생성형 AI(인공지능)가 급부상하며 AI로 인해 발생할 수 있는 위험에 대한 경고의 목소리도 높아지는 가운데, 개인정보보호위원회(이하 개인정보위)가 ‘인공지능 시대 안전한 개인정보 활용 정책 방향’을 발표하며 향후 AI 개발과 개인정보 보호에 관련한 가이드라인을 제시했다.

챗GPT 등장 이후 의료, 교육, 유통 등 다양한 분야에서 인공지능(AI)을 활용한 서비스가 고도화되면서 AI가 가져오는 편익에 대한 기대가 높아지고 있다.

하지만 AI 기술의 중점이 대규모 언어 모델을 기반으로 한 생성형 AI로 이동하고 공개된 정보를 활용하거나 자율주행차, 서비스 로봇 등으로 데이터를 수집하는 등 정보 주체가 예측하지 못한 방식으로 데이터가 처리되는 경우가 증가하면서 개인정보 침해 가능성에 대한 우려의 목소리 역시 높아지고 있는 것이 사실이다.

개인정보위는 이러한 AI에 대한 기대와 우려 사이에서 개인정보 침해 위험을 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용할 수 있도록 정책 방향을 수립했다.

특히, AI 환경에서 현행 ‘개인정보 보호법’을 어떻게 해석·적용할 수 있을지에 대한 준칙을 제시하고, 구체적인 세부 사항에 대해서는 향후 정부와 민간이 협력하여 규율 체계를 공동 설계해 나가는 청사진을 보여 주는 데 중점을 두었다.

이번에 발표한 정책 방향과 관련한 구체적인 내용은 개인정보위가 배포한 자료집을 통해 확인할 수 있으며 그 내용을 간략히 정리하면 다음과 같다.

1. 불확실성 해소를 위한 원칙 기반 규율 추진 체계 정립

국내 AI 산업은 매출 규모가 2020년 1.9조 원에서 2022년 4조 원 가까이 증가했으며, 그 쓰임새도 국민의 일상생활뿐만 아니라 전문 영역까지 다양해지고 있다. 해마다 AI 산업에 많은 기업들이 진입하고 있지만, 이들은 데이터를 수집하고 활용하는 데 있어 개인정보 보호 법령 등 관계 법령의 저촉 여부를 둘러싸고 불확실성을 호소하고 있다.

개인정보위는 이렇듯 변화 속도가 빠르고 데이터 활용 범위, 방식이 고도로 복잡한 AI에 대해 그 특성을 고려하여 규정 중심이 아닌 원칙(principle) 중심의 규율 체계를 정립해 나간다는 방침이다. 이를 위해 AI와 관련된 사항을 전담하는 통합 창구인 ‘(가칭)AI 프라이버시팀’을 10월 중 신설한다.

(가칭)AI 프라이버시팀에서는 AI 모델과 서비스를 개발하고 제공하는 사업자와 소통 창구를 마련하여 사안별로 개인정보 처리의 적법성, 안전성 등에 대한 법령 해석을 지원하거나 규제 샌드박스 적용을 검토하는 등 적극적인 컨설팅 역할을 수행하여 불확실성을 대폭 축소한다.

이와 함께 ‘(가칭)사전 적정성 검토제’도 올해 중 도입한다. 이는 사업자 요청 시 비즈니스 환경을 분석하여 개인정보 보호법을 준수할 수 있도록 적용 방안을 함께 마련하고, 이에 따른 사업자의 이행 결과에 대해 개인정보위가 적정하다고 판단한 사안에 대해서는 행정처분을 하지 않는 제도다.

특히 사업자가 신청서를 제출한 시점부터 적용 방안 통보까지 원칙적으로 60일 이내에 이루어지도록 하여 민간에서 느끼는 법적 리스크를 신속하고 확실하게 줄여 나가는 것이 목적이다.

2. AI 개발·서비스 단계별 개인정보 처리 기준 구체화

AI 개발과 서비스 단계별 개인정보 처리 기준과 보호 조치, 고려 사항 등을 제시한다. 그간 AI 개발과 서비스를 위해 데이터를 수집하고 이용할 때 개인정보를 어떻게 처리해야 하는지에 대해 별도의 기준이 없었다.

이번 정책 방향에서는 현행 개인정보 보호법 체계하에서 그간의 해석례, 의결례, 판례 등을 종합하여 AI 개발과 서비스 기획-데이터 수집-AI 학습-서비스 제공 등 단계별로 개인정보를 어떠한 원칙과 기준에 입각하여 처리할 수 있는지에 대해 최대한 구체화했다.

3. 민관 협력을 통한 분야별 가이드라인 마련

이번에 발표한 정책 방향은 현 시점에서의 기초적인 기준과 원칙이다. 이를 바탕으로 실제 현장에서 적용 가능하도록 민간과 협력하여 세부 분야별로 구체화해 나갈 계획이다. 특히, AI 기업과 개발자, 학계, 법조계, 시민 단체 등 민관이 함께 논의할 수 있는 ‘AI 프라이버시 민·관 정책협의회’를 10월 중 구성하고, 추진 계획에 따라 분야별 AI 환경에서의 데이터 처리 기준 등을 공동으로 작업하여 발표할 예정이다.

또한 PET가 활성화될 수 있도록 R&D를 확대하고 관련된 가이드라인 등을 마련하는 한편, PET 적용이 모호하거나 검증이 필요한 경우에는 보안성과 안전성이 확보된 ‘개인정보 안심구역’에서 기술 개발과 실증이 가능하도록 할 계획이다. 개인정보 안심구역은 데이터 처리의 환경적 안전성을 높여 개인정보 및 가명정보를 보다 유연하게 활용할 수 있는 구역으로 올해 10월 시범 운영될 예정이다.

이 외에도 AI의 리스크 수준에 따라 차등적인 규제 설계가 가능할 수 있도록 위험성에 대해 구체적으로 판단할 수 있는 ‘AI 리스크 평가모델’도 마련한다. 이러한 위험성 평가 체계를 구축하기 위해서는 여러 실험과 시도가 필요한 만큼 규제 샌드박스를 활용하여 AI 분야의 다양한 사례를 축적하고, 이를 바탕으로 운영 현황, 위험 요인 등을 분석하여 리스크를 식별 및 평가할 수 있는 체계를 2025년까지 지속적으로 구축해 나갈 계획이다.

4. 국제적 공조 체계 강화

마지막으로, AI에 관한 디지털 국제 규범 형성을 위해 글로벌 협력 체계를 공고히 한다. AI는 개발부터 서비스 제공까지 초국가적인 형태로 이루어지는 경우가 많아 개별 국가의 규제만으로는 한계가 있고 국제적으로 공조 체계가 필수적이다.

개인정보위는 새로운 차원의 디지털 질서 수립을 선언한 ‘파리 이니셔티브(2023.6.)’에 입각해 AI 개인정보 분야 국제 규범 마련을 위한 협력 체계를 강화해 나갈 계획이다. 올해 6월 서울에서 개최한 ‘AI와 데이터 프라이버시 국제 컨퍼런스’를 시작으로 주요국 개인정보 감독 기구와 함께 각 국의 법과 정책, 처분 사례 등을 공유하고 AI로 인한 개인정보 침해 이슈 발생 시 신속하게 대응할 수 있도록 할 방침이다.

2025년에는 개인정보 국제 협의체인 ‘글로벌 프라이버시 총회(GPA: Global Privacy Assembly)’를 유치하여 AI를 중심으로 디지털 심화 시대에 새롭게 대두되는 개인정보 과제에 대해 논의할 예정이다. 이 밖에도 여러 논의의 장에 적극적으로 참여하여 새로운 국제규범 체계의 확립 과정에 주도적 역할을 할 계획이다. 오픈AI, 구글, 메타 등 글로벌 AI 사업자와 국내 AI 사업자와의 소통도 활성화한다.

석주원 기자 다른기사 보기