[IT돋보기] 개인정보위 'AI자율점검표' 살펴보니

[아이뉴스24 박진영 기자] 정부가 AI기술·개발 시 활용할 수 있는 개인정보보호에 특화된 AI자율점검표를 공개했다. AI가이드라인을 자체적으로 만들기 어려운 중소 벤처기업들에게는 도움이 될 것으로 예상된다.

개인정보보호위원회(위원장 윤종인)는 지난 달 31일, 인공지능(AI) 서비스 개발·운영 시 발생할 수 있는 개인정보 침해를 예방하기 위한 'AI 개인정보보호 자율점검표'를 공개했다.

AI 자율점검표는 인공지능 설계, 개발·운영 과정에서 개인정보를 안전하게 처리하기 위해 지켜야 할 개인정보 보호법 상 주요 의무·권장사항을 단계별로 자율점검할 수 있도록 알기 쉽게 담아낸 안내서다.

개인정보위 관계자는 "AI기술이 적용된 새로운 서비스가 도입·확산됨에 따라 개인정보 침해 등 다양한 사회적 문제가 발생할 우려가 커졌다"면서, "올 초 이루다 사태로 인해 AI서비스 개발 과정에서부터 개인정보 보호의 필요성이 부각됐는데, AI 자율점검표는 이루다 사태가 발생하기 전부터 준비해왔다"고 점검표를 만들게 된 배경을 설명했다.

AI자율점검표는 ▲대규모 데이터의 처리 ▲복잡성·불투명성 ▲자동화·불확실 등 AI분야 개인정보 처리의 특성을 고려해 만들어졌다.

AI개발 시 활용되는 학습데이터가 방대하기 때문에 다양한 개인정보와 민감한 사생활 정보가 포함될 가능성이 높다. 또 AI 서비스 개발 과정에서 개인정보 처리 방식이 복잡하기에 이용자는 자신의 개인정보가 어떻게 처리되는지 알기 어려울 수 있고, 데이터 처리 결과를 예측하기 어려워 사생활 침해, 사회적 편향 등의 문제가 발생할 위험이 있다는 설명이다.

또 개인정보 보호법, 과학기술정보통신부의 AI 윤리기준, 개인정보보호 중심설계 원칙 등을 반영해 업무처리 전 과정에서 지켜야 할 AI 관련 개인정보보호 6대 원칙을 세우고, 단계별로 점검해야 할 16개 항목·54개 확인사항을 제시한다.

AI 개인정보보호 6대원칙은 적법성·안전성·투명성·참여성·책임성·공정성 등으로 구성된다.

업무 처리 단계별(8단계) 주요 점검항목을 살펴보면, 단계별 점검으로 ▲기획·설계 ▲개인정보 수집 ▲이용·제공 ▲보관·파기 등 4단계, 상시점검으로 ▲AI 서비스 관리·감독 ▲이용자 보호 ▲자율보호 활동 ▲AI 윤리 점검 등 4가지로 분류했다.

우선, AI 서비스 특성상 '기획 단계'부터 사전 점검·예방을 위해 개인정보보호 중심 설계(PbD) 원칙을 적용하고, 침해가 우려되는 경우 개인정보 영향평가를 수행하도록 했다. '개인정보 수집' 단계에서는 적법한 동의방법·동의 이외의 수집근거 확인·공개된 정보 등 정보주체 이외로부터 수집 시 유의사항을 점검한다.

개인정보를 '이용·제공'할 때는 수집 목적 안에서 이뤄지는 지, 목적 외 이용은 적법한 근거가 있는지 등을 확인한다. 또 동의 없이 가명처리해 활용하려는 경우, 과학적 연구·통계작성 등 허용된 목적인지 등을 점검해야 하고, 가명처리 시 유의사항과 가명정보의 공개제한 등을 안내했다.

'보관·파기' 단계에서는 개인정보의 유‧노출, 해킹 방지를 위한 안전조치를 점검하고, 개인정보가 불필요해지면 안전하게 파기하도록 했다.

이밖에 개인정보 처리내역을 투명하게 공개하고, 정보주체의 권리보장 절차 마련‧이행, 개인정보 유출사고에 대비한 점검내용을 제시했다. 또 개인정보 처리 시 사회적 차별, 편향 등이 최소화되도록 점검·개선하고, 윤리적 이슈에 대한 판단은 AI 윤리기준을 참고할 수 있도록 했다.

개인정보위 관계자는 "항목별로 법적으로 꼭 지켜야할 '의무', '권장' 등을 표시해 한눈에 파악하기 쉽도록 만들었다"면서, "이를 지키지 않았을 경우 이루다 사태와 같이 추후에 법적으로 문제가 될 수 있어 기업들이 자율적으로 점검표를 잘 활용할 것으로 기대한다"고 밝혔다.

이어 "자율점검표는 AI서비스를 개발·운영하는 모든 기업의 AI개발·운영자 등을 대상으로 한다. 특히, AI 가이드라인을 자체적으로 만들기 어려운 중소 벤처기업, 스타트업 등에 많은 도움이 될 것으로 보인다"면서, "앞으로 현장의 목소리를 반영해 점검표를 지속적으로 보완해 나갈 것"이라고 덧붙였다.

업계 한 관계자는 "AI 차별·편향성 등에 대한 우려가 커지면서 AI 서비스를 개발·운영하는 기업들이 기술 개발 가이드라인과 윤리 규정의 필요성을 인지하고 있다"면서, "규모가 큰 기업들은 자체적으로 만들어 활용하고 있는 반면, 규모가 작은 기업들은 그럴 여유가 없는 게 현실이다. 정부가 제시한 가이드라인이 도움이 될 것"이라고 밝혔다.