개인정보보호위원회는 인공지능(AI) 서비스의 개발과 운영 시 발생할 수 있는 개인정보 침해를 예방하기 위한 안내서인 'AI 개인정보보호 자율점검표' 확정본을 31일 공개했다.
이번에 공개한 자율점검표는 AI 설계, 개발·운영 과정에서 개인정보를 안전하게 처리하기 위해 지켜야 할 개인정보보호법 상 주요 의무·권장사항을 단계별로 자율점검할 수 있도록 알기 쉽게 담아낸 안내서다. 업무 처리 전 과정에서 지켜져야 할 여섯 가지 원칙과 이를 기반으로 단계별로 점검해야 할 16개 항목, 54개 확인사항을 함께 제시했다.
자율점검표 내용에는 AI의 개인정보 처리 특성을 고려해 개인정보보호법, 과학기술정보통신부의 'AI 윤리기준', 국제적으로 통용되는 개인정보 보호 중심 설계 원칙 등이 반영됐다.
주요 내용을 살펴보면, 우선 기획·설계 단계에서는 AI 서비스 특성상 예상치 못한 개인정보 침해가 발생할 수 있으므로 기획 단계부터 사전 점검과 예방을 위해 개인정보보호 중심 설계(PbD) 원칙을 적용할 것을 권장했다. PbD 원칙은 제품·서비스 개발 시 기획 단계부터 개인정보 처리의 전체 생애주기에 걸쳐 이용자의 프라이버시를 고려한 기술·정책을 설계에 반영하는 내용을 담고 있다. 기획 단계에서 개인정보 침해가 우려될 경우에는 개인정보 영향평가를 수행하도록 했다.
AI 개발‧운영 시 개인정보 수집 과정에선 적법한 동의 방법, 동의 외 수집 근거 확인, 공개된 정보 등 정보주체 이외로부터 수집 시 유의사항을 점검하도록 하고, 동의 예시를 제시해 잘못된 방법으로 동의를 받지 않도록 안내했다.
가령 SNS 대화 데이터의 경우 발화자의 식별정보뿐만 아니라, 특정 개인의 식별 가능정보 또는 사생활 침해 우려 정보에 따른 가명처리가 필요하다.
AI 챗봇 '이루다' 사례로 비춰보면 ‘신규 서비스 개발’을 위한 개인정보 수집 동의 시 ‘OO 서비스의 챗봇 알고리즘 개발’과 같이 목적을 구체적으로 작성하고, 이용자가 충분히 이해·예측할 수 있도록 ‘신규 서비스’의 의미 등을 구체적으로 알려야 한다고 명시했다.
개인정보 이용·제공에 대해서는 수집 목적 내 이용·제공해야 하고, 목적 외 이용은 적법한 근거를 확인하도록 했다. 동의 없이 가명처리해 활용하려는 경우 과학적 연구, 통계 작성 등 허용된 목적인지, 관련 기준에 부합하는지 등 점검 내용을 제시하고 학습 데이터의 가명처리 시 유의사항, 가명정보의 공개 제한 등을 안내했다. 가명정보를 공개하는 등 불특정 제3자에게 제공하는 것은 사실상 제한돼 익명처리하는 것이 원칙이라고 명시했다.
AI 윤리 점검 측면에선 개인정보 처리 시 사회적 차별, 편향 등이 최소화되도록 점검·개선하고, 윤리적 이슈에 대한 판단은 AI 윤리 기준을 참고할 수 있도록 했다.
그 동안 국내·외에서 논의된 AI 관련 프라이버시에 관한 사항은 추상적인 원칙 수준이었으나, 이번 자율점검표는 AI 서비스의 개인정보 침해사례와 산업계의 관심사항을 구체적으로 반영하여 현장에 도움이 되도록 하였다.
관련기사
- "포털 AI 알고리즘 투명해야"...검증은 온도차2021.05.27
- AI 추천 서비스 자율규제? "기업이 왜·어떻게 지켜야 하나"2021.05.21
- "AI, 개인정보는 이렇게"…'이루다' 재발 막는다2021.05.12
- 당신과 나의 모바일 뱅킹 메인화면은 다르다2021.05.08
개인정보위는 이번 자율점검표가 AI 분야 현장에서 널리 활용될 수 있도록 다음달 초부터 AI 스타트업 대상 설명회를 개최하고 중소기업 컨설팅·교육 등에도 활용할 예정이다.
윤종인 개인정보위 위원장은 “AI 개발자·운영자가 이번 자율점검표를 적극 활용해 AI로 인한 개인정보 침해를 예방하고, 보다 안전하고 신뢰할 수 있는 AI 서비스 환경을 조성하는데 도움이 되길 바란다”며 “앞으로도 개인정보위는 생체정보, 자율주행차, 드론 등 신기술 환경 변화에 대응해 현장에서 개인정보가 안전하게 보호될 수 있도록 노력하겠다”고 말했다.
