[뉴스토마토 김동현 기자] 개인정보보호위원회가 인공지능(AI) 개발·운영 과정에서 사업자가 활용할 자율점검표를 만들어 발표했다. 인공지능(AI) 챗봇 '이루다' 사태를 계기로 커진 AI 개발과정에서의 개인정보 침해 이슈를 예방하겠다는 방침이다.
AI 개인정보보호 자율점검표 총괄 흐름도. 사진/개인정보위
개인정보위는 산업계 의견 수렴 및 전문가·전체회의 논의 등을 거쳐 'AI 개인정보보호 자율점검표(개발·운영자용)'를 31일 공개했다. 자율점검표는 AI 설계, 개발·운영 과정에서 개인정보를 안전하게 처리하기 위해 지켜야 할 '개인정보보호법'상 주요 의무·권장사항을 단계별로 담은 안내서다. 업무처리 모든 과정에서 지켜야 할 6가지 원칙과 이를 기반으로 한 단계별로 점검할 16개 항목·54개 확인사항을 제시했다. AI 관련 개인정보보호 6대 원칙은 적법성, 안전성, 투명성, 참여성, 책임성, 공정성 등이다.
개인정보위는 업무처리별로 총 8단계로 점검항목을 설정했다. △기획·설계 △개인정보 수집 △이용·제공 △보관·파기 △AI 서비스 관리·감독 △이용자 보호 △자율보호 활동 △AI 윤리 점검 등 순서다. 기획·설계 단계에서는 개인정보보호 중심 설계(PbD) 원칙을 적용하고, 침해가 우려될 경우 개인정보 영향평가를 수행하도록 했다. PbD란 제품·서비스 개발 시 기획 단계부터 개인정보 처리의 전체 생애주기에 걸쳐 이용자 프라이버시를 고려한 기술·정책을 설계에 반영하는 것을 의미하는 국제적 개인정보보호 원칙이다. 개인정보 수집 단계에서는 △적법한 동의방법 △동의 이외의 수집근거 확인 △공개된 정보 등 정보주체 이외로부터 수집 시 유의사항 등을 점검하도록 했다. 예를 들어 '신규 서비스 개발'을 위한 개인정보 수집 동의 시에는 'OO서비스의 챗봇 알고리즘 개발'과 같이 목적을 구체적으로 작성하고, 이용자가 충분히 이해·예측할 수 있도록 '신규 서비스'의 의미 등을 구체적으로 알려야 한다.
이용·제공 단계에서는 수집 목적 내 이용·제공, 목적 외 이용의 경우 적법한 근거 확인 등을 안내했다. 동의 없이 가명처리해 활용할 때는 과학적 연구·통계작성 등 허용된 목적인지, 관련 기준에 부합하는지 등을 점검내용으로 제시했다. 이용자 보호 절차로는 개인정보 처리내역을 처리방침에 투명하게 공개, 개인정보의 열람·정정·삭제·처리정지 등 정보주체의 권리보장 절차 마련·이행 등을 점검 내용으로 포함했다. 이외에도 자율보호 활동, AI 윤리 점검 등 변화하는 환경에 대응해야 할 항목 등을 자율점검표를 통해 안내했다.
올초 혐오 표현, 개인정보 암호화 미처리 등이 논란이 되며 서비스를 종료한 AI 챗봇 '이루다'. 사진/스캐터랩
개인정보위는 이번 AI 개인정보보호 자율점검표를 지난해 개인정보위 출범 이후 연구반 등을 운영하며 준비했다. 올초 이루다 사건을 계기로 AI 서비스의 개인정보보호 이슈가 부상하며 빠른 도입의 필요성이 커졌다. 실제 개인정보위 조사 결과, 이루다 개발사 스캐터랩은 이루다 알고리즘 학습 과정에서 카카오톡 대화에 포함된 이름, 휴대전화번호 등 개인정보를 삭제·암호화 조치를 하지 않은 것으로 나타났다. 이 과정에서 60만 이용자의 카카오톡 대화문장 94억건이 활용됐다. 스캐터랩은 1억원의 과징금·과태료 처분을 받았다.
그러나 업계에서는 이러한 처분에 명확한 개인정보보보호 가이드라인이 없는 상황에서 AI 개발을 가로막는 조치 아니냐는 지적도 일부 나왔다. 이에 개인정보위는 점검표가 현장에서 활용되도록 다음달 초부터 AI 스타트업 대상 설명회를 개최하고, 중소기업 컨설팅·교육 등에 나서는 등 홍보 활동을 전개할 계획이다. 이와 함께 관련 기술의 발전과 개인정보보호 관련 법령의 제·개정 등 환경 변화를 반영할 수 있게 점검표를 현행화할 계획이다.
윤종인 개인정보위 위원장은 "AI 개발자·운영자가 자율점검표를 적극적으로 활용해 AI로 인한 개인정보 침해를 예방하고, 안전하고 신뢰할 AI 서비스 환경을 조성하는 데 도움이 되길 바란다"며 "앞으로도 개인정보위는 바이오정보·자율주행차·드론 등 신기술 환경변화에 대응해 현장에서 개인정보가 안전하게 보호되도록 노력하겠다"고 밝혔다.
김동현 기자 esc@etomato.com