|
개인정보위는 스스로 판단하기 모호한 경우 위원회나 한국인터넷진흥원(KISA)을 통해 확인하고 법률적 자문을 받을 필요가 있다고 조언하면서 이번 자율점검표가 `새로운 규제`가 아닌 `안내서` 임을 강조했다.
◇11개 스타트업 참여…대표부터 CTO, 마케팅 부서도 관심
개인정보위는 4일 판교 스타트업 캠퍼스에서 AI 개인정보보호 자율점검표의 주요 내용을 설명하고 현장 의견을 청취하는 설명회를 개최했다. 이날 설명회에는 11개 스타트업에서 대표이사부터 시작해 최고기술책임자(CTO), 마케팅, 전략기획팀 등 다양한 부서에서 참석했다.
개인정보위가 자율점검표 마련 취지와 활용방안 등에 대해 설명하고, 자유롭게 질의응답하는 시간을 가졌다. 자율점검표에는 개인정보 수집 동의 절차, 가명정보 처리 기준 등에 대해 자세히 다루고 있다. AI 챗봇 `이루다` 사태에서 쟁점이 됐던 `신규 서비스 개발`을 위한 개인정보 수집·이용 동의를 받는 경우에는 목적을 구제척으로 명시해 이용자가 충분히 이해·예측할 수 있도록 해야 한다.
또 AI 기술개발에는 과학적 방법이 적용돼 개발 자체는 가명정보 이용 가능 목적인 `과학적 연구`에 해당할 수 있으나, AI 관련 서비스 운영 자체를 `과학적 연구`로 보기는 어렵다는 해석이다. 따라서 타인의 가명정보를 AI 서비스 운영에 직접 활용(공개, 제공 등)하는 것은 제한되므로 추가적 동의를 받거나 익명처리해 활용해야 한다.
◇어디까지 가명처리해야 하나…“식별가능정보 애매하면 지워라”
이날 질의응답 시간에서 이 부분에 대한 질문이 주로 나왔다. 영어 교육서비스를 제공하는 스타트업 링글 관계자는 △공공기관 및 대학교와 공동 연구를 진행할 경우 개인정보 처리 방침을 모두 공지해야 하는지 △기존 서비스의 개선을 위해 진행하는 AI 연구에 사용하는 개인정보도 별도 동의를 받아야 하는지 △소셜네트워크서비스(SNS) 대화 데이터의 경우 어디까지 가명처리해야 하는지 등에 대한 질문을 던졌다.
이에 대해 개인정보위 관계자는 “현장에서 애매한 경우가 많아 사례별로 판단해야 할 것이지만, 되도록이면 개인정보 처리방침을 공개하는 것이 좋으며 동의를 받을 수 있다면 받도록 권장한다”며 “가명처리를 100% 하기는 쉽지 않지만, 현재 가능한 기술 범위에서 최대한의 노력을 기울일 필요가 있다. 통계적으로 식별가능한 정보는 위험도 분석을 거쳐 가명처리해 활용해야 한다. 애매한 경우라면 지우는게 좋다”고 조언했다.
◇개인정보위 “자율점검표, 새로운 규제 아냐…계속 보완해 나갈 것”
개인정보 비식별처리 솔루션을 제공하는 보안기업 스파이스웨어는 고객 컨설팅 등에 이번 자율점검표를 유용히 활용할 수 있을 것으로 기대했다. 스파이스웨어 관계자는 “그간 내부적으로 검진표를 만들어 고객 컨설팅에 사용해왔는데, 개인정보위에서 공시적으로 마련한 자율점검표가 앞으로 많은 도움이 될 것으로 보인다”며 “고객에게 실제 개인정보 유출 사건이 발생하기 전에 재식별 리스크 등이 높은 상황을 경고해주는 서비스를 제공하고자 한다. 유출 위험도가 높다고 인지할 경우 어떻게 대응할 수 있나”고 물었다.
개인정보위는 재식별 가능성에 대해서는 계속 살펴볼 문제로, 다음 버전의 자율점검표에 해당 부분을 반영하겠다고 응답했다. 개인정보위 관계자는 “사전 경고 시스템 자체를 구축하는 것은 아주 중요하다고 생각한다”고 말했다.
박상희 개인정보위 사무처장은 “일각에서는 자율점검표가 새로운 규제가 아닌가 우려하는데, 전혀 새로운 규제가 아니고 AI 개발·운영하는 분들이 꼭 알고 있어야 할 주요 내용을 알기쉽게 설명한 안내서”라고 강조하면서 “계속 산업계와 소통하며 빠르게 발전하는 AI 흐름에 맞춰 자율점검표를 보완해 나갈 것”이라고 말했다.