과 거부권을 실질적으로 보장하는 방향으로 협력을 강화함에 따라, 국내 기업 역시 단순 고지 수준을 넘어 정보주체가 실제로 권리를 행사할 수 있는 체계를 갖추어야 할 것으로 보인다.

실무 연계 포인트

1. AI 시스템 개인정보 처리 통제

개인정보보호법 제37조의2 및 ISMS-P 인증기준 2.9.1~2.9.3과 연계된 사항으로, 기업은 다음 항목을 우선 점검해야 한다.

• 생성형 AI 활용 시 학습 데이터 내 개인정보 포함 여부 확인 절차 수립
• 자동화된 의사결정(프로파일링)에 대한 정보주체 고지 및 거부권 행사 체계 마련
• AI 알고리즘의 투명성 확보 방안 및 설명 가능성(Explainability) 문서화

2. 국경 간 개인정보 이전 관리

ISMS-P 인증기준 2.8.5 및 개인정보보호법 제17조와 연계되며, 개인정보 국외 이전 시 이전 국가·일시·항목·보유 기간·국외 수령자 정보 등 법정 고지사항 충족 여부를 확인해야 한다. GDPR 적용 대상의 경우 적정성 결정 또는 SCC 체결 여부도 반드시 점검 대상이다.

3. 아동 개인정보 보호 특례

ISMS-P 인증기준 2.9.7 및 개인정보보호법 제22조에 따라 만 14세 미만 아동 개인정보 수집 시 법정대리인 동의 절차·검증 방안을 구비해야 하며, 아동 대상 행동 추적 및 프로파일링 최소화 정책을 명문화해야 한다.

관련 주요 법령

• 개인정보보호법 제37조의2(자동화 평가 거부권): 위반 시 3천만 원 이하 과태료(법 제75조 제2항 제11호의2)
• 개인정보보호법 제17조(개인정보 국외 이전): 법정 고지사항 미준수 시 5천만 원 이하 과태료(법 제75조 제2항 제3호)
• 개인정보보호법 제22조(아동 개인정보 보호): 법정대리인 동의 미확보 시 5년 이하 징역 또는 5천만 원 이하 벌금(법 제71조 제2호)