공공기관 AI 활용, 개인정보 보호 더욱 꼼꼼해진다

이제 공공기관이 인공지능(AI)을 활용할 때 개인정보를 더욱 안전하게 보호할 수 있게 된다. 개인정보보호위원회는 ‘개인정보 영향평가에 관한 고시’ 개정안을 통해 공공기관의 AI 도입 및 활용 시 개인정보보호 리스크를 미리 파악하고 줄일 수 있는 구체적인 기준을 마련했다. 이 개정안은 오는 9월 5일부터 바로 시행된다.

개인정보 영향평가는 새로운 사업을 시작할 때 개인정보가 어떻게 처리되는지 미리 살펴보고, 혹시 발생할 수 있는 개인정보 침해 사고를 막기 위한 제도다. 특히, 일정 규모 이상의 개인정보 파일을 다루거나 변경하는 공공기관은 반드시 이 영향평가를 거쳐야 한다. 예를 들어, 민감하거나 고유 식별 정보가 5만 명 이상이거나, 다른 정보와 연결되는 정보가 50만 명 이상, 또는 개인정보가 100만 명 이상일 경우 영향평가가 의무화된다.

기존에는 인공지능 분야에 대한 별도의 평가 기준이 없어, 공공기관들이 AI를 활용할 때마다 자체적으로 평가 항목을 만들어야 하는 번거로움이 있었다. 하지만 이번 개정으로 ‘인공지능 시스템 학습 및 개발’과 ‘인공지능 시스템 운영 및 관리’라는 두 가지 새로운 평가 분야가 추가되어 이러한 불편함이 해소된다.

‘인공지능 시스템 학습 및 개발’ 분야에서는 AI 학습용 데이터에 개인정보가 얼마나 적법하게 사용되고 있는지, 민감 정보나 14세 미만 아동 정보가 불필요하게 포함되지 않았는지, 그리고 데이터 보유 및 파기 규정이 명확한지 등을 중점적으로 평가한다.

또한, ‘인공지능 시스템 운영 및 관리’ 분야에서는 AI 개발 주체와 운영 주체 간의 책임이 명확히 구분되어 있는지, 생성형 AI 서비스 이용 시 허용되는 사용 방침(Acceptable Use Policy)이 잘 제공되고 있는지, 그리고 AI가 부적절한 답변을 하거나 개인정보를 노출하는 경우 이를 신고할 수 있는 기능이 마련되어 정보 주체의 권리를 보호할 수 있는지 등을 주요 평가 기준으로 삼는다.

이러한 평가 항목들은 개인정보보호위원회에서 발행한 인공지능 관련 개인정보 보호 안내서들의 내용을 바탕으로 만들어졌다. 앞으로 개인정보 영향평가 수행 안내서를 통해 더 자세한 설명과 실제 사례들을 확인할 수 있으며, 개인정보보호위원회는 앞으로도 여러 기관과 기업의 의견을 듣고 평가 항목을 꾸준히 발전시켜 나갈 예정이다.

이번에 마련된 AI 분야 개인정보 영향평가 기준은 공공기관뿐만 아니라 민간기업에서도 인공지능을 활용하여 개인정보를 처리할 때 발생할 수 있는 위험을 미리 알고 대비하는 데 유용한 참고 자료가 될 것으로 기대된다.