개인정보위원회는 인공지능(AI) 서비스의 개발과 운영 시 발생할 수 있는 개인정보 침해 사고를 예방하기 위해 지난 5월 31일 인공지능(AI) 자율점검표를 발표 하였다.

이번에 공개한 자율점검표는 인공지능 설계, 개발·운영 과정에서 개인정보를 안전하게 처리하기 위하여 지켜야 할 ｢개인정보 보호법｣ 상 주요 의무·권장사항을 단계별로 자율 점검할 수 있도록 알기 쉽게 담아낸 안내서로 산업계의 의견을 충분히 수렴하고 전문가·전체회의 등의 논의 거쳐 업무처리 全 과정에서 지켜져야 할 6가지 원칙*과 이를 기반으로 한 단계별 점검 항목 16개와 54개의 확인사항을 함께 제시하여 개인정보보호가 명확하게 이행될 수 있도록 하였으며 인공지능에서의 개인정보 처리 특성**을 고려하여 ｢개인정보 보호법｣, AI 윤리기준(’20.12, 과학기술정보통신부)과 국제적으로 통용되는 개인정보보호 중심 설계 원칙 등을 반영하였습니다.

* AI 관련 개인정보보호 6대 원칙 : 적법성, 안전성, 투명성, 참여성, 책임성, 공정성

** 대규모 데이터의 처리, 복잡성·불투명성, 자동화·불확실성 등

업무처리 단계별(8단계) 주요 점검항목

(기획·설계) 인공지능 서비스 특성상 예상치 못한 개인정보 침해가 발생할 수 있으므로 기획 단계부터 사전 점검과 예방을 위해 ①개인정보보호 중심 설계(PbD) 원칙*을 적용하고, 침해가 우려되는 경우 ②개인정보 영향평가를 수행하도록 하였다.

* PbD(Privacy by Design) 원칙 : 제품・서비스 개발 시 기획 단계부터 개인정보 처리의 전체 생애주기에 걸쳐 이용자의 프라이버시를 고려한 기술·정책을 설계에 반영하는 것을 의미하며, 국제적으로 통용되는 개인정보보호 원칙임

(개인정보 수집) 인공지능 개발‧운영 시 대규모 개인정보가 수집·이용되는 점을 고려하여 ③적법한 동의방법, ④동의 이외의 수집근거 확인, ⑤공개된 정보 등 정보주체 이외로부터 수집 시 유의사항을 점검하도록 하고, 동의 예시*를 제시하여 잘못된 방법으로 동의를 받지 않도록 안내하였다.

* ‘신규 서비스 개발’을 위한 개인정보 수집 동의 시 ‘OO 서비스의 챗봇 알고리즘 개발’과 같이 목적을 구체적으로 작성하고, 이용자가 충분히 이해·예측할 수 있도록 ‘신규 서비스’의 의미 등을 구체적으로 알려야 함

(이용·제공) ⑥개인정보는 수집 목적 내 이용·제공해야 하고, 목적 외 이용은 적법한 근거를 확인하도록 하였다. ⑦동의 없이 가명처리하여 활용하려는 경우 과학적 연구, 통계작성 등 허용된 목적인지, 관련 기준에 부합하는지 등 점검내용을 제시하고, 학습데이터의 가명처리 시 유의사항*, 가명정보의 공개제한** 등을 안내하였다.

* SNS 대화 데이터의 경우 발화자의 식별정보뿐만 아니라, 특정 개인의 식별가능정보 또는 사생활 침해 우려 정보도 가명처리 필요

** 가명정보를 불특정 제3자(공개 등)에게 제공하는 것은 사실상 제한되므로, 익명처리로 처리하는 것이 원칙임

(보관·파기) ⑧개인정보의 유‧노출 및 해킹 방지를 위한 안전조치를 점검하고, ⑨개인정보가 불필요해지면 안전하게 파기하도록 하였다.

(AI 서비스 관리·감독) ⑩개인정보 취급자, ⑪개인정보 처리업무 수탁자에 대한 관리·감독을 수행하도록 하여, 인공지능 개발·운영과정에서 직원의 실수 또는 고의로 개인정보 침해가 발생하지 않도록 하였다.

(이용자 보호) ⑫개인정보 처리내역을 처리방침에 투명하게 공개, ⑬개인정보의 열람·정정·삭제·처리정지 등 정보주체의 권리보장 절차 마련‧이행, ⑭개인정보 유출사고에 대비한 점검내용을 제시하였다.

(자율보호 활동) 인공지능 기술 발전과 서비스 등장에 따른 다양한 개인정보 침해를 예방하고자 ⑮개인정보 보호활동을 자율적으로 수행할 것을 권장하였다.

(AI 윤리 점검) 개인정보 처리 시 ⑯사회적 차별, 편향 등이 최소화되도록 점검·개선하고, 윤리적 이슈에 대한 판단은 AI 윤리기준을 참고할 수 있도록 하였다.

개인정보보호위원회는 “그동안 국내·외에서 논의된 AI 관련 프라이버시에 관한 사항은 추상적인 원칙 수준이었으나, 이번 자율점검표는 AI 서비스의 개인정보 침해사례와 산업계의 관심사항을 구체적으로 반영하여 현장에 도움이 되도록 제작하였으며 자율점검표는 인공지능뿐만 아니라, 다양한 ICT 서비스의 개발·운영에도 활용될 수 있어, 신기술 분야의 개인정보 침해요인를 사전에 예방하는데 크게 도움이 될 것으로 기대 된다.”라고 밝혔다.

인공지능(AI) 자율점검표 발표 다운로드

‘개인정보위 누리집’(www.pipc.go.kr)>정책‧법령>법령정보>지침‧가이드라인

‘개인정보보호 포털’(www.privacy.go.kr)>자료마당>지침자료에 게시

출처 및 참고자료

개인정보보호위원회, 보도자료(개인정보위, 인공지능(AI) 자율점검표 발표, 2021. 05. 31)