공공기관의 인공지능(AI) 도입 및 활용이 증가하면서 개인정보 보호에 대한 우려도 함께 제기되고 있다. 특히 AI 시스템의 학습 및 운영 과정에서 발생할 수 있는 개인정보 침해 위험을 사전에 식별하고 예방하기 위한 구체적인 기준 마련이 시급한 상황이다. 이에 개인정보보호위원회는 이러한 문제에 대응하기 위해 「개인정보 영향평가에 관한 고시」 개정안을 의결하고 오는 9월 5일부터 시행한다고 밝혔다.
개인정보 영향평가는 사업 추진 시 개인정보 처리가 개인에게 미치는 영향을 사전에 분석하고 개선 방안을 수립하여 개인정보 침해 사고를 예방하는 제도이다. 일정 규모 이상의 개인정보 파일을 구축하거나 운영, 변경할 경우 공공기관은 반드시 이 영향평가를 실시해야 한다. 기존 고시에는 인공지능 분야에 대한 별도의 평가 기준이 없어, 공공기관들이 AI 사업을 추진할 때마다 개별적으로 평가 항목을 개발해야 하는 번거로움이 있었다. 이는 평가 항목의 적정성을 판단하기 어렵게 만드는 요인으로 작용했다.
이번 고시 개정으로 개인정보위는 ▲인공지능 시스템 학습 및 개발, ▲인공지능 시스템 운영 및 관리라는 두 가지 세부 평가 분야를 신설했다. ‘인공지능 시스템 학습 및 개발’ 분야에서는 개인정보 처리의 적법한 법적 근거 확보 여부, 민감 정보나 14세 미만 아동 정보의 불필요한 포함 여부, AI 학습용 데이터의 보유 및 파기 규정 명확성 등을 중점적으로 검토하게 된다.
또한, ‘인공지능 시스템 운영 및 관리’ 분야에서는 AI 개발 및 운영 주체 간 책임성 명확화, 생성형 AI 서비스 제공 시 허용되는 이용 방침(Acceptable Use Policy; AUP) 제공 여부, 부적절한 답변이나 개인정보 유출에 대한 신고 기능 마련 등 정보 주체의 권리 보장 방안 수립 및 시행 여부를 주요 평가 기준으로 제시했다. 이러한 평가 항목들은 개인정보위에서 발간한 인공지능 맥락에서의 개인정보 보호법 적용 안내서 등 관련 자료들을 종합적으로 고려하여 마련되었다.
이번에 마련된 인공지능 분야 영향평가 기준은 공공기관뿐만 아니라 민간기업에서도 AI 활용 개인정보 처리에 대한 잠재적 위험성을 식별하고 경감하는 사전 예방적 개인정보 보호 체계를 구축하는 데 유용한 참고 자료로 활용될 것으로 기대된다. 이를 통해 AI 기술 발전과 더불어 개인정보 보호가 조화롭게 이루어질 수 있는 기반이 마련될 것으로 전망된다.
About the Author
