개인정보위, AI 신기술의 개보법 위반 여부 검토하는 ‘사전적정성 검토제’ 도입
[인터뷰] 개인정보보호위원회 인공지능프라이버시팀 구민주 사무관
개인정보위와 사업자가 함께 마련, 특별한 문제 없으면 행정처분 면제
[보안뉴스 김경애 기자] AI 신기술을 개발·출시하는데 있어 규제가 발목을 잡거나 개인정보보호 관련 법제를 위반하지 않도록 사전에 검토하는 ‘사전적정성 검토제’가 2024년 초 본격 시행될 예정이다. 이와 관련 현재 개인정보보호위원회(이하 개인정보위)에서는 고시 제정을 추진 중에 있다.
[이미지 = gettyimagesbank]
‘사전적정성 검토제’는 개인정보위가 지난해 ‘인공지능프라이버시팀’을 신설해 2023년 10월부터 시범 운영하고 있는 제도로, AI 등 신서비스·신기술이 ‘개인정보보호법’에 위반되지는 않는지 사전에 검토 및 컨설팅해준다.
이 제도의 가장 큰 매력은 행정처분 면제 혜택이다. 개인정보위와 함께 사전에 점검하고 컨설팅, 자문 등 충분한 검토가 선행됐기 때문이다. 즉 사업자의 특별한 변화와 문제가 없다면 행정처분이 면제된다는 것이다.
이에 <보안뉴스>는 2023년 10월 초 신설된 개인정보보호위원회 ‘인공지능프라이버시팀’에서 AI데이터 총괄을 맡고 있는 구민주 사무관과의 인터뷰를 통해 ‘사전적정성 검토제’에 대해 보다 자세히 들어봤다.
▲개인정보보호위원회 인공지능프라이버시팀 구민주 사무관[이미지=보안뉴스]
Q. 개인정보위에서 ‘인공지능프라이버시팀(이하 AI팀)’이 신설됐는데요. 팀의 조직 구성과 업무 소개를 부탁드립니다.
AI팀이 신설된 배경은 AI 개발·활용 과정에서 국민의 프라이버시 침해 우려가 커지고 있기 때문입니다. AI 기업도 개인정보보호법에 위반되는 건 아닌지 혹은 법규를 잘못 해석하는 건 아닌지 등 법적 불확실성이 높아졌는데요. 이에 개인정보위에서는 AI 기술의 급속한 발전 속도와 복잡성을 고려해 AI프라이버시팀을 신설해 팀을 중심으로 한 ‘원칙 기반 규율’ 체계로 전환했다고 보시면 될 것 같습니다.
조직은 AI 프라이버시팀장과 실무자 4~5인으로 구성돼 있고, 주요 업무는 △AI 특성을 반영한 개인정보 처리원칙과 기준을 구체화하는 6대 가이드라인 마련 △기업 불확실성 해소를 위한 ‘AI 사전적정성 검토’ 운영 △법령 해석 및 컨설팅 제공 등 AI 프라이버시 분야 정부-민간 간 소통·협력의 구심점 역할 등입니다.
Q. 본격 시행되는 ‘사전적정성 검토제’에 대해 자세한 설명 부탁드립니다.
‘사전적정성 검토제’는 2023년 10월부터 시범 운영되었는데요. 2024년 초 고시 제정으로 본격 시행될 예정입니다.
▲사전적정성 검토제 신청대상, 방법 및 이용 절차[자료=개인정보보호위원회]
운영방식은 AI 등 신서비스·신기술 분야에서 ‘개인정보보호법’ 저촉 여부가 불확실한 사업자가 먼저 개인정보위원회에 사전적정성 검토를 신청하면 되는데요. 이후 법 준수방안을 개인정보위와 사업자가 함께 마련하고, 추후 사정 변화가 없는 경우 행정처분이 면제되는 혜택을 얻을 수 있습니다.
Q. ‘사전적정성 검토제’에서 주로 검토하는 사항은 무엇인가요?
최근 시범운영 기간 동안 신청된 2건에 대한 검토와 의결이 이루어졌는데요. 그중 하나가 고용노동부가 보유한 정보를 민간의 인적자원(HR) 채용 플랫폼에 공유하는 ‘거짓 구인광고 신고센터’에 관한 건입니다. 이는 거짓 구인광고 유통으로 인한 피해 예방을 위한 것인데요. 고용노동부로 신고 접수·처리된 의심 사업자 정보를 민간에 안전하게 공유할 수 있는 방안을 고용노동부와 개인정보위가 협의해 마련했습니다.
[자료=개인정보보호위원회]
이처럼 AI 기반 신제품·서비스 출시를 준비하는 모든 사업자는 ‘AI 사전적정성 검토제’를 이용할 수 있습니다. 특히 개인정보가 포함된 데이터 처리 과정에서 개인정보보호법 위반 소지가 불명확한 경우에 도움이 될 수 있습니다. 이 제도를 통해 취약계층 보호, 범죄 예방 등 공익적 목적의 AI 활용과 산업적으로 의미있는 사례가 많이 발굴되었으면 좋겠습니다.
Q. AI 사업자가 AI 모델 및 서비스 기획, 수집, 학습, 서비스 제공 등 각 단계별로 주의해야 할 점은 무엇인가요?
① AI 모델 및 서비스 기획 단계에서 주의할 점
AI 모델 및 서비스 기획 단계에서 주의할 점은 첫째, AI 모델 및 서비스 기획단계에서는 개인정보보호 중심설계(Privacy by Design) 원칙을 반영해야 한다는 점입니다. 이를 위해서는 △AI 라이프사이클별 보호 원칙 및 기준 마련 △개인정보 수집·이용 등 처리근거 명확화 및 적법성 확보 △프라이버시 침해 방지를 위한 안전성 확보조치 등 대응계획 마련 △데이터 의 오류·편향·왜곡·차별·편견 최소화 방안을 마련해야 한다는 점 등이 있습니다.
다음으로는 AI 단계별 리스크 분석 및 대응계획을 수립해야 합니다. 위험, 침해요인 등을 파악하고 대응조치를 설계-적용-관리하는 거버넌스 체계를 구축해야 합니다.
②AI 데이터 수집 단계에서 주의할 점
AI 데이터 수집 단계에서 주의할 점은 △일반정보의 경우 개인정보보호법에 따라 적법하게 수집한 정보는 ‘수집 목적 내’에서 이용이 가능합니다. 그러나 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체 이익을 부당하게 침해하지는 않는지 꼼꼼히 점검해야 합니다. 그 다음 추가로 수집해 이용하는 게 바람직합니다.
△공개된 정보의 경우 공개된 정보의 처리에 대한 이익형량 결과 동의 의사가 있다고 객관적으로 추단되거나 처리자의 정당한 이익이 정보주체 권리보다 명백히 우선하는 경우에 수집·이용이 가능한데요. 다만 공개된 정보를 크롤링 등으로 수집, 가명처리 후 AI 학습에 이용해야 합니다.
△영상정보의 경우 고정형 기기 CCTV 설치·운영자는 범죄예방, 시설안전 등의 목적과 관련된 AI 개발 등에는 CCTV 영상을 이용할 수 있습니다. 다만, 설치·운영 목적과 관련 없는 AI 개발에 활용하거나 제3자의 AI 개발을 위해 영상정보를 제공할 때에는 익명·가명처리가 필요합니다. 특히, 얼굴인식 등을 통해 특정 개인의 특징점을 추출하는 AI 개발은 민감정보 처리에 해당하므로 사전 동의 또는 법령상 근거가 필요합니다.
드론, 자율차 등과 같은 이동형 기기는 최근 보호법 개정에 따라 공개된 장소에서 업무 목적으로 이동형 영상기기를 통한 촬영은 가능합니다. 다만 이를 위해선 촬영사실 표시 등 법적 요건을 준수해야 합니다.
그러나 부당한 권리침해 우려가 있거나 합리적 범위를 초과한 경우에는 촬영할 수 없습니다. 당초 촬영목적 달성을 위해서는 필요한 최소한의 범위에서 유출방지를 위한 안전조치(전송구간 암호화, 접근통제 등)를 해야 합니다. 불특정 다수에 관한 영상정보는 익명·가명처리를 해야 하지만 규제 샌드박스를 통해 강화된 안전조치 하에 원본 활용 검토가 가능합니다.
생체인식 정보의 경우 일정한 기술적 수단을 통해 생성되는 생체인식 정보는 민감정보로서 별도 동의가 있거나 법령 근거가 있는 경우에만 AI에 활용할 수 있습니다. 다만 이 경우 대체 수단 마련, 원본정보 분리 보관 등의 보호조치를 이행해야 합니다.
③AI 데이터 학습 단계에서 주의할 점
개인정보보호법 원칙에서는 적법하게 수집한 개인정보는 통계작성, 과학적 연구 등의 목적이라면 가명처리를 통해 동의없이 AI 연구개발이 가능합니다.
이를 바탕으로 AI 데이터 학습 단계에서 주의할 점은 다른 정보와의 결합 등을 통한 식별 위험 등을 고려해 사전·사후적 예방조치가 필요합니다. 이를테면 AI 특성에 맞는 적정한 수준의 학습데이터 가명·비식별 처리, AI 출력 데이터에 대한 엄격한 필터링 조치, 학습데이터 저장 및 출력 시 차분 프라이버시 기법 등을 적용해야 합니다.
개인정보보호 강화기술(PET) 연구개발 및 활용 시에는 원본데이터의 통계적 특성을 추출·학습해 실제 원본데이터 분석 결과와 유사한 결과를 얻을 수 있도록 가상으로 재현한 합성데이터 활용 기반을 조성해야 합니다. 또한 PET 적용이 모호하거나 검증이 필요한 경우, 보안성·안전성이 확보된 공간에서 기술개발·실증이 가능하도록 하는 제도인 개인정보 안심구역 등을 통해 PET 활용 기반을 조성해야 합니다.
④AI 서비스 단계 시 주의할 점
다음으로 AI 서비스 단계 시 주의할 점은 첫째, AI 학습데이터 수집 방법, 서비스 과정에서 생성되는 정보의 처리방법 등 안내가 중요합니다. 둘째, 열람, 삭제, 처리정지, 자동화된 결정 대응권 등 정보주체 권리행사가 보장돼야 합니다. 마지막으로 기존 AI 모델의 API를 활용하거나 플러그인을 추가하는 경우 안전조치가 반드시 필요합니다.
Q. 미국, EU, G7은 생성형 AI에 대해 워터마크를 적용하는 등 보안 강화에 주력하고 있습니다. 개인정보위는 국제적 흐름에 발맞춰 생성형 AI 개인정보보호 강화를 위해 어떤 노력을 하고 있나요?
최근 미국, EU 등 주요국과 국제기구를 중심으로 AI 시스템과 인간이 상호 작용하고 있다는 사실을 비롯해 AI가 생성한 산출물에 대해서는 그 사실을 명확히 알릴 필요성에 대한 논의가 진행되고 있습니다.
최근 개정된 개인정보보호법에서는 완전히 자동화된 시스템에 의한 결정에 대해 정보주체가 설명 등을 요구할 수 있는 근거를 마련했는데요. 이러한 법적 장치를 통해 AI의 투명성을 높이고 국민 신뢰를 확보할 수 있기를 기대하고 있습니다. 개정법 제37조의2 자동화된 결정에 대한 정보주체의 권리 등은 오는 3월부터 본격 시행될 예정입니다.
[김경애 기자(boan3@boannews.com)]
[인터뷰] 개인정보보호위원회 인공지능프라이버시팀 구민주 사무관
개인정보위와 사업자가 함께 마련, 특별한 문제 없으면 행정처분 면제
[보안뉴스 김경애 기자] AI 신기술을 개발·출시하는데 있어 규제가 발목을 잡거나 개인정보보호 관련 법제를 위반하지 않도록 사전에 검토하는 ‘사전적정성 검토제’가 2024년 초 본격 시행될 예정이다. 이와 관련 현재 개인정보보호위원회(이하 개인정보위)에서는 고시 제정을 추진 중에 있다.
[이미지 = gettyimagesbank]
‘사전적정성 검토제’는 개인정보위가 지난해 ‘인공지능프라이버시팀’을 신설해 2023년 10월부터 시범 운영하고 있는 제도로, AI 등 신서비스·신기술이 ‘개인정보보호법’에 위반되지는 않는지 사전에 검토 및 컨설팅해준다.
이 제도의 가장 큰 매력은 행정처분 면제 혜택이다. 개인정보위와 함께 사전에 점검하고 컨설팅, 자문 등 충분한 검토가 선행됐기 때문이다. 즉 사업자의 특별한 변화와 문제가 없다면 행정처분이 면제된다는 것이다.
이에 <보안뉴스>는 2023년 10월 초 신설된 개인정보보호위원회 ‘인공지능프라이버시팀’에서 AI데이터 총괄을 맡고 있는 구민주 사무관과의 인터뷰를 통해 ‘사전적정성 검토제’에 대해 보다 자세히 들어봤다.
▲개인정보보호위원회 인공지능프라이버시팀 구민주 사무관[이미지=보안뉴스]
Q. 개인정보위에서 ‘인공지능프라이버시팀(이하 AI팀)’이 신설됐는데요. 팀의 조직 구성과 업무 소개를 부탁드립니다.
AI팀이 신설된 배경은 AI 개발·활용 과정에서 국민의 프라이버시 침해 우려가 커지고 있기 때문입니다. AI 기업도 개인정보보호법에 위반되는 건 아닌지 혹은 법규를 잘못 해석하는 건 아닌지 등 법적 불확실성이 높아졌는데요. 이에 개인정보위에서는 AI 기술의 급속한 발전 속도와 복잡성을 고려해 AI프라이버시팀을 신설해 팀을 중심으로 한 ‘원칙 기반 규율’ 체계로 전환했다고 보시면 될 것 같습니다.
조직은 AI 프라이버시팀장과 실무자 4~5인으로 구성돼 있고, 주요 업무는 △AI 특성을 반영한 개인정보 처리원칙과 기준을 구체화하는 6대 가이드라인 마련 △기업 불확실성 해소를 위한 ‘AI 사전적정성 검토’ 운영 △법령 해석 및 컨설팅 제공 등 AI 프라이버시 분야 정부-민간 간 소통·협력의 구심점 역할 등입니다.
Q. 본격 시행되는 ‘사전적정성 검토제’에 대해 자세한 설명 부탁드립니다.
‘사전적정성 검토제’는 2023년 10월부터 시범 운영되었는데요. 2024년 초 고시 제정으로 본격 시행될 예정입니다.
▲사전적정성 검토제 신청대상, 방법 및 이용 절차[자료=개인정보보호위원회]
운영방식은 AI 등 신서비스·신기술 분야에서 ‘개인정보보호법’ 저촉 여부가 불확실한 사업자가 먼저 개인정보위원회에 사전적정성 검토를 신청하면 되는데요. 이후 법 준수방안을 개인정보위와 사업자가 함께 마련하고, 추후 사정 변화가 없는 경우 행정처분이 면제되는 혜택을 얻을 수 있습니다.
Q. ‘사전적정성 검토제’에서 주로 검토하는 사항은 무엇인가요?
최근 시범운영 기간 동안 신청된 2건에 대한 검토와 의결이 이루어졌는데요. 그중 하나가 고용노동부가 보유한 정보를 민간의 인적자원(HR) 채용 플랫폼에 공유하는 ‘거짓 구인광고 신고센터’에 관한 건입니다. 이는 거짓 구인광고 유통으로 인한 피해 예방을 위한 것인데요. 고용노동부로 신고 접수·처리된 의심 사업자 정보를 민간에 안전하게 공유할 수 있는 방안을 고용노동부와 개인정보위가 협의해 마련했습니다.
[자료=개인정보보호위원회]
이처럼 AI 기반 신제품·서비스 출시를 준비하는 모든 사업자는 ‘AI 사전적정성 검토제’를 이용할 수 있습니다. 특히 개인정보가 포함된 데이터 처리 과정에서 개인정보보호법 위반 소지가 불명확한 경우에 도움이 될 수 있습니다. 이 제도를 통해 취약계층 보호, 범죄 예방 등 공익적 목적의 AI 활용과 산업적으로 의미있는 사례가 많이 발굴되었으면 좋겠습니다.
Q. AI 사업자가 AI 모델 및 서비스 기획, 수집, 학습, 서비스 제공 등 각 단계별로 주의해야 할 점은 무엇인가요?
① AI 모델 및 서비스 기획 단계에서 주의할 점
AI 모델 및 서비스 기획 단계에서 주의할 점은 첫째, AI 모델 및 서비스 기획단계에서는 개인정보보호 중심설계(Privacy by Design) 원칙을 반영해야 한다는 점입니다. 이를 위해서는 △AI 라이프사이클별 보호 원칙 및 기준 마련 △개인정보 수집·이용 등 처리근거 명확화 및 적법성 확보 △프라이버시 침해 방지를 위한 안전성 확보조치 등 대응계획 마련 △데이터 의 오류·편향·왜곡·차별·편견 최소화 방안을 마련해야 한다는 점 등이 있습니다.
다음으로는 AI 단계별 리스크 분석 및 대응계획을 수립해야 합니다. 위험, 침해요인 등을 파악하고 대응조치를 설계-적용-관리하는 거버넌스 체계를 구축해야 합니다.
②AI 데이터 수집 단계에서 주의할 점
AI 데이터 수집 단계에서 주의할 점은 △일반정보의 경우 개인정보보호법에 따라 적법하게 수집한 정보는 ‘수집 목적 내’에서 이용이 가능합니다. 그러나 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체 이익을 부당하게 침해하지는 않는지 꼼꼼히 점검해야 합니다. 그 다음 추가로 수집해 이용하는 게 바람직합니다.
△공개된 정보의 경우 공개된 정보의 처리에 대한 이익형량 결과 동의 의사가 있다고 객관적으로 추단되거나 처리자의 정당한 이익이 정보주체 권리보다 명백히 우선하는 경우에 수집·이용이 가능한데요. 다만 공개된 정보를 크롤링 등으로 수집, 가명처리 후 AI 학습에 이용해야 합니다.
△영상정보의 경우 고정형 기기 CCTV 설치·운영자는 범죄예방, 시설안전 등의 목적과 관련된 AI 개발 등에는 CCTV 영상을 이용할 수 있습니다. 다만, 설치·운영 목적과 관련 없는 AI 개발에 활용하거나 제3자의 AI 개발을 위해 영상정보를 제공할 때에는 익명·가명처리가 필요합니다. 특히, 얼굴인식 등을 통해 특정 개인의 특징점을 추출하는 AI 개발은 민감정보 처리에 해당하므로 사전 동의 또는 법령상 근거가 필요합니다.
드론, 자율차 등과 같은 이동형 기기는 최근 보호법 개정에 따라 공개된 장소에서 업무 목적으로 이동형 영상기기를 통한 촬영은 가능합니다. 다만 이를 위해선 촬영사실 표시 등 법적 요건을 준수해야 합니다.
그러나 부당한 권리침해 우려가 있거나 합리적 범위를 초과한 경우에는 촬영할 수 없습니다. 당초 촬영목적 달성을 위해서는 필요한 최소한의 범위에서 유출방지를 위한 안전조치(전송구간 암호화, 접근통제 등)를 해야 합니다. 불특정 다수에 관한 영상정보는 익명·가명처리를 해야 하지만 규제 샌드박스를 통해 강화된 안전조치 하에 원본 활용 검토가 가능합니다.
생체인식 정보의 경우 일정한 기술적 수단을 통해 생성되는 생체인식 정보는 민감정보로서 별도 동의가 있거나 법령 근거가 있는 경우에만 AI에 활용할 수 있습니다. 다만 이 경우 대체 수단 마련, 원본정보 분리 보관 등의 보호조치를 이행해야 합니다.
③AI 데이터 학습 단계에서 주의할 점
개인정보보호법 원칙에서는 적법하게 수집한 개인정보는 통계작성, 과학적 연구 등의 목적이라면 가명처리를 통해 동의없이 AI 연구개발이 가능합니다.
이를 바탕으로 AI 데이터 학습 단계에서 주의할 점은 다른 정보와의 결합 등을 통한 식별 위험 등을 고려해 사전·사후적 예방조치가 필요합니다. 이를테면 AI 특성에 맞는 적정한 수준의 학습데이터 가명·비식별 처리, AI 출력 데이터에 대한 엄격한 필터링 조치, 학습데이터 저장 및 출력 시 차분 프라이버시 기법 등을 적용해야 합니다.
개인정보보호 강화기술(PET) 연구개발 및 활용 시에는 원본데이터의 통계적 특성을 추출·학습해 실제 원본데이터 분석 결과와 유사한 결과를 얻을 수 있도록 가상으로 재현한 합성데이터 활용 기반을 조성해야 합니다. 또한 PET 적용이 모호하거나 검증이 필요한 경우, 보안성·안전성이 확보된 공간에서 기술개발·실증이 가능하도록 하는 제도인 개인정보 안심구역 등을 통해 PET 활용 기반을 조성해야 합니다.
④AI 서비스 단계 시 주의할 점
다음으로 AI 서비스 단계 시 주의할 점은 첫째, AI 학습데이터 수집 방법, 서비스 과정에서 생성되는 정보의 처리방법 등 안내가 중요합니다. 둘째, 열람, 삭제, 처리정지, 자동화된 결정 대응권 등 정보주체 권리행사가 보장돼야 합니다. 마지막으로 기존 AI 모델의 API를 활용하거나 플러그인을 추가하는 경우 안전조치가 반드시 필요합니다.
Q. 미국, EU, G7은 생성형 AI에 대해 워터마크를 적용하는 등 보안 강화에 주력하고 있습니다. 개인정보위는 국제적 흐름에 발맞춰 생성형 AI 개인정보보호 강화를 위해 어떤 노력을 하고 있나요?
최근 미국, EU 등 주요국과 국제기구를 중심으로 AI 시스템과 인간이 상호 작용하고 있다는 사실을 비롯해 AI가 생성한 산출물에 대해서는 그 사실을 명확히 알릴 필요성에 대한 논의가 진행되고 있습니다.
최근 개정된 개인정보보호법에서는 완전히 자동화된 시스템에 의한 결정에 대해 정보주체가 설명 등을 요구할 수 있는 근거를 마련했는데요. 이러한 법적 장치를 통해 AI의 투명성을 높이고 국민 신뢰를 확보할 수 있기를 기대하고 있습니다. 개정법 제37조의2 자동화된 결정에 대한 정보주체의 권리 등은 오는 3월부터 본격 시행될 예정입니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
