개인정보 보호위원회

업무 현장에서 궁금해 할 만한 개인정보 관련 법‧제도‧정책‧사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다.  

[4. 7.(월) 발행] 

신뢰할 수 있는 AI 성장 여건 조성

*하단에 관련 내용은 국회보 4월호에 기재된 글을 일부 편집한 글입니다. 

중국 AI 스타트업 딥시크 등장의 여파가 거셉니다. 딥시크는 저비용·고성능 모델을 구현해 오픈AI, 구글 등 미국 빅테크가 주도하는 질서에 균열을 냈고, 오픈소스 전략을 토대로 글로벌 확장에 나서고 있습니다. 이는 대규모 AI 인프라는 부족하나 보건의료, 금융 등 부문에 양질의 데이터가 축적돼 있고 우수한 AI 인력을 보유한 국내 AI 생태계에 좋은 참고가 될 수 있습니다. 

한편, 딥시크에 대한 각국의 대응은 AI 발전의 이면에 있는 개인정보에 대한 불안요인과 국민 신뢰 확보의 중요성을 보여줬습니다. 아무리 혁신성 높은 기술·서비스라도 개인정보 우려가 높다면 기업 경쟁력에 큰 타격을 줄 수 있고, 비즈니스 모델 전반을 재점검해야 하는 상황이 전개될 수 있습니다. AI 혁신 서비스 개발 및 출시가 급증할 것으로 보이는 지금, AI 기업들은 개인정보 보호 전략을 어떻게 구상해야 하고, AI 시대 개인정보 보호위원회(이하 ‘위원회’)에 요구되는 역할은 무엇일까요.

AI 시대 데이터 처리 방식의 변화

AI 기술의 등장은 개인정보 처리의 패러다임을 크게 바꿨습니다. 현재 우리가 익숙한 개인정보 보호 개념들은 AI 시대 이전의 세상을 기술하는데 적합합니다. AI 시대 이전에는 정보를 보유한 개인과 이를 수집하려는 기업 간의 1:1 관계가 성립됐고, 수집 목적을 특정하고, 개인 동의 확보가 가능했습니다. 그러나 각종 기기와 센서, 인터넷 등에서 수집되는 불특정다수의 데이터로 개발되는 AI 시대에는 ‘동의’나 ‘목적 특정’과 같은 통제가 어려워질 수 있습니다. 

AI 시대의 데이터 처리방식의 근본적 변화는 개인정보 맥락에서 다양한 형태의 리스크를 유발할 수 있습니다. 과거에는 주로 개인정보 DB 유출 등 비교적 예측 가능한 리스크가 주를 이루었다면, AI 기술은 개인의 성격·감정 등 내밀한 사생활을 포함한 민감정보 추론, 딥페이크 악용 등 새롭고 복잡한 리스크를 발생시킬 수 있습니다. 선험적이거나 일률적인 규제는 AI 기업의 새로운 혁신 활동을 위축시킬 수 있어 세심한 대처와 관리를 요구합니다.

AI 시대 ‘원칙’과 ‘리스크’ 중심 규율체계로의 전환

위원회는 AI 기술이 개인정보 영역에 던지는 새로운 화두에 대응하여 AI 시대 개인정보 정책방향(’23.7.)란 총론을 제시하고, 이어서 AI 기술 발전을 유연하게 포섭할 수 있는 ‘원칙’ 중심의 규율 체계를 정립해나가고 있습니다. AI 기술의 진전 속도와 개인정보 보호법제의 간극 심화로 발생하는 법적 불확실성이 민간의 혁신을 저해하는 최대 걸림돌로 지적되고 있어 이를 위한 위원회의 가드레일(guardrail) 마련이 중요해지고 있습니다. 

위원회는 기업의 현장 수요를 반영하여 AI 영역에 특화된 가이드라인을 연달아 발표했는데, 그 중 「AI 개발·서비스를 위한 공개된 개인정보 처리 안내서(’24.7.)」는 인터넷상에 공개된 데이터를 AI 학습에 이용시 필요한 법적근거와 안전조치를 담고 있습니다. 기업·국민에 유익하도록 많은 자료조사와 의견수렴을 거쳤는데, 위원회의 ‘사전 실태점검’ 제도를 활용해 챗GPT, Llama 등 최신 AI 서비스의 공개 데이터 처리 실태를 파악했고, ‘AI 프라이버시 민·관 정책협의회’의 각계 전문가의 AI 현장 경험과 식견을 적극 활용했습니다. 동 안내서는 AI 개발에 필수 요소이자 현실적 대안인 공개 데이터가 AI 기업의 ‘정당한 이익’을 근거로 활용될 수 있음을 명확히 하면서, 이익형량 기준을 충족하기 위해 기업이 고려해야 할 기술적·관리적 안전조치를 상세히 제시하여 국내외 기업과 해외 개인정보 감독기구의 주목을 받았습니다. 

가장 최근에는 기업과 학계에서 논의되는 AI 프라이버시 리스크를 체계화하여 AI 서비스를 기획하는 사업자가 적절한 리스크 평가 및 관리 전략 수립에 참고하도록 「AI 프라이버시 리스크 관리 모델(’24.12.)」을 발표했습니다. 기업은 자사 AI 서비스에 발생 가능한 프라이버시 리스크를 식별·측정하고 개별 리스크 수준에 비례하는 최적의 안전조치 조합을 도입할 수 있어, 혁신을 위한 영역과 자율적 책임을 동시에 확보했습니다. 

현장의 구체적 애로 해소 위한 혁신지원 노력

AI 개발과 서비스 과정의 현장 애로를 청취·소통하면서 AI 혁신 활동도 적극적으로 지원하고 있습니다. 자율주행·첨단바이오 등 신산업 AI 개발에 적정 안전조치를 전제로 개인정보 활용을 허용했고, 보이스피싱 등 민생범죄 예방을 위해 통신사가 실제 음성정보를 학습한 AI를 개발하고 온디바이스 환경에서 구동하도록 하여 개인정보 보호 수준을 높이기도 했습니다. 이외에도 AI 기획 단계부터 현행법 적용방안을 함께 마련하고 이를 이행할 시 조사·처분을 면제하는 일종의 No Action Letter로서 ‘사전적정성 검토제’를 운영하고 있습니다. 기업이 쉽게 소통할 수 있도록 위원장 직속 ‘혁신지원 원스톱 창구’도 운영 중이며 원칙적으로 5일이내 1차 답변을 받을 수 있습니다. 

국내 AI 프라이버시 규범의 국제적 확장

AI 일상화·초개인화 시대, 국제 AI 데이터 논의 흐름을 한국이 주도하기 위한 노력도 이어가고 있습니다. 「프랑스 AI Action Summit」의 일환으로 OECD 및 프랑스·영국·아일랜드·호주 개인정보 감독기구와 함께 고위급 라운드 테이블을 개최한 바 있습니다(25.2). AI 시대 ‘혁신’의 중요성에 대한 공동 인식 아래 AI 데이터 거버넌스 구축을 위한 공동선언문를 채택하는 등 국내 혁신 지향적 정책·집행 경험을 국제 AI프라이버시 규범 논의에 녹여내는 글로벌 리더십도 강화하고 있습니다. 앞으로도 다양한 정책적 노력을 바탕으로, 신뢰할 수 있는 AI 성장 여건을 조성해 나갈 것입니다.

구민주 개인정보보호위원회 인공지능프라이버시팀장