"SNS·블로그로 AI 학습, 해도 될까" 기업 위한 가이드라인 나왔다

개인정보위 '공개된 개인정보 처리 안내서'
데이터 수집 목적과 필요성에 부합해야
기업에 최적의 안전조치 자율적 시행 권고

사회관계망서비스(SNS), 블로그 등 인터넷상에 공개된 개인정보를 인공지능(AI) 개발에 적법하고 안전하게 활용하는 방법이 적힌 안내서가 공개됐다.


개인정보보호위원회는 17일 'AI 개발·서비스를 위한 공개된 개인정보 처리 안내서'를 마련했다고 밝혔다. 공개 데이터는 인터넷상 누구나 합법적으로 접근할 수 있는 데이터를 말한다. 챗GPT 등 생성형 AI를 개발하기 위한 학습데이터의 필수 원료로 쓰인다. AI 기업들은 커먼크롤(데이터 공개 저장소), 위키백과, 블로그, 웹사이트 등에 있는 공개 데이터를 자동 추출하는 방식으로 활용하고 있다.

"SNS·블로그로 AI 학습, 해도 될까" 기업 위한 가이드라인 나왔다 원본보기 아이콘

하지만 이런 공개 데이터에는 주소, 전화번호, 신용카드번호 등 여러 개인정보가 포함될 수 있어 프라이버시 침해 우려가 크다. 현행 개인정보보호법(이하 보호법)에는 이러한 공개된 개인정보 처리에 적용될 수 있는 명확한 기준이 없다. AI 기술 진보가 빠르게 이뤄지고 있지만 안전하고 적법한 공개 데이터 학습 방안이 마련되지 않아 현장에서 혼선이 초래되곤 했다.

이에 개인정보위는 공개된 개인정보 수집·활용의 법적 기준을 명확화하고, 어떤 안전조치를 취하는 것이 적정한지에 대해 기업이 참고할 수 있는 안내서를 마련했다. 그동안 학계와 산업계, 시민사회 등과 소통하며 의견수렴 과정을 거쳤다.


안내서에는 ▲AI 개발 목적의 정당성 ▲공개된 개인정보 처리의 필요성 ▲구체적 이익형량이라는 세 가지 요건을 충족해야 한다고 명시했다. 예를 들어 사이버 공격이나 감시, 피싱·스미싱과 같은 개인 사칭 사기 등을 목적으로 AI 개발에 공개된 데이터를 쓴다면 목적의 정당성에 부합하지 않는다. 또 의료진단 보조 AI를 개발한다면 개인의 소득·재산 등 관련 없는 정보는 학습에서 제외돼야 할 것이다.


안내서는 공개된 개인정보를 처리하기 위해 고려할 수 있는 기술적·관리적 안전성 확보 조치와 정보주체 권리보장 방안을 설명하고 있다.

다만, 빠른 기술변화 등을 고려해 세부적 안전조치 등을 유연하게 도입·시행할 수 있도록 했다. AI 기업은 모든 안전조치를 의무적으로 시행해야 하는 것은 아니다. 안내서에 제시된 여러 안전조치의 순기능과 AI 성능저하, 편향성 등 부작용과 기술 성숙도를 고려해 기업의 특성에 맞는 안전조치의 최적 조합을 스스로 선택해 이행할 수 있다.

"SNS·블로그로 AI 학습, 해도 될까" 기업 위한 가이드라인 나왔다 원본보기 아이콘

안내서는 학습데이터 처리와 관련한 AI 기업과 개인정보보호책임자(CPO)의 역할을 강조했다. CPO를 구심점으로 하는 'AI 프라이버시 담당조직(가칭)'을 자율적으로 구성·운영하고 안내서에 따른 기준 충족 여부를 평가해 그 근거를 작성·보관하도록 권고했다. AI 성능 개선 등 중대한 기술적 변경이나 개인정보 침해 발생 우려 등 위험 요인을 주기적으로 모니터링하고, 개인정보 노출 등 침해사고 발생 시 신속한 권리구제 방안도 마련하도록 했다.


안내서는 추후 개인정보 관련 법령 개정, AI 기술발전 추이, 해외 규제 정비 동향 등을 고려해 지속 업데이트될 예정이다. 이용자 개인정보의 적법한 처리 근거와 기준 등에 대해서는 학계, 산업계, 시민단체 등의 의견수렴을 거쳐 구체화해 나갈 예정이다.


고학수 개인정보보호위원회 위원장은 "이번 안내서를 통해 국민이 신뢰하는 인공지능(AI)·데이터 처리 관행을 기업 스스로 만들어 나가고 이렇게 축적된 모범사례가 안내서에 지속적으로 반영될 수 있기를 기대한다"고 말했다





김보경 기자 bkly477@asiae.co.kr

<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>