검색
연구논단

인공지능과 개인정보보호 이슈

158079.jpg

1. 들어가며

데이터 시대에 인공지능과 관련된 기술은 빠르게 발전하고 있다. 일반적으로 '인공지능'이란 인간의 지능이 필요한 작업을 수행할 수 있는 시스템이나 소프트웨어를 의미한다. 인공지능 기술의 발전은 대량의 데이터셋(Data set)과 컴퓨팅 파워를 필요로 한다. 최근의 온라인 서비스, 사물인터넷의 확산은 대량의 데이터셋의 확보를 가능하게 하였고, 머신러닝, 클라우드 컴퓨팅은 인공지능의 발전을 더욱 가속화시켰다. 그 결과 유럽연합(EU) 집행위원회가 인공지능 보고서(Communication Artificial Intelligence for Europe)에서 언급한 바와 같이, 인공지능은 더 이상 공상과학에서 존재하는 것이 아니라, 우리 실생활에 다가와 있다. 온라인에서 맞춤형 광고·추천(Target Marketing), 고용에서 입사자 분석(Smart Recruiting), 정보보안에서의 부정행위 탐지(Fraud Detection), 각종 캠페인에서의 마이크로 타게팅(Micro Targeting), 보건의료분야에서의 의료정보(Personal Health Record)의 활용 등을 대표적인 예로 들 수 있다. 그러나 이러한 인공지능의 발전은 본질적으로 대량의 데이터셋을 근간으로 하고 있어 개인정보 보호와의 갈등을 초래할 수 있다, 특히 고도로 발달된 기술로 인해 개인의 식별가능성이 확대되고 있는 바, 데이터 경제 사회에서 정보주체의 권리를 보장하면서 인공지능의 발전과 조화와 균형을 찾을 수 있는 방안을 고찰해본다.



2. 수집제한의 원칙 - 동의 기반 개인정보 처리의 근거 개선
개인정보처리자는 개인정보처리 목적을 위해 필요한 최소정보를 수집해야 한다(OECD 프라이버시 제1원칙 및 개인정보 보호법 제3조 제1항). 그러나 영국의 개인정보감독기구(Information Commissioner’s Office, ICO)가 보고서(Bigdata, artificial intelligence, machine learning and data protection)에서도 언급한 바와 같이, 인공지능은 가능한 최대한의 데이터(이른바, 'n=all')를 사용해야 적절한 결과를 도출할 수 있다. 특히 인공지능은 정보간의 연관관계를 찾아내는 처리 과정인바, 어떠한 데이터가 '필요 최소한'인지 미리 확정하기는 상당히 어려운 점이 있다. 


이와 관련하여, 정보통신망법상 개인정보의 처리 근거 중 '동의'만을 인정하고 있으므로 이러한 규제방식이 적절한지 고려할 필요가 있다(정보통신망법 제22조). 아무도 읽지 않는 고지문과 형식적인 동의 절차는 이용자의 실질적인 '통제권과 선택권'을 보장하는데 오히려 제한적인 결과를 초래할 수 있다. 그렇다면, '계약의 이행' 또는 개인정보처리자 또는 제3자의 '정당한 이익'을 근거로 개인정보 처리가 가능하도록 하는 방안을 고려해 볼 필요가 있어 보인다. 특히, 정당한 이익의 경우 목적 테스트(Purpose Test), 필요성 테스트 (Necessity Test), 이익형량 테스트(Balancing Test)를 내용으로 하는 3단계의 '정당한 이익 평가(LIA Legitimate Interest Assessment)'를 통하여, 정당한 이익을 동의 이외의 개인정보 처리의 근거로 인정하되, 위 평가결과를 기업이 입증하고 관련 내용을 공개하도록 하여 기업의 책임성과 투명성을 확보하는 방안을 고려할 필요가 있다.


이를 통해 기업은 인공지능 기술의 개발에 필요한 데이터셋을 확보할 수 있고, 정보주체는 기업의 데이터 활용에 대해서 확인할 수 있다. 물론, 이러한 정당한 이익이나, 계약의 이행의 범위를 넘어서는 개인정보 처리에 관하여는 정보주체의 통제권과 선택권이 보장된 상태에서 동의를 받아 처리해야 할 것이다. 관련하여 유럽의 개인정보보호 규정(GDPR, General Data Protection Regulation)은 동의는 '자유롭게 주어지고, 특정되며, 정보가 제공되어야 하며, 애매하지 아니한 의사표시'여야 한다고 정의하고 있는 점, 정보통신망법과 달리 동의 이외에 다양한 개인정보 처리의 근거를 마련하고 있는 점 등을 고려할 필요가 있어 보인다(GDPR 제4조 제11항, 제6조 제1항).


3. 목적 제한의 원칙- 합리적으로 관련된 범위 내의 추가 처리

개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 안 된다(OECD 프라이버시 4원칙, 개인정보보호법 제3조 제2항). 그러나, 인공지능은 그 정보의 처리 과정에서 목적이 재설정되기도 한다. 특히, 인공지능에서는 전혀 관련이 없어 보이는 것들이 결합되어, 어떻게 활용될지 예측하기 어려운 특성이 있다. 실제 알고리즘을 만든 개발자들도 인공지능이 도출하는 결론을 예측하기 어렵다고 한다. 반면, 현행 법제 하에서는 개인정보 처리의 목적 범위를 상당히 좁게 해석 경향이 있다(대법원 2017. 4. 13. 선고 2014도7598 판결, 대법원 2018 . 7. 12. 선고 2016두55117 판결 참조).


한편, 영국의 개인정보감독기구(ICO, Information Commissioner's Office)는 최초 수집목적과 새로운 목적 사이의 연관성, 합리적 예견가능성, 개인정보의 성격(예: 민감 정보), 개인에게 발생 가능한 결과, 적절한 보호조치 적용 여부 (예: 암호화, 가명조치) 등을 종합적으로 고려하여 개인정보 처리의 목적을 판단하도록 설명하고 있다. 우리 법제에서도 일률적인 개인정보 목적 범위의 제한이 아닌 구체적인 개별 상황 맥락과 기술적 조치 등을 고려하여, 정보주체의 권리 침해가 제한되지 아니하는 경우 '합리적으로 관련된 범위 내 이용'을 고려할 필요가 있다(개인정보 보호법 일부개정법률안, 인재근 의원 대표발의, 의안번호 16621, 제15조 제3항 참조).


4. 프로파일링- 프로파일링에 대한 적절한 권리 보장

인공지능에서 새롭게 중요시되는 내용은 프로파일링에 대한 권리이다. GDPR 제4조 제4항은 프로파일링을 '자연인의 특정한 개인적인 측면을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리'를 의미한다고 규정하고 있다. 예컨대, 온라인 쇼핑몰에서 계절에 따라 이용자가 자주 구매하는 제품을 눈에 띄는 곳에 배치하는 것, 앱(APP) 서비스의 메뉴와 세팅 등의 UX(User Experience)·UI(User Interface)를 이용자의 편의성에 맞추어 개선하는 것, 고객에 맞는 대출·신용카드 등을 추천하는 것은 모두 프로파일링의 개념에 포함될 여지가 있다. 나아가, 업계에서는 변경 가능(resettable)하고 해쉬(hash, 임의의 크기를 가진 데이터를 고정된 데이터의 크기로 변환시키는 것)된 광고아이디를 기반으로 이용자를 분류(segment)하여 이를 기반으로 이용자의 프로파일을 만들어 광고·추천하는 사업은 최근 중요한 비즈니스 모델 중 하나이다.


GDPR에서는 위와 같이 프로파일링을 광범위하게 정의하고, 이는 '개인정보 처리'에 일종이므로 개인정보 처리에 따른 규정을 준수하도록 하고 있다, 나아가, 정보주체에게 '법적 효력'이나 이와 '유사하게 중대한 영향을 미치는 결정(예컨대, '온라인 대출신청의 자동거절'이나 '인적 개입 없이 이루어지는 전자채용', GDPR 전문 제71항 참조)'은 계약의 이행, 법률의 규정, 명시적인 동의의 경우가 있는 경우 등에만 가능하도록 정하고 있다(GDPR 제22조 제2항). 관련하여, 신용정보법 개정안에는 개인신용평가 결과에 대한 설명 및 이의제기 등에 관한 권리를 인정하는 등 GDPR의 프로파일링에 대한 권리와 유사한 권리를 규정하고 있는 것으로 보여진다(신용정보 이용 및 보호에 관한 법률 일부개정법률안, 김병욱의원 대표발의, 의안번호 16636, 제36조의2, 제36조의3 참조). 


생각건대, 모든 범주의 프로파일링에 대한 일률적인 제한은 프로파일링의 개념이 데이터 경제 사회에서 무제한적으로 확장될 수 있다는 점을 고려할 때, 인공지능 기술의 발전을 근본적으로 제한할 수 있고, 결과적으로 정보주체의 편의 증진과 이익에도 부합하지 아니할 것으로 보여진다. 오히려 프로파일링의 개념을 세분화하고, 유형화하여 정보주체의 권리에 대한 침해가능성과 예측가능성을 고려하여 프로파일링을 규제하는 것이 바람직할 것으로 생각된다.



5. 마치며

위에서 살펴본 바와 같이, 인공지능, 빅데이터, 사물인터넷, 클라우드는 동일한 방향성을 띠고 있다. 이는 전통적인 개인정보의 최소수집원칙, 목적 제한의 원칙, 최소 보유기간의 원칙에 위반되는 것으로 해석될 소지가 있을 뿐만 아니라, 프로파일링에 대한 이슈도 초래할 수 있다. 물론, 기술 발전은 종국적으로 인류를 위한 것이므로, 정보주체의 권리를 희생하면서 혁신을 추구할 수는 없다. 그러나, 글로벌한 데이터 경쟁시대에 국내법에서만 전면적, 일률적 제한을 주장할 수도 없을 것이다. 오히려 기업이 이용자의 통제권과 선택권을 보장하고, 투명성과 책임성 원칙을 준수하며, 가명조치, 비식별 조치 등의 기술적 보호조치 등을 적절히 수행하는 경우, 합리적인 영역에서 리스크 기반 방식의 규제를 고려할 필요가 있다. 나아가, 이러한 규제방식이 실질적인 정보주체의 권리와 이익을 보호하는 데도 기여할 수 있으리라 생각된다.

 

 

김도엽 변호사 (법무법인 태평양)

미국변호사

관련 법조인