개인정보위 "AI 개발에 공개된 개인정보 활용 가능"...미국 유럽과 차이는?

고학수 개보위원장 = 뉴시스

인터넷에 공개적으로 올라와 누구나 접근할 수 있는 데이터에 주민등록번호, 카드번호 등 개인정보가 포함되어 있어도 AI에 학습시킬 수 있을까? 

 

정부가 그동안 명확한 규정이 없던 인터넷 공개 데이터 활용과 관련해 가이드라인을 내놓았다. 개인정보보호위원회는 17일 ‘AI 개발·서비스를 위한 공개된 개인정보 처리 안내서’를 공개했다. ‘정당한 이익’이 있을 경우 공개 데이터의 동의 없는 정보 수집과 이용을 허용하면서도, 이를 활용하는 기업이 안전성을 확보하고 정보주체의 권리를 보장하도록 하는 것이 핵심이다. 

 

공개 데이터는 인터넷상 누구나 합법적으로 접근할 수 있는 데이터로, 챗 GPT 등 생성AI를 개발하기 위한 학습데이터의 핵심원료로 쓰인다. AI 기업들은 커먼크롤), 위키백과, 블로그, 웹사이트 등에 있는 공개 데이터를 웹 스크래핑 등의 방식으로 수집해 AI의 학습데이터로 활용하고 있다.

 

이러한 공개 데이터에는 주소, 고유식별번호, 신용카드번호 등 여러 개인정보가 포함될 수 있어, 국민의 프라이버시가 침해될 우려가 크다. 하지만 현행 개인정보 보호법에는 이러한 공개된 개인정보 처리에 적용될 수 있는 명확한 기준이 없다. AI의 특성상 데이터가 대규모로 처리되는 과정에서 데이터에 포함된 모든 정보주체 개별 동의나 계약 체결 등의 조항을 적용하는 것은 사실상 어렵기 때문이다.

 

이에 따라 개보위가 이번에 공개한 가이드라인은 공개된 개인정보 수집‧활용의 법적기준을 명확히 하고, AI 개발 및 서비스 단계에서 어떤 안전조치를 취하는 것이 적정한지에 대해 기업이 참고할 수 있는 최소한의 기준을 제시하고 있다.

= 가이드 원문 갈무리

먼저 보호법 제15조에 따른 ‘정당한 이익’ 조항에 의해 공개된 개인정보를 AI 학습·서비스 개발에 활용할 수 있다는 점을 분명히 했으며, 이러한 ‘정당한 이익’ 조항을 적용하기 위해서는 AI 개발 목적의 정당성, 공개된 개인정보 처리의 필요성, 구체적 이익형량이라는 세 가지 요건을 충족해야 한다고 명시했다. 개인정보위는 이번 안내서를 통해 세 가지 요건의 내용과 적용사례도 안내했다.

 

이와 함께 개인정보위는 안내서를 통해 인공지능(AI) 기업이 ‘정당한 이익’을 근거로 공개된 개인정보를 처리하기 위해 고려할 수 있는 기술적·관리적 안전성 확보조치와 정보주체 권리보장 방안을 구체적으로 안내했다.

= 가이드 원문 갈무리

개보위는 지난해 8월부터 학계, 법조계, 산업계, 시민단체 등 전문가 30명으로 구성된 '인공지능(AI) 프라이버시 민·관 정책협의회'를 중심으로 안내서에 관한 논의를 진행해왔으며, 학계·산업계·시민단체와도 소통해 광범위한 의견수렴을 병행했다고 밝혔다. 특히 해외 주요국에서도 AI 데이터 처리 전반에 대한 개인정보 보호 규율체계를 형성해나가고 있는 만큼, 국제적으로 상호운용성 있는 기준을 마련하는 데 중점을 두었다고 밝혔다.

 

고학수 개인정보위 위원장은 “인공지능 기술 진보가 빠르게 이루어지고 있지만 인공지능 개발의 핵심 관건인 공개 데이터 학습이 보호법에 비춰 적법하고 안전한지 여부는 공백인 상황이었다”면서 “이번 안내서를 통해 신뢰하는 인공지능·데이터 처리 관행을 기업 스스로 만들어 나가고 이렇게 축적된 모범사례를 안내서에 지속해서 반영할 수 있기를 기대한다”고 말했다.

 

개보위는 인공지능 기업이 모든 안전조치를 의무적으로 시행해야 하는 것은 아니며 안내서에 제시된 여러 안전조치의 순기능과 인공지능 성능저하, 편향성 등 부작용과, 기술 성숙도를 고려해 기업의 특성에 맞는 안전조치의 최적 조합을 스스로 선택해 이행할 수 있다고 밝혔다.

 

다만 이에 대해 일각에서는 이번 발표가 단순한 가이드라인인 만큼, 법적 구속력이나 인센티브가 없어 실효성이 없을 것이라는 우려도 나온다. 이에 따라 기업이 해당 가이드라인을 적절히 이행했을 경우 별도의 인센티브를 제공하거나, 사고가 발생했을 시 처벌 수위를 경감시켜 주는 등의 조치가 필요하다는 목소리도 나온다.

 

양청삼 개인정보위 개인정보정책국장은 이와 관련해 브리핑에서  "AI 데이터 처리 기술 발전의 추세를 지켜보고, 관련 리스크도 구체화 됐을 때 법제화 방안을 검토할 예정이다."라고 밝혔다. 이번 안내서 발간의 취지는 법 해석 기준을 제시했다는 점에 의의가 있다는 설명이다. 

 

또 태현수 개인정보위 데이터안전정책과장 겸 AI프라이버시팀장은 모범 기업의 사례를 전파하고 부진한 기업의 보완을 돕는 것이 현재로서는 최선이지만, 향후 이와 관련해 인센티브를 부여하는 것도 고민해보겠다고 밝혔다.

 

한편 미국, 유럽 등 세계 주요국에서도 공개 데이터 처리를 포함해 AI 개발과 개인정보 보호의 균형을 맞추기 위한 체계를 형성해나가고 있다.

 

미국 캘리포니아주에서 제정된 '캘리포니아 소비자 프라이버시 법(CCPA)'의 경우  소비자에게 자신들의 개인 정보를 어떻게 수집하고 사용하는지 알 권리와 이를 삭제할 권리를 부여하며, 이는 AI 학습 데이터에도 적용될 수 있다.

 

또 EU의 경우 GDPR을 통해 개인정보 보호에 대해 매우 엄격한 규제를 가하고 있다. GDPR은 데이터 수집, 처리, 보관에 대해 엄격하게 규제하며 특히 민감한 개인 데이터는 명시적 동의 없이는 사용할 수 없다.

 

최근 제정된 유럽 인공지능법 역시 데이터 최소화 원칙을 준수하여, AI 시스템이 필요한 최소한의 데이터만 수집하고 처리하도록 요구한다. 또 개인의 접근권, 수정권, 삭제권을 보장해 모든 사람들이 AI 시스템이 자신에 대해 수집하고 처리한 데이터를 열람, 수정, 삭제할 수 있도록 한다.

 

 

 

현기호 기자

저작권자  이코리아 무단전재 및 재배포 금지

 

더 많은 기사는 '이코리아'(http://www.ekoreanews.co.kr/)