AI 기반 개인정보 보호 원칙 4가지 살펴보니
‘최소 수집, 목적 제한, 이용 제한, 투명성’... 일반 개인정보 보호법과는 약간 달라
정보주체 권리 ‘정보 제공받을 권리, 정보 접근권, 정정권·삭제권·정보처리 제한권, 반대권’ 등
[보안뉴스 김영명 기자] 지난해 11월 소리소문없이 세상에 나온 챗GPT는 올해 초부터 폭발적인 인기를 끌며 현재까지 생성형 AI 전성시대를 이끌고 있다. 오픈AI사의 챗GPT(ChatGPT)를 시작으로 해외에서는 구글의 바드(Bard), 메타의 라마(LLaMa), 국내 기업으로는 네이버의 하이퍼클로바(HyperClova), LG의 엑사온(EXAONE), KT의 믿음(Mi:dm), 스켈터랩스의 벨라(BELLA) 등 생성형 AI(generative AI) 기반 초거대 언어모델(Large Language Model, LLM)이 잇달아 등장하고 있다.
[이미지=gettyimagesbank]
그렇다면 인공지능에서의 개인정보 보호는 어떻게 접근해야 할까? 이를 위해서는 먼저 ‘인공지능’과 ‘언어모델’의 정의를 이해하는 것이 필요하다. 이를 바탕으로 인공지능에서의 개인정보 보호 이슈를 분석해봤다. 이는 네이버가 발간한 <2022 네이버 프라이버시 백서-인공지능에서의 개인정보보호 고려사항>을 중심으로 했다.
‘인공지능(Artificial Intelligence, AI)’이란, 인간의 지능이 필요하거나 인간의 분석 가능한 범위를 넘어서는 큰 데이터를 포함해 이를 분석하고 다양한 고급 기능을 더해 유용한 정보를 창출하는 일련의 기술을 말한다. 따라서 AI에는 수많은 데이터가 필수 요건이 된다.
‘언어모델(Language Model)’이란, 대용량의 텍스트에서 언어 이해 능력과 지식을 학습하도록 훈련된 인공지능(AI) 모델을 의미한다. 미국의 오픈AI가 공개한 챗GPT는 언어모델 GPT-3.5와 GPT-4를 기반으로 하는 생성형 AI 서비스다.
무한한 데이터 가운데는 개인정보도 포함됐는데, 개인정보는 일반적으로 이름, 주민등록번호, 연락처 등 ‘일반정보’, 지문, 홍채, DNA, 건강상태 등 ‘신체정보’, 여가활동, 종교, 정당 선호도 등 ‘습관·취미정보’, 소득정보, 신용카드 및 계좌번호 등 ‘재산정보’, 학력, 성적, 생활기록부, 자격증 보유내역 등 ‘사회정보’, 통화 내역, 전자우편, 개인 위치 등 ‘기타정보’ 등으로 구분한다.
▲개인정보의 종류[자료=개인정보보호위원회]
AI 기반 개인정보 보호 원칙 4가지는?
경제협력개발기구(OECD)에서 정한 개인정보 보호 8원칙 중 하나는 개인정보는 최소한의 정보를 수집해야 한다(OECD 프라이버시 제1원칙, 최소 수집의 원칙)이다. 또한, 국내 ‘개인정보 보호법(이하 보호법)’에 따르면, 개인정보처리자는 개인정보의 처리 목적을 명확하게 하며 그 목적에 필요한 범위에서 최소한의 개인정보만을 수집해야 하며(제3조 제1항, 목적 제한의 원칙), 개인정보처리자는 개인정보의 처리 목적 외에 용도로 활용해서는 안 된다(제3조 제2항, 이용 제한의 원칙)고 명시했다. 또한, GDPR(General Data Protection Regulation, 유럽연합 일반개인정보보호법) 전문 58항에서는 정보주체가 정보처리를 쉽고 명확하게 이해하도록 해야 한다(투명성 원칙)고 언급하고 있다.
먼저, ‘최소 수집의 원칙’을 보면, 보호법에서는 목적에 필요한 최소한의 정보를 수집하고, 사생활 침해를 최소화하는 방법으로 개인정보를 처리하며, 익명처리 원칙을 규정해 이를 반영하고 있다. 하지만 인공지능 학습데이터는 인터넷 서핑 기록, SNS 활동 분석, 스마트폰과 스마트패드 등 IoT 기기 등 다양한 경로와 출처에서 개인 데이터가 수집되고 있다. 이렇게 모이는 데이터들이 ‘목적에 따른 최소한의 정보’인지는 선뜻 판별하기가 어렵다. 따라서 인공지능의 발전과 최소 수집의 원칙은 서로의 목적에 어긋나는 방향이 된다.
두 번째로 ‘목적 제한의 원칙’과 관련해서는 보호법은 제3조 제1항에서 “개인정보처리자는 개인정보의 처리 목적을 명확히 하고, 목적 내에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다”고 정의한다. 또한, GDPR 제5조에는 개인정보는 구체적이고 명시적이며 적법한 목적을 위해 수집하고, 목적과 양립되지 않는 방식으로 추가 처리되면 안 된다고 밝히고 있다.
세 번째로 ‘이용 제한의 원칙’은 OECD 프라이버시 제4원칙이기도 하며, 보호법의 제3조 제2항에 목적 범위 내에서 적법하게 처리, 목적 외 활용을 금지하는 조항에 근거를 둔다. 이를 근거로 목적을 달성하면 해당 개인정보를 파기하는 것이 원칙이며, 보호법 제21조에서도 개인정보 파기를 구체적으로 설명하고 있다.
네 번째로 ‘투명성 원칙’은 GDPR에서도 GDPR 전문 58항에서는 대중 또는 정보주체를 대상으로 한 통지는 간결하고, 이용과 이해가 쉽고 명확한 언어를 사용해야 한다고 강조하고 있다. 특히, AI에는 개인이 직접 제공하지 않은, 파생되거나 추론된 데이터가 활용되는 경우도 다수 있을 수 있다. 따라서, 이 원칙에 따라 대중 또는 정보주체를 대상으로 한 통지는 간결하고 이용과 이해가 쉬우며, 명확하고 쉬운 언어의 사용과 함께 적절한 경우에는 시각화 기법을 사용해 정보 주체가 쉽게 파악하도록 돕는 것이 중요하다.
[이미지=gettyimagesbank]
인공지능 속에서 찾아보는 정보주체의 권리
GDPR에서는 ‘프로파일링(Profiling)’을 개인의 심리적, 행동적 특성을 분석해 특정 상황이나 영역에서 행동을 예상하는 것이라고 설명하고 있다. GDPR에서 프로파일링은 자연인의 업무 성과, 경제적 상황, 개인적 선호, 관심사, 신뢰도, 행태, 위치 또는 이동을 예측하기 위해 행해지는 것으로, 개인의 특정 측면을 평가하기 위해 개인정보를 사용해 이뤄지는 모든 형태의 자동화된 개인정보 처리를 의미한다.
GDPR 제22조 ‘프로파일링 등 자동화된 개별 의사결정’에서 개인정보 주체는 프로파일링 등 본인에 관한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정의 적용을 받지 않을 권리가 있다고 명시돼 있다. 다만, 개인정보 주체와 개인정보처리자 간 계약을 체결 또는 이행하는 데 필요한 경우, 개인정보처리자에 적용되며 개인정보 주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 EU 또는 회원국 법률이 허용하는 경우, 개인정보 주체의 명백한 동의에 근거할 때는 이에 해당하지 않는다고 밝혔다.
정보주체의 다양한 권리는 어떤 게 있을까? 최근 개인정보의 재산적 가치에 대한 정보주체의 인식 강화와 함께 정보주체의 권리 행사도 중요시되고 있다. 정보주체는 크게 ①정보를 제공받을 권리 ②정보 접근권 ③정정권·삭제권·정보처리 제한권 ④반대권 등 네 가지 권리가 있다.
먼저, ‘정보를 제공받을 권리’에서는 GDPR 제22조(프로파일링 등 자동화된 개별 의사결정)가 적용되는 완전 자동화된 의사결정의 경우 기존의 정보주체에 알려야 할 사항에 ①프로파일링을 포함한 완전 자동화된 의사결정의 존재 여부 ②‘관련된 논리’에 대한 의미 있는 정보 ③‘정보처리의 중요성과 예상되는 결과’에 대해 설명해야 한다. 여기에서 ‘관련된 논리’는 간단하면서도 의미 있는 정보가 전달되어야 함을, ‘정보처리의 중요성과 예상되는 결과’는 처리과정에 대한 정보와 자동화된 의사결정이 정보주체에 미치는 영향을 설명해야 한다.
두 번째로 ‘정보 접근권’을 보면, GDPR 제15조는 정보주체에 프로필 작성에 사용된 정보의 카테고리를 포함해 프로파일링에 사용된 개인정보의 내용을 확인할 수 있는 권리를 규정한다. 또한, GDPR 제15조 제3항에 따라 데이터 컨트롤러는 처리에 관한 일반정보 외에도 프로필을 생성하기 위한 입력정보로 사용된 데이터를 이용할 수 있도록 할 의무를 부담하며, 정보주체가 배치된 세그먼트의 프로필 및 세부 정보 접근도 가능하게 해야 할 의무도 부담한다.
‘정정권·삭제권·정보처리 제한권’의 경우 먼저 ‘정정권’은 잘못된 프로파일을 기반으로 한 경우 정보주체는 사용된 정보, 자신에게 적용된 그룹과 범주의 부정확성에 이의를 제기하는데 사용할 수 있다. ‘삭제권’은 입력정보와 출력정보 모두에 적용되는 것이 가능하다. ‘정보처리 제한권’은 프로파일링 과정의 모든 단계에 적용될 것으로 보인다.
마지막으로 ‘반대권’은 GDPR 제6조 제1항에서 공익상의 이유로 처리하는 경우, 정보처리자 또는 제삼자의 정당한 이익의 목적으로 처리하는 경우에는 프로파일링을 포함한 개인정보 처리를 반대할 권리를 정보주체에 부여하고 있다.
인공지능을 접목하는 서비스들이 늘어나면서 이와 관련한 개인정보의 중요성도 커지고 있다. 따라서 인공지능 서비스의 도입 초기에 인공지능 접목에 따른 개인정보 이슈를 철저하게 분석하고, 개인정보 처리과정을 투명하게 공개함으로써 정보주체의 권리가 제대로 보호받는다는 것을 인식시켜야만 향후 사용자의 신뢰를 잃지 않을 수 있다.
[김영명 기자(boan@boannews.com)]
‘최소 수집, 목적 제한, 이용 제한, 투명성’... 일반 개인정보 보호법과는 약간 달라
정보주체 권리 ‘정보 제공받을 권리, 정보 접근권, 정정권·삭제권·정보처리 제한권, 반대권’ 등
[보안뉴스 김영명 기자] 지난해 11월 소리소문없이 세상에 나온 챗GPT는 올해 초부터 폭발적인 인기를 끌며 현재까지 생성형 AI 전성시대를 이끌고 있다. 오픈AI사의 챗GPT(ChatGPT)를 시작으로 해외에서는 구글의 바드(Bard), 메타의 라마(LLaMa), 국내 기업으로는 네이버의 하이퍼클로바(HyperClova), LG의 엑사온(EXAONE), KT의 믿음(Mi:dm), 스켈터랩스의 벨라(BELLA) 등 생성형 AI(generative AI) 기반 초거대 언어모델(Large Language Model, LLM)이 잇달아 등장하고 있다.
[이미지=gettyimagesbank]
그렇다면 인공지능에서의 개인정보 보호는 어떻게 접근해야 할까? 이를 위해서는 먼저 ‘인공지능’과 ‘언어모델’의 정의를 이해하는 것이 필요하다. 이를 바탕으로 인공지능에서의 개인정보 보호 이슈를 분석해봤다. 이는 네이버가 발간한 <2022 네이버 프라이버시 백서-인공지능에서의 개인정보보호 고려사항>을 중심으로 했다.
‘인공지능(Artificial Intelligence, AI)’이란, 인간의 지능이 필요하거나 인간의 분석 가능한 범위를 넘어서는 큰 데이터를 포함해 이를 분석하고 다양한 고급 기능을 더해 유용한 정보를 창출하는 일련의 기술을 말한다. 따라서 AI에는 수많은 데이터가 필수 요건이 된다.
‘언어모델(Language Model)’이란, 대용량의 텍스트에서 언어 이해 능력과 지식을 학습하도록 훈련된 인공지능(AI) 모델을 의미한다. 미국의 오픈AI가 공개한 챗GPT는 언어모델 GPT-3.5와 GPT-4를 기반으로 하는 생성형 AI 서비스다.
무한한 데이터 가운데는 개인정보도 포함됐는데, 개인정보는 일반적으로 이름, 주민등록번호, 연락처 등 ‘일반정보’, 지문, 홍채, DNA, 건강상태 등 ‘신체정보’, 여가활동, 종교, 정당 선호도 등 ‘습관·취미정보’, 소득정보, 신용카드 및 계좌번호 등 ‘재산정보’, 학력, 성적, 생활기록부, 자격증 보유내역 등 ‘사회정보’, 통화 내역, 전자우편, 개인 위치 등 ‘기타정보’ 등으로 구분한다.
▲개인정보의 종류[자료=개인정보보호위원회]
AI 기반 개인정보 보호 원칙 4가지는?
경제협력개발기구(OECD)에서 정한 개인정보 보호 8원칙 중 하나는 개인정보는 최소한의 정보를 수집해야 한다(OECD 프라이버시 제1원칙, 최소 수집의 원칙)이다. 또한, 국내 ‘개인정보 보호법(이하 보호법)’에 따르면, 개인정보처리자는 개인정보의 처리 목적을 명확하게 하며 그 목적에 필요한 범위에서 최소한의 개인정보만을 수집해야 하며(제3조 제1항, 목적 제한의 원칙), 개인정보처리자는 개인정보의 처리 목적 외에 용도로 활용해서는 안 된다(제3조 제2항, 이용 제한의 원칙)고 명시했다. 또한, GDPR(General Data Protection Regulation, 유럽연합 일반개인정보보호법) 전문 58항에서는 정보주체가 정보처리를 쉽고 명확하게 이해하도록 해야 한다(투명성 원칙)고 언급하고 있다.
먼저, ‘최소 수집의 원칙’을 보면, 보호법에서는 목적에 필요한 최소한의 정보를 수집하고, 사생활 침해를 최소화하는 방법으로 개인정보를 처리하며, 익명처리 원칙을 규정해 이를 반영하고 있다. 하지만 인공지능 학습데이터는 인터넷 서핑 기록, SNS 활동 분석, 스마트폰과 스마트패드 등 IoT 기기 등 다양한 경로와 출처에서 개인 데이터가 수집되고 있다. 이렇게 모이는 데이터들이 ‘목적에 따른 최소한의 정보’인지는 선뜻 판별하기가 어렵다. 따라서 인공지능의 발전과 최소 수집의 원칙은 서로의 목적에 어긋나는 방향이 된다.
두 번째로 ‘목적 제한의 원칙’과 관련해서는 보호법은 제3조 제1항에서 “개인정보처리자는 개인정보의 처리 목적을 명확히 하고, 목적 내에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다”고 정의한다. 또한, GDPR 제5조에는 개인정보는 구체적이고 명시적이며 적법한 목적을 위해 수집하고, 목적과 양립되지 않는 방식으로 추가 처리되면 안 된다고 밝히고 있다.
세 번째로 ‘이용 제한의 원칙’은 OECD 프라이버시 제4원칙이기도 하며, 보호법의 제3조 제2항에 목적 범위 내에서 적법하게 처리, 목적 외 활용을 금지하는 조항에 근거를 둔다. 이를 근거로 목적을 달성하면 해당 개인정보를 파기하는 것이 원칙이며, 보호법 제21조에서도 개인정보 파기를 구체적으로 설명하고 있다.
네 번째로 ‘투명성 원칙’은 GDPR에서도 GDPR 전문 58항에서는 대중 또는 정보주체를 대상으로 한 통지는 간결하고, 이용과 이해가 쉽고 명확한 언어를 사용해야 한다고 강조하고 있다. 특히, AI에는 개인이 직접 제공하지 않은, 파생되거나 추론된 데이터가 활용되는 경우도 다수 있을 수 있다. 따라서, 이 원칙에 따라 대중 또는 정보주체를 대상으로 한 통지는 간결하고 이용과 이해가 쉬우며, 명확하고 쉬운 언어의 사용과 함께 적절한 경우에는 시각화 기법을 사용해 정보 주체가 쉽게 파악하도록 돕는 것이 중요하다.
[이미지=gettyimagesbank]
인공지능 속에서 찾아보는 정보주체의 권리
GDPR에서는 ‘프로파일링(Profiling)’을 개인의 심리적, 행동적 특성을 분석해 특정 상황이나 영역에서 행동을 예상하는 것이라고 설명하고 있다. GDPR에서 프로파일링은 자연인의 업무 성과, 경제적 상황, 개인적 선호, 관심사, 신뢰도, 행태, 위치 또는 이동을 예측하기 위해 행해지는 것으로, 개인의 특정 측면을 평가하기 위해 개인정보를 사용해 이뤄지는 모든 형태의 자동화된 개인정보 처리를 의미한다.
GDPR 제22조 ‘프로파일링 등 자동화된 개별 의사결정’에서 개인정보 주체는 프로파일링 등 본인에 관한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정의 적용을 받지 않을 권리가 있다고 명시돼 있다. 다만, 개인정보 주체와 개인정보처리자 간 계약을 체결 또는 이행하는 데 필요한 경우, 개인정보처리자에 적용되며 개인정보 주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 EU 또는 회원국 법률이 허용하는 경우, 개인정보 주체의 명백한 동의에 근거할 때는 이에 해당하지 않는다고 밝혔다.
정보주체의 다양한 권리는 어떤 게 있을까? 최근 개인정보의 재산적 가치에 대한 정보주체의 인식 강화와 함께 정보주체의 권리 행사도 중요시되고 있다. 정보주체는 크게 ①정보를 제공받을 권리 ②정보 접근권 ③정정권·삭제권·정보처리 제한권 ④반대권 등 네 가지 권리가 있다.
먼저, ‘정보를 제공받을 권리’에서는 GDPR 제22조(프로파일링 등 자동화된 개별 의사결정)가 적용되는 완전 자동화된 의사결정의 경우 기존의 정보주체에 알려야 할 사항에 ①프로파일링을 포함한 완전 자동화된 의사결정의 존재 여부 ②‘관련된 논리’에 대한 의미 있는 정보 ③‘정보처리의 중요성과 예상되는 결과’에 대해 설명해야 한다. 여기에서 ‘관련된 논리’는 간단하면서도 의미 있는 정보가 전달되어야 함을, ‘정보처리의 중요성과 예상되는 결과’는 처리과정에 대한 정보와 자동화된 의사결정이 정보주체에 미치는 영향을 설명해야 한다.
두 번째로 ‘정보 접근권’을 보면, GDPR 제15조는 정보주체에 프로필 작성에 사용된 정보의 카테고리를 포함해 프로파일링에 사용된 개인정보의 내용을 확인할 수 있는 권리를 규정한다. 또한, GDPR 제15조 제3항에 따라 데이터 컨트롤러는 처리에 관한 일반정보 외에도 프로필을 생성하기 위한 입력정보로 사용된 데이터를 이용할 수 있도록 할 의무를 부담하며, 정보주체가 배치된 세그먼트의 프로필 및 세부 정보 접근도 가능하게 해야 할 의무도 부담한다.
‘정정권·삭제권·정보처리 제한권’의 경우 먼저 ‘정정권’은 잘못된 프로파일을 기반으로 한 경우 정보주체는 사용된 정보, 자신에게 적용된 그룹과 범주의 부정확성에 이의를 제기하는데 사용할 수 있다. ‘삭제권’은 입력정보와 출력정보 모두에 적용되는 것이 가능하다. ‘정보처리 제한권’은 프로파일링 과정의 모든 단계에 적용될 것으로 보인다.
마지막으로 ‘반대권’은 GDPR 제6조 제1항에서 공익상의 이유로 처리하는 경우, 정보처리자 또는 제삼자의 정당한 이익의 목적으로 처리하는 경우에는 프로파일링을 포함한 개인정보 처리를 반대할 권리를 정보주체에 부여하고 있다.
인공지능을 접목하는 서비스들이 늘어나면서 이와 관련한 개인정보의 중요성도 커지고 있다. 따라서 인공지능 서비스의 도입 초기에 인공지능 접목에 따른 개인정보 이슈를 철저하게 분석하고, 개인정보 처리과정을 투명하게 공개함으로써 정보주체의 권리가 제대로 보호받는다는 것을 인식시켜야만 향후 사용자의 신뢰를 잃지 않을 수 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
