'영상데이터' 규제 푼다지만…AI서비스 기업 "법 개정 없이는 불안"
by김현아 기자
2024.09.10 06:02:00
2017년 검체용기 반출 재판서 법원 '무죄' 판결
"검체번호 만으로 구체적 개인정보 확인 어려워"
SKT 전자처방전도 9년간 법적공방…법개정 필요
개인정보위, SEC처럼 '비규제조치의견서' 도입해야
[법무법인 린 구태언 변호사·이데일리 김현아 IT전문기자] 개인정보보호위원회가 자율주행 기업들의 영상 원본을 인공지능(AI) 학습에 활용할 수 있게 한다는 방침이지만 기업들은 현행 개인정보보호법의 모호성을 해결하는 것이 더 시급하다고 보고 있다. 개인정보보호법 자체를 ‘AI G3’ 국가로 도약하기 위한 체제로 전면 전환해야 한다는 것이다.
예를 들어 개인정보위가 영상 개인정보보호법(가칭)을 만들면 원본 영상 정보를 학습할 수 있어 똑똑한 AI가 가능해진다. 이를 통해 자율주행차는 보행자의 얼굴이나 시선 방향을 파악하고, 도로 위의 위험 요소를 신속하게 인식해 안전성을 높일 수 있다. 그러나 특정 용도를 위한 규제 완화 만으로는 부족하다. 비식별정보(그 자체로 개인임을 알 수 없는 정보)는 특정 개인을 식별할 가능성이 높지 않은 경우 개인정보로 간주하지 않고, 개인정보를 AI 학습에 사용할 경우 침해로 보지 않는 해석에 무게를 두며 일정 규모 이하 스타트업은 데이터 활용시 면책 규정을 도입하는 것이 필요하다.
지난 2017년 수원의 한 기업이 진단키트 개발을 위해 진단검사가 끝난 A병원 환자들의 혈액검체와 검사항목, 검사결과 수치를 넘겨받은 일이 있었다. 당시 A병원 관계자들은 환자이름과 등록번호, 성별, 나이, 병동 등의 정보를 제거했지만 검체번호, 채혈시간, 검사항목 등의 항목을 남겨두어 개인정보보호법 위반으로 재판에 회부됐다.
그러나 법원은 검체번호 등을 통해 환자의 구체적인 인적 사항을 확인하려면 전문의들만 접근 가능한 K병원 시스템에 접속해야 한다는 점과 피고인들이 실제로 인적 사항을 요구하거나 시스템에 접속한 적이 없다는 점 등을 고려해 개인정보 유출 혐의에 대해 무죄를 선고했다.
이처럼 법원은 개인정보 유출 사건을 다룰 때 ‘특정 개인을 식별할 목적’에 따른 행위인지 아닌지를 기준으로 판단했지만 우리나라 개인정보보호법은 특정 개인을 식별하지 않는 경우에도 정보주체의 동의를 요구하는 등 엄격한 잣대를 들이대고 있다. 개인정보의 ‘정의’에만 해당하면 이를 다루는 모든 행위를 개인정보 처리로 간주하고 있는 것이다.
하지만 이는 AI 학습을 위한 정보처리를 어렵게 만들기 때문에 개인정보보호법 제2조 제2호의 ‘처리’에 대한 정의를 ‘특정 개인을 식별할 목적으로 개인정보를 다루는 경우’로 명확히 할 필요가 있다. 이를테면 아마존웹서비스(AWS)·마이크로소프트(MS)·네이버클라우드 등 클라우드 업체들이 고객사들에게 서비스형소프트웨어(SaaS)를 제공할 때 고객사 임직원 개인정보를 보유하고 처리하는 것은 단순 위·수탁 문제로, 고객센터업무수탁회사의 민원인 식별은 개인정보 이용 행위로 보는 것이다.
일반적인 데이터 처리와 개인정보 데이터 처리를 구분해야 하는 이유는 AI 시대에 데이터가 경제를 이끄는 핵심 자산이기 때문이다. 그러나 우리의 개인정보보호법은 여전히 불확실하고 혼란스럽다.
환자 정보 유출 논란으로 사업이 중단됐던 SK텔레콤(017670)의 전자처방전 서비스가 그 예다. SK텔레콤은 2011년 병원에서 환자의 진료와 처방 내역 정보를 자동으로 수집해 약국에 전달하는 전자처방전 서비스를 출시했는데, 조사 결과 2만5546개 병·의원에서 생성된 정보가 8188개 가맹 약국으로 전송됐다. SK텔레콤은 2014년까지 7800만건의 정보를 처리하고 건당 50원의 수수료를 받은 것으로 전해졌다.
이에 대해 검찰은 사생활 침해 우려가 있는 민감정보 전송이라며 개인정보보호법 위반 및 의료법 위반으로 기소했고, 2015년 SK텔레콤은 사업을 철수했다. 결과적으로는 서비스를 중단한 지 9년 만인 지난 7월 법원에서 무죄 확정 판결을 받았다. 법원은 SK텔레콤이 병·의원과 약국 사이에서 단순히 중계 역할을 했고, 처방 정보를 암호화된 상태로 일시 보관하다가 약국에 전송했기 때문에 개인정보 유출로 보기는 어렵다고 봤다.
만약 개인정보보호법에서 ‘처리’를 ‘특정 개인을 식별할 목적으로 개인정보를 다루는 경우’로 명확히 정의했다면, 이처럼 오랜 법정 공방은 피할 수 있었을지도 모른다.
최근 카카오페이가 고객 정보(일련번호)를 중국 알리페이에 제공했다는 논란도 유사한 경우다. 카카오페이는 이 정보를 부정결제 방지를 위해 알리페이에 제공했으며, 알리페이는 이를 다른 용도로 사용하지 않았고 목적 달성 후에는 폐기했다고 주장하고 있다. 그러나 금융당국은 사용자의 동의를 받지 않았기 때문에 이를 동의 없는 제 3자 제공으로 간주하고 있다. 따라서 카카오페이 이용자의 일련번호가 알리페이로 넘어간 것이 정보처리의 위탁인지 개인정보 유출인지 여부는 법원의 판단을 기다려야 할 것으로 보인다.
그나마도 SK텔레콤이나 카카오(035720) 같은 대기업들은 풍부한 변호인단을 구성해 법정 공방을 펼칠 수 있지만, AI 서비스를 막 시작한 스타트업들은 여력이 부족하다.
이에 따라 개인정보보호위원회가 미국 증권거래위원회(SEC)의 ‘비규제조치의견서(No Action Letter)’와 같은 제도를 도입해야 한다는 지적이 나온다. 비규제조치의견서는 신청자가 특정 행위가 증권법을 위반하지 않는다는 판단을 받기 위해 SEC에 요청할 때 발급받는 서류다. 개인정보위가 스타트업의 신청을 받아 개인정보 처리가 ‘특정 개인을 식별하지 않는다’는 조건을 보증하고 이를 준수할 경우 개인정보 처리로 간주하지 않는 서신을 발급해준다면, AI 시대 데이터 처리에 대한 길을 열어주는 역할을 수행할 수 있을 것이다.