2025년 10월 시행된 개정법의 가장 큰 변화는 개인정보 이동권(데이터 포터빌리티) 도입입니다. 이전까지 기업이 보유한 개인정보는 정보주체가 열람/삭제만 요청할 수 있었지만, 이제 다른 서비스로 전송을 요구할 수 있습니다. 금융 분야 마이데이터에서 시작된 개념이 전 산업으로 확대된 것입니다.
AI 기업 관점에서 가장 주목할 점은 두 가지입니다. 첫째, ChatGPT/Claude 등 해외 AI 서비스 이용 시 국외 이전 동의(제28조의8) 요건이 강화되어 "기본 동의"만으로는 부족해졌습니다. 둘째, 생성형 AI의 학습 데이터에 개인정보가 포함된 경우 이동권 대상이 될 수 있어, 학습 데이터 내 개인정보 분류 체계를 갖춰야 합니다.
가명정보 결합도 간소화되었습니다. 기존에는 반드시 전문기관(한국인터넷진흥원 등)을 거쳐야 했지만, 일정 보안 요건을 갖춘 사업자 간 직접 결합이 가능해졌습니다. 이는 AI 학습용 데이터 확보에 유리한 변화입니다.
과징금 상한이 전체 매출의 3%까지 확대되어, 개인정보 위반의 재무 리스크가 크게 높아졌습니다. 소규모 스타트업도 과징금 산정 기준 변경에 따라 타격을 받을 수 있어 사전 대비가 중요합니다.
2025년 10월 시행된 개정 개인정보 보호법의 핵심은 개인정보 이동권 도입입니다. 정보주체가 자신의 개인정보를 다른 개인정보 처리자에게 전송할 수 있는 권리가 신설되었습니다.
가명정보 결합 절차도 간소화되어, 기존에 전문기관을 통해서만 가능했던 데이터 결합이 일정 요건을 갖춘 사업자 간 직접 결합도 가능해졌습니다.
EU GDPR의 데이터 포터빌리티 권리, 한국 마이데이터 산업 확대, 데이터 경제 활성화 정책이 복합적으로 작용했습니다. 금융 분야에서 시작된 마이데이터가 전 산업으로 확대되면서 법적 기반이 필요했습니다.
2024년 신용정보법 개정(마이데이터 2단계)에 이어, 개인정보 보호법에서도 이동권을 명시함으로써 데이터 활용과 보호의 균형을 재조정했습니다.
개인정보를 처리하는 모든 기업은 이동권 요청에 대응할 체계를 갖춰야 합니다. 특히 데이터 export API 설계, 전송 포맷 표준화, 요청 접수/처리 프로세스 구축이 필요합니다.
AI 서비스 기업은 학습 데이터에 개인정보가 포함된 경우 이동권 대상이 될 수 있어 데이터 분류 체계를 점검해야 합니다.