[뉴스로드] AI기업이 개인정보보호법 준수 여부를 쉽게 파악할 수 있는 가이드라인이 나왔다.

개인정보보호위원회는 AI 개인정보보호 자율점검표를 31일 공개했다. 점검표에는 IT기업이 AI 개발 시 지켜야 할 개인정보보호 책무를 스스로 점검할 수 있는 내용이 담겼다.

◇AI 자율점검표, 어떤 내용 담겼나?

개인정보위는 AI 기술이 적용된 서비스에서 비롯될 수 있는 개인정보 침해 문제를 방지하기 위해 자율점검표를 마련했다. 올해 초 불거진 AI챗봇 ‘이루다’ 사태와 유사한 사례 재발을 막겠다는 취지다.

자율점검표 도입 대상은 AI 개발자·운영자와 개인정보처리자 등이다. 기업들이 이 점검표 자체를 의무적으로 활용해야 하는 것은 아니다. 다만 여기에 나열된 사항은 지키지 않을 경우 개인정보보호법 위반에 해당할 수 있어, 실무자라면 확인하는 것이 좋다.

자율점검표에는 서비스 출시 전후로 숙지해야 할 사항이 적혀있다. 개인정보보호 6대 원칙으로 적법성·안전성·투명성·참여성·책임성·공정성을 강조하고 있다.

적법성과 안전성은 정보 주체로부터 동의를 받고 가명처리 등 ‘적법한’ 방법으로 개인정보를 ‘안전하게’ 관리하는 것이다.

투명성과 참여성은 개인정보 처리내역을 ‘투명하게’ 공개해 정보주체가 자신의 개인정보에 대한 권리를 행사할 수 있도록 이용자 ‘참여’를 보장하는 일이다.

끝으로 책임성, 공정성은 사생활을 보호할 수 있도록 개인정보 처리 과정 전반에서 ‘책임있게’ 관리하고, 이용자들을 차별하지 않도록 ‘공정함’을 고려할 필요가 있다는 원칙이다.

◇개인정보 활용 계획부터 보관까지 ‘4단계’ 로드맵 세워야

AI 기술 접목 서비스를 개발할 때는 먼저 ①개인정보를 어떻게 활용할지 계획을 수립해야 한다. ②이후에는 계획에 따라 개인정보를 수집하고③이를 직접 이용하거나 제3자에게 제공하면 된다. ④개인정보를 보관할 때는 암호화·접근통제 등 조치를 통해 안전하게 보관하고, 더이상 활용할 필요가 없어지면 파기해야 한다.

개인정보 처리 업무를 오랜 기간 해온 기업이라도, ‘가명정보’나 ‘익명정보’ 활용 및 관리 방법에 대해서는 다시 숙지할 필요가 있다. 지난해 데이터3법(개인정보보호법·정보통신망법·신용정보법) 개정으로 해당 정보에 관한 처리 과정이 구체화됐기 때문이다.

가명정보란 정보주체가 누군지 식별할 수 없도록 처리한 개인정보를 의미한다. 예를 들어 이름·주민등록번호·나이·직업 등 개인정보에서 나이와 직업은 그대로 활용하되, 이름과 주민등록번호는 폐기하는 것이다. 또한 다른 정보와 결합했을 때 정보주체의 신원을 유추할 수 있어서는 안된다.

가명정보는 통계 작성·과학적 연구· 공익적 기록 보존 등 목적으로 활용 가능하다. 이를 자사 서비스 고도화에 뒷받침할 수도 있지만 정보주체의 동의가 필요하다. 둘 이상의 가명정보를 결합해 활용하고 싶다면 반드시 결합 전문기관을 통해야 한다.

익명정보는 가명정보보다 보안을 강화한 정보다. 다른 정보와 결합하더라도 정보주체를 식별할 수 없도록 익명처리해야 한다. 익명정보는 개인정보보호법 상 개인정보가 아니므로, 어떤 목적으로든 자유롭게 활용해도 된다.

과학기술정보통신부가 지난해 12월 마련한 ‘AI윤리 기준’도 알아두면 좋다. AI윤리 기준은 ①인간 존엄성 ②사회 공공선 ③기술 합목적성 등 3대 원칙을 기반으로 한다. 골자는 AI가 인간에게 해를 끼쳐서는 안되고, 가능한 많은 사람의 행복을 추구해야 한다는 것이다. 더불어 인류 삶에 필요한 도구라는 의도와 부합하게 활용해야 한다.

AI 개인정보보호 자율점검표를 상세히 들여다 보고 싶다면, 개인정보보호위원회 웹사이트 또는 개인정보보호포털에 접속해 확인하면 된다. 자율점검표에는 개인정보보호 6대 원칙 하에 16개 항목, 54개 확인사항이 39쪽에 걸쳐 나열돼 있다.

기업들은 자율점검표를 개인정보보호법 준수 여부 점검이나 개인정보보호책임자 교육용 교재로 활용 가능하다.