인공지능 분야 개인정보보호 활용 과정

인공지능을 발전할 때는 방대한 데이터 처리를 기초로 하고 있어 기존의 개인정보 보호원칙과 상당한 충돌이 있음. 또한, 목적제한의 원칙에 따라 인공지능의 발전 방향성이 문제가 되고 있음. 

 

인공지능 개발·운영 단계별 개인정보 보호 고려사항 중 공개된 개인정보 처리의 법적 근거에 대한 문제가 있음. 공개된 개인정보를 처리할 수 있는 근거는 무엇일까? 로앤비 판결,2014다25080에 따르면, 학습데이터의 처리와 관련하여 공개된 정보의 인공지능 개발 목적의 수집은 특별한 사정이 없는 한, 정보주체의 '동의가 있었다고 객관적으로 인정되는 범위 내'의 개인정보 처리로 인정된다고 해석하기 어렵다고 보았다. 판례에서 정보주체의 명시적 동의가 없는 경우, 객관적 동의 의사가 추단되는 범위 내에서 일반적 이익형량 기준을 만족하는 경우, 공개된 정보를 활용할 수 있다는 입장인 것이다. 그렇다면 결국 '정당한 이익이 있는 경우'로 가는 수밖에 없었다. 안전성 확보조치를 실시하고 6항인 정당한 이익으로 가는 것이다. 

 

15조의 6항이 다음과 같은데,

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

 

사실 이 부분도 문제를 삼으려면 언제든 문제를 삼을 수 있다. '명백하게'라는 말이 상당히 문제되기 때문이다. 명백하다는 것은 무엇일까? 숫자로 표현했을 때, 80:20이면 명백한 것일까? 아니면 51:49여도 모두가 입을 모아 51:49라고 말하면 명백한 것일까? 사실 이 용어에 대해서는 여전히 논란이 많다. 그래서 이 조항을 잘 쓰지 않는 것이다. 명백성 관련 개인정보보호위원회 심결례(제2022-011-067호)가 있다.

 

앞서 말했던 '정당한 이익'이 독자적인 처리 근거에 대한 입증을 위해서는 목적의 정당성, 처리의 필요성/상당성/합리적과 이익이 제시되어야 할 것이다. 목적의 정당성은, 정당한 이익이란 개인정보 처리에 관한 합법적 이익을 말하며, AI 개발자 및 서비스 제공자의 영업상 이익, 사회적 이익 등 다양한 층위의 이익을 말한다. 처리의 필요성의 경우, 필요성은 AI 기술의 정확도, 신뢰도 향상을 위해 대규모 학습데이터가 필요하다는 것을, 상당성과 합리성은 AI 개발 목적 및 용도에 맞는 학습 데이터를 의미할 것이다. 이익형량은, 공개된 개인정보의 성격, 공개의 대상 범위, 공개된 개인정보의 처리 방식, 정보주체의 예견가능성, 권리보장 방안 등을 고려하여 '정보주체 권리'에 대한 침해 및 제한 정도를 평가하는 것이다.

 

[이하 실습]

A회사는 B 챗봇 서비스를 제공하고 있는 회사입니다. 다음과 같이 새로운 인공지능 서비스 K를 개발하기 위하여 다양한 방안을 모색하고 있습니다. 한편, B서비스의 확산으로 이해 새로운 인력을 채용하려고 하며, 여기에도 인공지능 서비스를 사용하려고 합니다. 나아가, 향후에는 K서비스 이외에도 다양한 인공지능 관련 서비스를 제공하려고 할 계획이 있습니다. 이 경우 아래와 같은 질의사항에 대해 개인정보보호팀에 조언을 구하고 있습니다.

 

1.     인터넷에 공개된 데이터(예: 블로그 글, 공개 SNS 프로필)를 크롤링하여 AI 학습 데이터로 사용하려 합니다. 해당 데이터에 개인을 식별할 수 있는 정보가 포함되어 있는데, 이미 공개된 개인정보이므로 별도 동의 없이 사용해도 된다는 주장이 있습니다. 실제로 공개된 개인정보를 수집·이용해 AI를 학습시키는 것에 관련하여 고려해야 할 개인정보 처리의 법적 근거 및 검토방법을 기재하시기 바랍니다.

 

공개된 것이어도 개인정보이기에 처리 근거가 필요하고, 처리 근거를 고민해야 한다. 제공하는 서비스에 따라 다르겠지만, 가이드라인에 따르면, 정당한 이익 쪽으로 처리해야 할 것이다. 목적, 수단, 필요한 데이터, 이익형량을 통해서 각 요건에 부합하는지를 분석하고, 개인정보보호법을 검토하여 근거를 마련 후 수집해야 할 것이다. 물론, 그것보다 더 안전한 방법도 있다. 기술적으로 가명처리를 통해 처리하는 방법도 고려할 수 있을 것이다. 

 

2.     수집하는 공개된 정보에서 민감정보, 고유식별정보가 포함될 가능성이 있는 경우 A사가 조치해야 할 사항을 기재하기 바랍니다.

 

민감정보와 고유식별정보는 원칙적으로 수집이 금지이기 때문에 정보주체에게 별도 동의를 받아야 할 것이다. 

 

3.     서비스를 운영하다 보면 기존 또는 신규 서비스 개발 등으로 처음에 고지한 목적과는 다른 목적으로 데이터를 쓰고 싶은 경우가 생깁니다. 일부 직원은 “회사 내부 사용이니 괜찮다”고도 하는데, 어떤 검토를 해야 할지 기재하시기 바랍니다

 

목적 외 이용은 원칙적으로 금지이며, 사내 목적이라 하더라도 내부 검토서를 통해 예외 요건을 평가해야 할 것이다. 만일 예외 요건에 포함되지 않는다면, 이것 역시 정보주체에게 별도 동의를 받아야만 한다.

.

4.     AI 서비스 제공을 위해 고객 데이터를 미국에 있는 클라우드 서버에 저장·처리하려 합니다. 개인정보를 해외로 보내는 것이어서 국외 이전에 해당할 텐데, 이용자 동의를 반드시 받아야 하는지 개인정보처리방침에 알리는 것으로 충분한지 기재하시기 바랍니다.

 

개인정보처리방침에 고지하는 것만으로는 충분하지 않다. 사전 동의를 받지 않았을 경우, 별도 동의를 획득해야 하며, 이때 이전되는 국가명, 이전 일시 및 방법, 보관 장소 및 책임자 연락처, 처리 항목 및 목적, 보유 및 이용기간을 알려야 한다.

 

5.     우리 기업의 AI 알고리즘이 고객 데이터를 분석한 결과, 고객의 정치적 성향이나 건강상태 등을 추론해낼 수 있게 되었습니다. 고객이 제공하지 않은 정보를 AI가 간접적으로 도출한 것인데, 이러한 추론된 정보도 법적으로 보호되는 개인정보에 해당하는지, 해당한다면, 수집된 정보로 민감정보가 추론 가능한 경우 A사가 주의해야 할 사항을 기재하기 바랍니다.

 

알고리즘이 자동으로 민감정보를 생성 및 추론할 능력이 있다면 그것도 개인정보로 봐야 하며, 따라서 사전 위험 분석 및 개인정보 영향평가를 수행해야 할 것이다. 그리고 해당 정보에 대한 접근 제한, 암호화, 기록관리 등 추가 보호조치 적용을 수행하고, 내부 감사 및 모니터링 체계를 수립해야 할 것이다.

 

6.     A가 채용 단계에서 자동화된 결정을 하는 경우, 개인정보 처리방침에 공개해야 할 사항을 기재하기 바랍니다.

 

자동화된 결정이 존재한다는 사실, 그 결정이 정보주체에게 미치는 영향, 정보주체가 개입할 권리 및 이의제기 방법 등을 공개해야 한다.

 

7.     A사의 채용 지원자가 설명요구권을 행사했을 때 공개해야 할 사항을 기재하기 바랍니다.

 

해당 자동화된 결정이 이루어진 기준 및 알고리즘 작동 방식의 정보, 결정이 이뤄진 논리적 근거 또는 주요 판단 요소, 결정이 정보주체에 미치는 영향을 공개해야 한다.

 

8.     A사가 합성데이터를 사용하려는 경우, A사의 유의사항을 기재하기 바랍니다.

 

실제 개인 식별 불가 여부 확인(재식별 위험 평가), 생성 과정에서 실제 개인정보가 포함되지 않도록 보장, AI 학습용으로 사용할 경우에도 비식별 조치 및 관리체계 구축, 법적 분쟁 대비를 위해 생성 및 이용 이력 기록 보관을 해야 할 것이다.

 

9.     A가 향후 신규 인공지능 서비스 개발 관련 리스크 관리를 위해 적절한 대응방안을 기재하기 바랍니다.

 

사전 위험 평가 체계 도입(개인정보 영향평가 수행, 알고리즘의 편향성 맟 차별성 검토), 내부 윤리 가이드라인 및 검토 위원회 운영(AI 윤리, 개인정보 보호 등 관점에서 개발 초기 단계부터 점검), 설명 가능성 확보(결정 논리 설명 가능한 설계 구조 적용), 기타 보안 강화(개인정보 및 민감정보 암호화, 접근통제, 처리기록 로그 유지 등), 사후 대응 절차 마련(정보주체 이의제기, 정정 요구 등에 대응할 프로세스 준비, 사고 발생 시 신속한 통지 및 복구 절차 포함)이 있다.