'AI 시대 안전한 개인정보 활용 정책방향' 발표
[정보통신신문=박남수기자] 챗 GPT 등장 이후 의료, 교육, 유통 등 다양한 분야에서 인공지능(AI)을 활용한 서비스가 고도화되면서 AI가 가져오는 편익에 대한 기대가 높아지고 있다. 하지만 AI 기술의 중점이 대규모 언어모델을 기반으로 한 생성형 AI로 이동하고, 공개된 정보를 활용하거나 자율주행차·서비스 로봇 등으로 데이터를 수집하는 등 정보주체가 예측하지 못한 방식으로 데이터가 처리되는 경우가 증가하면서 개인정보 침해 가능성에 대한 우려의 목소리 역시 높아지고 있는 것이 사실이다.
개인정보보호위원회는 3일 정부서울청사에서 브리핑을 개최하고 '인공지능 시대 안전한 개인정보 활용 정책방향'을 발표했다.
개인정보위는 이러한 AI에 대한 기대와 우려 사이에서 프라이버시 침해 위험은 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용할 수 있도록 이번 정책방향을 수립하게 됐다. 특히, AI 환경에서 현행 '개인정보 보호법'을 어떻게 해석·적용할 수 있을지에 대한 준칙을 제시하는 한편, 구체적인 세부 사항에 대해서는 향후 정부와 민간이 협력해 규율체계를 공동 설계해 나가는 청사진을 제시하는 데 중점을 뒀다.
■원칙 기반 규율 추진체계 정립
국내 AI 산업은 매출규모가 2020년 1조9000억원에서 2022년 4조원 가까이 증가할 정도로 급속도로 성장하고 있다. 그 쓰임새도 국민의 일상생활 뿐만 아니라 전문영역까지 다양해지고 있다. 해마다 AI 산업에 많은 기업들이 진입하고 있지만, 이들은 데이터를 수집하고 활용하는 데 있어 개인정보 보호 법령 등 관계 법령의 저촉여부를 둘러싸고 불확실성을 호소하고 있다.
개인정보위는 이렇듯 변화 속도가 빠르고 데이터 활용 범위, 방식이 고도로 복잡한 AI에 대해 그 특성을 고려하여 규정 중심이 아닌 원칙(principle) 중심의 규율체계를 정립해 나간다. 이를 위해 AI와 관련된 사항을 전담하는 원스톱 창구인 ‘(가칭)AI 프라이버시팀’을 10월 중 신설한다.
‘(가칭)AI 프라이버시팀’에서는 AI 모델·서비스를 개발·제공하는 사업자와 소통창구를 마련하여 사안별로 개인정보 처리의 적법성, 안전성 등에 대한 법령해석을 지원하거나 규제 샌드박스 적용을 검토하는 등 적극적인 컨설팅 역할을 수행하여 불확실성을 대폭 축소한다.
또한 ‘(가칭)사전 적정성 검토제’도 올해 중 도입한다. 이는 사업자 요청 시 비즈니스 환경을 분석해 '개인정보 보호법'을 준수할 수 있도록 적용방안을 함께 마련하고, 이에 따른 사업자의 이행결과에 대해 개인정보위가 적정하다고 판단한 사안에 대해서는 행정처분을 하지 않는 제도이다. 특히 사업자가 신청서를 제출한 시점부터 적용방안 통보까지 원칙적으로 60일 이내에 이루어지도록 해 민간에서 느끼는 법적 리스크를 신속하고 확실하게 줄여나간다.
■AI 개발·서비스 단계별 개인정보 처리기준 구체화
AI 개발·서비스 단계별 개인정보 처리기준과 보호조치, 고려사항 등을 제시한다. 그간 AI 개발·서비스를 위해 데이터를 수집·이용할 때 개인정보를 어떻게 처리해야 하는지에 대해 별도의 기준이 없었다. 이번 정책방향에서는 현행 '개인정보 보호법' 체계 하에서 그간의 해석례·의결례·판례 등을 종합하여 AI 개발·서비스 기획-데이터 수집-AI 학습-서비스 제공 등 단계별로 개인정보를 어떠한 원칙과 기준에 입각하여 처리할 수 있는지에 대해 최대한 구체화했다.
AI 모델·서비스를 기획하는 단계에서 개인정보 보호 중심 설계 원칙(Privacy by Design)을 반영하여 모델링·학습·운영 과정에서 개인정보 침해 위험을 최소화할 수 있는 방안 등을 안내한다. 또한 이러한 리스크를 파악하고 대응조치를 설계-적용-관리하는 개발자와 개인정보 보호 담당자가 협업하는 거버넌스 체계를 구축할 것을 권장했다.
데이터를 수집할 때 개인정보의 처리 원칙을 일반 개인정보, 공개된 정보, 영상정보, 생체인식정보로 나누어 제시한다. 특히, 대규모 언어모델을 개발하는 경우 ‘공개된 정보’를 부분적으로라도 이용해야 하는 상황이 발생할 수 있는데, 공개된 정보의 처리가 가능한 경우를 체계화하고 이 때 고려해야 하는 사항을 안내햇다. 이와 더불어 '개인정보 보호법' 개정으로 9월 15일부터 시행 예정인 이동형 영상기기 규정과 관련해, 드론·자율주행차 등을 통한 영상의 촬영, 원격관제, 저장, AI 학습 등이 가능한 경우도 안내햇다.
AI 학습 단계에서는 개인정보를 가명처리하여 별도의 동의 없이 AI 연구개발이 가능함을 명확히 하였다. 다만, 이 경우에도 다른 정보와의 연계·결합을 통한 재식별 등 사전·사후적으로 발생 가능한 위험에 대한 방지 조치가 중요하다는 점을 강조했다. 한편, AI 활용 맥락에서 나타나는 다양한 위험을 사전에 완벽히 제거하는 것은 어려우므로, 이를 최소화하기 위한 노력 정도에 따라 예방조치의 이행 수준을 판단할 것임을 밝혔다. 또한 합성데이터(synthetic data) 등 개인정보 보호 강화기술(PET)을 적극 활용할 것을 권장했다.
AI 모델을 개발해 실제 이용자를 대상으로 서비스를 상용화하는 단계에서는 투명성 확보와 정보주체의 권리보장이 필요하다는 점을 강조했다. 다만, AI 특성을 고려해 구체적인 공개범위 및 방법, 권리행사 방안 등에 대해서는 충분한 검토 이후 가이드라인을 마련할 것임을 밝혔다. 뿐만 아니라, 기존 AI 모델의 API를 활용하거나 기존 서비스에 플러그인을 추가하는 경우에도 사용자 등이 개인정보 보호조치를 준수할 수 있도록 상세한 사용지침, 기술문서 등을 제공하는 등 적극적으로 안내해야 한다는 점을 강조했다.
■민·관 협력을 통한 분야별 가이드라인 마련
이번에 발표한 정책방향은 현 시점에서의 기초적인 기준과 원칙이다. 이를 바탕으로 실제 현장에서 적용 가능하도록 민간과 협력하여 세부 분야별로 구체화해 나갈 계획이다. 특히, AI 기업·개발자, 학계·법조계, 시민단체 등 민·관이 함께 논의할 수 있는 ‘AI 프라이버시 민·관 정책협의회’를 오는 10월 중 구성하고, 추진계획에 따라 분야별 AI 환경에서의 데이터 처리기준 등을 공동으로 작업하여 발표할 예정이다.
또한 PET가 활성화될 수 있도록 R&D를 확대하고 관련된 가이드라인 등을 마련하는 한편, PET 적용이 모호하거나 검증이 필요한 경우에는 보안성·안전성이 확보된 ‘개인정보 안심구역’에서 기술개발·실증이 가능하도록 할 계획이다.
뿐만 아니라, AI의 리스크 수준에 따라 차등적인 규제 설계가 가능할 수 있도록 위험성에 대해 구체적으로 판단할 수 있는 ‘AI 리스크 평가모델’도 마련한다. 이러한 위험성 평가체계를 구축하기 위해서는 여러 실험과 시도가 필요한 만큼 ‘규제 샌드박스’를 활용해 AI 분야의 다양한 사례를 축적하고, 이를 바탕으로 운영현황, 위험요인 등을 분석하여 리스크를 식별·평가할 수 있는 체계를 2025년까지 지속적으로 구축해 나갈 계획이다.
■국제적 공조체계 강화
마지막으로, AI에 관한 디지털 국제규범 형성을 위해 글로벌 협력체계를 공고히 한다. AI는 개발부터 서비스 제공까지 초국가적인 형태로 이루어지는 경우가 많아 개별 국가의 규제만으로는 한계가 있고 국제적으로 공조체계가 필수적이다.
개인정보위는 새로운 차원의 디지털 질서 수립을 선언한 ‘파리 이니셔티브’에 입각해 AI 개인정보 분야 국제규범 마련을 위한 협력체계를 강화해 나갈 계획이다.
지난 6월 서울에서 개최한 'AI와 데이터 프라이버시 국제 컨퍼런스'를 시작으로 주요국 개인정보 감독기구와 함께 각 국의 법·정책, 처분 사례 등을 공유하고, AI로 인한 개인정보 침해 이슈 발생 시 신속하게 대응할 수 있도록 한다.
또한 2025년 글로벌 프라이버시 총회(GPA*)를 유치하여 AI를 중심으로 디지털 심화 시대에 새롭게 대두되는 프라이버시 이슈에 대해 논의할 예정이다. 그 외에도 여러 논의의 장에 적극적으로 참여하여 새로운 국제규범 체계의 확립 과정에 주도적 역할을 할 계획이다. 한편, 오픈AI, 구글, 메타 등 글로벌 AI 사업자와 국내 AI 사업자와의 소통도 활성화한다.
고학수 개인정보보호위원회 위원장은 “이제 AI는 전 세계, 모든 산업에서 기반 기술로서 역할을 하고 있는 만큼 데이터를 어떻게 안전하게 활용할 수 있을지에 대한 새로운 디지털 질서 정립이 필요한 시점”이라면서, “인공지능에 있어 무조건적인 ‘제로 리스크(zero risk)’를 추구하기 보다는 프라이버시 침해 최소화를 위한 실천적 노력을 경주하는 것이 더욱 중요하다는 인식 하에, 글로벌 규범을 선도할 수 있는 AI 개인정보 규율체계를 확립해 나가겠다”라고 밝혔다.
