『개인정보 보호법』에 사전 실태점검 제도가 도입(’23.3.14. 신설, ’23.9.15. 시행)된 지 2년이 지났지만, 개인정보보호위원회의 사전 실태점검 실시 건수는 단 6회에 그친 것으로 확인됐다.

국회 강민국 의원실(경남 진주시을)이 개인정보 보호위원회로부터 제출 받은 「2023년~2025년 개인정보 보호위원회 사전 실태점검 실시 내역」 및 「2023년~2025년 개인정보 보호위원회 조사·사전실태점검 처분 통계」에 따르면,

사전 실태점검 6건의 분야별 내역은 △ AI 3건 △ 플랫폼(소셜로그인·슈퍼앱) 2건 △ 클라우드 1건으로, AI·신기술 영역에 편중되어 있었다.

점검 대상 18개 기업·기관 역시 국내외 빅테크·플랫폼 기업 중심이었다. 대상 기업은 △ 네이버(3회) △ 카카오(2회) △ 구글(2회) △ 마이크로소프트(2회) △ 메타(2회) △ 그 외 Open AI, DeepSeek, 애플, 우아한형제들, 당근마켓, 네이버클라우드, 아마존웹서비시즈(AWS), 스노우, 뤼튼(각 1회) 등 이었다.

공공·교육 분야 기관인 한국교육학술정보원(KERIS)과 교육부, 이동통신사인 SK텔레콤그리고 유통기업인 쿠팡도 각 1회 사전 실태점검을 받았으나, AI 또는 슈퍼앱 관련 점검에 한정됐다.

사전 실태점검 제도 도입 2년 간 금융·통신·유통 분야에 대한 사전 실태점검은 0건이었다. 최근 개인정보 유출 등으로 인한 국민 피해가 집중된 생활밀착 업권에 대한 개인정보 보호위원회의 선제 점검은 사실상 전무했던 것이다.

한편 2023년~2025년 개인정보 보호위원회가 조사·사전실태점검을 결과 내린 처분은 총 806건이었다.

그러나 이 중 6회의 사전 실태점검을 거쳐 내려진 처분은 24건으로, 전체 처분 806건 중 2.98%에 불과했다. 즉, 개인정보 보호위원회의 처분 100건 중 97건 이상이 사고나 신고 이후의 사후조사에서 나온 것으로, 예방행정의 비중은 한 자릿수에 그친 것이다.

강민국 의원은 “사전 실태점검은 사후조사의 한계를 보완해 사고를 미리 막자는 취지로 도입됐지만, 개인정보 보호위원회의 운영 미흡으로 사실상 유명무실한 제도가 됐다”며,

“사고 나면 조사하고, 조사 끝나면 과징금으로 마무리하는 개인정보 보호위원회의 사후처리 관행이 최근 잇따른 대규모 해킹·개인정보 유출 사태의 배경”이라고 지적했다.

이어 강 의원은 “개인정보 보호위원회는 국민 피해가 큰 업권에 대한 사전 실태점검을 정례화·확대하여, 사후약방문이 아닌 예방중심 개인정보 보호체제로 전환해야 한다”고 촉구했다.

< 첨부 1. 2023년~2025년 개인정보 보호위원회 사전 실태점검 실시 내역 >

< 첨부 2. 2023년~2025년 개인정보 보호위원회 조사·사전실태점검 처분 통계 >

< 참고. 『개인정보 보호법』 제63조의2(사전 실태점검) >

2025. 10. 14.

국회의원 강 민 국