③일상이 안전한 개인정보보호체계 구축 ④디지털 시대 정보주체 권익 강화
➄데이터 경제 지원하는 개인정보 생태계 조성·확산 ➅글로벌 개인정보 규범 형성 선도
[보안뉴스 김경애 기자] 개인정보보호위원회(이하 개인정보위)가 2024년 주요업무 추진계획을 발표했다. ‘국민 삶이 풍요롭고 개인정보가 안전한 AI 시대’ 비전으로 3개 정책 방향과 6대 핵심 추진과제를 발표했다.
[이미지 = gettyimagesbank]
3대 정책방향은 △신뢰받는 AI로 국민 삶의 질 제고 △일상이 안전한 개인정보 안심사회 실현 △글로벌 규범을 선도하는 개인정보 생태계 조성이다.
▲[자료=개인정보보호위원회]
이를 위한 6대 핵심 추진과제는 ①신뢰할 수 있는 AI 성장 여건 조성 ②국민이 체감하는 마이데이터 확산 기반 마련 ③일상이 안전한 개인정보보호체계 구축 ④디지털 시대 정보주체 권익 강화 ➄데이터 경제를 지원하는 개인정보 생태계 조성·확산 ➅글로벌 개인정보 규범 형성 선도이다.
▲[자료=개인정보보호위원회]
①신뢰할 수 있는 AI 성장 여건 조성
◆원칙 기반의 AI 규율체계로 법적 불확실성 해소
첫째, 신뢰할 수 있는 AI 성장 여건 조성을 위해 개인정보위는 원칙 기반의 AI 규율체계로 법적 불확실성을 해소하겠다는 방침이다. 이를 위해 개인정보위는 데이터 처리방식이 복잡한 인공지능 환경에서 ‘개인정보보호법’ 적용 원칙·기준을 구체화한 AI 단계별 ‘6대 가이드라인’을 12월 안으로 발표할 예정이다.
▲개인정보보호법 적용 원칙 구체화한 AI 단계별 6대 가이드라인[자료=개인정보보호위원회]
‘6대 가이드라인’은 ➀기획 및 데이터 수집 단계 - ➁데이터 학습 단계 - ➂AI 서비스 단계에 따라 △공개된 정보에 대해 SNS 게시글 등의 적법한 처리 기준 제시 △비정형데이터에 대해 이미지·영상·음성 등 가명처리 기법 안내 △생체인식정보와 관련해 실시간 원격 얼굴인식기술 제한기준 등 마련 △합성데이터와 관련해 비식별 효과 높은 합성데이터 생성·활용 기준 마련 △이동형 영상기기 관련해 이동형 영상기기로 인한 ‘부당한 권리침해’ 판단 기준 구체화 △투명성 확보와 관련해 데이터 처리의 공개 범위·내용 등 기준을 구체화한 내용이 담길 예정이다.
또한 스타트업 등이 AI 모델·서비스 개발 과정에서 개인정보 법령 준수방안을 정부와 함께 마련하고, 행정처분을 면제받는 ‘사전적정성 검토제’가 오는 3월 본격 운영될 방침이다. 특히 2023년 시범운영 결과 기반으로 신청요건·처리절차 및 법적효력 등을 담은 운영지침이 2월 안으로 마련될 예정이다.
◆AI 학습을 위한 고품질 데이터 활용 지원
이어 개인정보위는 AI 학습을 위한 고품질 데이터 활용을 위해 지원할 방침이다. 안전조치를 전제로 영상정보 원본 활용(AI 정밀도 최대 17.6% 개선)을 허용하는 규제샌드박스를 운영해 자율주행로봇 등 첨단산업 성장을 지원한다. 이에 따라 영상정보 원본 활용은 2023년 자율주행로봇에서 2024년 드론, 자율주행차 등 모빌리티 전 분야로 확대된다.
다음으로 AI 연구자·스타트업 등이 안전한 환경에서 보다 유연한 개인정보 처리가 가능하도록 지원하는 ‘개인정보 안심구역’을 운영(통계청·국립암센터+α)한다. 개인정보 처리는 기존 가명정보 재사용, 적정성 샘플링 검사 등 허용에서 AI 연구자로 확대해 연구자가 충분한 데이터 활용기간을 보장받고 비용·시간을 절약할 수 있도록 지원한다.
◆AI 시대에 적합한 정보주체 권리 강화
다음으로 정보주체 권리가 강화된다. 이를 위해 AI 등에 기반한 채용·복지수급자 선정 등 국민 생활에 중요한 영향을 미치는 자동화된 결정에 대한 정보주체의 대응권을 보장(3월)할 방침이다. 정보주체의 대응권 보장은 ①자동화된 결정 여부 사전 공개, ②설명 요구권, ③거부권(사람에 의해 판단받을 기회 부여)이다.
또한 AI 프라이버시 유형·용례별 리스크 평가 모델을 오는 9월까지 마련하고, AI 투명성 확보 기준 구체화가 오는 6월까지 마련해 이를 통해 AI 활용에 대한 국민 불안을 해소할 방침이다.
2. 국민이 체감하는 마이데이터 확산 기반 마련
◆국민 일상을 변화시키는 마이데이터 서비스 창출 지원
둘째, 국민이 체감하는 마이데이터 확산 기반이 마련된다. 이를 위해 개인정보위는 국민 일상을 변화시키는 마이데이터 서비스 창출을 지원할 계획이다. 의료·통신 등 국민 생활과 밀접한 분야를 중심으로 국민이 체감할 수 있는 마이데이터 선도 서비스를 발굴하고 지원을 추진(3월~)할 예정이다. 오는 2025년 서비스 출시를 목표로 데이터 표준규격을 활용한 서비스 개발 및 테스트를 진행할 예정이다.
▲예상 가능한 마이데이터 서비스(예시)[자료=개인정보보호위원회]
국민이 자신의 정보를 원하는 곳으로 이동시켜 본인이 원하는 서비스를 누리도록 개인정보 전송요구권 세부기준 수립을 추진(1월~, 2025년초 시행)할 방침이다. 개인정보 전송요구권 세부기준은 △전송요구‧전송방법 △거절‧중단방법 △전송의무자 및 정보수신자 △전송대상 정보 등이다.
◆마이데이터 전송을 위한 기술적 인프라 마련
다음으로 분야 간 막힘없는 데이터 이동을 위한 전송규격·기술요소 등 표준이 수립(1월~)된다. 이를 위해 국민이 개인정보 전송요구권을 적극적으로 행사할 수 있도록 돕는 ‘마이데이터 지원 포털’을 구축(4월~, 2025년초 오픈)할 예정이다.
‘마이데이터 지원 포털’ 주요기능은 △전송이력 조회 △전송요구 중단 및 전송정보 파기 요청 △마이데이터 서비스 현황조회(디지털 카탈로그) △참여기관 대상 테스트베드 제공 등이다.
또한 마이데이터 참여자 간 원활한 데이터 전송·연계 여부를 실증하고, 보안‧인증 및 전송절차 등 검증을 위한 전송 인프라 실증사업이 오는 3월부터 추진될 예정이다. 전송 인프라 실증사업은 분야별 전송데이터 형식, 전송방식, 상세 기능 등에 대한 구현 가능성 및 규격 등에 대해 실증한다.
3. 일상이 안전한 개인정보보호체계 구축
◆국민 생활 밀착분야 선제적 대응
셋째, 일상이 안전한 개인정보보호체계 구축이다. 이를 위해 개인정보위는 국민 일상에 불편·위험 초래 우려가 있는 국민밀착 3대 분야인 교육·학습 서비스, 식음료 주문 서비스, 정보방송통신 서비스와 개인정보 처리의 투명성 확보가 요구되는 신산업 3대 분야인 스마트카, 인공지능, 슈퍼앱에 대해 선제적으로 실태점검을 추진한다.
▲국민밀착 3대 분야 신산업 3대 분야[자료=개인정보보호위원회]
이어 2023년 자율규약 사례(4개 분야 50여 사업자) 분석 결과를 토대로 협력방안을 반영한 ‘온라인 플랫폼 민관협력 자율규제 2.0’도 추진된다. 클라우드 등 새로운 이용 환경 및 개인 간 거래(C2C) 플랫폼 대상으로 민관협력 자율규제 적용도 확대된다.
◆새로운 유형의 개인정보 침해에 대응한 조사 기반 강화
다음으로 새로운 유형의 개인정보 침해에 대응한 조사 기반이 강화된다. 눈속임 설계(Dark Pattern), 개인 정체성(identity) 위협, 프로파일링을 통한 사이버 범죄 등 디지털 환경 변화에 따른 미래 개인정보 침해요인 분석과 조사방향, 조사 전문인력·기술 확충 방안 등을 담은 ‘중장기 조사 로드맵’이 수립된다. 또한 데이터 기반 사건 분석과 통합 처리 등을 통해 조사 역량을 제고할 방침이다.
◆공공부문 개인정보 안전망 지속 강화
다음으로 공공부문 개인정보 안전망이 한층 강화된다. 정부․지자체 등 다수 기관이 공동 사용하는 표준배포 시스템 등을 대상으로 이상 행위 탐지, 접속기록 의무화 등 10대 안전조치를 점검한다. 점검조치 대상은 307개 기관, 377만 취급자가 이용하는 1,515개 시스템이다.
이어 제·개정 법령의 개인정보 침해요인 평가뿐만 아니라 국세․산업 분야 현행 법령 전면 정비로 국민의 개인정보 자기 결정권을 오는 12월 강화할 방침이다. 현행 법령은 내국세, 관세, 공업소유권, 에너지이용·광업 등 15개 분야 1,343개 법령이다.
다음으로 공공기관 개인정보 관리수준을 제고하기 위한 ‘보호수준 평가제’가 도입된다. △대상기관은 2023년 800개→2024년 1,600개로 확대되고, △보호 업무 수행 적절성·충실성 등 정성적 요소에 대해 심층 진단한다.
4. 디지털 시대 정보주체 권익 강화
◆디지털 시대 프라이버시 불안 요인 해소
넷째, 디지털 시대 정보주체 권익 강화다. 이를 위해 개인정보위는 투명성 및 정보주체 권리 강화를 위한 ‘개인정보 처리방침 평가’를 오는 4월부터 실시, 청년 창업기업 등 중소·스타트업 대상으로 처리방침 작성을 컨설팅(80개사)할 계획이다.
온라인플랫폼·통신·방송 등 50개사는 내외 평가할 예정이며, 우수 기관은 과징금·과태료 경감 등 인센티브를 제공할 방침이다.
지난 1월에는 디지털 시대 프라이버시 불안 요인 해소를 위해 ‘맞춤형 광고에 활용되는 온라인 행태정보 보호 정책방안’을 발표한 바 있다. 이에 대해 민·관협의체 구성·운영 및 현황조사(1월~)를 진행 중이며, 올해 안으로 ‘맞춤형 광고 가이드라인’이 개정될 전망이다.
다음으로 얼굴인식기술 등 생체정보의 합리적 활용 기준과 기본권 보호 방안이 마련된다. 기본권 보호 방안은 △생체정보주체의 권리보장 수단 확대 △공공기관의 생체정보 처리제한 규정 등이 검토된다.
다음으로 카메라 기능이 있는 로봇 청소기 등 국민생활 밀접분야로 개인정보보호 중심 설계(PrivacybyDesign) 시범인증이 확대되고 제도화가 추진될 예정이다.
◆사각지대 없이 국민 모두가 안전한 디지털 환경 조성
이어 안전한 디지털 환경 조성을 위해 디지털 기기에 익숙한 아동·청소년 세대 특성을 고려한 디지털 권리 지원사업이 확대되고 안전한 환경, 권리 행사 지원 등을 위한 법제가 정비될 전망이다. △아동·청소년 디지털 잊힐권리 지원사업 대상이 기존 24세이하에서 29세 이하로 확대되고 △아동·청소년 최선의 이익 고려 △잊힐 권리 제도화 △법정대리인 동의제도 개선 △대상 연령도 확대된다.
개인정보 인식 제고 교육 등 디지털 취약계층 맞춤형 지원이 강화된다. 아동·청소년 및 고령자, 장애인 등 취약계층별 교육·컨설팅이 실시되고, 소상공인, 스타트업, 중소기업 등 대상 교육·상담 및 기술이 지원된다.
◆정보주체 피해구제 수준 제고
다음으로 정보주체 피해 구제 수준 제고를 위해 분쟁조정 참여 의무화, 투명하고 공정한 사실조사 등을 통한 신속한 2차 피해 보상과 쉽고 빠른 분쟁조정제도 이용 안내를 확대할 방침이다.
손해배상책임 보장제도 의무대상 확대로 정보주체 권리구제 수단이 오는 3월부터 강화된다. 특히 정보통신서비스 제공자로 한정된 책임보험 등 의무대상이 개인정보처리자 일반으로 확대된다.
5. 데이터 경제를 지원하는 개인정보 생태계 조성·확산
◆디지털 심화에 대응한 개인정보 활용 확산
다음으로 자율주행차·로봇·드론 등 신기술·신산업 변화를 반영해 영상정보 활용기준 구체화, 개인 권리행사 범위 확대, 영상관제시설 안전성 강화 등 영상정보의 합리적 활용기준 마련 등을 위한 ‘개인영상정보법(가칭)’ 제정이 추진된다.
이어 합성데이터의 안전한 생성·검증 절차 및 기준을 마련하고, 보건의료, 공공·안전, 금융 등 유망 분야 합성데이터(Synthetic Data: 실제 원본데이터 분석 결과와 유사한 결과를 얻을 수 있도록 가상으로 재현한 데이터) 5종을 개발할 계획이다.
이어 ‘온라인 원스톱 지원플랫폼’을 지난 1월부터 운영하고 있으며 오는 4월 안으로 지역 지원센터가 추가 지정되고, 데이터 개방 확대를 위한 협력 강화, 활용사례 발굴 등 가명정보 활용을 활성화할 방침이다. ‘온라인 원스톱 지원플랫폼’은 분산 기능(활용지원플랫폼, 결합지원시스템 등) 통합으로 가명정보 활용 전 과정의 원스톱 서비스를 제공한다. 데이터 개방 확대를 위해 △공공기관 평가에 가명정보 제공·활용 노력 반영 △공공데이터제공책임관 소통을 확대할 방침이다.
◆현장 맞춤형 개인정보 보호·활용 기술 개발(R&D) 지원
다음으로 산업적 수요 및 현실적 필요성이 높은 △정보주체의 행태정보 탐지·통제 기술 △실시간 수집 데이터의 가명‧익명처리 기술 등 개인정보보호 강화기술을 개발하고 AI·자율주행·블록체인 등 핵심분야별 개인정보 기술표준을 개발(71억, 1월~)할 계획이다.
다음으로 ‘개인정보 기술포럼’ 운영, 국내 전문가 국제표준활동 지원 등을 통해 개인정보 분야 핵심기술의 글로벌 경쟁력 확보와 오는 2월 생태계 조성을 촉진할 방침이다. 또한 개인정보보호·활용 우수기술을 보유한 스타트업·중소기업을 오는 4월부터 지원할 방침이다.
◆개인정보 전문인력 양성
다음으로 개인정보 전문인력 양성을 위해 개인정보 분야 전문성과 독립성을 갖춘 ‘전문 CPO 제도’를 오는 3월 도입하고, CPO 간 소통·협력 강화를 위한 ‘CPO협의회’를 오는 6월 안으로 구성할 예정이다. 전문 CPO 제도는 개인정보보호 경력 등 자격요건 도입, 대표자·이사회 직접 보고 체계 구축 등의 사항이 포함된다.
다음으로 개인정보 학사 전공이 본격 운영된다. 5개대학, 150여명, 석·박사 전공 개설이 오는 6월 추진될 예정이다. 가명정보 안전 활용에 필요한 전문가 양성을 위한 예비자, 실무자, 전문가 등 정규과정(360명, 3월~) 및 기업·대학 특강도 운영된다. 뿐만 아니라 개인정보보호에 특화된 ‘국가 자격 제도’ 도입 방안 연구가 오는 5월부터 진행될 예정이다.
6. 글로벌 개인정보 규범 형성 선도
◆개인정보 분야 글로벌 리더십 확보
다음으로 개인정보위는 인공지능 발달에 따른 글로벌 디지털 규범 재편 논의에 적극 참여해 신뢰할 수 있는 AI 프라이버시 체계 마련을 주도할 방침이다. UN AI 자문기구 참여, 국제 개인정보 감독기구 협의체로 미‧EU‧영‧일 등 92개국 140개 기관 참여하는 GPA AI 작업반 활동, 프랑스 감독기구(CNIL)와 AI 정책협의체 운영(분기별) 등 AI 프라이버시 규범을 선도할 계획이다.
AI 데이터 질서 정립 과정에서 국익 확보를 위해 AI 프라이버시 국제컨퍼런스(9월 예정)·GPA 총회(2025년 9월) 개최 등을 통한 국제규범 논의를 활성화할 방침이다. 독자적 AI 산업 생태계 보유국으로서 국제규범과 국내 규율체계 간 상호 연계 운용성을 확대할 계획이다.
영‧프‧독‧일 등 주요국 감독기구(집행기관)와의 공조뿐 아니라 미국 연방거래위(FTC), 영국 과학혁신기술부(DSIT) 등 정책기관과 협력을 추진할 예정이다.
◆국외 이전 제도의 안정적 운영을 통해 국가 간 개인정보 상호운용성 확보
다음으로 적정성 결정에 상응하는 ’동등성 인정‘ 제도를 신설함에 따라 동등성 인정 대상국 선정 및 검토 등 국가 간 상호운용성 확보를 추진할 방침이다.
개정법에 따른 국외 이전 제도(인증·국가 보호수준 평가, 중지명령 등)의 정착 및 운영을 위해 민‧관 거버넌스(국외이전 전문위원회 등)를 활성화할 계획이다.
◆안전하고 자유로운 데이터 이전 규범 확립을 위한 글로벌 논의 주도
다음으로 인도태평양 경제프레임워크(IPEF), 디지털경제동반자협정(DEPA), WTO 전자상거래 협상 등 디지털 통상협정 대응을 통해 국제적 개인정보보호 수준을 제고하고, 안전하고 자유로운 데이터 이전을 지원할 방침이다.
다음으로 글로벌 개인정보보호 수준 인증인 국경간 프라이버시 규칙(Cross-Border Privacy Rules: 국가간 개인정보 국외 이전 활성화를 위해 개발된 기업 단위의 보호수준 인증)의 보호 수준 상향과 국내‧외 확산을 목표로 ‘글로벌 CBPR 포럼’에 적극 참여할 예정이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>