개인정보위 "글로벌 기준 맞춰 허용…법 개정도 추진"
국내외 생성형 AI(인공지능) 모델의 법적 회색지대로 지적받은 '인터넷상 공개 데이터 활용'에 대해 정부가 첫 가이드라인을 내놨다.
17일 개인정보보호위원회는 현행 개인정보 규율체계를 종합해 'AI 개발·서비스를 위한 공개된 개인정보 처리 안내서'를 공개했다.
개인정보위는 '정당한 이익'이 정보주체의 권리보다 우선할 경우 동의 없는 정보 수집·이용을 허용하는 현행 개인정보보호법 조항에 따라 공개 데이터를 AI 학습에 이용할 수 있다고 판단했다. 다만 법원 판례에 따르면 이 조항을 적용받기 위해선 △목적의 정당성 확보 △정보처리의 필요성 확보 △구체적인 이익형량(비교)을 요건으로 갖춰야 한다.
개인정보위는 안내서를 통해 "공개된 개인정보로 개발하려는 AI의 목적·용도를 구체화해 법률상 정당한 이익을 명확히 하라"고 권고했다. 의료진단보조·신용평가·번역 등이 대표적인 사례다. 개인정보위 관계자는 "범용적으로 이용하는 LLM(거대언어모델)도 합리적으로 예측가능한 범위 내에서 목적·용도를 설정하면 된다"고 설명했다.
또 개인정보위는 "공개된 개인정보 수집·이용에 합리성이 인정돼야 한다"고 밝혔다. 예를 들어 의료진단보조 AI를 개발할 경우 소득·재산처럼 당초 목적과 관련 없는 정보를 학습에서 배제하라는 취지다. 아울러 개인정보위는 AI 개발로 얻는 이익이 우선할 수 있도록 기술적 안전조치를 마련하라고 권고했다.
공개 데이터는 누구나 인터넷으로 접근할 수 있는 정보를 말한다. 오픈AI 등 국내외 생성형 AI 모델 업체들은 위키백과·웹사이트·블로그·SNS(사회관계망서비스)게시물 등 공개 웹페이지나 이를 미리 압축한 '커먼크롤(Common Crawl)'을 AI 학습용 데이터로 이용해왔다.
이같이 정보주체(주인)의 동의 없이 대량으로 수집되는 공개 데이터는 개인의 주소·고유식별번호·신용카드번호 등이 포함될 수 있어 그대로 활용하면 프라이버시 침해 가능성이 있지만, 이미 공개된 정보의 특성상 수집·활용의 원천적 제한은 사실상 불가능한 실정이다. 개인정보위는 기업의 개인정보 침해우려를 최소화하기 위해 안내서를 펴냈다고 밝혔다.
개인정보위는 "'정당한 이익'의 합리적 해석기준을 마련하는 것은 유럽연합 일반개인정보보호법(EU GDPR)이나 최근의 AI 안전성 규범 논의 등 글로벌 기준과의 상호운용성을 높이는 것"이라며 "기술발전과 시장상황을 모니터링하고, 개인정보보호법을 AI 시대에 맞게 정비하는 작업도 추진할 예정"이라고 덧붙였다.
17일 개인정보보호위원회는 현행 개인정보 규율체계를 종합해 'AI 개발·서비스를 위한 공개된 개인정보 처리 안내서'를 공개했다.
개인정보위는 '정당한 이익'이 정보주체의 권리보다 우선할 경우 동의 없는 정보 수집·이용을 허용하는 현행 개인정보보호법 조항에 따라 공개 데이터를 AI 학습에 이용할 수 있다고 판단했다. 다만 법원 판례에 따르면 이 조항을 적용받기 위해선 △목적의 정당성 확보 △정보처리의 필요성 확보 △구체적인 이익형량(비교)을 요건으로 갖춰야 한다.
개인정보위는 안내서를 통해 "공개된 개인정보로 개발하려는 AI의 목적·용도를 구체화해 법률상 정당한 이익을 명확히 하라"고 권고했다. 의료진단보조·신용평가·번역 등이 대표적인 사례다. 개인정보위 관계자는 "범용적으로 이용하는 LLM(거대언어모델)도 합리적으로 예측가능한 범위 내에서 목적·용도를 설정하면 된다"고 설명했다.
또 개인정보위는 "공개된 개인정보 수집·이용에 합리성이 인정돼야 한다"고 밝혔다. 예를 들어 의료진단보조 AI를 개발할 경우 소득·재산처럼 당초 목적과 관련 없는 정보를 학습에서 배제하라는 취지다. 아울러 개인정보위는 AI 개발로 얻는 이익이 우선할 수 있도록 기술적 안전조치를 마련하라고 권고했다.
공개 데이터는 누구나 인터넷으로 접근할 수 있는 정보를 말한다. 오픈AI 등 국내외 생성형 AI 모델 업체들은 위키백과·웹사이트·블로그·SNS(사회관계망서비스)게시물 등 공개 웹페이지나 이를 미리 압축한 '커먼크롤(Common Crawl)'을 AI 학습용 데이터로 이용해왔다.
이같이 정보주체(주인)의 동의 없이 대량으로 수집되는 공개 데이터는 개인의 주소·고유식별번호·신용카드번호 등이 포함될 수 있어 그대로 활용하면 프라이버시 침해 가능성이 있지만, 이미 공개된 정보의 특성상 수집·활용의 원천적 제한은 사실상 불가능한 실정이다. 개인정보위는 기업의 개인정보 침해우려를 최소화하기 위해 안내서를 펴냈다고 밝혔다.
개인정보위는 "'정당한 이익'의 합리적 해석기준을 마련하는 것은 유럽연합 일반개인정보보호법(EU GDPR)이나 최근의 AI 안전성 규범 논의 등 글로벌 기준과의 상호운용성을 높이는 것"이라며 "기술발전과 시장상황을 모니터링하고, 개인정보보호법을 AI 시대에 맞게 정비하는 작업도 추진할 예정"이라고 덧붙였다.
- 기자 사진 성시호 기자
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>