[법무법인 화우 이근우 파트너변호사] 개인정보보호위원회가 지난 7월에 AI 개발 및 서비스를 제공하는 기업들이 공개된 개인정보를 처리함에 있어 최소한의 안전성 확보기준을 AI 학습 및 서비스 주기별로 안내하는 ‘공개된 개인정보 처리 안내서’(이하 ‘해당 안내서’)를 발간했다.

해당 안내서는 개인정보보호 법제를 토대로 공개된 개인정보의 안전한 처리에 관한 최소한의 기준을 제시하는 것으로서 AI 기업 등은 모델 성능과 개인정보 보호 간 조화를 이룰 수 있는 최적의 안전성 확보 조치를 여건에 맞게 도입·시행함으로써 공개된 개인정보 처리의 적법성을 확보하고 정보주체 권리침해 위험을 예방·경감할 수 있도록 안내하는 기능을 한다.

이에 본고에서는 해당 안내서의 주요 내용으로서 기업이 참고할 만한 사항을 소개하고자 한다.

우선 공개된 개인정보는 일반적으로 헌법상 개인정보자기결정권의 보호대상으로서, 타인의 수집·이용은 원칙적으로 개인정보자기결정권을 제한할 수 있다. 공개된 개인정보의 수집·이용은 개인정보 보호법의 목적(제1조), 원칙(제3조), 정보주체 권리(제4조) 규정의 범위 내에서 적법근거(제15조)가 충족되는 경우 허용되나, AI 학습은 전통적인 개인정보 처리와 규모, 방식, 목적 등이 상이해 적법근거가 불명확한 측면이 있어 개인정보 보호법상 공개된 개인정보 수집·이용 근거를 명확히 정리하는 것이 필요하고, 해당 안내서가 그 역할을 한다.

해당 안내서에서 ‘공개된 개인정보’는 누구나 합법적으로 접근 가능한 개인정보(개인정보 보호법 제2조 제1호)로서, 주로 AI 학습을 위해 웹 스크래핑 기술을 이용해 공개적으로 접근가능한 출처에서 수집한 데이터셋에 개인정보가 포함된 경우를 상정하고 있다.

공개된 개인정보는 정보주체 스스로 공개한 개인정보에 국한되지 않고, 법령에 의해 공시·공개된 개인정보, 출판물, 방송매체 등에 포함된 개인정보도 사안에 따라 적용 대상에 포함될 수 있다.

다만 그러한 ‘공개된 개인정보’가 정당한 접근권한 없이 수집한 정보(정보통신망법 제48조), 유명인의 성명·초상권 등 침해(부정경쟁방지법 제2조), 저작물의 공정한 이용(저작권법 제35조의5) 등의 다른 법률 또는 계약상 의무를 이행했는지 여부는 별도 검토돼야 한다.

AI 학습·서비스를 위해 공개된 개인정보를 수집·이용하는 경우, 개인정보 보호법 제15조 제1항 제6호의 정당한 이익 조항이 실질적인 적법 근거가 될 수 있고, 따라서 정당한 이익 조항의 성립요건이 충족되는지, 그리고 그에 따른 안전성조치를 어떻게 취해야 하는지에 대한 기준을 제대로 제시하는 것이 해당 안내서의 핵심역할이다.

개인정보 보호법은 개인정보처리자의 정당한 이익이 인정되기에는 △개인정보처리자의 정당한 이익이 있을 것 △개인정보 처리가 정당한 이익의 달성을 위해 필요하고, 상당한 관련성 및 합리성이 인정될 것 △개인정보처리자의 정당한 이익이 명백하게 정보주체의 권리보다 우선할 것이라는 3가지 요건을 만족해야 한다.

AI 개발·서비스에 ‘정당한 이익’이 있음을 주장하는 AI 개발자 및 서비스 제공자는 공개된 개인정보의 처리 목적을 최대한 구체적으로 정의하는 것이 바람직하나, 특정 정보주체를 식별해 명시적으로 불이익한 효과를 발생시키는 개인정보 처리를 제외하고 대체적으로 AI 개발 및 서비스의 경우 정당한 이익으로 인정될 수 있다.

필요성, 상당성, 합리성의 경우도 AI 개발 및 서비스와 전혀 관련 없는 정보를 학습시키는 경우 외에는 대체로 인정될 것이다. 문제는 비교형량 부분인데, 이러한 비교형량에는 다양한 요소가 검토돼야 한다.

해당 해설서는 대법원 2016. 8. 17. 선고 2014다235080 판결을 참조화여 AI 학습·서비스 맥락에서는 공개된 개인정보의 성격, 공개의 대상 범위, 공개된 개인정보의 처리방식, 정보주체의 예견가능성, 권리보장 방안 등을 고려해 ‘정보주체 권리’에 대한 침해·제한 정도를 평가할 수 있다고 안내한다.

특히 해당 안내서는 비교형량 부분에서 개인정보 보호법은 개인정보처리자의 정당한 이익이 정보주체의 권리보다 명백히 우선할 것을 요구하는데, 이를 충족하기 위해서는 △개인정보처리자의 이익이 정보주체 권리에 우선한다는 점이 명백하거나 △개인정보처리자의 이익이 정보주체 권리에 명백히 우선하도록 ‘정보주체권리침해 위험을 예방‧경감하기 위한 안전성 확보 조치(해당 안내서 제Ⅲ장) 및 정보주체 권리보장 방안(해당 안내서 제Ⅳ장)을 마련·시행해야 한다’고 안내하고 있다.

해당 안내서 제Ⅲ장에서는 안전성 확보 조치를 제시하고 있는데, 우선 기술적 조치로서는 1-1. 학습데이터 수집 출처 검증·관리, 1-2. 개인정보 유·노출 방지, 1-3. 개인정보의 안전한 저장 및 관리, 1-4. 미세조정을 통한 안전장치 추가, 1-5. 프롬프트 및 출력 필터링 적용, 1-6. 학습 결과에서 특정 데이터 삭제(머신 언러닝 등)가 필요하다고 설명한다. 관리적 조치로는 2-1. 학습데이터 처리기준 정립 및 개인정보 처리방침에 공개, 2-2. 개인정보 영향평가 수행 고려, 2-3. ‘(가칭)AI 프라이버시 레드팀’ 구성·운영, 2-4. 오픈소스, API 등 AI 개발‧배포 특성에 따른 안전조치가 필요하다고 안내한다.

해당 안내서 제Ⅳ장에서는 정보주체 권리 보장방안으로서 AI 학습데이터 투명성 제고 (AI 개발자 및 서비스 제공자는 공개 데이터셋 수집 사실과 주요 출처, 처리 목적 등을 이용자가 쉽게 확인할 수 있는 개인정보 처리방침, 기술문서, FAQ 등에 공개해 정보주체의 권리행사를 지원하는 것이 권장됨)와 정보주체 권리행사 지원(정보주체의 개인정보 열람, 정정·삭제 등 권리행사에 대해 시간, 비용, 기술을 합리적으로 고려한 범위 내에서 보장하기 위해 노력)을 제시한다.

해당 안내서 제Ⅴ장에서는 책임있는 AI 개발·활용을 위한 AI 기업 등의 역할을 제시하면서, 그 구체적인 방안으로서 AI 프라이버시 관련 내부관리체계 마련 및 AI 프라이버시 보호 문화 공유 및 확산을 들었다.

해당 안내서는 현시점에서 공개된 개인정보를 적법하고 안전하게 처리하기위한 법 해석 기준을 제시하기 위한 것으로, 추후 개인정보 관련 법령의 제·개정, 새로운 판결, AI 기술발전 추이 등을 반영해 지속적으로 개정될 필요가 있다. 그러한 점에서 개인정보보호위원회는 주기적 사전실태점검, 사전적정성 검토제 등을 통해 기술발전과 시장상황을 모니터링하고, 추가적인 연구와 의견수렴 등을 통해 해당 안내서를 업데이트 하는 것 외 개인정보 보호법을 AI 시대에 맞게 개정하는 작업도 추진해갈 예정이라고 밝혔다.

개인적인 소견으로는 해당 안내서의 핵심은 비교형량을 함에 있어 포함돼야 할 요소가 무엇인지 명확히 한 것으로 보인다. 즉 해당 안내서는 기업의 AI 거버넌스에 관한 사항 중 특별히 개인정보 처리와 관련된 사항을 다루면서 공개된 개인정보의 적법성 확보를 위해서는 결국 정보주체의 동의 내지 동의로 인정될 수 있는 범위가 어디까지인지 기업이 제대로 판단해야 하고, 이를 판단하는 과정에서 이루어지는 비교형량의 요소로서 정보주체권리침해 위험을 예방‧경감하기 위한 안전성 확보 조치(해당 안내서 제Ⅲ장) 및 정보주체 권리보장 방안(해당 안내서 제Ⅳ장)이 포함된다는 점을 명확히 한 것이다. 그러한 점에서 AI 관련 기업들은 해당 안내서에서 제시하는 공개된 개인정보 사용의 적법성 기준을 다시 한번 확인하고 이를 갖추는 것이 필요하다.

<이근우 변호사 약력>

(현)법무법인(유) 화우 파트너변호사

(현)개인정보보호위원회 자문변호사

(현)대한변호사협회 ESG 특별위원회 위원

(현)산업통상자원부 산업기술분쟁조정위원회 위원

(현)한국정보법학회 회원

(현)산업기술보호협회 영업비밀보호 전문위원(강사)

(현)법무부 해외진출 중소기업 법률자문단 자문위원