최근 SKT, 롯데카드, 인터파크, 루이비통, 아디다스, 써브웨이, 파파존스, 예스24 등 2025년 1∼4월에만 3,600만 건의 개인정보 유출 사고가 발생하는 등 민간사업자의 개인정보 유출 사고가 끊이지 않고 있음.

또한, AI 시대 기술ㆍ산업의 발달로 개인정보의 종류와 수집 범위가 일반 신상정보뿐 아니라 생체인식정보 등으로 급격히 확대되고 있으며, 그에 따른 빅데이터 활용 증가 등으로 인해 개인의 기본권 침해에 대한 우려도 커지고 있음.

그런데 현행법은 개인정보처리자에게 정보주체의 개인정보 열람, 정정ㆍ삭제, 처리정지 요구권을 알릴 의무를 부과하고 있지 않고, 제3자로부터 수집한 개인정보를 처리하는 때에는 ‘정보주체의 요구’가 있는 경우에만 수집 출처와 목적을 고지하도록 하고 있음.

이로 인해 개인정보 침해 피해자 다수는 피해 발생 시 정당한 권리를 행사하지 못하는 실정임.

또한, 공공기관 외 대규모 민간 개인정보처리자의 개인정보 영향평가를 의무화하고 있지 않아, 대량의 민감한 개인정보를 처리하고 있는 개인정보처리자의 개인정보 침해 위험요인에 대한 평가가 제대로 이루어지지 않고 있음.

이에 개인정보 처리 및 수집 단계부터 정보주체에 대한 권리 고지 절차를 강화하고, 공공기관에 한정되어 있던 개인정보 영향평가 의무실시 대상을 민감한 정보를 대규모로 처리하는 민간사업자 등으로 확대하는 등 개인정보 보호를 강화하려는 것임(안 제15조제2항, 제20조, 제33조 및 제75조).