공공기관들이 인공지능(AI) 활용 사업을 추진할 때 사전에 개인정보보호 리스크를 식별하고 경감할 수 있는 구체적 기준이 마련됐다.
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 3일 제19회 전체회의를 개최하고 '개인정보 영향평가에 관한 고시' 개정안을 의결했다. 개정 고시는 이달 5일부터 시행한다.
개인정보 영향평가(이하 영향평가)는 개인정보 처리가 필요한 사업 추진 시 사전에 개인정보에 미치는 영향을 분석하고 개선방안을 수립해 개인정보 침해사고를 예방하는 제도다. 공공기관은 일정 규모 이상(①민감·고유식별정보 5만 명 이상 ②다른 개인정보파일과 연계 정보 50만 명 이상 ③개인정보 100만 명 이상) 개인정보 파일을 구축 및 운영하거나 변경할 경우 영향평가를 의무적으로 실시해야 한다.
현행 고시에는 인공지능 분야의 별도 기준이 없어, 인공지능을 도입·활용하는 공공기관들은 영향평가 시 개별적으로 평가항목을 개발해 반영해야 했다. 이에 기관 입장에서는 평가항목이 적정한지 여부를 알기 어려웠다. 이에 개인정보위는 고시 및 안내서를 개정해 ▲인공지능 시스템 학습 및 개발 ▲인공지능 시스템 운영 및 관리 등 2개 세부 평가분야를 신설했다.
먼저, ‘인공지능 시스템 학습 및 개발’ 관련해서는 ①개인정보 처리시 적법한 법적 근거를 확보하고 있는지 ②민감정보·14세 미만 아동정보 등이 불필요하게 포함되지 않는지 ③AI 학습용 데이터의 보유 및 파기를 명확히 규정하고 있는지 등을 검토하도록 했다.
또 ‘인공지능 시스템 운영 및 관리’ 관련해서는 ①AI 개발 및 운영주체 간 책임성 명확화 ②생성형 AI 서비스 제공시 허용되는 이용 방침(Acceptable Use Policy, AUP) 제공 ③생성형 AI 시스템의 부적절한 답변, 개인정보 유·노출에 대한 신고 기능 마련 등 정보주체 권리보장 방안 수립·시행을 주요 평가기준으로 제시했다.
평가항목은 그간 개인정보위에서 발간한 인공지능 맥락에서의 개인정보 보호법 적용을 위한 안내서들을 고려해 마련했다. 예커내, 인공지능 개발· 서비스를 위한 공개된 개인정보 처리 안내서(‘24.7.), 안전한 인공지능 데이터 활용을 위한 인공지능 프라이버시 리스크 관리모델(’24.12.), 생성형 인공지능 개발·활용을 위한 개인정보 처리 안내서(‘25.8.) 등이다.
관련기사
- 개보위, '내정보지킴이 캠페인' 내달 개최…기간 확대2025.08.26
- 개보위, SKT 제재안 27일 상정…과징금 얼마나?2025.08.21
- 개보위, 개인정보보호 모의재판 경연대회 개최2025.08.13
- 삼성·SK, 차세대 HBM 상용화 총력…범용 D램 가격 상승 '압박'2025.09.04
상세한 평가항목은 ‘개인정보 영향평가 수행안내서’를 통해 구체적 해설·사례와 함께 공개되며, 개인정보위는 관련 기관·기업의 적용 사례 등 다양한 의견을 수렴해 평가항목을 지속적으로 개선해 나갈 계획이다.
아울러, 이번에 마련한 인공지능 분야 영향평가 기준은 공공기관 뿐 아니라 민간기업에서도 인공지능을 활용한 개인정보 처리시 잠재적인 위험성을 식별하고 경감하는 사전 예방적 개인정보 보호체계를 구축하는 데 유용한 참고자료로 활용될 수 있을 것으로 전망된다.
