일본 디지털 대신 마쓰모토 히사시는 지난 4월 기자들 앞에서 꽤 직접적인 발언을 했다. 현행 개인정보 관련 법이 "일본에서 AI를 개발하고 활용하는 데 매우 큰 장애물"이라는 것이었다. 선언처럼 들리는 말이었는데, 실제로 일본 정부는 그 직후 내각에서 개인정보보호법(APPI) 개정안을 승인했다.
핵심은 동의 요건 완화다. 개정안은 데이터가 "개인의 권리를 침해할 위험이 낮은" 경우, 그리고 통계나 연구 목적으로 사용되는 경우에 한해 개인 정보 공유 시 사전 동의(opt-in) 의무를 삭제한다고 규정한다. 이 예외 범위를 정부는 AI 모델 학습 데이터 처리까지 포함하는 것으로 해석하고 있다.
어디까지 적용되나
내각이 승인한 법안은 개인 식별이 불가능하게 처리되고, 가명화·데이터 보호 영향 평가·목적 제한 등 문서화된 안전조치가 갖춰진 경우에 한해, AI 개발과 통계 분석 목적의 개인정보 활용에 동의 없는 경로를 열어준다. 공중보건 개선 목적의 건강 데이터도 예외 범위에 포함된다고 참고자료는 밝힌다.
얼굴 스캔 데이터도 마찬가지다. 개정안은 '특정 생체 개인정보(Specific Biometric Personal Information)'라는 새로운 범주를 도입해, 안면인식 데이터에 대한 투명성 요건 강화, 삭제 청구권 확대, opt-out 방식에 의한 제3자 제공 금지를 규정한다. 안면 이미지를 수집하는 측은 처리 방식을 고지해야 하지만, 참고자료에 따르면 opt-out 선택 기회 제공은 의무사항이 아니다.
미성년자 보호 조항도 새로 생겼다. 만 16세 미만 아동의 개인 데이터를 수집할 때는 부모 승인이 별도로 요구된다.
규제 완화와 강화가 동시에
이번 개정이 단순히 문을 여는 것만은 아니라는 점이 흥미롭다. 개정안은 두 가지 목표를 동시에 추구한다. 데이터 활용 촉진과 기존 규칙의 명확화, 그리고 규제 감독과 집행의 강화다. 개인정보보호위원회(PPC)에는 유연한 명령 권한과 중대 위반에 대한 행정 과태료 부과 권한이 새롭게 부여된다. 한편으로는 문을 열고, 다른 한편으로는 잘못 들어오면 벌금을 물리겠다는 구조다. 데이터 유출 발생 시 개인에 대한 통지 의무 일부를 완화하는 내용도 담겨 있는데, 이 부분은 양날 중 어느 쪽인지 좀 애매하게 읽힌다.
법적 절차상으로는 아직 진행 중이다. 내각 승인은 입법부 심의 이전 단계, 즉 행정부가 법안을 국회(Diet) 심의에 넘기기 위해 통과시키는 절차다. 순서는 내각 승인 → 국회 제출 → 국회 통과 → 공포 → 시행이다. 국회를 통과한다는 가정 하에, 새로운 규정들은 늦어도 2028년까지 전면 시행될 것으로 예상된다.
GDPR 체제와 비교하면
유럽과 비교하면 맥락이 더 분명해진다. GDPR 체제에서 AI 학습 데이터 처리의 적법한 법적 근거를 확보하는 문제는 지금도 논쟁 중인 영역이다. 이탈리아 개인정보감독청(Garante)은 2023년 4월 1일 ChatGPT를 일시 차단했고, OpenAI에 개인정보 처리 방침 수정, 연령 인증 도입, 데이터 처리 법적 근거 명확화를 요구했다. 이후 2024년 말에는 로마 법원이 2026년 3월 Garante가 ChatGPT 관련 GDPR 위반으로 부과한 1,500만 유로 벌금을 취소하는 판결을 내렸다는 반전도 있었지만, 이는 AI 학습 데이터 처리의 법적 근거 논쟁이 해소됐다는 의미라기보다는 절차적 판단의 결과에 가깝다.
GDPR은 AI 관련 규제의 법적 근거를 둘러싼 전 세계적인 논쟁에서 사실상 기준점으로 작동하고 있다. 일본의 이번 개정은 그 기준점에서 의도적으로 거리를 두는 선택이다. "AI 개발이 가장 쉬운 나라"라는 목표를 공개적으로 내걸었으니, 방향성을 숨기지 않은 셈이다.
한 가지 의문점
찾아보다가 걸리는 지점이 하나 있었다. '통계·연구 목적' 예외 조항의 범위다. 개정안이 도입하는 예외는 "통계 정보 등의 작성"을 위한 데이터 처리에 적용되는데, AI 학습이 여기에 포함될 수 있다고 해석된다. 이 '포함될 수 있다'는 표현이 실제 운용에서 어느 범위까지 확장될지는 결국 PPC의 해석과 이후 집행 사례들이 결정할 것이다. 법이 허용하는 범위와 실제로 허용되어야 마땅한 범위 사이의 거리가 얼마나 될지, 지금 시점에서는 알 수 없다.
세계 3위 경제 대국이자 인터넷 혁명 1세대에서 뒤처졌고, 클라우드 컴퓨팅에서도 실리콘밸리의 독주를 지켜봤던 일본이, AI 경쟁에서는 규제 완화를 무기로 쓰겠다는 계산된 도박을 한 셈이다. 그 계산이 맞는지는 아직 모른다. 다만 '혁신 촉진'과 '개인정보 보호'를 동시에 달성하겠다는 프레이밍이 얼마나 실질적인지는, 법이 시행되고 나서야 조금씩 드러날 것이다.
'privacy > 해외' 카테고리의 다른 글
| [privacy] Reddit, 아동 개인정보 방치로 1,447만 파운드 과징금 부과 (0) | 2026.03.06 |
|---|---|
| [privacy] 구글 프라이버시 샌드박스 이야기 (0) | 2026.02.25 |
| [privacy] CCPA, 적용 대상이라면 실제로 무엇을 해야 할까? (0) | 2025.08.01 |
| [privacy] CCPA, 우리 회사에 적용될까? (0) | 2025.07.28 |
| [privacy] GDPR, 기업이 실제로 해야 할 것들 (0) | 2025.07.03 |