정부가 인공지능(AI) 프라이버시 침해 위험은 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용할 수 있도록 정책방향을 수립·추진한다.
이에 오는 10월 중 AI와 관련된 사항을 전담하는 원스톱 창구 ‘(가칭) AI 프라이버시팀’을 신설하고 올해 안에 ‘(가칭) 사전 적정성 검토제’도 도입할 계획이다.
개인정보보호위원회는 3일 정부서울청사에서 발표한 ‘인공지능 시대 안전한 개인정보 활용 정책방향’에서 AI 단계별 개인정보 처리원칙을 제시하고 신속한 법령해석과 컨설팅 등을 지원하겠다고 밝혔다.
이번 정책은 AI 환경에서 현행 ‘개인정보 보호법’을 어떻게 해석·적용할 수 있을지에 대한 준칙과 함께 구체적인 세부 사항은 향후 정부와 민간이 협력해 규율체계를 공동 설계해 나가는 청사진을 제시하는 데 중점을 두었다.
◆주요 추진과제
챗 GPT 등장 이후 의료, 교육, 유통 등 다양한 분야에서 인공지능을 활용한 서비스가 고도화되면서 AI가 가져오는 편익에 대한 기대가 높아지고 있다.
하지만 AI 기술의 중점이 대규모 언어모델을 기반으로 한 생성형 AI로 이동하고 정보주체가 예측하지 못한 방식으로 데이터가 처리되는 경우 또한 증가하고 있다.
이에 개인정보위는 이러한 AI의 개인정보 침해 가능성에 대한 우려의 목소리를 반영해 이번 정책방향을 수립했다.
◆ 원칙 기반 규율 추진체계 정립
국내 AI 산업은 매출규모가 2020년 1조 9000억 원에서 지난해 4조 원 가까이 증가할 정도로 급속도로 성장하고 있으며, 그 쓰임새도 국민의 일상생활뿐만 아니라 전문영역까지 다양해지고 있다.
또한 해마다 AI 산업에 많은 기업들이 진입하고 있지만, 이들은 데이터를 수집하고 활용하는 데 있어 개인정보 보호 법령 등 관계 법령의 저촉여부를 둘러싸고 불확실성을 호소하고 있다.
이에 개인정보위는 이렇듯 변화 속도가 빠르고 데이터 활용 범위, 방식이 고도로 복잡한 AI에 대해 그 특성을 고려해 규정 중심이 아닌 원칙(principle) 중심의 규율체계를 정립해 나가기로 했다.
먼저 오는 10월에 AI 모델·서비스를 개발·제공하는 사업자와 소통창구를 마련하는 ‘(가칭) AI 프라이버시팀’을 신설한다.
AI 프라이버시팀은 사안별로 개인정보 처리의 적법성, 안전성 등에 대한 법령해석을 지원하거나 규제 샌드박스 적용을 검토하는 등 적극적인 컨설팅 역할을 수행해 불확실성을 대폭 축소한다.
올해 중 도입 예정인 ‘(가칭) 사전 적정성 검토제’로 사업자 요청 시 비즈니스 환경을 분석해 개인정보 보호법을 준수할 수 있도록 적용방안을 함께 마련한다.
이에 따른 사업자의 이행결과에 대해 개인정보위가 적정하다고 판단한 사안에 대해서는 행정처분을 하지 않는 것이 이 제도다.
특히 사업자가 신청서를 제출한 시점부터 적용방안 통보까지 원칙적으로 60일 이내에 이루어지도록 해 민간에서 느끼는 법적 리스크를 신속하고 확실하게 줄여나간다.
◆ 개인정보 처리기준 구체화
AI 개발·서비스 단계별 개인정보 처리기준과 보호조치, 고려사항 등을 제시하기로 했다.
그동안 AI 개발·서비스를 위해 데이터를 수집·이용할 때 개인정보를 어떻게 처리해야 하는지에 대해 별도의 기준이 없었는데, 이번 정책방향에서는 구체안을 마련한다.
먼저 AI 모델·서비스를 기획하는 단계에서 개인정보 보호 중심 설계 원칙을 반영해 모델링·학습·운영 과정에서 개인정보 침해 위험을 최소화할 수 있는 방안 등을 안내한다.
또한 이러한 리스크를 파악하고 대응조치를 설계-적용-관리하는 개발자와 개인정보 보호 담당자가 협업하는 거버넌스 체계를 구축할 것을 권장했다.
데이터 수집 단계에서는 개인정보의 처리 원칙을 일반 개인정보, 공개된 정보, 영상정보, 생체인식정보로 나누어 제시한다.
특히 대규모 언어모델을 개발하는 경우 공개된 정보를 부분적으로라도 이용해야 하는 상황이 발생할 수 있는데, 공개된 정보의 처리가 가능한 경우를 체계화하고 이때 고려해야 하는 사항을 안내했다.
아울러 개인정보보호법개정으로 오는 9월 15일부터 시행 예정인 이동형 영상기기 규정과 관련해 드론·자율주행차 등을 통한 영상의 촬영, 원격관제, 저장, AI 학습 등이 가능한 경우도 안내했다.
AI 학습 단계에서는 개인정보를 가명처리해 별도의 동의 없이 AI 연구개발이 가능함을 명확히 했다.
다만 이 경우에도 다른 정보와의 연계·결합을 통한 재식별 등 사전·사후적으로 발생 가능한 위험에 대한 방지 조치가 중요하다는 점이 강조됐다.
한편 AI 활용 맥락에서 나타나는 다양한 위험을 사전에 완벽히 제거하는 것은 어려우므로 이를 최소화하기 위한 노력 정도에 따라 예방조치의 이행 수준을 판단할 것임을 밝혔다.
이와 함께 AI 모델을 개발해 실제 이용자를 대상으로 서비스를 상용화하는 단계에서는 투명성 확보와 정보주체의 권리보장이 필요하다는 점을 강조했다.
또 AI 특성을 고려해 구체적인 공개범위 및 방법, 권리행사 방안 등에 대해서는 충분한 검토 이후 가이드라인을 마련하기로 했다.
이밖에도 기존 AI 모델의 API를 활용하거나 기존 서비스에 플러그인을 추가하는 경우에도 사용자 등이 개인정보 보호조치를 준수할 수 있도록 상세한 사용지침, 기술문서 등을 제공하는 등 적극적으로 안내해야 한다는 점을 강조했다.
◆ 분야별 가이드라인 마련
이번에 발표한 정책방향은 현시점에서의 기초적인 기준과 원칙으로, 이에 실제 현장에서 적용 가능하도록 민간과 협력해 세부 분야별로 구체화해 나갈 계획이다.
특히 AI 기업·개발자, 학계·법조계, 시민단체 등 민·관이 함께 논의할 수 있는 ‘AI 프라이버시 민·관 정책협의회’를 오는 10월 중 구성하고, 추진계획에 따라 분야별 AI 환경에서의 데이터 처리기준 등을 공동으로 작업해 발표할 예정이다.
PET가 활성화될 수 있도록 R&D를 확대하고 관련된 가이드라인 등을 마련하고, PET 적용이 모호하거나 검증이 필요한 경우에는 보안성·안전성이 확보된 ‘개인정보 안심구역’에서 기술개발·실증이 가능하도록 한다.
아울러 AI의 리스크 수준에 따라 차등적인 규제 설계가 가능할 수 있도록 위험성에 대해 구체적으로 판단할 수 있는 ‘AI 리스크 평가모델’도 마련한다.
이에 규제 샌드박스를 활용해 AI 분야의 다양한 사례를 축적하고 이를 바탕으로 운영현황과 위험요인 등을 분석해 리스크를 식별·평가할 수 있는 체계를 2025년까지 지속적으로 구축해 나간다.
◆ 국제적 공조체계 강화
AI에 관한 디지털 국제규범 형성을 위해 글로벌 협력체계를 공고히 하기로 했다.
AI는 개발부터 서비스 제공까지 초국가적인 형태로 이루어지는 경우가 많아 개별 국가의 규제만으로는 한계가 있고 국제적으로 공조체계가 필수적이다.
이에 새로운 차원의 디지털 질서 수립을 선언한 ‘파리 이니셔티브’에 입각해 AI 개인정보 분야 국제규범 마련을 위한 협력체계를 강화해 나갈 계획이다.
또한 AI로 인한 개인정보 침해 이슈 발생 시 신속하게 대응할 수 있도록 하고, 2025년 글로벌 프라이버시 총회를 유치해 AI를 중심으로 디지털 심화 시대에 새롭게 대두되는 프라이버시 이슈에 대해 논의할 예정이다.
이 밖에도 여러 논의의 장에 적극적으로 참여해 새로운 국제규범 체계의 확립 과정에 주도적 역할을 하고 오픈AI, 구글, 메타 등 글로벌 AI 사업자와 국내 AI 사업자와의 소통도 활성화한다.
고학수 개인정보위 위원장은 “이제 AI는 전 세계, 모든 산업에서 기반 기술로서 역할을 하고 있는 만큼 데이터를 어떻게 안전하게 활용할 수 있을지에 대한 새로운 디지털 질서 정립이 필요한 시점”이라고 강조했다.
이어 “인공지능에 있어 무조건적인 제로 리스크(zero risk)를 추구하기보다는 프라이버시 침해 최소화를 위한 실천적 노력을 경주하는 것이 더욱 중요하다는 인식을 바탕으로 글로벌 규범을 선도할 수 있는 AI 개인정보 규율체계를 확립해 나가겠다”고 밝혔다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★