검색
화우

개인정보위, 인공지능(AI) 개인정보보호 자율점검표 발표

- AI 개발·운영 시 자율점검이 가능한 개인정보보호 기준 제시 -

미국변호사

[2021.06.10.]



개인정보보호위원회(이하 “개인정보위”)는 2021. 5. 31. 「AI 개인정보보호 자율점검표(개발자·운영자용)」(이하 “자율점검표”)를 공개하였습니다. 자율점검표는 인공지능 설계, 개발·운영 과정에서 지켜야 할 개인정보 보호법상 주요 의무·권장사항을 자율점검할 수 있도록 하기 위한 안내서입니다. 자율점검표는 업무처리 전(全) 과정에서 지켜야 할 6가지 원칙을 기반으로 단계별(또는 상시)로 점검해야 할 16개 항목, 54개 확인사항을 제시함으로써, 그동안 추상적인 원칙 수준이었던 AI 관련 프라이버시에 관한 사항을 구체화시켜 현장에 도움이 되도록 하였습니다.



1. 주요 점검항목 (16개 항목)

(1) 단계별 점검항목 1: 기획·설계

AI 서비스 기획 단계부터 사전 점검과 예방을 위해 ① 개인정보보호 중심 설계(PbD; Privacy by Design) 원칙을 적용하고, 침해가 우려되는 경우 ② 개인정보 영향평가를 수행하도록 하였습니다.


PbD 원칙 적용 예시로서, AI 서비스의 기획·설계 단계부터 개인정보 처리 흐름의 전반을 사전에 검토하여, 불필요한 개인정보는 수집을 제외하고, 위험·침해요인을 분석·제거하며, 암호화 등 안전조치를 적용하는 등을 통해 개인정보 처리의 안전성을 확보하는 것이 있겠습니다.


(2) 단계별 점검항목 2: 개인정보 수집

AI 개발·운영 시 대규모 개인정보가 수집·이용되는 점을 고려하여, ③ 적법한 개인정보의 수집 동의 방법 이행, ④ 동의 이외의 개인정보 수집 근거 확인, ⑤ 정보주체 이외로부터 개인정보 수집 시 수집 출처 및 처리 목적고지 등의 사항을 점검하도록 하였습니다.


예를 들어, ‘신규 서비스 개발’을 위한 개인정보 수집 동의 시에는 ‘○○서비스의 챗봇 알고리즘 개발’과 같이 목적을 구체적으로 작성하고, ‘○○ SNS 대화정보’와 같이 수집·이용 항목을 구체적으로 작성해야 하며, 이용자가 충분히 이해·예측할 수 있도록 ‘신규 서비스’의 의미 등을 구체적으로 알려야 합니다.


(3) 단계별 점검항목 3: 개인정보 이용·제공

또한, ⑥ 개인정보는 수집 목적 내 이용 및 제3자 제공해야 하고, 목적 외의 경우에는 적법한 근거를 확인하도록 하였습니다. ⑦ 동의 없이 가명정보를 처리하는 경우 과학적 연구, 통계작성 등 허용된 목적인지, 관련 기준에 부합하는지 등 점검내용을 제시하였습니다.


일반적으로 AI 기술개발(모델링·학습·시험 등)에는 과학적 방법이 적용되므로 과학적 연구에 해당할 수 있으나, AI 관련 서비스 운영 자체를 과학적 연구로 보기는 어렵습니다. 따라서 타인의 가명정보를 서비스 운영에 직접 활용하는 것은 제한되므로, 이를 위해서는 정보주체에게 그 사실을 명확히 알리고 추가적 동의를 받거나 익명처리하여 활용해야 할 것입니다.


(4) 단계별 점검항목 4: 개인정보 보관·파기

한편, ⑧ 개인정보의 유·노출 및 해킹 방지를 위하여 암호화, 접근통제 등 안전조치를 점검하고, ⑨ 개인정보가 불필요해지면 지체 없이 파기하도록 하였습니다.


(5) 상시 점검항목 1: AI 서비스 관리·감독

또한, ⑩ 개인정보 취급자에 대한 관리·감독 및 정기교육을 실시하고, ⑪ 개인정보 처리업무 위탁 시 관리사항을 문서화하고, 수탁자 교육 및 관리·감독을 수행하도록 하여, 인공지능 개발·운영과정에서 직원의 실수 또는 고의로 개인정보 침해가 발생하지 않도록 하였습니다.


(6) 상시 점검항목 2: AI 서비스 이용자 보호 및 피해구제

또한, ⑫ 개인정보 처리내역을 처리방침에 투명하게 공개하고, ⑬ 정보주체의 권리행사 요구에 대한 절차 마련 및 이행, ⑭ 개인정보 유출사고 발생 시 정보주체 통지, 관계기관 신고, 피해구제 지원 등 절차를 마련할 것을 제시하였습니다.


(7) 상시 점검항목 3: 개인정보 자율보호 활동

인공지능 기술 발전과 서비스 등장에 따른 다양한 개인정보 침해를 예방하고자 ⑮ 개인정보 보호활동을 자율적으로 수행할 것을 권장하였습니다. 예를 들어, AI 서비스의 작동방식, 개인정보 활용 프로세스 등을 이용자가 이해하기 쉽게 설명하고 공개하여 신뢰성을 확보할 수 있으며, 개인정보 유출 위험은 없는지 지속적으로 모니터링하고 문제점 발생 시 개선 활동을 수행할 수 있습니다.


(8) 상시 점검항목 4: AI 윤리 점검

개인정보 처리 시 - 사회적 차별, 편향 등이 최소화되도록 점검·개선하고, 윤리적 이슈에 대한 판단은 ‘AI 윤리기준’을 참고할 수 있도록 하였습니다.



2. 향후 전망

개인정보위가 공개한 자율점검표는 인공지능뿐만 아니라, 다양한 ICT 서비스의 개발·운영에도 활용될 수 있을 것으로 보입니다. 신기술이 급속하게 발전·변화하고 있고, 개인정보보호 관련 법령도 이에 맞추어 제·개정이 이루어지고 있는 점을 고려하였을 때, 각 기업은 해당 기업의 기술· 서비스 환경에 적합한 개인정보보호조치를 이행할 수 있도록 준비할 필요가 있습니다.


자율점검표에 수록된 의무사항 및 권장사항은 개인정보 처리 유형·방식에 따라 구체적 이행방법이 달라질 수 있으므로, 관련 법령·고시의 세부 규정 등 관련 자료를 종합적으로 참고하여 개인정보 보호법 준수 여부 등을 사전에 점검하는 것이 좋겠습니다.



이광욱 변호사 (kwlee@hwawoo.com)

이근우 변호사 (klee@hwawoo.com)

이수경 변호사 (sgyi@hwawoo.com)

종합법무관리솔루션

관련 법조인