.jpg)
.gif)
개인정보위, ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서’ 공개
생성형 AI 생애주기별 법적 고려 사항, 안전성 확보 기준 제시
[보안뉴스 강현주 기자] “생성형 AI을 통해 달성하고자 하는 목적을 구체화하고, 이를 토대로 ‘어떤 유형의’ 개인정보를 ‘어떤 목적’으로 처리할지 구체적으로 설정해야 합니다. 목적 설정은 프라이버시 리스크 관리를 위한 출발점이자, 개인정보 처리의 적법성을 판단하는 핵심 기준이 됩니다.”
생성형 AI 개발·활용 생애주기별 안전조치 등 생성형 AI 서비스를 개발·활용하는 기업·기관을 위한 개인정보 안전 처리 기준이 마련됐다.
개인정보보호위원회(위원장 고학수)는 6일 서울 중구 소재 정동 1928 아트센터에서 ‘생성형 AI과 프라이버시’ 오픈 세미나를 개최하고 ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서’를 공개했다.
▲생성형 AI 개발·활용 단계별 고려 사항 [자료: 개인정보위]
개인정보위는 안내서가 생성형 AI 개발과 활용의 전 과정에서 개인정보 보호법 적용의 불확실성을 해소하고, 기업·기관의 자율적 법준수 역량을 높이는 데 큰 역할을 할 것으로 기대한다.
예를 들어 ChatGPT 등 상용 대규모언어모델(LLM) 서비스를 활용하거나 Llama 등의 오픈소스 LLM을 미세조정해 서비스를 개발·제공하는 사업자 등이 본 안내서를 활용할 수 있다.
우리나라에 축적된 의료·공공·금융분야 등의 데이터는 세계 최고 수준이다. 이들 데이터는 생성형 AI 발전을 견인하는 핵심 재료로 활용된다. 하지만 생성형 AI의 발전은 한편 프라이버시 침해 위험을 동반할 우려가 있어 개인정보 처리에 관한 명확한 기준 마련이 필수적이다. 일선 현장에서도 생성형 AI 활용과 관련한 개인정보 보호법 적용의 불확실성을 해소할 수 있는 체계적 안내가 필요하다는 요구가 지속돼 왔다.
이에 개인정보위는 올 초부터 내부 검토와 외부 전문가 의견 수렴을 거쳐 안내서 초안을 마련하고, ‘AI 프라이버시 민·관 정책협의회’ 및 개인정보보호위원회 제16회 전체회의를 거쳐 공개본을 확정했다.
개인정보위가 이번 안내서에서 크게 중점을 둔 부분은 세가지다.
첫째, 생성형 AI을 개발·활용하는 생애주기를 4단계로 분류하고 단계별로 확인할 최소한의 안전조치를 체계적으로 제시했다. 또한, AI 시스템이 실제로 개발·활용되는 방식과 맥락을 유형화하고, 각 유형에 따른 법적 기준과 안전성 확보 기준을 제시했다.
구체적으로, △목적 설정 단계에서 AI 개발 목적을 명확히 하고, 개인정보 종류·출처별 AI 학습에 필요한 적법 근거를 다룬다. △전략 수립 단계는 개발 방식을 나누어 유형별 리스크 경감 방안을 안내한다. △학습 및 개발 단계는 데이터오염, 탈옥 등 리스크를 고려한 다층적 안전조치를 제시하고 AI 에이전트의 관리 방안도 포함했다. △적용 및 관리 단계는 정보주체 권리 보장 등을 중점적으로 다룬다. △전체 과정에서의 개인정보 보호 관점을 내재화하기 위해 필수적인 개인정보보호책임자(CPO) 중심의 거버넌스 구축 방안을 제시한다.
이러한 기반에서 기업·기관은 위 과정을 반복하며 시스템을 고도화·개발하는 것이 권장된다.
둘째, 이용자 개인정보를 AI에 학습할 수 있는 법적 기준 등 생성형 AI 개발·활용 과정에서 불확실성이 높은 이슈들에 대해 개인정보위의 정책 및 집행 사례를 바탕으로 구체적인 해결방안을 제시했다. 개인정보위는 그간 생성형 AI에 대한 △안내자료 마련 △사전실태점검 등 집행 사례 △규제샌드박스 및 사전적정성 검토 등을 통해 다양한 정책적 경험을 축적해왔는데, 이들 경험에서 얻은 구체적 사례에 기반한 법 해석 기준과 안전조치 기준을 안내서에 반영해 유용성을 높였다.
셋째, AI 에이전트, 지식증류, 머신 언러닝 등 생성형 AI 개발·활용과 관련한 최신 기술 동향과 연구 성과 등을 반영했다. 안내서는 향후 급속한 기술 발전과 국내·외 개인정보 보호 정책 변화에 발맞춰 지속적으로 업데이트될 예정이다.
고학수 개인정보위 위원장은 “명확한 안내서를 통해 실무 현장의 법적 불확실성이 해소되고, 생성형 AI 개발·활용에 개인정보 보호 관점이 체계적으로 반영될 수 있을 것으로 기대된다”며, “앞으로도 개인정보위는 ‘프라이버시’와 ‘혁신’ 두 가치가 상호 공존할 수 있도록 정책 기반을 마련해 나가겠다.”고 말했다.
[강현주 기자(jjoo@boannews.com)]
생성형 AI 생애주기별 법적 고려 사항, 안전성 확보 기준 제시
[보안뉴스 강현주 기자] “생성형 AI을 통해 달성하고자 하는 목적을 구체화하고, 이를 토대로 ‘어떤 유형의’ 개인정보를 ‘어떤 목적’으로 처리할지 구체적으로 설정해야 합니다. 목적 설정은 프라이버시 리스크 관리를 위한 출발점이자, 개인정보 처리의 적법성을 판단하는 핵심 기준이 됩니다.”
생성형 AI 개발·활용 생애주기별 안전조치 등 생성형 AI 서비스를 개발·활용하는 기업·기관을 위한 개인정보 안전 처리 기준이 마련됐다.
개인정보보호위원회(위원장 고학수)는 6일 서울 중구 소재 정동 1928 아트센터에서 ‘생성형 AI과 프라이버시’ 오픈 세미나를 개최하고 ‘생성형 AI 개발·활용을 위한 개인정보 처리 안내서’를 공개했다.
▲생성형 AI 개발·활용 단계별 고려 사항 [자료: 개인정보위]
개인정보위는 안내서가 생성형 AI 개발과 활용의 전 과정에서 개인정보 보호법 적용의 불확실성을 해소하고, 기업·기관의 자율적 법준수 역량을 높이는 데 큰 역할을 할 것으로 기대한다.
예를 들어 ChatGPT 등 상용 대규모언어모델(LLM) 서비스를 활용하거나 Llama 등의 오픈소스 LLM을 미세조정해 서비스를 개발·제공하는 사업자 등이 본 안내서를 활용할 수 있다.
우리나라에 축적된 의료·공공·금융분야 등의 데이터는 세계 최고 수준이다. 이들 데이터는 생성형 AI 발전을 견인하는 핵심 재료로 활용된다. 하지만 생성형 AI의 발전은 한편 프라이버시 침해 위험을 동반할 우려가 있어 개인정보 처리에 관한 명확한 기준 마련이 필수적이다. 일선 현장에서도 생성형 AI 활용과 관련한 개인정보 보호법 적용의 불확실성을 해소할 수 있는 체계적 안내가 필요하다는 요구가 지속돼 왔다.
이에 개인정보위는 올 초부터 내부 검토와 외부 전문가 의견 수렴을 거쳐 안내서 초안을 마련하고, ‘AI 프라이버시 민·관 정책협의회’ 및 개인정보보호위원회 제16회 전체회의를 거쳐 공개본을 확정했다.
개인정보위가 이번 안내서에서 크게 중점을 둔 부분은 세가지다.
첫째, 생성형 AI을 개발·활용하는 생애주기를 4단계로 분류하고 단계별로 확인할 최소한의 안전조치를 체계적으로 제시했다. 또한, AI 시스템이 실제로 개발·활용되는 방식과 맥락을 유형화하고, 각 유형에 따른 법적 기준과 안전성 확보 기준을 제시했다.
구체적으로, △목적 설정 단계에서 AI 개발 목적을 명확히 하고, 개인정보 종류·출처별 AI 학습에 필요한 적법 근거를 다룬다. △전략 수립 단계는 개발 방식을 나누어 유형별 리스크 경감 방안을 안내한다. △학습 및 개발 단계는 데이터오염, 탈옥 등 리스크를 고려한 다층적 안전조치를 제시하고 AI 에이전트의 관리 방안도 포함했다. △적용 및 관리 단계는 정보주체 권리 보장 등을 중점적으로 다룬다. △전체 과정에서의 개인정보 보호 관점을 내재화하기 위해 필수적인 개인정보보호책임자(CPO) 중심의 거버넌스 구축 방안을 제시한다.
이러한 기반에서 기업·기관은 위 과정을 반복하며 시스템을 고도화·개발하는 것이 권장된다.
둘째, 이용자 개인정보를 AI에 학습할 수 있는 법적 기준 등 생성형 AI 개발·활용 과정에서 불확실성이 높은 이슈들에 대해 개인정보위의 정책 및 집행 사례를 바탕으로 구체적인 해결방안을 제시했다. 개인정보위는 그간 생성형 AI에 대한 △안내자료 마련 △사전실태점검 등 집행 사례 △규제샌드박스 및 사전적정성 검토 등을 통해 다양한 정책적 경험을 축적해왔는데, 이들 경험에서 얻은 구체적 사례에 기반한 법 해석 기준과 안전조치 기준을 안내서에 반영해 유용성을 높였다.
셋째, AI 에이전트, 지식증류, 머신 언러닝 등 생성형 AI 개발·활용과 관련한 최신 기술 동향과 연구 성과 등을 반영했다. 안내서는 향후 급속한 기술 발전과 국내·외 개인정보 보호 정책 변화에 발맞춰 지속적으로 업데이트될 예정이다.
고학수 개인정보위 위원장은 “명확한 안내서를 통해 실무 현장의 법적 불확실성이 해소되고, 생성형 AI 개발·활용에 개인정보 보호 관점이 체계적으로 반영될 수 있을 것으로 기대된다”며, “앞으로도 개인정보위는 ‘프라이버시’와 ‘혁신’ 두 가치가 상호 공존할 수 있도록 정책 기반을 마련해 나가겠다.”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)