양청삼 개인정보보호위원회 개인정보정책국장은 17일 정부서울청사에서 브리핑을 열고 “‘AI 개발·서비스를 위한 공개된 개인정보 처리 안내서’는 빠르게 변화하고 있는 AI·데이터 처리 환경에 적용할 수 있는 개인정보 보호 원칙과 기준을 구체화한 것”이라며 “공개된 개인정보가 적법하고 안전하게 활용될 수 있도록 일정한 기준을 제시함으로써 기업 불확실성을 낮추고 국민 신뢰를 높이기 위한 취지에서 준비됐다”라고 밝혔습니다.

‘공개 데이터’는 인터넷상 누구나 합법적으로 접근할 수 있는 데이터인데요. 챗GPT 등 생성형 AI를 개발하기 위한 학습 데이터의 핵심 재료로 주로 쓰입니다. AI 기업들은 커먼 크롤(Common crawl·인터넷상 데이터를 수집하고 누구나 접근해 분석할 수 있도록 저장·유지·관리하는 공개 저장소), 위키백과, 블로그, 웹사이트 등에 있는 공개 데이터를 자동 추출 기법인 웹 스크래핑 등의 방식으로 수집해 활용하고 있습니다.

하지만 이러한 공개 데이터에는 주소, 고유 식별번호, 신용카드 번호 등 여러 개인정보가 포함될 수 있어 개인정보 침해 우려가 큰데요. 실제로 개인정보위가 커먼 크롤의 임의 데이터(31MB)를 추출해 분석한 결과 주소, 전화번호, 계좌번호, 신용카드 번호 등 520건의 개인정보가 포함된 것으로 나타났습니다.

또한 AI 학습으로 공개 데이터가 ‘대규모’로 처리되는 상황에서 현행 보호법 상 정보주체의 개별 동의나 계약 체결 등의 조항을 적용하는 것도 어려운데요. 이에 개인정보위는 ‘AI 프라이버시 민·관 정책협의회’에서 논의된 내용을 바탕으로 공개된 개인정보 수집·활용의 법적 기준을 명확히하고 AI 개발·서비스 단계에서 어떤 안전조치를 취하는 것이 적정한지에 대한 최소한의 기준을 제시하는 안내서를 마련하게 됐다고 설명했습니다.

안내서는 △공개된 개인정보가 AI개발·서비스에 활용될 수 있음을 명확히 인정 △실질적 법적 근거로 ‘정당한 이익’ 기준 제시 △이를 위해 개인정보 보호를 위한 안전성 확보 조치 및 정보주체 권리보장 수단 마련·안내를 골자로 합니다.

 

특히 ‘정당한 이익’이 적용되기 위해서는 다시 △AI 개발 목적의 정당성 △공개된 개인정보 처리의 필요성 △구체적 이익형량이라는 3가지 요건이 충족돼야 하는데요. 개인정보위는 이번 안내서를 통해 해당 요건의 내용과 적용 사례를 안내했습니다.

 

또한 안내서에는 ‘정당한 이익’을 근거로 공개된 개인정보를 처리하기 위해 고유 식별정보 등에 대한 삭제와 비식별화 등의 기술적 안전조치와 ‘(가칭) AI 프라이버시 레드팀’ 구성·운영 등의 관리적 안전조치 방안도 담겼는데요. 더불어 개인정보 유·노출 발생시 삭제, 처리 정지 등 정보주체의 권리보장 방안도 구체적으로 안내합니다.

이번 안내서에 따른 모든 안전조치는 AI 기업이 의무적으로 시행해야 하는 것은 아닙니다. AI 기업은 개별 조치의 장·단점, 부작용, 기술 성숙도를 고려해 자율적으로 선택해 이행할 수 있습니다. 이처럼 안내서가 최소 기준을 담은 가이드라인 성격으로 미이행 시 제재 규정이 없는 까닭에 실효성 우려도 뒤따르는데요.

이와 관련 양 국장은 “명백한 위험들이 있는데 기술적·관리적 조치들을 아무 것도 안 한다면 적법 처리 근거로서 ‘정당한 이익’을 원용할 수 없다”라며 “그러면 비적법하게 공개된 데이터, 개인정보를 처리한 것으로, 자체로 위법한 것”이라고 설명했습니다.