[개인정보 변호사 – 인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서 해설]
안녕하세요. 법무법인 청출 이영경 변호사입니다.
오늘은 개인정보보호위원회가 2024년 7월에 발표한 '인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서'에 대해 상세히 소개해드리고자 합니다. 이 안내서는 AI 기술 발전과 개인정보 보호의 균형을 모색하는 중요한 지침이 될 것입니다.
[Question]
‘인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서'의 주요 내용을 설명해주세요.
[Answer]
안내서의 개요 및 적용 대상
먼저, 이 안내서의 성격과 적용 대상에 대해 설명드리겠습니다. 본 안내서는 AI 개발·서비스를 위해 공개된 개인정보를 처리하는 경우 참고할 수 있는 법 해석 기준을 제시한 것으로, 법적 구속력이 없습니다.
공개된 개인정보의 범위는 누구나 합법적으로 접근 가능한 개인정보를 의미하며, 주로 AI 학습을 위해 웹 스크래핑 기술을 이용하여 수집한 데이터셋에 포함된 개인정보를 상정합니다. 또한 법령에 의해 공시·공개된 개인정보, 출판물, 방송매체 등에 포함된 개인정보도 사안에 따라 본 안내서의 적용 대상에 포함될 수 있습니다.
AI 학습 단계에서는 컴퓨터가 방대한 양의 데이터를 통해 패턴, 구조, 배열 등의 통계적 상관관계를 파악하고 예측값을 생성하는 과정을 다룹니다. AI 서비스 단계에서는 이용자가 개인정보를 포함한 프롬프트를 입력하여 개인에 관한 결과값을 제공받을 수 있으며, 이러한 프롬프트 입력 및 결과값은 다시 AI 학습 목적으로 이용될 수 있습니다.
본 안내서의 적용 대상은 개인정보 보호법상 개인정보처리자의 지위를 갖는 AI 개발자 및 서비스 제공자입니다.
공개된 개인정보 처리의 법적 근거
AI 학습 및 서비스를 위한 공개된 개인정보 처리의 주요 법적 근거는 개인정보 보호법 제15조 제1항 제6호의 정당한 이익 조항입니다. 이 조항의 성립 요건은 다음과 같습니다:
요건 | 설명 |
목적의 정당성 | 개인정보처리자의 정당한 이익이 있을 것 |
처리의 필요성 | 개인정보 처리가 정당한 이익의 달성을 위하여 필요하고, 상당한 관련성 및 합리성이 인정될 것 |
이익형량 | 개인정보처리자의 정당한 이익이 명백하게 정보주체의 권리보다 우선할 것 |
정당한 이익은 AI 개발자 및 서비스 제공자의 영업상 이익뿐만 아니라, 그로부터 발생하는 사회적 이익 등 다양한 층위의 이익을 포괄할 수 있습니다.
처리의 필요성과 관련해서는, 특히 대규모 언어 모델(LLM) 개발을 위해 대량의 학습데이터가 필요하며, 이를 위한 현실적 방안으로 인터넷상에 공개된 데이터 활용에 의존하고 있는 실정입니다.
이익형량 과정에서는 개인정보처리자의 정당한 이익이 정보주체의 권리에 우선하는지 여부를 판단함에 있어 정보주체의 권리 침해 가능성을 심도 있게 검토해야 합니다.
안전성 확보 조치 기준
AI 개발자 및 서비스 제공자는 정보주체의 권리 침해를 예방하기 위해 다양한 기술적·관리적 조치를 취해야 합니다. 이러한 조치들은 다음과 같이 분류할 수 있습니다:
기술적 조치 | 관리적 조치 |
학습데이터 수집 출처 검증·관리 | 학습데이터 처리기준 정립 및 개인정보 처리방침에 공개 |
개인정보 유·노출 방지 | 개인정보 영향평가 수행 고려 |
개인정보의 안전한 저장 및 관리 | '(가칭) AI 프라이버시 레드팀' 구성·운영 |
미세조정을 통한 안전장치 추가 | 오픈소스, API 등 AI 개발·배포 특성에 따른 안전조치 |
프롬프트 및 출력 필터링 적용 | |
학습 결과에서 특정 데이터 삭제(머신 언러닝 등) |
각 조치에 대해 좀 더 자세히 살펴보겠습니다. 예를 들어, 프롬프트 및 출력 필터링 적용의 경우, 이용자가 프롬프트 입력을 통해 개인을 프로파일링하거나 사생활 침해 우려가 큰 답변 생성을 유도하는 경우, 이에 대한 답변 생성을 거절하거나 프롬프트의 맥락·취지에 따라 미리 정해진 답변을 제공하는 등의 방식을 고려할 필요가 있습니다.
정보주체 권리 보장 방안
AI 개발자 및 서비스 제공자는 정보주체의 권리를 보장하기 위해 다음과 같은 조치를 취해야 합니다:
첫째, AI 학습데이터의 투명성을 제고해야 합니다. 공개 데이터셋 수집 사실과 주요 출처, 처리 목적 등을 이용자가 쉽게 확인할 수 있는 개인정보 처리방침, 기술문서, FAQ 등에 공개하여 정보주체의 권리행사를 지원하는 것이 권장됩니다.
둘째, 정보주체의 권리행사를 지원해야 합니다. AI 개발자 및 서비스 제공자는 정보주체의 개인정보 열람, 정정·삭제 등 권리행사에 대하여 시간, 비용, 기술을 합리적으로 고려한 범위 내에서 보장하기 위해 노력해야 합니다.
실제 사례를 살펴보면, ChatGPT의 경우 이용자가 OpenAI가 보유하고 있는 개인정보 내역 제공을 요청하거나 노출된 개인정보 삭제를 요구할 수 있는 기능을 구현하고 있습니다. Gemini의 경우에도 언어모델 결과값에 개인정보가 포함된 경우 "법적 문제 신고"를 클릭하여 데이터 삭제를 요청할 수 있는 기능을 제공하고 있습니다.
책임있는 AI 개발·활용을 위한 AI 기업 등의 역할
마지막으로, AI 기업은 책임있는 AI 개발 및 활용을 위해 다음과 같은 역할을 수행해야 합니다:
먼저, AI 프라이버시 관련 내부관리체계를 마련해야 합니다. '(가칭)AI 프라이버시 담당조직'을 구심점으로 하여 내부관리체계를 정비·마련하는 것이 바람직합니다. 이 조직의 규모와 구성은 AI 기업·기관의 여건에 따라 자율적으로 결정할 수 있으나, 개인정보보호책임자(CPO)를 중심으로 구성·운영할 것을 권장합니다.
다음으로, AI 프라이버시 보호 문화를 공유하고 확산시켜야 합니다. AI 프라이버시 위험에 대한 점검·평가 결과 및 개선조치에 대해서는 개인정보보호책임자(CPO)가 기관 내부의 책임있는 관련 구성원과 공유하여 AI 프라이버시 보호가 기관 내부에 정착할 수 있도록 노력해야 합니다.
법무법인 청출은 4대 대형로펌 출신의 변호사들이 설립한 기업분야 전문 로펌으로, 기업 업무와 관련된 종합적인 솔루션을 제공해 드리고 있습니다. 추가 문의사항이 있으실 경우 이메일 또는 전화로 편히 연락 주시기 바랍니다.
