생성형AI 분야 개인정보 처리 기준 나왔다

개인정보위, 오픈세미나 열고 안내서 공개 생애주기 4단계로 나눠 필수 안전조치 제시 “개인정보보호법 적용 관련 불확실성 해소” 생성형 인공지능(AI) 서비스를 개발·활용하는 기업·기관을 위한 개인정보 안전 처리 기준이 나왔다. 개인정보가 포함된 의료·공공·금융 등 각 분야 핵심 데이터를 기반으로 한 AI모델 구축과 AI서비스 제공이 보다 수월해질 것으로 기대된다. 개인정보보호위원회(개인정보위)는 6일 서울 중구 정동 1928 아트센터에서 '생성형 인공지능과 프라이버시' 오픈 세미나를 개최하고 '생성형AI 개발·활용을 위한 개인정보 처리 안내서'(이하 안내서)를 공개했다. 생성형AI 관련해 개인정보보호법 적용의 불확실성을 해소해 달라는 현장 요구에 따라 마련한 가이드라인이다. 고학수 개인정보위 위원장은 이날 개회사에서 "이번 안내서로 'AI 고속도로'에 가드레일을 마련했다"고 밝혔다. 그는 "AI 발전은 데이터에 달렸고 우리나라는 이미 곳곳에 양질의 데이터를 갖고 있다. 이를 AI 핵심재료로 쓸 수 있게 하면서도 프라이버시 관련 우려·부작용을 방지할 수 있는 제도적 안전장치가 중요하다"며 "안내서를 지속 개선해나감으로써 혁신 현장의 고민 해결을 돕겠다"고 강조했다. 안내서는 생성형AI 개발·활용 생애주기를 4단계로 분류했다. 단계별로 확인할 최소한의 안전조치를 체계적으로 제시했다. 첫 번째 '목적 설정' 단계에서는 AI 개발 목적을 명확히 하고, 개인정보 종류·출처별 AI학습에 필요한 적법 근거를 다룬다. 동의·계약·정당이익 등에 따라 수집된 개인정보는 그 목적 내에선 물론 활용 가능하다. 수집 목적 내가 아닐 경우 그 합리적 관련성, 이에 대한 정보주체의 예측 가능성이나 부당침해 가능성, 관련 안정성 확보 조치 등을 종합 검토한다. 당초 수집 목적과 별개라면 가명·익명처리 또는 새로운 적법근거 마련을 꾀할 필요가 있다. 이어 '전략 수립' 단계에선 개발 방식을 나누어 유형별 리스크 경감 방안을 안내한다. AI시스템이 실제로 개발·활용되는 방식과 맥락을 △상용모델 응용프로그램인터페이스(API) 이용 등 '서비스형 LLM 활용' △오픈모델 포함한 '기성 LLM 활용' △경량언어모델(SLM) 등 '자체개발'로 유형화하고 각각에 따른 법적 기준과 안전성 확보 기준을 제시했다. '학습 및 개발' 단계에선 데이터오염, 탈옥 등 리스크를 고려한 다층적 안전조치를 제시하고 인공지능 에이전트의 관리 방안도 포함했다. 마지막으로 '적용 및 관리' 단계는 정보주체 권리 보장 등을 중점적으로 다룬다. 이밖에 전체 과정에서의 개인정보 보호 관점을 내재화하기 위해 필수적인 개인정보보호책임자(CPO) 중심의 거버넌스 구축 방안을 제시한다. 아울러 안내서는 생성형AI 개발·활용 과정에서 불확실성이 높은 이슈들에 대해 개인정보위의 정책 및 집행 사례를 바탕으로 해결방안을 제시한 점도 특징이다. 구체적 사례에 기반한 법 해석 기준과 안전조치 기준을 안내서에 반영했다. 향후 기술 발전과 국내외 개인정보 보호 정책 변화에 발맞춰 지속적으로 업데이트될 예정이다. 최경진 한국인공지능법학회장(가천대 법학 교수)은 이날 행사에서 "이런 연성법(soft law) 접근방식이 성공하려면 적절한 방향 제시뿐 아니라 실제 현장 적용 사례가 많이 발굴돼야한다. 그래야 중소기업·스타트업 등 후발주자들이 리스크를 줄여갈 수 있다"며 "이번 안내서가 일관성 있는 집행으로 이어져 AI 혁신에 기여할 수 있길 기대한다"고 말했다. 팽동현 기자 dhp@dt.co.kr