|
개인정보위는 29일 서울 대한상공회의에서 AI 개인정보보호 자율점검표의 주요 내용을 설명하고 현장 의견을 청취하는 설명회를 개최했다. 지난 4일 판교 스타트업 캠퍼스에서 진행했던 1차 설명회에 이어 2차로 개최한 것으로, 이날 설명회에는 9개 스타트업에서 대표이사부터 시작해 연구소장, 사업개발팀 임원, 법률담당까지 다양한 부서에서 참석했다.
◇“전담 조직, 인력 따로 없는데 개발 단계서 반영하기는 힘들어”
개인정보위가 자율점검표 마련 취지와 활용방안 등에 대해 설명하고 이어진 질의응답 시간에서는 현장에서의 애로사항과 함께 개인정보 보호 정책 관련 다양한 요구가 나왔다.
AI 스타트업의 한 임원은 “아무래도 스타트업에서는 자율점검표를 바로 적용할 만한 조직과 인력이 따로 없어 사용하기 어려웠다”며 “오늘 설명회도 회사에서 어떻게 자율점검표를 사용할 수 있는지에 대한 팁을 얻고자 참석했다”고 말했다.
개인정보 관련 솔루션을 제공하는 오내피플 관계자는 “개인정보 관련 전문가를 따로 두고 있는 규모가 큰 기업들도 시행할 수 있는 여력이 되는 곳이 많지 않다”며 “그런 상황에서 이제 막 서비스를 만드는 스타트업들의 경우 자율점검표가 있다 하더라도 관련 지식이 올라오지 않은 상태로 AI 개발을 위한 설계 단계부터 반영하는 것은 굉장히 어렵다”고 지적했다.
그는 “개인정보위가 중간 중간 점검을 하던지, 계도하는 활동을 지금보다 더 적극적으로 할 필요가 있다”고 제언했다.
이에 대해 이정렬 개인정보위 개인정보정책국장은 “(자율점검표 관련)교육 및 컨설팅을 확대할 방침이며, 여력이 없는 스타트업을 우선 대상으로 할 것”이라며 “중간 점검도 시행할 계획인데, 몰라서 제대로 시행하지 못하는 스타트업에 대해서는 바로 과징금을 때리는 것이 아니라 계도를 하는 방향으로 진행할 것”이라고 답했다.
◇플랫폼 형태의 자율 체크 시스템 만들어주는 것도 방법
AI 스튜디오 관계자는 자율점검표에 담긴 내용이나 개인정보 관련 가이드라인 등을 한데 모아 플랫폼 형태로 만들어 주는 것도 한 방법이라고 제시했다. 그는 “개인정보 규제 관련 여기저기 문서를 찾아봐야 하는데, 이에 둔감하거나 정보를 찾지 못하는 기업도 많을 수 있다”며 “유럽에 진출하려는 기업의 경우 일반개인정보보호법(GDPR) 준수를 제대로 하는지 여부 등을 체크할 수 있는 대시보드 형태의 가이드라인이 있으면 좋을 것”이라고 말했다.
이 국장은 “점검 사항을 다 모아 자율적으로 체크할 수 있는 시스템은 고민해 보겠다”면서도 “다만 기업별로 개별 처리를 어떻게 하느냐에 대한 디테일한 부분은 별도의 자문이 필요해 보인다”고 판단했다.
가명정보나 익명정보를 처리하는 기준에 대해서도 여전히 어려워했다. 안면정보나 생체정보에서 추출한 특징 정보의 경우 재식별이 되지 않으면 사용 가능하냐는 질문이 나왔다.
개인정보위 관계자는 “자체로만 보면 가명정보의 성격을 띠는 것으로 볼 수 있지만, 원본정보를 가지고 있으면 동일한 알고리즘을 가지고 유사 정보를 생성할 수 있어 재식별 위험 가능성이 다 달라진다”며 “일률적으로 가명정보 여부를 판단하기는 힘들다. 모호할 경우 법률 자문을 받거나 개인정보위나 한국인터넷진흥원(KISA)을 통해 상담을 받을 필요가 있다”고 설명했다.
◇개인정보위 “어디까지나 `안내서`…상시 점검용으로 활용 가능”
개인정보위는 이날 설명회에서 1차 때와 마찬가지로 이번 자율점검표는 어디까지나 `안내서`임을 재차 강조했다. 계속 산업계와 소통하며 빠르게 발전하는 AI 흐름에 맞춰 자율점검표를 지속 보완해 나갈 것이라는 방침도 재차 밝혔다.
이 국장은 “당초에는 점검표의 명칭을 `수칙` 혹은 `가이드라인`으로 정해 규제적인 성격으로 출발하려고 했는데, AI 시대 이슈를 다루는 부분은 절대 규제로는 해결할 수는 없다는 내부 논의 끝에 업계가 스스로 실천할 수 있는 안내서를 만들 필요가 있다는 의견을 모아 자율점검표로 정했다”며 “개인정보는 침해되면 돌이키기가 매우 어럽기에 사전점검표로, 상시 점검용으로 활용할 수 있을 것”이라고 강조했다.