챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주]
인공지능(AI)은 이제 모두의 일상에 자연스럽게 자리하고 있다. 궁금한 것이 생겼을 때 AI에게 물어보거나 상담하고 자료를 분석하거나 정리하는 도구로도 활용한다. 마치 운전자가 내비게이션을 켜는 것처럼 AI는 필요할 때 자연스럽게 손이 가는 생활의 기본 도구가 됐다.
그러다 보니 AI에 입력되는 질문, 명령어, 자료 등에는 입력하는 사람에 관한 다양한 정보가 포함된다. 여기에는 그 사람을 식별하고 특정할 수 있는 개인정보는 물론 그 중에서도 그 사람의 사생활에 밀접하게 관련된 '민감정보'가 포함될 수 있다.
개인정보 보호법상 민감정보는 사상이나 신념, 노동조합이나 정당의 가입이나 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료, 생체정보(특정 개인을 알아보기 위해 활용되는 사람의 지문, 얼굴, 홍채, 정맥 등), 인종이나 민족에 관한 정보를 의미한다.
이러한 민감정보는 개인정보 중에서도 정보주체의 사생활을 현저히 침해할 우려가 있다. 이 때문에 개인정보 보호법은 민감정보의 수집 및 이용을 원칙적으로 금지한다. 예외적으로 정보주체의 별도 동의를 받거나 법령에서 민감정보 처리를 허용하는 경우에 한해서만 그 수집과 이용을 허용하고 있다.
이에 따라 AI 서비스를 통해 민감정보가 포함된 정보를 수집하는 것이 예상된다면 미리 이용자로부터 민감정보 처리에 관한 별도 동의를 받아야 할 것이다. 물론 일부 법에 근거해 민감정보 처리가 가능할 수도 있다. 병원 등 의료기관이나 장애인 지원 서비스 관련 AI 상담 챗봇이나 인사 AI 시스템일 경우가 그러한 경우다.
경우에 따라서는 서비스 제공자는 물론 이용자도 AI를 통해 민감정보가 입력될 것을 의도하거나 예상하지 못함에도 정보가 입력되는 경우가 존재한다. 상품 배송 고객센터 상담 챗봇에 고객이 특정 질환이나 병명을 언급하는 경우나 번역이나 문서 요약 등을 위해 업로드한 자료에 각종 민감정보가 포함되어 있을 수도 있다.
앞서 언급한 것처럼 민감정보는 별도 동의나 법령상 근거로만 수집이 가능하다. 통상적으로 민감정보 수집이 예정되지도 않고 어떤 민감정보가 수집될지도 알 수 없는 상황에서 미리 포괄적으로 민감정보 수집 및 이용 동의를 받는 것은 지나치게 포괄적인 동의다. 이 때문에 적법하다고 보기 어렵고 이러한 경우라면 민감정보 수집을 허용하는 법령상 근거도 당연히 없을 것이다.
아직까지는 이러한 문제가 본격적으로 대두되지는 않았다. 민감정보는 대체로 관련 서비스 제공 과정에서 그 수집 및 이용이 수반되거나 예정되는 경우가 많고 사전에 해당 민감정보 처리의 동의를 받으면 되기 때문이다.
그럼에도 의도되지 않은 AI의 민감정보 수집과 이용은 분명 존재하고 특히 민감정보가 포함된 자료 업로드는 예기치 못한 사회적 이슈를 초래할 수도 있다. 일례로 이용자가 번역이나 문서 요약 등을 위해 AI에 올린 자료 안에 본인이나 심지어 제3자의 의료기록, 범죄경력자료, 노동조합 활동이력 등이 포함될 수 있다. 이는 해당 정보주체의 개인정보, 그것도 민감정보의 자기결정권을 중대하게 침해할 수 있다.
이 문제와 관련해서는 1차적으로 AI 서비스 제공자가 AI 서비스상에서 민감정보의 처리가 이뤄지지 않도록 조치하는 방법이 있다. 다만 다양한 한계로 인해 AI 서비스 제공자가 입력된 민감정보를 완전히 적법하게 처리하기는 거의 불가능에 가깝다.
관련기사
- [기고] AI의 시대, 이제는 속도가 아닌 발전2025.08.01
- [기고] 새 정부 출범과 인공지능 시대2025.07.07
- [기고] AI 대전환의 시대, 기업이 지금 챙겨야 할 세가지 체크리스트2025.06.10
- [기고] AI 워싱, 신뢰를 위한 규제와 책임의 조화2025.04.25
이용자로 하여금 민감정보를 완전히 비식별화한 후에만 자료나 정보를 업로드하도록 강제할 수단은 사실상 없다. 그런 서비스를 이용할 이용자는 거의 없을 것이기 때문이다. 더불어 서비스 제공자가 업로드된 자료나 정보(민감정보 포함)를 수집하고 그 자료나 정보에서 민감정보를 인식, 분류해서 삭제하는 것 자체도 결국 민감정보의 '처리'에 해당된다.
규제기관 차원에서 위와 같은 사정이 적극 고려될 필요가 있다. 민감정보 처리가 의도되지 않는 수많은 AI 서비스가 법령과 규제의 범위 내에서 적법하게 정보를 처리할 수 있는 현실적인 가이드라인이 마련되길 기대해 본다.
