[환경일보] 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 8월 3일 정부서울청사에서 브리핑을 개최하고 ‘인공지능 시대 안전한 개인정보 활용 정책방향’을 발표했다.

챗 GPT 등장 이후 의료, 교육, 유통 등 다양한 분야에서 인공지능(Artificial Intelligence, 이하 AI)을 활용한 서비스가 고도화되면서 AI가 가져오는 편익에 대한 기대가 높아지고 있다. 하지만 AI 기술의 중점이 대규모 언어모델을 기반으로 한 생성형 AI로 이동하고, 공개된 정보를 활용하거나 자율주행차·서비스 로봇 등으로 데이터를 수집하는 등 정보주체가 예측하지 못한 방식으로 데이터가 처리되는 경우가 증가하면서 개인정보 침해 가능성에 대한 우려의 목소리 역시 높아지고 있는 것이 사실이다. 

개인정보위는 이러한 AI에 대한 기대와 우려 사이에서 프라이버시 침해 위험은 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용할 수 있도록 이번 정책방향을 수립하게 됐다. 특히, AI 환경에서 현행 개인정보 보호법을 어떻게 해석·적용할 수 있을지에 대한 준칙을 제시하는 한편, 구체적인 세부 사항에 대해서는 향후 정부와 민간이 협력하여 규율체계를 공동 설계해 나가는 청사진을 제시하는 데 중점을 뒀다.

인공지능 시대 안전한 개인정보 활용 정책방향에 따라 개인정보위가 향후 중점적으로 추진해 나갈 내용은 다음과 같다.

불확실성 해소를 위한 원칙 기반 규율 추진체계 정립

국내 AI 산업은 매출 규모가 2020년 1.9조원에서 2022년 4조원 가까이 증가할 정도로 급속도로 성장하고 있으며, 그 쓰임새도 국민의 일상생활뿐만 아니라 전문영역까지 다양해지고 있다. 해마다 AI 산업에 많은 기업들이 진입하고 있지만, 이들은 데이터를 수집하고 활용하는 데 있어 개인정보 보호 법령 등 관계 법령의 저촉여부를 둘러싸고 불확실성을 호소하고 있다.

개인정보위는 이렇듯 변화 속도가 빠르고 데이터 활용 범위, 방식이 고도로 복잡한 AI에 대해 그 특성을 고려하여 규정 중심이 아닌 원칙(principle) 중심의 규율체계를 정립해 나간다. 이를 위해 AI와 관련된 사항을 전담하는 원스톱 창구인 ‘(가칭)AI 프라이버시팀’을 10월 중 신설한다.

‘AI 프라이버시팀’에서는 AI 모델·서비스를 개발·제공하는 사업자와 소통창구를 마련해 사안별로 개인정보 처리의 적법성, 안전성 등에 대한 법령해석을 지원하거나 규제 샌드박스 적용을 검토하는 등 적극적인 컨설팅 역할을 수행하여 불확실성을 대폭 축소한다.

또한 ‘(가칭)사전 적정성 검토제’도 올해 중 도입한다. 이는 사업자 요청 시 비즈니스 환경을 분석해 개인정보보호법을 준수할 수 있도록 적용 방안을 함께 마련하고, 이에 따른 사업자의 이행결과에 대해 개인정보위가 적정하다고 판단한 사안에 대해서는 행정처분을 하지 않는 제도이다. 특히 사업자가 신청서를 제출한 시점부터 적용방안 통보까지 원칙적으로 60일 이내에 이뤄지도록 해 민간에서 느끼는 법적 리스크를 신속하고 확실하게 줄여 나간다.

AI 개발·서비스 단계별 개인정보 처리기준 구체화

둘째, AI 개발·서비스 단계별 개인정보 처리기준과 보호조치, 고려사항 등을 제시한다. 그간 AI 개발·서비스를 위해 데이터를 수집·이용할 때 개인정보를 어떻게 처리해야 하는지에 대해 별도의 기준이 없었다. 이번 정책방향에서는 현행 개인정보보호법 체계하에서 그간의 해석례·의결례·판례 등을 종합해 AI 개발·서비스 기획-데이터 수집-AI 학습-서비스 제공 등 단계별로 개인정보를 어떠한 원칙과 기준에 입각해 처리할 수 있는지에 대해 최대한 구체화한다.

즉 ▷기획 단계에서는 개인정보 보호 중심 설계 원칙 반영 → 사전 위험 최소화 ▷데이터 수집 단계는 유형별 처리원칙 및 보호조치 준수 ▷AI 학습 단계는 가명처리 특례 및 개인정보 보호 강화 기술 활용 ▷AI 서비스 단계 투명성 확보 및 정보주체 권리보장 필요 등이다.

민·관 협력 통한 분야별 가이드라인 마련

이번에 발표한 정책방향은 현 시점에서의 기초적인 기준과 원칙이다. 이를 바탕으로 실제 현장에서 적용 가능하도록 민간과 협력해 세부 분야별로 구체화해 나갈 계획이다. 특히, AI 기업·개발자, 학계·법조계, 시민단체 등 민·관이 함께 논의할 수 있는 ‘AI 프라이버시 민·관 정책협의회’를 오는 10월 중 구성하고, 추진계획에 따라 분야별 AI 환경에서의 데이터 처리기준 등을 공동으로 작업 발표할 예정이다.

또한 PET(Privacy Enhancing Technology, 개인정보 보호 강화기술)가 활성화될 수 있도록 R&D를 확대하고 관련된 가이드라인 등을 마련하는 한편, PET 적용이 모호하거나 검증이 필요한 경우에는 보안성·안전성이 확보된 ‘개인정보 안심구역’에서 기술개발·실증이 가능하도록 할 계획이다.

이뿐만 아니라 AI의 리스크 수준에 따라 차등적인 규제 설계가 가능할 수 있도록 위험성에 대해 구체적으로 판단할 수 있는 ‘AI 리스크 평가모델’도 마련한다. 이러한 위험성 평가체계를 구축하기 위해서는 여러 실험과 시도가 필요한 만큼 ‘규제 샌드박스’를 활용해 AI 분야의 다양한 사례를 축적하고, 이를 바탕으로 운영현황, 위험요인 등을 분석 리스크를 식별·평가할 수 있는 체계를 2025년까지 지속적으로 구축해 나갈 계획이다.

국제적 공조체계 강화

마지막으로, AI에 관한 디지털 국제규범 형성을 위해 글로벌 협력체계를 공고히 한다. AI는 개발부터 서비스 제공까지 초국가적인 형태로 이루어지는 경우가 많아 개별 국가의 규제만으로는 한계가 있고 국제적으로 공조체계가 필수적이다.

개인정보위는 새로운 차원의 디지털 질서 수립을 선언한 ‘파리 이니셔티브’(6월)에 입각해 AI 개인정보 분야 국제규범 마련을 위한 협력체계를 강화해 나갈 계획이다.

2025년 글로벌 프라이버시 총회(GPA)를 유치하여 AI를 중심으로 디지털 심화 시대에 새롭게 대두되는 프라이버시 이슈에 대해 논의할 예정이다. 그 외에도 여러 논의의 장에 적극적으로 참여해 새로운 국제규범 체계의 확립 과정에 주도적 역할을 할 계획이다. 한편, 오픈AI, 구글, 메타 등 글로벌 AI 사업자와 국내 AI 사업자와의 소통도 활성화한다.

고학수 개인정보보호위원회 위원장은 “이제 AI는 전 세계, 모든 산업에서 기반 기술로서 역할을 하고 있는 만큼 데이터를 어떻게 안전하게 활용할 수 있을지에 대한 새로운 디지털 질서 정립이 필요한 시점”이라면서, “인공지능에 있어 무조건적인 ‘제로 리스크(zero risk)’를 추구하기 보다는 프라이버시 침해 최소화를 위한 실천적 노력을 경주하는 것이 더욱 중요하다는 인식하에 글로벌 규범을 선도할 수 있는 AI 개인정보 규율 체계를 확립해 나가겠다”고 밝혔다.