‘개인정보 영향평가에 관한 고시 개정안’ 시행 예정
공공기관 AI 도입·활용 시 개인정보 영향평가 기준 마련

[보안뉴스 강현주 기자] 공공기관들이 인공지능(AI) 활용 사업을 추진할 때 사전에 개인정보보호 리스크를 식별하고 경감할 수 있는 구체적 기준이 마련된다.

개인정보보호위원회(개인정보위)는 3일 제19회 전체회의를 개최하고 ‘개인정보 영향평가에 관한 고시’ 개정안을 의결했다. 개정된 고시는 9월 5일부터 시행된다.

개인정보 영향평가는 개인정보 처리가 필요한 사업 추진 시 사전에 개인정보에 미치는 영향을 분석하고 개선방안을 수립해 개인정보 침해사고를 예방하는 제도다.


▲AI 분야 영향평가 항목 주요 개정내용 [자료: 개인정보위]

공공기관은 일정 규모 이상(민감‧고유식별정보 5만 명 이상, 다른 개인정보파일과 연계 정보 50만 명 이상, 개인정보 100만 명 이상) 개인정보 파일을 구축‧운영하거나 변경할 경우 영향평가를 의무적으로 실시해야 한다.

현행 고시에는 AI 분야의 별도 기준이 없어, AI을 도입·활용하는 공공기관들은 영향평가 시 개별적으로 평가항목을 개발해 반영해야 했다.* 이에 기관 입장에서는 평가항목이 적정한지 여부를 알기 어려웠다.

이에 개인정보위는 고시 및 안내서를 개정하여 △AI 시스템 학습 및 개발 △AI 시스템 운영 및 관리 등 2개 세부 평가분야를 신설했다.

먼저, ‘AI 시스템 학습 및 개발’ 관련해서는 개인정보 처리시 적법한 법적 근거를 확보하고 있는지, 민감정보·14세 미만 아동정보 등이 불필요하게 포함되지 않는지, AI 학습용 데이터의 보유 및 파기를 명확히 규정하고 있는지 등을 검토하도록 했다.

‘AI 시스템 운영 및 관리’ 관련해서는 AI 개발 및 운영주체 간 책임성 명확화, 생성형 AI 서비스 제공시 허용되는 이용 방침 제공, 생성형 AI 시스템의 부적절한 답변, 개인정보 유·노출에 대한 신고 기능 마련 등 정보주체 권리보장 방안 수립·시행을 주요 평가기준으로 제시했다.

평가항목은 그간 개인정보위에서 발간한 AI 맥락에서의 개인정보 보호법 적용을 위한 안내서들을 고려해 마련됐다.

상세한 평가항목은 ‘개인정보 영향평가 수행안내서’를 통해 구체적 해설·사례와 함께 공개된다. 개인정보위는 관련 기관·기업의 적용 사례 등 다양한 의견을 수렴하여 평가항목을 지속적으로 개선해 나갈 계획이다.

이번에 마련된 기준은 공공기관 뿐 아니라 민간기업에서도 AI를 활용한 개인정보 처리시 잠재 위험을 식별하고 경감하는 사전 예방 체계를 구축하는 데 유용할 것으로 기대된다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>