“SNS·블로그로 AI 학습해도 될까?”

AI 개발 이용 ‘공개 데이터’ 처리 기준 첫 제시
현행법상 사각지대에 있었던 ‘공개 데이터’ 처리방안에 대한 공인된 지침이 처음 나왔다. 개인정보보호위원회가 생성형 인공지능(AI) 모델 개발에 사용되는 공개 데이터 처리에 대한 정부 차원의 기준을 최초로 제시했다. 이에 따라 AI 개발 과정에서 법적 불확실성을 줄일 수 있을 것으로 기대된다.
7월 17일 개인정보위는 ‘AI 개발·서비스를 위한 공개된 개인정보 처리 안내서(이하 안내서)’를 발간했다. 공개 데이터는 인터넷에서 누구나 합법적으로 접근할 수 있는 데이터다. 그동안 주요 AI 기업들은 누리소통망(SNS)·블로그 등 인터넷에서 공개된 데이터를 웹 스크래핑(웹사이트에서 필요한 데이터를 자동으로 추출하는 기법) 방식으로 수집해 AI 학습데이터로 활용했다. 문제는 이 같은 데이터에 주소, 고유식별번호, 신용카드번호 등 여러 개인정보가 포함돼 있었다는 점이다. 국민 프라이버시 침해에 대한 우려가 컸지만 개인정보보호법에도 사실상 명확한 기준이 없었다.
이에 개인정보위는 공개된 개인정보를 수집·활용하는 법적 기준을 명확히 하고 기업이 AI 개발 및 서비스 단계에서 어떤 안전조치를 취하는 것이 적정한지를 참고할 수 있는 안내서를 마련했다. 생성형 AI 모델을 개발할 때 발생할 수 있는 개인정보 침해에 대한 위험성을 낮추고 법적 불확실성을 해소해 기업의 혁신과 성장을 돕겠다는 취지다.

목적의 정당성 있어야
안내서는 우선 개인정보보호법에 명시된 ‘개인정보처리자의 정당한 이익’ 조항에 의해 공개된 개인정보를 AI 학습이나 서비스 개발에 활용할 수 있다는 점을 분명히 했다. 요컨대 ‘목적의 정당성’이 있어야 한다는 얘기다.
다만 기업 등이 ‘정당한 이익’ 조항에 걸맞게 공개 데이터를 쓰려면 ▲이를 통해 개발하려는 AI 목적·용도에 정당성이 있어야 하고 ▲개발 취지와 관련 없는 개인정보를 AI 학습에서 배제하는 등 정보 처리에 합리성이 부여돼야 하며 ▲정보주체 권리침해 방지를 위한 안전성 확보 조치 마련 등의 요건을 충족해야 한다.
한편 기업은 모든 안전조치를 의무적으로 시행해야 하는 것은 아니며 각 기업의 특성에 맞는 ‘안전조치의 최적 조합’을 스스로 선택해서 이행할 수 있다.
이밖에 개인정보보호책임자(CPO)를 중심으로 ‘AI 프라이버시 담당조직(가칭)’을 자율적으로 구성하고 안내서에 따른 기준 충족 여부를 평가해 근거를 작성하도록 권고했다.
개인정보위는 AI 성능 개선 등 중대한 기술적 변경이나 개인정보 침해 발생 우려 등 위험 요인을 주기적으로 모니터링하고 개인정보 유·노출 등 침해사고 발생 시 신속한 권리구제 방안도 마련하도록 했다. 안내서는 관련법 제정과 AI 기술 발전 추이, 해외 동향 등을 고려해 지속해서 업데이트될 예정이다.
이번 안내서 관련 논의에 참여한 김병필 KAIST 교수(민·관 정책협의회 데이터 처리기준 분과장)는 “안내서는 개인정보를 충실히 보호하면서도 AI 혁신을 장려하는 적정한 절충점을 찾고자 하는 노력의 일환”이라면서 “신뢰할 수 있는 AI 개발과 이용을 위한 좋은 참고자료가 될 것이라고 생각한다”고 말했다.
민·관 정책협의회의 공동의장인 배경훈 LG AI 연구원장은 “공개 데이터에서 개인정보를 안전하게 처리할 수 있도록 기준을 제공함으로써 AI 기술 개발에 있어 법적 불확실성이 낮아져 안전하게 데이터를 활용할 수 있게 됐고 이는 곧 국민들이 신뢰할 수 있는 데이터 처리 환경에서 AI 기술의 혜택을 누릴 수 있는 기반이 될 것”이라고 전망했다.
고학수 개인정보위 위원장은 “AI 기술 진보가 빠르게 이뤄지고 있지만 AI 개발의 핵심 관건인 공개 데이터 학습이 보호법에 비춰 적법하고 안전한지는 의문인 상황이었다”면서 “안내서를 통해 국민이 신뢰하는 AI·데이터 처리 관행을 기업 스스로 만들어나가고 이렇게 축적된 모범사례가 안내서에 지속적으로 반영될 수 있길 기대한다”고 했다.



안내서 전 의견 수렴
안내서 발간에 앞서 개인정보위는 지난해 8월 ‘AI 시대 안전한 개인정보 활용 정책 방향’을 발표한 데 이어 ‘AI 프라이버시 민·관 정책협의회’를 중심으로 안내서에 관한 논의를 하면서 학계·산업계·시민단체의 의견을 수렴했다.
특히 유럽연합(EU)과 미국 등 해외 주요국에서도 관련 분야에서 개인정보 보호 규율체계를 만들어가고 있는 점을 고려해 국제적인 상호운용성을 갖춘 기준을 마련하는 데 중점을 뒀다.
이 밖에 개인정보위는 사전적정성 검토제, 규제샌드박스, 개인정보 안심구역 등 혁신지원제도를 통해 AI 기업과 수시로 소통하면서 기술발전과 시장상황을 모니터링하고 이를 통해 축적된 사례와 경험을 토대로 보호법을 AI 시대에 맞게 정비하는 작업도 추진할 예정이다.

박지현 기자

(www.korea.kr)