홍콩의 개인정보 보호 감독 기구인 개인정보보호위원회(PCPD)는 AI 시스템을 도입한 기업 및 기관 중 40% 이상이 AI를 통해 개인정보를 수집하거나 이용하고 있다고 밝히며, 신종 프라이버시 위험에 대응해 보안 조치를 한층 더 강화해야 한다고 촉구했다.

개인정보보호위원회(PCPD)는 화요일(19일) 다양한 산업군을 대상으로 실시한 '2026년도 AI의 안전하고 책임 있는 사용에 대한 컴플라이언스(법규 준수) 점검' 결과를 발표했다.

이번 점검은 총 60개 조직을 대상으로 진행되었으며, 이들이 AI 시스템을 통해 개인정보를 수집, 사용, 처리하는 과정에서 '개인자료(사재)조례(Personal Data (Privacy) Ordinance)'를 철저히 준수했는지 평가했다. 위원회 측은 이번 조사에서 조례 위반 사례는 발견되지 않았다고 전했다.

조사 대상 조직 중 95%에 달하는 57개 조직이 일상 업무에 AI를 활용하고 있는 것으로 나타났다. 이는 2025년에 실시된 유사 점검 결과와 비교해 15%포인트 상승한 수치다. 이 중 45개 조직은 이미 1년 이상 AI를 현업에 도입해 온 것으로 파악됐다.

AI를 사용하는 57개 조직 가운데 24개 조직(약 42%)은 AI 시스템을 통해 실제로 개인정보를 수집하거나 사용하고 있었다. 이들 24개 조직은 모두 개인정보를 수집하기 전 또는 수집하는 시점에 '개인정보 수집 성명서(Personal Information Collection Statement)'를 고객이나 직원에게 제공했으며, 데이터 암호화 및 접근 제어 등 기본적인 보안 조치를 채택하고 있는 것으로 확인됐다.

또한, 개인정보를 다루는 24개 조직 중 약 96%는 시스템의 신뢰성과 견고성, 공정성을 확보하기 위해 도입 전 사전 테스트를 거쳤다. 이 가운데 19개 조직은 의사결정 과정에서 인간이 지속적으로 감시하고 통제권을 유지할 수 있도록 하는 '인간 개입(human-in-the-loop)' 방식을 채택하고 있었다.

직원 교육적인 측면에서는 24개 조직 중 약 83%가 직원들에게 AI 관련 교육을 제공하고 있었으나, AI와 직결된 프라이버시 리스크 내용을 교육 과정에 명시적으로 포함한 곳은 18개 조직에 그쳤다.

아울러 24개 조직 중 22개 조직이 데이터 유출에 대응하는 비상 계획을 수립해 두고 있었으나, 직원이 업무 중 '생성형 AI(Generative AI)'를 사용할 때 지켜야 할 내부 정책이나 가이드라인을 구체적으로 마련한 곳은 17개 조직에 불과해 개선이 필요한 것으로 나타났다.

종려령(Ada Chung Lai-ling) 개인정보보호위원회 위원장은 "기업과 기관들이 AI가 가져다주는 편리함을 누리는 동시에, 발생 가능한 프라이버시 위험에도 반드시 적극적으로 대처해야 한다"고 강조했다.

종 위원장(鍾위원장)은 이어 "각 조직은 종합적인 AI 전략을 수립하고 위험 및 프라이버시 영향 평가를 선제적으로 실시해야 한다"며 "적절한 수준의 인간 감독(Human Oversight) 체계를 채택하고, AI 시스템이 개인정보 프라이버시에 미치는 영향을 정기적으로 검토하고 평가해야 한다"고 당부했다.

한편, 위원회는 최근 부상하고 있는 '에이전틱 AI(Agentic AI·자율형 AI)'를 활용해 개인정보를 수집·처리하는 조직에 대해서도 경고의 메시지를 보냈다. 종 위원장(鍾위원장)은 "에이전틱 AI를 다룰 때는 취급하는 데이터의 성격과 민감성을 면밀히 따져보아야 하며, 해당 시스템이 지정된 작업을 수행하는 데 필요한 '최소한의 접근 권한'만 부여해야 안전하다"고 덧붙였다.