AI 개인정보보호 자율점검표에 '모호하다'는 업계

입력 2021.06.05 12:05

개인정보보호위원회가 인공지능(AI) 관련 스타트업과 만나 AI 개인정보보호 자율점검표를 소개하며 개인정보보호를 권장·안내하는 시간을 가졌다. 기업 현장에서는 일반론적인 기준 탓에 여전히 모호한 내용이 포함됐다는 반응이 나온다.

개인정보위는 최근 ‘AI 개인정보보호 자율점검표 설명회’를 개최했다. AI 개인정보보호 자율점검표는 인공지능 설계, 개발·운영 과정에서 개인정보를 안전하게 처리하기 위해 지켜야 할 주요 의무·권장사항을 담은 가이드라인이다. 인공지능 윤리기준이 추상적이라 서비스 개발에 어려움을 겪는 기업들을 위해 만들었다.

자율점검표는 6대 원칙, 단계별 준수해야 할 점검항목 16개, 확인사항 54개로 구성됐다. (관련기사 : AI 개발·운영 시 자율점검표 확인해야) 이는 새로운 규제가 아닌 개인정보보호법 등 현행 법과 제도를 근거로 한 내용이다.

박상희 개인정보위 사무처장은 "이루다 사태 계기로 인공지능·개인정보 윤리에 대한 관심이 높아졌다"며 "개인정보위에서는 인공지능 개발과 운영 시 필요한 개인정보보호 가이드라인을 제공하기 위해 5월 자율점검표를 발표했다"고 말했다. 행사는 김민철 개인정보위 사무관이 AI 개인정보보호 자율점검표를 설명하는 시간과 스타트업 관계자들의 질의로 진행됐다.

김민철 개인정보위 사무관이 행사를 진행하는 모습 / IT조선
하지만 정부의 자율점검표 발표 후 추상적인 기준이 여전하다는 지적이 나온다.

1:1 화상 영어 서비스를 제공하는 링글잉글리세이듀케이션서비스 측은 "개인정보를 가명처리를 할 때 가명처리를 해야 하는 정보의 기준이 헷갈리다"며 "어떤 정보는 가명화를 하고 어느 정보는 하지 않아도 괜찮은지 모호하다"고 말했다.

이에 개인정보위는 "최대한 가명처리 가이드라인을 만들어 기준·예시를 제시하려고 노력하고 있다"며 "식별정보라면 당연히 가명처리해야 하지만 식별가능정보는 정보 성격에 따라 판단해야 하는 식이다. 만약 특이정보라 누군지 바로 알 수는 없지만 재식별위험도가 높으면 가명처리를 하는 것이 좋다"고 제시했다.

이어 "모든 종류의 정보에 대해 일일이 가명처리 여부를 제시하기는 어려워 사례를 보고 판단해야 한다"며 "현장에서 판단이 필요할 경우 개인정보위에 문의해달라"고 덧붙였다.

가명처리 목적이 애매해 정보주체자 고지를 해야하는지 불분명하다는 목소리도 나왔다. 개인정보를 가명정보화해 활용하기 위해서는 통계작성·과학적연구·공익적 기록보존 3가지 경우 중 한 가지에 부합해야 한다. 그러나 기술 개발 단계에서는 과학적 연구지만 서비스 제공 단계에서는 3가지 조건 모두에도 해당하지 않을 경우도 있을 수 있다. 가명정보처리의 경우 정보주체자에게 고지할 필요가 없지만 개인정보처리는 고지를 해야하기 때문에 문제가 발생한다.

개인정보위 측은 "정확한 판단을 위해서는 사례별로 판단을 해야 한다"며 "정보처리 목적의 핵심이 과학적 연구를 비롯한 3가지 가명처리 목적에 해당하는지가 중요하다"고 답했다.

박영선 기자 0sun@chosunbiz.com


키워드