이번 주 핵심LIVE
법무법인 파트너가 월요일 아침 클라이언트에게 전화할 이슈
이번 주 Must-Call
SK텔레콤 347.91억 — 역대 최대
AI 학습 목적 개인정보 활용, 동의 범위 초과가 핵심 쟁점
347.91억
2026-04-21
데이터책임설명
제재 사례 전체 보기 →
D-22
AI기본법 + 개보법 중첩 시행
고위험 AI의 개인정보 처리 시 영향평가 + 정보주체 고지 이중 의무
2026-05-15 시행
처리 개인정보 범위 정의
AI 처리 근거 재점검 (§15·§17)
정보주체 고지 수단 확보
재식별 위험 평가
핵심 법령
개인정보 영역 AI 규제의 상위법·감독규정·가이드라인
상위법
개인정보보호법
모든 개인정보 처리자
§15·§17·§28 수집·이용·제공 범위 / §37-2 자동화 결정 권리
최종 개정 2025-12
상위법
정보통신망법
온라인 서비스
온라인 AI 서비스 개인정보 수집 최소화·동의 방식
최종 개정 2026-04
가이드라인
가명정보 처리 해설서
PIPC · 2024-2026
AI 학습용 가명처리 기준 + 재식별 금지 4대 요건
최종 개정 2026-04
가이드라인
AI 환경 개인정보 처리
PIPC · 2025
AI 학습 단계별(수집·학습·서비스) 처리 근거 구분
최종 개정 2025-11
Hot Issues · 5축 영향도
AIreg 5축(데이터·알고리즘·편향·설명·책임) 기준 실무 쟁점
AI 학습 데이터 동의 범위 초과
SK텔레콤·카카오·LG유플러스 등 대기업도 반복 적발되는 최다 쟁점. 수집 시 동의 받은 목적 외 학습 이용은 §15 위반. 추가 동의 or 가명처리 예외가 유일한 대안.
데이터
알고리즘
편향
설명
책임
가명처리 + 과학적연구 예외
§28-2의 예외 요건 4가지: ①가명처리 완료, ②과학적연구 목적, ③안전조치 이행, ④재식별 금지. 하나라도 결여 시 동의 없는 학습은 위반.
데이터
알고리즘
편향
설명
책임
국외 이전 + AI 모델 호출
ChatGPT·Claude 등 해외 API 호출 시 §28-8 국외이전 규정 적용. 이전 경로·보관국·보유기간 고지 + 정보주체 동의 or 충분한 보호수준 인증 필요.
데이터
알고리즘
편향
설명
책임
자동화된 결정에 대한 권리 (§37-2)
정보주체는 프로파일링·자동화된 결정에 대해 설명요구·거부·정정요구 가능. 사업자는 이 권리를 사전 고지하고 행사 창구 제공 의무.
데이터
알고리즘
편향
설명
책임
얼굴인식·생체정보 AI
개보법 §23 민감정보 별도 동의 + §23-2 특별히 보호. 얼굴인식 CCTV·출입통제·결제 인증 도입 시 정보주체 명시적 동의 + DPIA(영향평가) 사실상 의무.
데이터
알고리즘
편향
설명
책임
어린이 개인정보 + AI 서비스
개보법 §22-2 만 14세 미만 법정대리인 동의 필수. AI 챗봇·교육 서비스·게임 AI가 아동 데이터 처리 시 PIPC 집중 점검 대상. 생성형 AI가 아동 노출 시 특별 보호 의무.
데이터
알고리즘
편향
설명
책임
DPIA(개인정보 영향평가) 의무
공공기관 §33 + 민간 고위험 AI §28-2. 대규모 처리·민감정보·자동화된 결정·프로파일링 시 사전 영향평가 필수. 2025 PIPC 가이드라인 강화로 민간 확대 추세.
데이터
알고리즘
편향
설명
책임
최근 제재 타임라인
개인정보 영역 최근 12개월 주요 제재
2026-04-21
SK텔레콤
AI 학습 데이터 동의 초과
개보법 §28
347.91억
2026-03-18
카카오
이용자 정보 목적 외 이용
개보법 §15
151.40억
2026-02-04
LG유플러스
개인정보 대량 유출
개보법 §29
68.07억
2026-01-22
KT
보관기간 초과 보관
개보법 §21
5.2억
2025-12-08
네이버
프로파일링 동의 불명확
개보법 §15
12.3억
2025-10-15
쿠팡
국외이전 고지 누락
개보법 §28-8
9.8억
이 영역 주요 AI 솔루션
개인정보 업권에서 도입 검토 많이 받는 솔루션 · 위험도 신호등
ChatGPT
국외이전 · 학습 사용 주의
Claude
해외 API · 데이터 잔류
Gemini
Google 생태계 · 국외
CLOVA X
국내 서버 · 상대적 안전
Solar
국내 온프레미스 가능
wrtn
국내 + 해외 API 혼합
DeepL
독일 · GDPR 적용
Whisper
음성 데이터 민감
자주 묻는 개인정보 AI 규제 질문
People Also Ask 기반 · FAQPage Rich Result
개인정보 동의 없이 AI 학습 가능한가요?+
원칙적으로 불가. 예외로 ①가명처리 + 과학적연구 목적(§28-2), ②통계 작성, ③공익기록보존 등 요건 충족 시 가능. 단 가명처리 수준·재식별 위험 평가·안전조치가 필수 전제입니다.
ChatGPT에 회사 자료 넣어도 되나요?+
개인정보 포함 시 §15 수집근거 + §28-8 국외이전 위반 가능. 엔터프라이즈 플랜(학습 off) + 입력 가이드라인 + 로그 모니터링 3종이 최소 조건입니다.
가명처리하면 AI 학습에 자유롭게 쓸 수 있나요?+
§28-2 예외 요건 4가지(가명처리·과학적연구·안전조치·재식별금지) 모두 충족 시에만. 특히 '과학적연구' 해석이 좁아, 상업적 AI 학습은 여전히 제한적입니다.
해외 AI API 쓰려면 뭘 고지해야 하나요?+
§28-8 국외이전 동의 + 이전국가, 이전받는 자, 이용 목적, 이전 항목, 보유기간, 거부권 고지. 또는 적정성 인정 국가 여부 확인. EU는 적정성 결정, 미국은 개별 판단.
프로파일링 거부권, 실무에서 어떻게 대응하나요?+
§37-2 권리 사전 고지(처리방침) + 행사 창구 마련 + 30일 내 처리. 금융·채용·보험에 주로 적용. 거부 시 수동 검토 대체 프로세스 필수.
PIPC 제재 기준 금액은 어떻게 산정되나요?+
전체 매출의 3% 한도(개보법 §64-2). 위반 건수·중대성·재발여부·피해 규모에 따라 누진. 2024년 개정 후 과징금 상한이 크게 상향되어 대기업은 수백억 규모가 일반화.
얼굴인식 AI 도입할 때 법적으로 무엇을 확인해야 하나요?+
개보법 §23 민감정보 별도 명시적 동의 + §23-2 특별 보호. 사실상 DPIA 수반. 대체수단 제공 + 보관기간 최소화 + 기술적 안전조치(템플릿 암호화·원본 미저장) 필수. PIPC 2025 얼굴인식 가이드라인 참조.
AI 서비스에서 어린이 이용자 보호, 어떻게 해야 하나요?+
만 14세 미만은 §22-2 법정대리인 동의 필수. 추가로 ①쉬운 용어 고지, ②최소 수집, ③맞춤광고 금지, ④유해 콘텐츠 차단. 생성형 AI는 아동 민감 답변 필터링 + 로그 검토 의무.
DPIA(영향평가), 언제 의무인가요?+
공공기관은 대규모 민감정보 처리 시 §33 의무. 민간은 고위험 AI·프로파일링·자동화된 결정 처리 시 PIPC 가이드라인에 따라 사실상 의무. 2026부터 AI기본법 §27 영향평가와 병행 적용.
개인정보 침해 발생 시 72시간 고지, 정확히 뭘 알려야 하나요?+
개보법 §34 ①침해 항목·규모, ②경위, ③피해 최소화 조치, ④연락처·대응 절차. 72시간 내 PIPC 신고 + 정보주체 지체 없이 고지. AI 사고로 인한 침해도 동일 적용. 지연 시 가중 제재.
WEEKLY BRIEFING · 무료
매주 수요일, 한국 AI 규제 핵심 5분 브리핑
이번 주 반드시 알아야 할 제재·법령 변화·해외 동향을 정리해 드립니다.
다른 규제 영역도 보기
4개 practice area 전환
F
금융
핵심
은행·증권·보험·카드·핀테크
5핵심 법령
23최근 제재
2이번주 변화
자동거부
신용평가
로보어드바이저
이상거래탐지
금융 AI 규제 상세 →
P
개인정보
현재
개보법·정통망법 중심 제재 최다
4핵심 법령
67최근 제재
1이번주 변화
AI 학습 동의
가명처리
국외이전
프로파일링
개인정보 AI 규제 상세 →
T
플랫폼·TMT
플랫폼·통신·미디어 사업자
3핵심 법령
38최근 제재
1이번주 변화
추천 알고리즘
생성형 AI 서비스
방송심의
통신 품질
플랫폼·TMT AI 규제 상세 →
E
채용·HR
AI기본법 §18 고위험 지정
3핵심 법령
8최근 제재
1이번주 변화
채용 AI
업무 ChatGPT
직원 모니터링
인사평가 AI
채용·HR AI 규제 상세 →