AI 기술을 개발하거나 AI 기반의 서비스를 할 때 공개된 개인정보를 처리할 수 있는 범위와 기준이 담긴 가이드라인이 마련됐다. 이번 안내서에는 '공개된 개인정보는 AI 개발과 서비스에 활용될 수 있다'는 전제로 개인정보 처리에 대한 법적 기준이 제시됐다. 이밖에도 개인정보 보호를 위해 안전성을 확보할 수 있는 조치가 포함됐다.
공개된 개인정보 처리할 때 '정당한 이익'에 부합해야
개인정보보호위원회는 17일 'AI 개발·서비스를 위한 공개된 개인정보 처리 안내서'를 공개했다. 이번 안내서는 AI를 개발하거나 기반 서비스를 제공하는 기업·개인을 대상으로, AI 개발을 할 때 기준이 없어 발생하게 되는 불확실성이나 부담을 경감시키기 위해 마련됐다.
안내서에 명시된 개인정보는 '공개된 개인정보'로 한정한다. '공개된 개인정보'는 누구나 합법적으로 접근 가능한 SNS, 블로그와 위키백과 등에 공개된 개인정보를 지칭한다.
개인정보보호법 제 15조에 따르면 '개인정보처리자의
정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우'에 개인정보를 이용 및 처리할 수 있다.
개인정보위는 현행 개인정보보호법에 명시돼 있는 '정당한 이익'을 판단하는 세 가지 기준을 제시했다. '정당한 이익'을 법적 근거로서 AI 학습에 공개된 개인정보를 사용할 수 있다고 규정했다.
안내서상
정당한 이익의 기준으로는 △목적의 정당성 △처리의 필요성 △구체적 이익형량이 제시됐다. '목적의 정당성'은 개인정보를 처리하는 자에게 영업상 이익과 사회적 이익을 비롯해 정당한 이익이 명백한 목적으로 개인정보가 쓰였는지 판단해야 한다는 것이다.
특히 생성형 AI를 개발할 때 데이터가 편향되지 않도록 하기 위해선 충분한 데이터가 필요하다. 이를 위해 웹스크래핑(웹에 있는 정보를 긁어모으는 행위)을 통해 최대한 많은 데이터를 모아야 한다. 다만 이러한 경우에도 개인정보 처리가 필요한지 반드시 판단해봐야 한다는 취지에서 '처리의 필요성'이 기준으로 제시됐다.
'구체적 이익형량'은 정보처리자가 개인정보를 사용해 얻는 이익이 정보주체의 권리보다 큰 지를 판단하는 것이다. 정보처리자가 정보주체의 권리가 침해당하지 않도록 안전성 확보하기 위한 조치를 취했는지, 권리를 보장하는 방안이 마련됐는지 반영된다.
안전조치 3단계 제시…다만 강제성은 없어
AI 학습 특성상 하나의 데이터가 분할되고 새롭게 조합되는 과정을 거치면서 식별 위험성은 낮은 편이다. 다만 개인정보 침해 위험은 여전하다는 점에서 이에 대한 안전 조치가 안내서를 통해 마련됐다.
개인정보위는
'기술적 조치'로서 학습데이터가 수집된 출처를 검증하고 개인정보 노출 방지를 위해 개인을 특정할 수 있는
고유식별정보를 삭제하거나 암호화 처리하는 방안을 제시했다. 결과 데이터를 두 사람이 직접 피드백을 주며 제대로 된 데이터를 학습할 수 있도록 하는 방안도 포함됐다.
'관리적 안전조치'로는 AI 정보처리자가 학습데이터 처리기준을 정립하고 개인정보처리방침에 공개하도록
했다. AI 프라이버시 레드팀(가칭)을 운영해 개인정보 침해 여부를 지속적으로 점검하고, 오픈소스를 개벌하거나 배포할 때 각 특성에 맞는 안전조치를 마련하도록 했다.
정보주체의 권리를 보장하는 방안으로 AI 정보처리자가 시간과 비용, 기술적 측면에서 합리적으로 실현가능한 범위 내에서 권리를 보장할 수 있는 방안을 마련하고 안내하도록 했다.
다만 개보위는 안전조치는 업체에게 일률적으로 적용할 수 없다는 판단으로
법적 강제성 없이 가이드라인 차원으로만 제시했다. 그러나 정보처리자가 '정당한 이익'을 주장해도 적절한 안전조치가 취해지지 않아 발생한 중대한 권리침해에 대해서는 책임이 따를 수 있다.
개인정보위는 이번에 마련된 가이드라인은 국내외 사업자에게 동일하게 적용돼 국내외 기업 간 차별 우려는 없다고 밝혔다.
개인정보위 태현수 인공지능프라이버시팀장은 "개인정보보호법이 규제가 많은 법이어서 이번 안내서로 인해 새로운 규제가 될 수 있다는 우려가 큰 것 같다"며 "전례 없이 명시된 '안전조치를 모두 지키지 않아도 된다'는 문구가 들어갈 정도로 기업이 자율적으로 조치할 수 있도록 할 것"이라고 밝혔다.