휴대폰 개통 안면인증 의무화 정책 폐기 요구 촉구 서명 전달 기자브리핑
일시 장소 : 2026.3.18.(수) 오후 2시, 정부서울청사 앞(광화문 방향)

과학기술정보통신부(과기부)가 지난 2025.12.23.부터 시범시행 중이고 3.24. 전면 실시 예정인 휴대폰 개통(번호이동, 기기변경, 신규 등) 시 안면인증 의무화는 대포폰을 이용한 보이스피싱 근절이 명분입니다. 그러나 안면인증 의무화 정책은 심각한 문제를 포함하고 폐기되어야 합니다. 이에 참여연대, 디지털정의네트워크, 민주사회를 위한 변호사모임 디지털정보위원회, 정보인권연구소는 안면인증 의무화 철회 긴급서명에 직접 반대의견을 밝혀 준 시민들의 서명을 모아 오늘(3/18) 과기부(광화문 정부합동민원센터)에 제출 하였습니다. 참여연대 등 4개 단체는 제출에 앞서 정부서울청사 앞에서 기자브리핑을 진행했습니다.

안면인증 의무화 정책은, ▲첫째, 대포폰 부정이용방지를 위해 얼굴정보에서 생체인식정보를 강제로 추출, 인증하는 것은 휴대폰 부정이용 방지 관련 법률인 전기통신사업법 제32조의4(이동통신단말장치 부정이용 방지 등)와 시행령 제37조의7 등 어디에도 명확한 법적 근거가 없습니다. 따라서 민감정보의 적법 처리요건을 갖추지 않아 법률유보원칙을 위반합니다. ▲둘째, 개인정보보호법(시행령 제17조)에서 명시한 자유로운 동의 원칙을 위반한 것일 뿐 아니라 생체인식정보를 수집, 처리하면서 법적 근거, 명시적 개별 동의를 받지 않는 것은 개인정보보호법 제23조 등 개인정보보호법을 위반한 것입니다.

▲셋째, 안면인식 정보는 일반적인 개인정보와 달리 변경이 불가능한 불변성을 가진 개인정보로서 한 번 유출이 이루어지면 그 피해를 회복할 수 없습니다. ▲넷째, 보이스피싱 등 금융사기 범죄에 악용되는 이른바 ‘대포폰’ 근절 대책으로 적합하지도 않고 실효성도 의문입니다. 대포폰의 이용자들 70% 이상이 외국인인 상황에서 내국인 전체를 대상으로 하는 것은 앞뒤가 맞지 않고, 보이스피싱에 의한 피해가 심각한 이유는 과도한 개인정보 수집 관행과 주민등록번호 및 연계정보(CI)와 같은 보편적 국민식별번호 제도 때문입니다.

오늘날 휴대폰은 사실상 사회적 인프라에 해당하므로 시민들은 어쩔 수 없이 안면인증을 하고 휴대폰 개통을 하지 않을 수 없습니다. 시민들도 이와 같은 강제적 안면인증 정책이 개인정보보호법뿐 아니라 헌법상 기본권인 개인정보자기결정권을 침해한다며 철회를 요구하고 있습니다. 과기부는 위헌·위법적인 안면인증 의무화 정책을 즉각 철회해야 할 것입니다. 끝.

▣ 붙임1 : 기자브리핑 개요
▣ 붙임2 : 기자회견문

▣ 붙임1 : 기자브리핑 개요

• 제목 : 과학기술부는 위헌·위법적 휴대폰 개통 안면인증 의무화 정책 철회하라 – 휴대폰 개통시 안면인증 의무화 정책 철회 촉구 서명 전달 기자브리핑
• 일시 및 장소 : 2026년 3월 18일 (수) 오후 2시, 정부서울청사 앞
  
• 공동주최 : 디지털정의네트워크, 민변 디지털정보위원회, 정보인권연구소, 참여연대
• 순서 

• • 사회 : 김희순 참여연대 권력감시1팀장
  • 발언
    • 배경 및 경과 설명 : 이재근 참여연대 협동사무처장
    • 규탄 발언 : 희우 디지털정의네트워크 활동가
    • 정책의 문제 : 이지은 참여연대 공익법센터 선임간사
    • 기자회견문 낭독
  • 질의응답
  • 의견 접수(국민권익위 민원실)

▣ 붙임2 : 기자회견문

과기부는 위헌·위법적 안면인증 의무화 정책 폐기하라

과학기술정보통신부는 지난 2025년 12월 23일부터 휴대전화 개통 시 안면인증을 시범 실시하고, 2026년 3월 23일 통신 3사 및 알뜰폰 전반에 전면 의무화할 예정입니다. 휴대전화를 개통하거나 번호이동, 기기변경, 명의변경 등을 할 때 신분증 소지자와 개통하려는 자가 동일인인지 여부를 실시간 안면인증을 통해 하겠다는 것입니다. 보이스피싱 등 금융사기 범죄에 악용되는 이른바 ‘대포폰’을 근절한다는 명분입니다.

그러나 안면인증 의무화 정책은 다음과 같은 심각한 문제를 포함하고 있습니다.

첫째, 휴대전화 개통 시 안면인증 의무화 정책은 생체인식정보와 같은 민감정보의 적법 처리요건을 갖추지 않아 법률유보원칙을 위반하고 있습니다. 얼굴에서 추출한 생체인식정보는 개인정보보호법에서 특별히 보호하고 있는 민감정보로서 이를 수집, 이용 등 처리하기 위해서는 별도의 추가 동의를 받거나 법령에 명시적 근거가 있어야 합니다. 전기통신사업법 시행령에서는 휴대폰 부정가입 방지시스템을 이용하여 주민등록증을 포함한 증서 및 서류의 진위 여부를 확인하도록 규정하고 있습니다. 그러나 본인확인 절차에 이용자가 얼굴정보를 제공하여 안면인증을 하도록 하는 별도규정을 두고 있지 않습니다. 따라서 안면인증 의무화는 법률적 근거가 없습니다.

둘째, 휴대전화 개통 시 안면인증 의무화 정책은 동의를 받는 방법에 대해 정보주체의 ‘자유로운 의사’에 의하여 결정되어야 한다고 규정한 개인정보보호법(시행령 제17조)을 위반한 것입니다. 이번 안면인증 의무화 정책은 대체수단 없이 모든 신청자들에게 일률적으로 안면인증을 하도록 하고 있기 때문입니다. 현대 사회에서 휴대폰이 사실상 필수적 인프라에 해당한다는 점을 고려할 때 일상생활을 영위하기 위해서는 어쩔 수 없이 안면인증을 하고 휴대폰을 개통하지 않을 수 없습니다. 휴대폰 개통을 전제로 안면인증을 요구하는 것은 이와 같은 자유로운 동의 원칙을 위반하는 것입니다.

셋째, 안면인식 정보는 일반적인 개인정보와 달리 변경이 불가능한 불변성을 가진 개인정보로서 한 번 유출이 이루어지면 그 피해를 회복할 수 없습니다. 이름, 주소, 식별번호, 비밀번호 등과 달리 안면인식정보는 변경이나 대체가 사실상 불가능한 정보로서, 신체 그 자체로부터 획득되는 고도의 일신전속성을 가지는 유일한 식별수단입니다. 특히 이번 정책의 실질적 실행자인 통신3사는 하나같이 대규모 개인정보 유출사건으로 시민들의 불신을 받고 있는 회사들입니다.

넷째, 보이스피싱 등 금융사기 범죄에 악용되는 이른바 ‘대포폰’ 근절 대책으로 적합하지도 않고 실효성도 의문입니다. 우선, 대포폰의 이용자들 70% 이상이 외국인인 상황에서 내국인 전체를 대상으로 하는 것은 앞뒤가 맞지 않고, 다른나라의 선례를 보더라도 이런 정책은 실효성이 없어 폐기된 바 있습니다. 대포폰을 부정한 목적으로 이용하는 것을 단속하기 위해서는 주민등록증을 대조하는 방법이 오랫동안 자리잡아왔고 만약 주민증의 진위여부를 확인해야 한다면 행정청에 요청하면 될 일입니다. 무엇보다 보이스 피싱에 의한 피해가 심각한 이유는 과도한 개인정보 수집 관행과 주민등록번호 및 연계정보(CI)와 같은 보편적 국민식별번호 제도 때문입니다. 정보보안에 대한 기업들의 책무성 부족에 따른 잇따른 개인정보 유출과 보편적 국민식별번호를 통한 개인정보의 결합이 맞물려 보이스 피싱을 더욱 용이하게 하는 것입니다.

이처럼 휴대전화 개통 시 안면인증 의무화 정책은 시민들의 개인정보 자기결정권을 과도하게 침해하고 개인정보 보호원칙에 어긋날 뿐 아니라, 개인정보보호법을 정면으로 위반하고 있습니다. 과기부는 이와 같은 문제를 인식하고 근본적 대책을 마련하는 것은 뒷전이고 시민들에게 책임을 떠넘기는 휴대전화 가입 시 안면인증 의무화를 즉각 폐기하십시오. 이에 다음과 같이 요구합니다.

위헌위법한 안면인증 의무화 정책 중단하라.

과기부는 안면인증 의무화 정책을 즉각 폐기하라.

2026. 3. 18.
휴대폰 개통 시 안면인증 의무화 정책 철회 요구 서명 참가자 일동

쿠팡 개인정보 유출 사태에 부쳐

쿠팡에서 또다시 대량의 개인정보가 유출된 사실이 확인되었다.

쿠팡은 초기 공지에서 ‘개인정보 일부 노출’이라며 ‘이름, 이메일 주소, 배송지 주소록, 주문정보가 외부로 노출되었다’고 발표하였으나, 이후 공동현관 비밀번호 등도 유출된 사실이 밝혀졌다. 어떤 정보가 얼마나 유출되었는지 제대로 공개하지 않고 개인정보 ‘유출’을 ‘노출’로 축소하여 일부만 공지함으로써 사태를 왜곡하고 심각성을 희석하려는 기만적인 태도를 보인 것이다.

또한 이번에 유출된 ‘주문정보’는 개인의 생활패턴·소비성향·건강상태·경제환경 등을 세밀하게 드러내는 민감한 정보다. 이러한 정보들이 이미 유출된 다른 개인정보와 결합된다면 피싱 등 사기 범죄로 이어질 가능성이 크다. 그럼에도 불구하고 유출된 정보의 구체적 종류조차 밝히지 않은 채 ‘주문정보’로 축소하는 태도는 이용자의 알 권리와 자기정보결정권을 침해하고, 피해의 심각성을 은폐하려는 것으로 비칠 수밖에 없다.

이번 사건에서 쿠팡은 단지 외부의 해커에 의해 공격당한 피해 기업이 아니다. 공격자로 의심되는 퇴사자가 ‘프라이빗 서명키(암호키)를 취득해 가짜 토큰을 만들었’고 5개월 동안 무단 접속이 지속되었음에도 불구하고 전혀 감지하지 못했다는 것은 쿠팡이 보안을 제대로 하지 않은 중대한 과실이 있었음을 보여준다. 이는 비단 쿠팡만의 문제가 아니다. 최근 SKT, KT, 롯데카드 등 연이은 대량 개인정보 유출 사건이 발생한 배경에는 공통적으로 해당 기업의 부실한 보안 대책의 문제가 놓여있다. 거대 기업들조차 기본적인 개인정보 보호를 이행하지 못하는 상황에서 개인정보 유출은 더 이상 ‘예외적 사고’가 아니라 구조적 문제다. 기업들에 개인정보 보호나 보안을 요구하는 법제나 정책이 없었던 것이 아니라, 기업들이 실질적인 보안을 위해 투자를 할만한 유인이 부족했던 것이다. 기업들에게 보안은 당장의 수익으로 직결되지 않는 비용으로 인식된다. 어차피 대량 개인정보 유출사고가 발생해도 잠시의 사회적 비난만 감수하면 될 뿐, 기업에게 경제적으로 큰 타격이 발생하지 않는다. 정부의 과징금은 기업의 수익에 비해 새발의 피일 뿐이며 소비자들이 소송을 제기하기는 너무나 힘들고 지난한 과정이기 때문이다. 그러니 기업들이 굳이 많은 비용을 들여 보안에 투자를 할 이유가 없는 것이다.

따라서 이제 집단소송(또는 단체소송) 제도의 도입은 더 이상 미룰 수 없는 과제이다. 개인정보 대량 유출은 다수의 피해자가 발생하지만, 개별적인 피해를 입증하기 힘들고 소송 과정은 지난하기 때문에 개별 소비자가 소송에 나서기에는 부담이 크다. 일부 소비자 또는 소비자를 대표할 수 있는 단체가 소송을 제기하고 승소하면 동일한 피해자 전체가 보상을 받을 수 있도록 할 필요가 있다. 감독기관의 과징금은 국고로 귀속될 뿐 개별 피해자에게 보상이 주어지는 것은 아니다. 집단소송(또는 단체소송) 제도는 다수의 소비자들이 쉽게 보상을 받을 수 있도록 함과 동시에 기업들에게 실질적인 경제적 부담을 가하여 보안에 대한 투자를 압박할 수 있는 이중의 효과를 갖는다. 정부와 국회는 수년째 방치된 집단소송 제도 도입 논의를 즉각 재개해야 한다. 지금과 같은 제도적 공백이 지속되는 한 기업은 반복되는 유출 사고 속에서도 책임을 회피할 것이고, 피해자는 발 벗고 나서도 구제받기 어려운 상황에 놓이게 될 것이다.

또한 이번 사태는 현재 개인정보보호위원회가 추진하고 있는 소위 ‘AI 특례 법안’이 얼마나 위험한 것인지 보여준다. 개인정보보호위원회는 AI 산업 육성을 명분으로 정보주체의 동의 없이도 개인정보 원본을 연구·개발 목적으로 광범위하게 활용할 수 있도록 규제의 문턱을 낮추려 하고 있다. 이재명 정부가 국정 최우선 과제로 내세운 인공지능 3대 국가 도약을 위해서 고품질 원본 데이터가 인공지능 개발에 필요하다는 이유에서이다. 국회 국토교통위원회에서는 이소영 의원이 대표발의한 ‘자율주행자동차 상용화 촉진 및 지원에 관한 법률 일부개정법률안’이 논의되고 있는데, 이 역시 자율주행차 기술개발을 위해 가명처리도 하지 않고 원본 영상을 활용하도록 하고 있다. AI 개발 목적으로 원본 개인정보를 활용하겠다는 것은 개인정보 보호원칙에 정면으로 어긋나지만, 현재 기업들의 보안 수준을 고려할 때 원본 개인정보의 목적 외 이용이 얼마나 위험한 일인지 알아야 한다. 원본 개인정보의 목적 외 활용 법안을 강행한다면 AI 산업과 개인정보 보호체계에 대한 국민의 신뢰을 잃게 될 것이다.

우리는 다음과 같이 요구한다.

쿠팡은 유출된 ‘주문정보’의 구체적 범위를 즉시 공개하라.
정부는 집단소송제 도입을 더 이상 미루지 말고 즉각 추진하라.
정부와 국회는 AI 기술 개발을 이유로 원본 개인정보 활용 범위를 확대하려는 시도를 즉각 중단하라.
모든 기업은 개인정보 보호를 비용이 아닌 의무로 인식하고, 안전조치를 강화하라.

2025.12.04

디지털정의네트워크, 정보인권연구소

잇단 개인정보 유출사고에도 개인정보 원본 활용 법안 강행 우려
개보위는 정보주체 안심할 수 있는 개인정보보호 대책을 마련하라

쿠팡에서 3,370만 개 계정의 고객 개인정보가 유출되었다. 2,500만 명의 개인정보가 유출된 지난 4월 SK텔레콤 사태 이후 더 큰 규모의 유출사태가 발생한 것이다. 개인정보가 아니라 공용정보라는 탄식이 나올 지경이다. 하지만 개인정보보호를 위한 강력한 대책이 마련되기는커녕 오히려 기업 이해에 밀려 개인정보 보호수준은 갈수록 후퇴하고 있다. 이 와중에 현재 국회 정무위에는 개인정보 원본을 인공지능 기술개발, 성능향상을 위해 정보주체 동의 없이 이용하게 하는 개인정보보호법 개정안(AI특례법안)이 발의되어 통과 수순을 밟고 있다. 국회 국토교통위원회에서는 ‘자율주행자동차 상용화 촉진 및 지원에 관한 법률 일부개정법률안'(이소영 의원 대표발의)이 논의되고 있는데, 이 역시 자율주행차 기술개발을 위해 가명처리도 하지 않고 원본 영상을 활용하도록 하고 있다. 인공지능 기술 개발을 위해서라면 개인정보 자기결정권은 내팽개쳐도 좋다는 것인가. 국회는 원본 데이터 활용을 허용하려는 개정안들을 즉각 폐기하고 개인정보 보호대책을 당장 내놓아라.

쿠팡이 유출한 개인정보에는 이름, 연락처, 주소뿐 아니라 주문목록, 공동주택 입구 비밀번호 등도 포함된 것으로 알려졌다. 이용자의 거의 모든 정보라고 할 만하다. 보안 전문가들은 쿠팡에서 유출된 개인정보와 앞서 다른 경로를 통해 유출된 정보들을 결합해 범죄에 악용될 가능성이 크다고 경고한다. 이와 관련한 부당결제나 이상 로그인 시도 확인 등 피해 사례가 이어지고 있다. 시민사회가 우려했던 바가 현실에서 확인되고 있는 것이다. 하루가 멀다고 발생하는 개인정보 유출사태에도 정부의 조치는 충분하지 못하고 시민들 스스로 피해를 막기 위한 방법을 공유하는 등 자구책을 찾고 있는 게 실상이다.

이 와중에 정부와 국회는 원본 데이터 활용을 적극 허용하는 법안들을 논의 중이다. 이 같은 논의가 원본 개인정보에 대한 안전한 보호를 전제로 한다고 하지만, 지금까지 SKT, KT, 롯데카드, 쿠팡 등에 보관되어 있던 개인정보 유출 사고는 ‘안전한 보호’라는 전제가 제대로 이행되고 있지 않은 현실을 적나라하게 드러냈다. 개인정보를 안전하게 보호하겠다는 기업들의 호언장담은 이미 신뢰할 수 없다. 잇따르는 대규모 개인정보 유출사고는 한국에서 개인정보보호가 얼마나 미흡한지 보여준다. ‘개인정보보호’라는 전제가 없는데 가명처리조차 하지 않은 개인정보 원본을 정보주체 동의 없이 이용하도록 하는 법안이 결코 통과돼서는 안 된다.

개인정보보호 주무 기관인 개인정보보호보호위원회(이하 개인정보보호위)는 이번 쿠팡의 개인정보 유출 사고에 대해 피해방지 대책을 마련하라고 촉구하며 엄정 대처하겠다고 한다. 그동안 개인정보보호위가 보인 언행불일치 행태를 보면 신뢰하기 어렵다. 개인정보보호위는 그동안 개인정보보호를 위한 정책보다는 활용에 방점을 두는 정책을 추진해 왔다. 2025년 7월 공개한 ‘개인정보 처리 통합 안내서’에서 개인정보를 ‘처리하는 자의’ 입장에서 판단해야 한다고 명시함으로써 개인정보의 범위를 좁게 해석하였으며, 세계적으로 개인정보로 인정되고 있는 이용자 행태정보를 동의 없이 수집, 공유하는 표적 광고 관행에 대해서는 기업 눈치를 보며 차일피일 규제를 미뤄 왔다. 심지어 지금은 AI 기술 개발 및 성능 개선을 위해 개인정보 원본을 기업들이 활용할 수 있도록 하는, 이른바 ‘AI특례법안’ (개인정보보호법 개정안)까지 청부입법해 추진 중이다. 개인정보보호위가 정보주체의 권리보장을 위한 법개정이나 정책보다는 개인정보를 원본 그대로 수집 목적 외로 정보주체 동의도 없이 활용하도록 하는 법개악을 추진하는 것은 개인정보보호위의 존재 근거를 스스로 무너뜨리는 행태이다.

개인정보보호위가 이번 쿠팡을 비롯한 SKT, KT, 롯데카드 등의 대규모 개인정보 유출 사고의 재발을 방지하겠다고 하면서 오히려 개인정보 원본을 기업들에게 이용할 수 있도록 하는 법개정에 나서는 것은 앞뒤가 맞지 않는다. 쿠팡과 같이 거대 플랫폼 기업들이 보유하고 있는 고객 개인정보는 수천만 건에 달한다. 만약 개인정보보호위가 전력 추진하고 있는 개인정보 원본활용 허용 법안들이 통과된다면 가명처리조차 되지 않은 날 것 그대로의 구매정보, 병원·약국 이력 등 건강 정보, 얼굴·음성· 걸음걸이·지문 등의 생체인식정보 등 민감정보까지 원래 수집 목적 외로 정보주체의 동의도 받지 않고 인공지능기술개발 등을 위해 이용된다. 개인정보보호위가 해야 할 일은 앞으로 점점 더 많은 개인정보를 처리하여야 하는 인공지능 환경에서 개인정보 보호규범을 제대로 수립하고 오남용 관행을 바로잡을 수 있는 정책을 추진하는 것이다. 개인정보보호위는 개인정보원본활용 개보법 개정 추진을 즉각 중단하라. 국회는 개인정보보호 원칙을 무너뜨리는 ‘AI특례법안’을 폐기하라. 끝.

2025.12.4.

디지털정의네트워크 · 민주사회를 위한 변호사모임 디지털정보위원회 · 정보인권연구소 · 참여연대

개인정보 원본 그대로 활용하려는 개인정보보호법 개악 반대

정부와 국회는 현재 정보주체 동의가 없어도 공공기관과 기업이 개인정보를 원본 그대로 활용할 수 있는 내용을 담은 개인정보보호법 개악을 추진 중이다. 이재명 정부가 국정 최우선 과제로 내세운 인공지능 3대 국가 도약을 위해서 고품질 원본 데이터가 인공지능 개발에 필요하다는 이유에서이다. 더불어민주당 민병덕 의원과 국민의힘 고동진 의원이 발의한 이 개정안들은 개인정보보호위원회와 산업계가 한목소리로 통과를 밀어붙이고 있다. 우리 단체들은 인공지능 산업 발전을 위해 정보주체의 권리를 박탈하는 개인정보보호법 개악에 강력히 반대하며, 민병덕 의원과 고동진 의원의 개정안을 철회할 것을 요구한다.

이른바 ‘AI특례법안’으로 지칭되는 민병덕 의원안은 올해 1월 31일, 고동진 의원은 3월 13일에 발의되었으며, “인공지능 기술 개발을 위한 개인정보의 처리”라는 같은 제목으로 정보주체 동의 없이 개인정보를 원본 그대로 활용할 수 있게 허용하는 내용을 담고 있다(제28조의12 신설). 두 개정안의 요지는, 개인정보보호위원회의 관리·감독으로 기술적·관리적·물리적 조치를 거친 경우 정보주체의 동의를 받지 않은 원본 개인정보를 인공지능기술 개발을 위하여 목적 외 활용할 수 있도록 일방적으로 강제하는 것이다. 여기에 더해 고동진 의원안은 개인정보보호위원회의 권한을 축소하고 개인정보처리자의 의무를 경감하는 취지의 조항을 추가하였다. 이는 개인정보보호법의 입법 취지라 할 정보주체의 개인정보 자기결정권 보호를 한순간에 박탈하는 내용이며, 개인정보보호를 위해 나서야 할 개인정보보호위원회가 오히려 개인정보보호법 개악을 주도하고 있다는 사실에 우리는 배신감마저 느끼고 있다.

실명, 주소, 휴대전화번호 등 사생활 유출한 ‘AI 챗봇이루다’ 사태 반복될 수 있다.

인공지능은 챗봇, 이미지, 영상 등을 다양한 생성형 도구로, 자율주행차와 산업현장 로봇으로 어느덧 우리의 일상 속에 깊이 들어와 있다. 인공지능이 우리의 삶과 노동에 좋은 소식이 되길 기대하는 목소리도 많아지고 있고 정부 또한 인공지능 산업 지원 정책을 다양하게 추진하고 있다. 하지만 인공지능이 활용하는 데이터의 원천은 사람이다. 예측이나 결정의 대상이 되는 것도 사람이다. 따라서 인공지능은 평범한 사람들의 일자리는 물론 권리에 중대한 영향을 미칠 수밖에 없다. 우리는 ‘AI 강국’을 목표로 질주하는 와중에 인공지능과 그 데이터가 사람과 우리 사회에게 미칠 영향을 생각해야만 한다.

인공지능은 데이터 학습을 통하여 스스로 익히고 이를 바탕으로 추론하고, 결과물을 생성할 수 있다. 그런데 학습이 완료된 인공지능 모델에는 개인을 식별할 수 있는 정보가 포함되어 있을 수 있고, 암기하였을 위험이 있으며, 프롬프트 공격 등에 의하여 학습데이터에 포함된 개인정보가 유·노출 될 가능성도 존재한다. 즉 인공지능 서비스단계에서 개인정보가 원본 그대로 출력되거나, 개인 식별 또는 민감정보 추론 목적으로 부정하게 운용될 수 있는 위험성이 현존한다. 실제 우리는 익명화되지 않은 개인정보를 학습한 인공지능 챗봇이 실명, 휴대전화번호, 주소 등 개인의 내밀한 사생활을 유출하고 차별과 혐오 발언을 일삼았던 ‘이루다 챗봇 사건’을 경험한 바가 있다.

‘개인정보자기결정권’은 자신에 관한 정보를 보호받고 그 처리에 관하여 통제할 수 있는 헌법 상 기본권으로 인정되고 있다. 이러한 기본권을 구체화하고 있는 현행 개인정보보호법에 따르면 개인정보처리자는 적법하게 수집한 개인정보라고 하더라도 애초 수집하게 된 목적 범위 내에서만 처리할 수 있으며, 목적을 넘어 이용하기 위해서는 원칙적으로 정보주체에게서 별도 동의를 받아야만 한다. 다만 가명정보 처리에 관한 특례 규정에 의하여 통계작성, 과학적 연구, 공익적 기록보존 등 해당 목적만을 위하여 정보주체의 동의 없이 가명정보로 처리할 수 있는 예외가 인정될 뿐이다. 즉 현재까지 개인정보처리자는 정보주체로부터 적법하게 수집한 개인정보라고 하더라도 정보주체의 동의 없이는 인공지능 학습데이터로 사용할 수 없다.

하지만, 민병덕 의원안과 고동진 의원안은 “인공지능 기술 개발 및 성능 개선을 위하여”라는 지극히 추상적이고 포괄적인 목적으로 개인정보처리자인 공공기관이나 기업이 개인정보 원본을 인공지능 학습데이터로 활용할 수 있도록 규정하고 있다. 정보주체의 동의는 필요 없으며, 개인정보보호위원회의 심의·의결만 받으면 된다. 해당 법안이 통과되면 특정 서비스를 받기 위하여 제공한 나에 관한 정보는 나의 동의 없이도 인공지능 학습데이터로 활용될 수 있게 된다. 학습 과정에서 개인정보가 기억되거나, 기억된 개인정보가 유출 및 노출이 될 수 있는 위험을 나의 의사와 무관하게 내가 감당해야 하는 상황이 벌어지게 된다.

인공지능 기술개발, 성능개선 목적이라면 동의없이 사용해도 되는가

더군다나 해당 법안에는 자신의 개인정보가 학습데이터로 사용되는 것을 거부하거나 정지시키고 싶은 정보주체가 그 권리를 행사할 수 있는지도 명확하지 않다. 이렇게 활용되고 나아가 판매될 수 있는 원본 개인정보는 우리의 삶과 직장, 그리고 인터넷에서 생성되고 수집되는 거의 모든 개인정보를 포괄한다. 여기서 더 나아가 SNS 서비스에 공개된 개인정보를 정보주체 동의 없이 수집할 수 있도록 하는 김태선 의원안까지 통과가 되면 그야말로 온라인상 개인정보는 무차별적으로 인공지능의 학습도구로 전락하게 될 것이다.

민병덕, 고동진, 김태선 의원의 개인정보보호법 개정안은 국민의 개인정보가 마치 공유재인 것처럼 사유하고 있다. 공유재이기 때문에 인공지능 개발이라는 국가적 목적을 위해서라면 기꺼이 원본 데이터까지 활용할 수 있다는 것이다. 인공지능기술이 현재까지 극복하지 못하고 있는 여러 개인정보 침해 위험조차 무시한 채 산업 발전 명목으로 개인정보 활용을 광범하게 허용하고 있다. “인공지능기술 개발 및 성능 개선을 위하여” 이런 일을 허용하는 개인정보보호법 개정이 이루어진다면 향후 새로운 기술이 등장할 때마다 개인정보의 활용을 당연시 여기는 사회 분위기가 형성될 수 있다.

“인공지능 개발 및 성능 개선을 위하여” 정보주체 동의 없이 원본 데이터의 활용을 명시적으로 허용하는 법규를 두고 있는 국가는 세계적으로 드물다. 인공지능 개발과 활용에서도 개인정보보호라는 기본적 인권 보호가 중요하다는 원칙에 다들 공감하고 있기 때문이다. 현재 필요한 것은 개인정보 활용을 위한 입법이 아니라, 오히려 정보주체가 자신의 정보가 데이터산업에 의하여 무분별하게 활용되는 것을 거부할 수 있도록 하고, 자신에 관한 정보를 스스로 통제할 수 있는 권리를 강화하는 것이다.

인공지능이 우리에게 아름다운 미래를 가져다 준다면 그 미래는 기술과 사람이 서로 균형을 이루면서 만들어 가는 것이어야 한다. 우리는 국가 발전이라는 목적 하에 인권이 도외시 되어서는 안 된다는 것을 역사적 경험 속에서 합의해 왔다. 인권을 경시하며 국가와 기업이 일방적으로 추진하는 경제 개발은 민주주의의 퇴보일 수밖에 없다. 국가기관이 심의를 대신한다는 이유로 정보주체의 헌법상 권리를 일방적으로 박탈하는 개인정보보호법 개악은 반드시 철회되어야 한다.

정부와 국회는 AI산업 핑계로 정보주체 동의권 박탈하는 개인정보보호법 개악시도 중단하라!

쇼핑정보, 병원진료내역, 통신 및 신용정보까지 가명처리 없는 원본 활용법안 반대한다!

정보주체 동의없이 얼굴, 음성, 동작 등 민감한 생체인식정보 원본 활용 규탄한다!

민병덕, 고동진 의원은 AI산업만을 위해 정보주체를 저버리는 AI특례법안 철회하라!

2025.12.2.

(사)제주참여환경연대·건강권실현을위한보건의료단체연합(건강권실현을위한행동하는간호사회,건강사회를위한약사회,건강사회를위한치과의사회,노동건강연대,인도주의실천의사협의회,참의료실현청년한의사회)·건강사회를위한약사회·공공운수노조·공공운수노조·국민건강보험노동조합·국제민주연대·의료민영화저지와무상의료실현을위한운동본부·금속노조 대전참여자치시민연대·디지털정의네트워크·문화연대·문화연대 기술미디어문화위원회·민주사회를 위한 변호사모임·민주주의법학연구회·새벽지기장애인자립생활센터·서울YMCA시민중계실·시민건강연구소·시민사회단체연대회의·언론개혁시민연대 정책위원회·연구공동체 건강과대안·울산시민연대·인권교육센터 들·인권교육온다· 인권아카이브·일산병원노동조합·전국교직원노동조합·전국민주노동조합총연맹·전국언론노동조합·정보인권연구소·참여연대·청소년인권운동연대지음·투명사회를위한정보공개센터·평화바닥·한국노동조합총연맹·한국소비자연맹·한국여성민우회·한국여성소비자연합(이상 총37개 단체)

– AI 등 광범위한 개인정보 수집, 프로파일링으로부터 정보주체 보호해야
– ADID 등 특정개인과 연결성 강한 기기식별자 등 온라인추적 방지 필요

1. 오늘(11/20) 국회 소통관에서 사회민주당 한창민 국회의원은 ‘내정보 온라인 추적 방지법안’인 「개인정보보호법 개정안」을 발의하며 디지털정의네트워크 · 민주사회를 위한 변호사 모임 디지털정보위원회 · 정보인권연구소 · 참여연대와 공동으로 기자회견을 개최하였습니다. AI(인공지능)와 같은 신기술의 발전으로 개인에 대한 정보를 광범위하게 수집, 실시간으로 개인의 위치, 취향, 행동패턴 등을 분석할 수 있어 프라이버시 침해 등의 위험이 높아지는 상황입니다. 이번에 한창민 국회의원과 시민사회가 협력하여 마련한 ‘내정보 온라인 추적 방지법안’은 헌법상 기본권인 개인정보자기결정권이 자칫 문헌 속의 형식적 권리로 남지 않도록 정보주체의 권리를 보호하기 위한 최소한의 장치를 마련하는 것을 목적으로 합니다.

2. 우선, ‘내정보 온라인 추적 방지법안’은 ▲특정개인과 긴밀하게 연결된 모바일식별번호, IP 주소, 광고식별자 등 온라인 기기식별자 등을 개인정보로 보호하는 내용을 담았습니다. 우리가 하루에도 수십, 수백개씩 마주치게 되는 맞춤광고는 이용자의 웹사이트나 앱 방문, 검색, 구매 이력 등 온라인 활동에 대한 거의 모든 정보인 행태정보를 활용한 것입니다. 맞춤형 광고는 결국 이용자의 개인정보를 바탕으로 제공되는 것이기 때문에 정보주체의 동의나 열람, 처리정지 등이 보장되어야 하지만 현재 개인정보보호위원회는 행태정보의 보호를 방치하고 있습니다. 특정 개인과 연결성이 강한 모바일식별번호, IP주소 등은 그 자체는 기기식별번호이지만 언제든지 다른 정보와 쉽게 결합하여 개인 식별이 가능하기 때문에 유럽연합과 미국 캘리포니아 등에서는 개인정보로 규정하고 있습니다. 개인정보보호위원회도 행태정보의 수집이 결국 “이용자 계정으로 접속한 모든 기기를 추적, 온라인 활동을 모니터링하여 익명성을 상실시키고, 이용자의 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감한 정보를 생성하고 식별할 가능성이 높”다며 그 위험성을 지적하기도 하였습니다. 그럼에도 개인정보보호위원회는 행태정보를 수집하기 위해 활용되는 광고아이디(ADID) 등이 개인정보임을 명확히 하고 있지 않습니다. 이에 온라인에서의 이용자 개인정보를 수집하고 추적할 수 있는 기기식별자 등을 개인정보로 법률에 명확히 규정하여 정보주체의 권리를 보호하는 법개정이 반드시 이뤄져야 합니다.

3. ‘내정보 온라인 추적 방지법안’은 ▲빅데이터, 인공지능 기술의 발전으로 실시간으로 개인의 위치, 취향, 행동패턴이 분석되는 등 프로파일링이 증가하고 발전하고 있어 개인의 성향, 능력 행동 평가를 위한 프로파일링을 법률에 명확히 규율하고 있습니다.
또한 ▲플랫폼 기업 등 일정 규모 이상의 기업은 개인정보영향평가를 실시하도록 했습니다. 개인정보영향평가는 그 취지가 정보주체의 권리에 중대한 위험을 초래할 것이 예상되는 경우 사전적, 예방적 차원에서 위험요인을 분석하고 개선사항을 도출하는 것이므로 일정 규모 이상의 개인정보처리자라면 영향평가를 시행하는 것이 정보주체의 권리보호 측면에서 필요합니다. 오히려 민간기업이 더 방대한 개인정보를 처리하고 신기술을 이용하여 그 위험성이 더 큼에도 불구하고, 지금까지 개인정보영향평가는 공공기관에만 적용되었던 한계가 있었습니다.
마지막으로 ▲개인정보가 불특정 다수에 무차별 공개되지 않도록 개인정보보호 원칙에 맞게 설계 및 기본설정(Privacy By Design/ By Default)을 하도록 정보주체 권리 보장 내용을 담고 있습니다. 지난 2021년 카카오지도맵 기본 설정 ‘공개’가 사생활 노출로 문제가 되었던 사건에서처럼 플랫폼 기업들이 기본설정을 통해 개인정보를 불특정 다수에게 과도하게 노출시키는 행태가 지속되고 있습니다. 개인정보보호위원회도 ‘개인정보보호중심설계 시범인증사업’을 시행하는 등 이 원칙의 적용을 권고하고 있습니다. 이에 ‘설계 및 기본설정에 의한 개인정보보호(Privacy By Design)’를 법에 명시했습니다.

4. 디지털정의네트워크, 민변 디지털정보위원회, 정보인권연구소, 참여연대는 한창민 의원과 공동으로 작업한 ‘내정보 온라인 추적 방지법안’이 인공지능의 성능개선, 기술향상이라는 광범위한 목적으로 원래 수집 목적 외로 얼굴, 음성, 걸음걸이 등 생체정보 등의 개인정보 원본 자체를 활용할 수 있도록 하는 법안이 논의되고 있는 상황에서 정보주체의 권리 보호를 위한 최소한의 균형추 역할을 하는 법안이라는 점에서 시급히 법안을 심사하고 올해 안에 통과시켜야 한다고 주장했습니다. 끝.

▣ 붙임 : 기자회견 개요

○ 제목 : 시민사회-한창민의원 협력으로 개인정보보호법개정안 ‘내정보 온라인 추적 방지법안’ 발의

○ 일시 및 장소 : 2025년 11월 20일(목) 오전 11시 40분∼12시 국회 소통관 기자회견장

○ 주관 : 사회민주당 한창민 국회의원, 민주사회를 위한 변호사모임 디지털정보위원회, 디지털정의네트워크, 정보인권연구소, 참여연대

○ 순서

□ 모두발언 : 사회민주당 국회의원 한창민

□ 발언1 : 오병일 디지털정의네트워크 대표

□ 발언2 : 이지은 참여연대 공익법센터 선임간사

□ 발언3 : 김하나 민변 디지털정보위원장

▣ 붙임 : 한창민 의원 발의 내정보 온라인 추적 방지법 개인정보보호법 개정안

– 가명처리가 개인정보 처리 아니라는 대법원 파기환송심 재판 시작에 앞서 기자회견 개최

– 위헌법률심판제청신청서도 제출

1. 지난 7월 18일 대법원 제1부(재판장 대법관 마용주, 주심 대법관 서경환, 대법관 노태악, 대법관 신숙희)는 SK텔레콤(이하 ‘SKT’) 가입자들이 통신사를 상대로 개인정보 가명처리 정지를 요구하며 제기한 소송을 파기환송하였습니다(대법원 2025. 7. 18. 선고 2024다210554 판결). 이는 2021년 SKT 가입자들이 SKT를 상대로 개인정보의 가명처리 정지를 청구한 것에 대해 1심, 2심 모두 원고 승소 취지로 판결한 것을 뒤집은 것입니다.
2. 대법원은 파기환송 이유로 △ 개인정보보호법 제2조에서 ‘가명처리’와 ‘처리’ 를 구분하여 별도로 규정하고 있고, △ “가명처리”의 개념은 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 개인정보 “처리”와는 구별된다는 점, △ 가명정보 관련 조항의 입법 취지가 데이터의 이용을 활성화하기 위한 것이고, 신기술을 활용한 데이터 이용이 필요한 상황이라는 점을 제시하였습니다.
3. 그러나 이 같은 대법원의 파기환송 이유들은 개인정보보호법 규정을 무시한 것입니다. 왜냐하면 ① 개인정보보호법 제2조에서 ‘가명처리’와 ‘처리’ 를 구분한 것은 ‘가명처리’의 의미를 명확히 하기 위한 것이지, 이를 별도로 규정한 것이 두 개념이 별개라고 볼 수 없으며, ② ‘개인정보를 가명처리 하는 행위’ 그 자체는 다른 외국의 입법례에서도 확인할 수 있듯이 개인정보보호법 제2조 ‘처리’에서 제시한 “수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위”라는 점이 너무도 자명합니다.
4. 열람권, 정정요구권, 삭제권을 비롯해 처리정지권은 가장 기본적인 정보주체의 권리입니다. 자신의 정보가 어떻게 처리되고 있는지 열람할 수 없고, 필요시 처리정지권을 요구할 수 없다면 개인정보처리자인 기업의 손에 일단 개인정보가 넘어간 이후에는 정보주체가 통제하거나 감시할 수 있는 수단이 전혀 없는 것이나 마찬가지입니다.  특히 이용자의 동의없이 영리적 목적으로 이용자의 개인정보를 가명처리하는 것도 이용자의 권리를 제한하는 것인데, 이를 원하지 않는 이용자의 처리정지권을 행사하는 것은 그야말로 가명정보에 대한 정보주체의 최소한의 통제장치입니다. 특히 가명정보 특례에 따라 내가 원치 않더라도 과학적 연구목적, 통계 등의 목적이라면 정보주체의 동의없이도 가명처리된 가명정보를 마음껏 사고 팔수 있습니다. 이에 이용자들이 처리정지를 요구할 수조차 없다면, 개인정보자기결정권은 공허하고 무의미한 권리에 불과하게 될 것입니다.
5. 이에 민변 디지털정보위, 디지털정의네트워크(구 진보넷), 참여연대, 정보인권연구소는 오늘(11/6) 판기환송심 재판부 앞에서 기본권의 최후의 보루인 대법원이 오히려 기본권을 무력화시킨 판결을 규탄하며 파기환송심에서 법률과 헌법에 충실한 판결을 할 것을 촉구하는 기자회견을 개최하였습니다. 아울러 서울고등법원 파기환송심 재판부(제60민사부)에 원고들이 처리정지를 구하는 대상이 가명처리를 위한 일련의 전체 과정 중 일부 단계(그림에서 3단계)로서의 ‘가명처리’(즉, 대법원이 처리정지권을 인정하지 않은 가명처리)에 한정되지 않는다는 점에 대한 준비서면을 제출하였습니다.
6. 또한, 개인정보보호법 제2조(정의) 제2호의 ‘처리’의 개념에 ‘가명처리’가 포함되지 않은 것과 동법 제37조 제1항의 ‘개인정보 처리’에 ‘개인정보 가명처리’를 병기하지 않은 것의 위헌 여부를 확인해 달라는 위헌법률심판제청신청도 하였습니다. 끝

디지털정의네트워크 · 민주사회를 위한 변호사모임 디지털정보위원회 · 정보인권연구소 · 참여연대

▣ 붙임1 : 기자회견문

▣ 붙임2 : 참석자 주요 발언