개인정보 전송요구권의 부작용 대비
자동화된 결정에 대한 대응 수단 보완
인공지능 시대에서의 개인정보보호 관리체계 점검

[보안뉴스 이소미 기자] 2023년 국정감사가 10월 10일부터 27일까지 진행된다. 올해 개인정보보호위원회에 대한 국정감사에서 △개인정보 전송요구권의 부작용 대비 △자동화된 결정에 대한 대응 수단 보완 △인공지능 시대에서의 개인정보 보호 관리 체계 등이 논의된다. 이에 <보안뉴스>는 미리보는 2023년 국정감사 시리즈에서 개인정보보호위원회의 개인정보보호 정책과 관련한 주요 이슈를 살펴본다.


개인정보 전송요구권의 부작용 대비
최근 ‘개인정보 보호법’ 개정 이후 개인정보 전송요구권에 관한 근거조항이 신설됐다. 이는 EU 일반정보보호규칙(GDPR)의 개인정보 이동권(Data Portability)을 우리나라에 도입한 것으로 평가됐다.

개정 전에는 신용정보·공공행정 영역 등에 한해 전송요구권 규정이 제한됐으나, 이번 개정으로 의료·유통 등을 비롯한 전 영역으로 확대됐다. 이를 통해 기관 간 개인정보 이동·공유가 용이해지고, 분산된 개인정보를 통합·활용 가능함으로써 맞춤형 금융·맞춤형 의료 등 개인정보 활용 디지털 혁신 촉매제 효과를 볼 수 있다.

또한, 개인정보 전송요구권이 적절히 시행된다면 △정보주체 통제권 강화 △개인정보 활용도 제고 △개인정보 독점방지·경쟁촉진 등의 효과도 기대된다. 반면, 개인정보 전송요구권이 오히려 정보주체의 개인정보 보호를 위협하고, 기업 등 개인정보처리자의 이익 침해 우려가 제기되면서 제도 실효성에 한계점이 있을 수 있다는 지적이 나왔다.

이로 인해 △개인정보 침해 위험 △개인정보처리자의 이익 침해 △실효성 제한 등과 함께 개인정보 전송요구권을 사업자들이 실제 수행하는 게 매우 어려울 수 있다는 의견도 나왔다. 이에 개인정보 전송요구권을 중심으로 정보주체·개인정보처리자·전송의 영향을 받는 제3의 주체 등의 이해관계 및 대립 이익을 고려한 시행령 제정과 제도 운영에 대한 필요성이 제기됐다. 이를 위해 △전송요구 대상 정보의 범위 설정 △상호운용성 구축 △비용 지원·충당을 위한 국가적 보조 등이 방안으로 나온 내용이다.


자동화된 결정에 대한 대응 수단 보완
최근 AI·빅데이터·사물인터넷 등 기술 발전에 힘입어 자동화 시스템으로 처리되는 개인정보 수와 의사결정인 ‘자동화된 결정(automated decision-making)’의 수가 증가하고 있다. AI 기술이 급속도로 발전하고 활용도가 높아지면서 자동화된 의사 결정은 국민의 삶에 큰 영향을 미칠 것으로 예상되고 있다.

해당 사례로 △AI 활용 채용 면접 △신원확인 △빅데이터 활용 신용평가 등이 있다. 개인정보에 관한 자동화된 결정의 장점으로 일관성과 가치중립적인 결정, 개인 맞춤형 서비스 활성화 등이 있지만 사람의 판단이 배제된 상황에서 기계에 의해서만 특정인 낙인·차별 초래, 프라이버시 침해 위험을 내포한다는 단점도 있다. 따라서 자동화된 결정으로 인한 차별·불공정성 등의 위험으로부터 정보주체를 보호하기 위해 대응수단 마련의 필요성이 대두됐다.

이와 관련해 최근 ‘개인정보 보호법’ 개정이 이루어졌다. 자동화된 결정과 관련된 조항을 살펴보면, △자신의 권리 또는 의무에 중대한 영향을 미치는 경우 해당 개인정보처리자에 대한 결정을 거부할 수 있는 권리(제1항) △정보주체는 개인정보처리자에게 자동화된 결정에 대한 추가 설명 요구 권리(제2항) △개인정보처리자는 정보주체의 자동화된 결정 거부 및 추가 설명을 요구한 경우 정당한 사유가 없는 한 미적용 및 인적 개입 재처리·설명 등 필요 조치 수행(제3항) △개인정보처리자는 자동화된 결정의 기준·절차, 개인정보 처리 방식 등을 정보주체에게 투명하게 공개(제4항) 등이 있다.

다만, 이러한 신설 조항이 자동화된 결정 대응에 예외적 거부권 행사(opt-out 방식)와 모호한 대응수단 등으로 대응에 있어 한계가 있을 수 있다는 지적이 제기됐다. 이에 자동화된 결정 대응 수단에 관련된 한계점을 보완하기 위해 △자동화된 결정 존재를 정보주체에게 공개 △정보주체의 거부권 행사 용이 △자동화된 결정에 대한 대응 수단 표현의 구체화 등이 필요하다는 의견이다.


인공지능 시대에서의 개인정보보호 관리체계
AI 학습을 위해 방대한 데이터를 수집·처리하는 과정에서 개인정보 포함 가능성이 높고, 개발된 AI 모델의 이용자간 상호작용을 하는 과정에서도 개인정보 유출 위험은 늘 존재한다. 이는 개인정보가 정보주체가 예상치 못한 범위까지 공개돼 수집·이용되거나 많은 데이터를 분석하는 과정에서 비식별화된 정보로 재식별되는 경우가 많다.

한 예로, 폭발적인 관심을 받았던 챗GPT가 학습 과정에서 개인정보를 위반했다는 문제가 제기되기도 했다. 캐나다와 이탈리아·아일랜드·독일·프랑스 등 EU 국가들은 챗GPT를 개발한 오픈AI가 학습 알고리즘을 훈련할 목적으로 개인정보를 대량 수집·저장하는 데 법적 근거 여부에 의문을 갖고 ‘개인정보 보호법’ 위반 여부에 대한 조사를 시작해 여러 문제점들을 찾아냈다.

국내에서도 챗봇 서비스 학습데이터에 대해 기존 서비스 이용 과정에서 개인정보처리방침 상 ‘분석 대상 메시지 수집’과 개인정보 수집·이용 목적의 ‘신규 서비스 개발’을 명시했다는 이유만으로 수집 정보를 챗봇 서비스 개발·운영에 이용한 것에 적법한 근거로 보기 어렵다는 판단도 있었다. 최근 생성형 AI가 등장하며 이름·주소 등의 문자 형태 개인정보와 음성·얼굴 등 신체적·생리적·행동적 특징을 담고 있는 사진·영상 형태의 개인정보까지 광범위하게 수집되고 있다.

이를 악용해 개인 식별·모방이 가능해지면서 음성 복제 보이스피싱, 생성형 AI 활용 범죄사례들이 속출하고 있어 개인정보보호 관리체계 수립과 이에 대한 대응책 마련이 절실하다는 의견이 나오고 있다. 이와 관련해 개인정보보호위원회는 올해 ‘인공지능 시대에 대응하는 안전한 데이터 활용 정책방향’을 발표했으며, 생체정보에 대한 별도의 법·제도 연구반을 구성해 생체정보 보호기준 및 규율 방안 논의에 착수하기도 했다.

따라서 AI 활용을 통한 편익을 극대화하고 부당 차별이나 개인정보 침해 가능성 등을 최소화하도록 데이터 수집부터 학습·서비스 제공에 이르기까지 AI 전 과정에서 안전한 데이터 활용과 개인정보 보호에 필요한 정책 방향을 검토할 필요가 있다는 의견이 나오고 있다. 이를 위해 △AI 개발·운용 과정의 데이터 활용 현황 실태조사 △공개 데이터 사용 방식 △AI 학습을 위한 개인정보 수집 동의 방식 △음성·얼굴 등 신체·행동적 특징을 담고 있는 개인정보 및 비정형 데이터 처리 기준 수립 등에 대한 방안을 마련할 필요성이 제기되고 있다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>