개인정보보호위원회가 비정형데이터에 대한 가명처리 기준을 새롭게 마련했다고 4일 밝혔다.
최근 인공지능(AI) 기술과 컴퓨팅 자원의 발달로 비정형데이터(이미지·영상·음성·텍스트 등)에 대한 활용수요가 폭발적으로 증가했다.
하지만, 기존의 '가명정보 처리 가이드라인'(‘가이드라인’)은 정형데이터에 대한 처리기준만 제시하고 있어 기업, 연구기관 등은 적합한 가명처리 방법이나 수준을 알지 못하는 등 현장의 불확실성이 컸다.
관계부처 의견수렴 등 1년여 기간 동안 준비 작업을 거쳐 가이드라인을 대폭 개정했다.
우선, 비정형데이터는 개인식별 가능 정보에 대한 판단이 상황에 따라 달라질 수 있는 만큼, 데이터 처리목적 및 환경, 민감도 등을 종합적으로 고려해 개인식별 위험을 판단하고 합리적인 처리방법과 수준을 정하도록 했다.
예를 들어, 정형데이터의 경우, 주민번호, 전화번호, 주소 등과 같이 개인식별위험이 있는 정보가 비교적 명확히 구분되지만, 비정형데이터는 그렇지 않다. 개인정보위는 가이드라인에서 제시한 개인식별 위험성 검토 체크리스트를 통해 식별위험을 사전에 진단하고, 위험을 낮추기 위한 관리적‧환경적 통제방안을 마련해 활용토록 했다.
연구목적 달성에 필수적인 정보항목을 남기는 경우에는 그 외 정보에 대한 가명처리 수준을 높이거나 접근권한 통제, 식별에 악용될 수 있는 소프트웨어(SW) 반입제한, 보안서약서 징구 등 조치를 시행하도록 했다.
또 비정형데이터에 내재된 개인식별 위험 요인을 탐지해 처리할 수 있는 기술이 아직 없기 때문에, 기술적 한계 등을 보완하기 위한 조치들을 이행할 것을 권고했다.
가명처리 기술의 적절성·신뢰성을 확인할 수 있는 근거를 작성·보관하고, 가명처리 결과에 대해 자체적인 추가검수를 수행하도록 했다. 또한 처리기술의 적절성·신뢰성을 확인할 수 있는 근거와 추가검수 등에 대해서 외부전문가가 참여한 위원회의 적정성 검토를 받도록 했다.
아울러 비정형데이터는 인공지능 및 데이터 복원기술의 발달에 따라 다른 정보와의 연계·결합 없이도 개인을 재식별해낼 수 있는 위험이 있으므로, 가명처리된 비정형데이터 활용 시 관련 시스템·소프트웨어(SW)의 접근·사용 제한 등 통제방안을 마련해야 한다.
다만, 인공지능 개발·활용 과정에서 나타날 수 있는 다양한 위험을 사전에 완벽하게 제거하는 것은 불가능하므로, 인공지능 서비스 제공 과정에서도 개인식별 위험 등 정보주체 권익 침해 가능성을 지속 모니터링하도록 했다.
관련기사
- 개인정보위 "연초 스미싱 기승…개인정보 유출 조심해야"2024.02.01
- 개인정보위, '제2기 기술포럼' 구성...염흥열 교수 의장 재선임2024.02.01
- 개인정보위, '2030 자문단' 발족…"청년 가치관 반영"2024.01.25
- 개인정보위, CCTV 개인정보법 위반 사업자에 '시정명령'2024.01.25
그밖에 기업 및 연구자가 가명처리 단계별(사전준비, 위험성 검토, 가명처리, 적정성 검토, 안전한 관리)로 고려해야 하는 사항을 안내하고 현재 개발 중인 가명처리 기술도 소개했다.
고학수 개인정보위 위원장은 “인공지능 등 많은 신기술 영역은 현장의 불확실성을 해소할 수 있는 세밀한 데이터 처리정책이 중요하다”면서, “금번 가이드라인을 시작으로 대규모 언어모형 등 생성형 AI와 관련한 '공개된 개인정보 처리 가이드라인'등 현장의 어려움을 해소할 수 있는 기준을 올해 중에 순차적으로 발표하겠다”고 밝혔다.
