정부 부처중 한 곳인 개인정보보호위원회가 지난 17일 'AI 개발·서비스를 위한 공개된 개인정보 처리 안내서'를 발표했다. 이는 AI기술 발전과 개인정보 보호 사이의 균형점을 제시한 중요한 이정표로 평가된다.
AI기술 발전을 위해서는 방대한 양의 데이터가 필요하다. 특히 '챗GPT(ChatGPT)'나 국내 '하이퍼클로바X'와 같은 대규모 언어모델(LLM)은 위키백과, 블로그, 뉴스 기사 등 인터넷에 공개된 방대한 데이터를 학습한다. 이 과정에서 개인 프라이버시를 침해될 우려가 있어 왔다. 이번 안내서는 이런 딜레마를 해결하기 위한 실질적인 가이드라인을 제시하고 있다.
안내서의 핵심은 '정당한 이익' 조항의 적용 기준을 명확히 한 것이다. AI기업들은 이제 공개된 개인정보를 수집·이용할 때 개인정보 보호법 제15조 제1항 제6호에 따른 '정당한 이익'이 있음을 입증하면 된다. 이를 위해서는 세 가지 요건을 충족해야 한다.
첫째, 목적 정당성이다. AI 개발·서비스의 구체적인 목적과 용도를 명확히 해야 한다. 이는 단순히 AI 개발이라는 포괄적인 목적이 아니라, 예를 들어 '의료 진단 보조를 위한 AI 개발' 등 구체적인 목적을 명시해야 함을 말한다.
둘째, 처리 필요성이다. 해당 목적 달성을 위해 공개된 개인정보 처리가 필요하며 그 범위가 합리적이어야 한다. 예를 들어, 의료 AI 개발을 위해 환자 진료 기록을 수집하는 것은 필요할 수 있지만, 환자의 금융 정보까지 수집하는 것은 필요성을 벗어난다고 볼 수 있다.
셋째, 이익 균형성이다. 개인정보처리자의 정당한 이익이 정보주체 권리보다 명백히 우선해야 한다. 이는 AI 개발로 인한 사회적 이익이 개인정보 침해 위험보다 큰 지를 신중히 평가해야 함을 의미한다.
또한 안내서는 AI 개발 및 서비스 전 과정에 걸친 안전조치를 제안했다. 기술적 조치로는 학습데이터 수집 출처 검증, 개인정보 유출 방지, 미세조정(fine-tuning)을 통한 안전장치 추가, 프롬프트 및 출력 필터링 적용 등이 있다. 예를 들어, 학습데이터 수집 시 로봇배제표준(robots.txt)을 준수하고, 개인정보가 집적된 도메인을 배제하는 등의 조치를 취할 수 있다. 특히 특정 범주 개인정보(예: 주민등록번호, 금융정보 등)를 사전에 필터링해 제거하는 방법도 제시했다.
관리적 조치로는 학습데이터 처리기준 정립 및 공개, 개인정보 영향평가 수행, 'AI 프라이버시 레드팀' 운영 등을 권고했다. 특히 'AI 프라이버시 레드팀'은 AI 모델의 개인정보 보호 취약점을 지속적으로 테스트하고 개선방안을 제시하는 역할을 담당한다.
중요한 점은 이러한 조치들이 획일적으로 강제된 것이 아니라는 것이다. 각 기업은 자사의 AI 모델 특성과 서비스 목적에 맞는 '최적의 안전조치 조합'을 자율적으로 선택할 수 있다. 예를 들어, 어떤 기업은 학습 단계에서 특정 범주의 개인정보를 비식별화하는 데 중점을 둘 수 있고, 다른 기업은 서비스 단계의 필터링에 더 집중할 수 있다. 이는 기업의 혁신을 저해하지 않으면서도 개인정보 보호를 강화하는 균형 잡힌 접근법이라 할 수 있다.
정보주체의 권리 보장도 강조됐다. AI 기업들은 공개된 개인정보 수집 사실과 주요 출처를 개인정보 처리방침 등에 공개해야 한다. 또한 정보주체 열람, 정정·삭제, 처리정지 요구에 신속히 대응해야 한다. 특히 AI 결과값에 개인정보가 포함되는 경우, 해당 정보의 삭제 요청 등에 즉각 조치를 취하고 추후 학습데이터에서 배제하는 등의 노력이 필요하다. 이는 AI 모델이 학습한 개인정보에 대해서도 정보주체가 일정 수준의 통제권을 가질 수 있도록 한 중요한 조치다.
아울러 안내서는 AI 기업들이 개인정보보호책임자(CPO)를 중심으로 'AI 프라이버시 담당조직'을 구성·운영할 것을 권장했다. 이 조직은 AI·데이터 처리 적법성과 안전성을 확보하고, 개인정보 침해 사고 발생 시 신속한 대응을 담당한다. 뿐만아니라 AI 성능 개선 등 중대한 기술적 변경이나 개인정보 관련 리스크 요인을 주기적으로 모니터링하는 역할도 수행한다.
개인정보보호위원회는 이번 안내서에 이어 AI와 개인정보 보호에 관한 더욱 구체적인 가이드라인을 준비하고 있다. 'AI 프라이버시 민·관 정책 협의회'를 통해 현장에서 실제 적용 가능한 세부 지침들을 마련할 예정이다. 주요 계획으로는 생체인식정보 규율체계에 대한 법안을 마련해 2025년까지 입법을 추진할 예정이고, 2024년에는 이동형 영상기기 촬영정보 활용, AI 투명성 확보, 그리고 합성데이터 활용에 관한 가이드라인을 순차적으로 발표할 계획이다.
관련기사
- 고학수 개보위 위원장 "AI 가이드라인 이달 중 확정·발표…신뢰 기준 마련"2024.05.02
- 개인정보위, 올해 AI 산업 성장 요건 조성..."AI 단계별 6대 가이드라인 마련"2024.02.16
- 오픈AI, 청소년용 AI 사용 가이드라인·교육 자료 만든다2024.01.30
- "AI혁신의 미래, 한 눈에"…국내 최대 박람회 열린다2024.09.19
이러한 세부 가이드라인들은 AI 기술 발전 속도와 개인정보 보호 중요성을 동시에 고려해 마련될 것이다. 개인정보보호위원회는 이를 통해 AI 시대의 개인정보 보호 정책을 더욱 구체화하고 실효성 있게 만들어갈 계획이다. 이와 더불어, 개인정보보호위원회는 앞으로 학계, 산업계, 시민단체 등 다양한 이해관계자들의 의견을 수렴해 안내서를 지속적으로 업데이트할 예정이라고 한다. 또한 사전적정성 검토제, 규제샌드박스 등 다양한 혁신지원제도를 통해 AI 기업들과 소통하며 정책을 발전시켜 나갈 계획이다. 이는 급변하는 AI기술 환경에 유연하게 대응하면서도, 개인정보 보호라는 핵심 가치를 지켜나가기 위한 노력의 일환이다.
AI 기술 혁신과 개인 프라이버시 보호라는 두 가치 조화는 우리 사회의 중요한 과제다. 이번 안내서와 향후 마련할 세부 가이드라인들이 그 균형점을 찾아가는 중요한 이정표가 됐으면 한다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
