AI 시대 원칙중심의 규율 체계
[보안뉴스= 고낙준 개인정보보호위원회 신기술개인정보과장] 사람이 지식을 쌓기 위해 공부를 하듯이 AI도 성능을 향상하기 위해서 양질의 데이터를 대량으로, 그리고 지속적으로 학습해야 한다. AI가 학습을 통해 현실에 맞는 결과를 내기 위해서는 개인을 식별할 수 있는 개인정보가 포함된 방대한 학습 데이터가 필요하게 된다. 이는 동의·계약 등의 수집 원칙과 수집 목적 내 제한적 활용이라는 기존 개인정보보호법과 필연적으로 긴장을 유발한다.
[자료: gettyimagesbank]
앞으로 AI는 의료, 교육, 유통 등 모든 영역에서 혁신과 성장 기회를 창출하고, 사회 전반의 편익과 복지 증진에도 크게 기여할 것으로 전망되는 상황에서, 과거 시대의 규제 방식에서 벗어나 AI 리스크에 대한 정확한 이해를 바탕으로 한 체계적인 접근이 중요하다고 할 수 있다. 이에 따라 개인정보보호위원회는 데이터 활용 범위, 방식이 복잡하고 변화 속도가 빠른 AI에 대해서는 세세한 ‘규정’ 중심이 아니라 ‘원칙’ 중심의 규율 체계를 수립하고 있다. 이 글에서는 원칙중심의 규율 체계에 따라 수립된 두 가지 주목해야 할 정책에 대해 상세히 설명하도록 하겠다.
주목해야 할 규율 체계 ① : 개인 영상정보 보호·활용 안내서
기술 발전으로 자율주행차, 배달로봇, 드론 등 다양한 이동형 영상기기가 국민생활 및 산업 전망에 확산하는 추세다. 특히 AI 등의 신기술과 결합해 사람의 개입 없이 스스로 정보를 수집, 판단, 제어하는 새로운 영역으로 발전하고 있다. 이러한 기술 발전 추세를 고려해 개인정보보호법은 제25조의2를 신설(2023년 9월 시행)해 이동형 영상기기에 의한 공개된 장소에서 업무 목적의 촬영을 허용하되, 촬영사실 표시, 부당한 권리침해 금지 등의 요건을 부과한 바가 있다.
개인정보보호위원회는 이 안내서를 통해 ①비례성, ②적법성, ③투명성, ④안전성, ⑤책임성, ⑥목적 제한, ⑦통제권 보장, ⑧사생활 보호라는 8대 원칙(구체적인 내용은 안내서 p21~23 참조)을 제시하면서 개인 영상정보의 처리 단계별 준수사항을 자세히 안내하고 있다.
아울러, 개인 영상정보의 처리 단계를 ①기획·설계 → ②촬영(수집) → ③이용·제공 → ④보관·파기 단계로 구분하고 있으며 단계별 준수사항 중 중요한 내용을 소개하면 다음과 같다.
①기획·설계단계에서는 우선 관련 법적 근거와 목적 달성에 필요한 개인 영상정보의 범위를 확인하고 부당한 권리침해 우려가 없도록 해야 한다. 현재의 사회 상황을 고려했을 때 영상이 촬영되었다는 사실만으로 부당한 수준의 권리침해 우려가 있다고 단정할 수 없으며, △목적의 적당성 △수단의 적합성 △침해되는 정보주체 권리의 성질과 내용 △정보주체의 권리 보장 수준을 종합적으로 검토해야 한다(구체적인 부당한 권리침해 사례는 안내서 p. 35~38 참고).
②촬영(수집) 단계에서는 개인 사생활을 현저히 침해할 수 있는 장소의 내부를 촬영해서는 안되고, 촬영 사실을 불빛·소리·안내판을 통해 알려야 한다.
③이용·제공 단계에서는 당초 촬영 목적 범위 내에서 이용하는 것이 원칙이며, 연구 목적으로 활용 시에는 개인을 알아볼 수 없도록 가명 처리를 해야 한다(다만, 보행자 안전기술 연구 등으로 영상정보 원본 활용이 필요한 경우에는 규제샌드박스를 통해 원본영상 활용을 허용하고 있음).
④보관·파기 단계에서는 구체적인 보유기간을 설정하고, 보관이 불필요한 정보는 지체없이 파기하는 내용을 담고 있다.
주목해야 할 규율 체계 ② : 합성 데이터 생성·활용 안내서
합성 데이터(Synthetic Data)란 특정 목적을 위해 원본 데이터의 형식과 구조 및 통계적 분포 특성과 패턴을 학습해 생성한 모의 또는 가상의 데이터다. 합성 데이터는 가상의 데이터이기 때문에 잘 생성된 합성 데이터는 원본 데이터의 개인식별정보나 민감정보를 외부에 직접적으로 노출하지 않아 개인정보 이슈를 해결하는 하나의 방법이 될 수 있다. 다만, 합성 데이터의 유용성이 증대되고 있지만, 합성 데이터의 성격, 활용 조건 등이 불분명해 민간의 불확실성이 증대되고 있어, 개인정보보호법을 준수하면서 합성데이터를 생성·활용할 수 있도록 안내서를 발간하게 되었다.
해당 안내서에서는 합성 데이터 생성·활용에 앞서 개인정보보호법과의 정합성과 관련해 익명 정보로 합성 데이터를 생성·활용할 경우에는 개인정보보호법 제58조의2에 따라 법 적용이 배제되나, 합성 데이터 전체가 익명 정보인 경우가 아니라면 수집·이용 및 목적 외 이용 등 적법 요건 확인이 필요하다는 점을 알리고 있다. 아울러, 합성 데이터에서 개인정보가 재식별될 가능성 및 합성 데이터 자체가 허위정보 또는 편향된 정보로서 사회적 부작용을 유발할 한계가 있다는 점도 명확히 했다.
개인정보보호위원회는 안내서를 통해 ①사전단계 → ②합성 데이터 생성 → ③안전성·유용성 검증 → ④심의위원회 평가 → ⑤활용 및 안전한 관리라는 5단계의 세부 절차를 제시했으며, 단계별로 세부 절차도 안내하고 있다. 원본 데이터의 전처리 방식, 안전성·유용성 검증 방법과 지표를 설명하고, 생성 과정 전반에 대한 체크리스트와 문서 예시를 함께 제시해 담당자 등이 쉽게 이해할 수 있도록 제시했다.
또한 최근 수요가 증가하는 비정형 합성 데이터(이미지)에 대해서도 절차와 유의사항을 안내하고 있으며, 특히 불특정 다수 등 일반대중 공개를 위한 합성 데이터는 안전성에 중점을 두어 생성·검증하고 심의위원회 평가 등을 거쳐 익명정보로 활용할 수 있다는 점도 설명돼 있다.
현장의 불확실성 해소에 주력
AI 시대에 이동형 영상처리기기와 합성 데이터는 그 중요성이 날로 커지고 있지만, 새롭게 등장한 만큼 아직 구체적인 활용 기준, 방법, 절차 관련 내용이 체계적으로 정리되어 있지 않았다. 산업·연구현장에서는 그간 구체적으로 어떻게 해야 하는지 답답함이 존재하는 경우가 많은데, 두 안내서를 통해 상당 부분 해소될 것으로 기대하고 있다. 두 안내서는 개인정보보호위원회 홈페이지(초기화면에서 법령 > 안내서)에서 쉽게 확인해 볼 수 있다.
[글_ 고낙준 개인정보보호위원회 신기술개인정보과장]
[보안뉴스= 고낙준 개인정보보호위원회 신기술개인정보과장] 사람이 지식을 쌓기 위해 공부를 하듯이 AI도 성능을 향상하기 위해서 양질의 데이터를 대량으로, 그리고 지속적으로 학습해야 한다. AI가 학습을 통해 현실에 맞는 결과를 내기 위해서는 개인을 식별할 수 있는 개인정보가 포함된 방대한 학습 데이터가 필요하게 된다. 이는 동의·계약 등의 수집 원칙과 수집 목적 내 제한적 활용이라는 기존 개인정보보호법과 필연적으로 긴장을 유발한다.
[자료: gettyimagesbank]
앞으로 AI는 의료, 교육, 유통 등 모든 영역에서 혁신과 성장 기회를 창출하고, 사회 전반의 편익과 복지 증진에도 크게 기여할 것으로 전망되는 상황에서, 과거 시대의 규제 방식에서 벗어나 AI 리스크에 대한 정확한 이해를 바탕으로 한 체계적인 접근이 중요하다고 할 수 있다. 이에 따라 개인정보보호위원회는 데이터 활용 범위, 방식이 복잡하고 변화 속도가 빠른 AI에 대해서는 세세한 ‘규정’ 중심이 아니라 ‘원칙’ 중심의 규율 체계를 수립하고 있다. 이 글에서는 원칙중심의 규율 체계에 따라 수립된 두 가지 주목해야 할 정책에 대해 상세히 설명하도록 하겠다.
주목해야 할 규율 체계 ① : 개인 영상정보 보호·활용 안내서
기술 발전으로 자율주행차, 배달로봇, 드론 등 다양한 이동형 영상기기가 국민생활 및 산업 전망에 확산하는 추세다. 특히 AI 등의 신기술과 결합해 사람의 개입 없이 스스로 정보를 수집, 판단, 제어하는 새로운 영역으로 발전하고 있다. 이러한 기술 발전 추세를 고려해 개인정보보호법은 제25조의2를 신설(2023년 9월 시행)해 이동형 영상기기에 의한 공개된 장소에서 업무 목적의 촬영을 허용하되, 촬영사실 표시, 부당한 권리침해 금지 등의 요건을 부과한 바가 있다.
개인정보보호위원회는 이 안내서를 통해 ①비례성, ②적법성, ③투명성, ④안전성, ⑤책임성, ⑥목적 제한, ⑦통제권 보장, ⑧사생활 보호라는 8대 원칙(구체적인 내용은 안내서 p21~23 참조)을 제시하면서 개인 영상정보의 처리 단계별 준수사항을 자세히 안내하고 있다.
아울러, 개인 영상정보의 처리 단계를 ①기획·설계 → ②촬영(수집) → ③이용·제공 → ④보관·파기 단계로 구분하고 있으며 단계별 준수사항 중 중요한 내용을 소개하면 다음과 같다.
①기획·설계단계에서는 우선 관련 법적 근거와 목적 달성에 필요한 개인 영상정보의 범위를 확인하고 부당한 권리침해 우려가 없도록 해야 한다. 현재의 사회 상황을 고려했을 때 영상이 촬영되었다는 사실만으로 부당한 수준의 권리침해 우려가 있다고 단정할 수 없으며, △목적의 적당성 △수단의 적합성 △침해되는 정보주체 권리의 성질과 내용 △정보주체의 권리 보장 수준을 종합적으로 검토해야 한다(구체적인 부당한 권리침해 사례는 안내서 p. 35~38 참고).
②촬영(수집) 단계에서는 개인 사생활을 현저히 침해할 수 있는 장소의 내부를 촬영해서는 안되고, 촬영 사실을 불빛·소리·안내판을 통해 알려야 한다.
③이용·제공 단계에서는 당초 촬영 목적 범위 내에서 이용하는 것이 원칙이며, 연구 목적으로 활용 시에는 개인을 알아볼 수 없도록 가명 처리를 해야 한다(다만, 보행자 안전기술 연구 등으로 영상정보 원본 활용이 필요한 경우에는 규제샌드박스를 통해 원본영상 활용을 허용하고 있음).
④보관·파기 단계에서는 구체적인 보유기간을 설정하고, 보관이 불필요한 정보는 지체없이 파기하는 내용을 담고 있다.
주목해야 할 규율 체계 ② : 합성 데이터 생성·활용 안내서
합성 데이터(Synthetic Data)란 특정 목적을 위해 원본 데이터의 형식과 구조 및 통계적 분포 특성과 패턴을 학습해 생성한 모의 또는 가상의 데이터다. 합성 데이터는 가상의 데이터이기 때문에 잘 생성된 합성 데이터는 원본 데이터의 개인식별정보나 민감정보를 외부에 직접적으로 노출하지 않아 개인정보 이슈를 해결하는 하나의 방법이 될 수 있다. 다만, 합성 데이터의 유용성이 증대되고 있지만, 합성 데이터의 성격, 활용 조건 등이 불분명해 민간의 불확실성이 증대되고 있어, 개인정보보호법을 준수하면서 합성데이터를 생성·활용할 수 있도록 안내서를 발간하게 되었다.
해당 안내서에서는 합성 데이터 생성·활용에 앞서 개인정보보호법과의 정합성과 관련해 익명 정보로 합성 데이터를 생성·활용할 경우에는 개인정보보호법 제58조의2에 따라 법 적용이 배제되나, 합성 데이터 전체가 익명 정보인 경우가 아니라면 수집·이용 및 목적 외 이용 등 적법 요건 확인이 필요하다는 점을 알리고 있다. 아울러, 합성 데이터에서 개인정보가 재식별될 가능성 및 합성 데이터 자체가 허위정보 또는 편향된 정보로서 사회적 부작용을 유발할 한계가 있다는 점도 명확히 했다.
개인정보보호위원회는 안내서를 통해 ①사전단계 → ②합성 데이터 생성 → ③안전성·유용성 검증 → ④심의위원회 평가 → ⑤활용 및 안전한 관리라는 5단계의 세부 절차를 제시했으며, 단계별로 세부 절차도 안내하고 있다. 원본 데이터의 전처리 방식, 안전성·유용성 검증 방법과 지표를 설명하고, 생성 과정 전반에 대한 체크리스트와 문서 예시를 함께 제시해 담당자 등이 쉽게 이해할 수 있도록 제시했다.
또한 최근 수요가 증가하는 비정형 합성 데이터(이미지)에 대해서도 절차와 유의사항을 안내하고 있으며, 특히 불특정 다수 등 일반대중 공개를 위한 합성 데이터는 안전성에 중점을 두어 생성·검증하고 심의위원회 평가 등을 거쳐 익명정보로 활용할 수 있다는 점도 설명돼 있다.
현장의 불확실성 해소에 주력
AI 시대에 이동형 영상처리기기와 합성 데이터는 그 중요성이 날로 커지고 있지만, 새롭게 등장한 만큼 아직 구체적인 활용 기준, 방법, 절차 관련 내용이 체계적으로 정리되어 있지 않았다. 산업·연구현장에서는 그간 구체적으로 어떻게 해야 하는지 답답함이 존재하는 경우가 많은데, 두 안내서를 통해 상당 부분 해소될 것으로 기대하고 있다. 두 안내서는 개인정보보호위원회 홈페이지(초기화면에서 법령 > 안내서)에서 쉽게 확인해 볼 수 있다.
[글_ 고낙준 개인정보보호위원회 신기술개인정보과장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
