개인정보보호위원회는 2024년 7월 17일 ‘AI 개발∙서비스를 위한 공개된 개인정보 처리 안내서’를 공개하였습니다. 본 안내서는 최근 다양한 웹사이트에 공개된 데이터가 AI 모델 학습에 이용되고 있다는 점을 고려하여, 사업자들에게 AI 개발 및 서비스를 위해 공개된 개인정보를 적법하게 활용할 수 있는 법적 근거를 안내하고, AI 개발 과정에서 시행할 수 있는 다양한 안전조치들을 안내하기 위한 취지에서 마련되었습니다.

본 안내서에서 말하는 ‘공개된 개인정보’란 누구나 합법적으로 접근 가능한 개인정보로서, 주로 웹사이트, 블로그, 위키백과, 커먼크롤, 법령에 의해 공시·공개된 개인정보, 출판물, 방송매체 등에 포함된 개인정보 등을 의미하고, 비공개 또는 일부에게만 공개된 정보, 사인간의 대화 등은 공개된 개인정보에 해당하지 않습니다.

본 안내서는 (i) 공개된 개인정보가 AI 개발을 위해 적법하게 수집∙이용될 수 있는 법적 요건, (ii) 최소한의 안전성 확보조치 기준 및 정보주체 권리보장 방안 등에 대해 구체적인 기준을 마련하고 예시를 제시하였으며, 그 주요 내용은 아래와 같습니다. 
 

▣ 주요내용

1. 본 안내서 적용범위

  • (공개된 개인정보 범위) 공개된 개인정보란 누구나 합법적으로 접근 가능한 개인정보로서, 정보주체 스스로 공개한 개인정보에 국한되지 않고 법령에 의해 공시·공개된 개인정보, 출판물, 방송매체 등에 포함된 개인정보 등을 포함합니다.
  • (단계별 범위) 본 안내서는 AI 학습 단계와 AI 서비스 단계에 모두 적용됩니다. 본 안내서는 (i) AI 학습 단계는 공개된 개인정보를 포함한 학습데이터 수집, 저장, 가공(토큰화등 전처리) 등을 수반하므로 개인정보 보호법상 ‘처리’에 해당하고, (ii) AI 서비스 단계는 이용자가 개인정보를 포함한 프롬프트를 입력하여 개인에 관한 결과값을 제공받을 수 있고, 프롬프트 입력 및 결과값은 다시AI 학습 목적으로 이용될 수 있다는 점에서 개인정보 ‘처리’에 해당한다고 설명하고 있습니다.
  • (사업자 범위) 본 안내서는 개인정보 보호법상 개인정보처리자의 지위를 갖는 AI 개발자 및 서비스 제공자를 대상으로 합니다. 나아가 해외 AI 개발자 및 서비스 제공자의 경우에도 특정한 경우* 원칙적으로 본 안내서가 적용된다고 안내하고 있습니다.
    * (i) 한국 정보주체를 대상으로 재화 또는 서비스를 제공하거나 (ii) 한국인 또는 한국 정보주체의 개인정보를 처리하여 한국 정보주체에게 영향을 미치는 경우 등
☞ 본 안내서는 국내외 AI 개발자 및 서비스 제공자가 AI 학습 단계 및 AI 서비스 단계에서 한국 정보주체의 공개된 개인정보를 활용하는 경우 적용된다고 볼 수 있습니다.

 

2. 공개된 개인정보 처리의 법적 근거

  • 본 안내서는 AI 학습∙서비스를 위해 공개된 개인정보를 수집∙이용하는 경우, 개인정보 보호법 제15조 제1항 제6호의 정당한 이익 조항이 실질적인 적법 근거가 될 수 있다고 안내하고 있습니다.
  • 개인정보 보호법은 정당한 이익이 인정될 수 있는 경우로 (i) 처리목적의 정당성, (ii) 처리의 필요성∙관련성∙합리성, (iii) 정당한 이익이 명백하게 정보주체의 권리보다 우선할 것이라는 세 가지 요건이 충족될 것을 요구하고 있습니다.
  • 본 안내서는 AI 개발자 및 서비스 제공자에게 위 각 요건이 충족되었다고 평가될 수 있는 구체적인 사례 내지 판단 기준들을 제시하고 있습니다.
     (목적의 정당성) 개인정보 처리에 관한 합법적인 이익이 인정될 것
    - AI 개발자 및 서비스 제공자의 영업상 이익뿐 아니라, 그로부터 발생하는 사회적 이익 등 다양한 층위의 이익이 포괄됨 
    AI 맥락에서 정당한 이익에 포함될 수 있는 사회적 이익의 예시
    특정 언어로 표시된 데이터가 과소 학습됨에 따라 특정 언어에 대한 AI 성능이 저하되고 특정 언어를 사용하는 개인의 AI 접근성이 저하되는 것을 방지하는 것
    - AI 개발자 및 서비스 제공자는 정당한 이익이 있음을 주장함에 있어 공개된 개인정보의 처리 목적을 최대한 구체적으로 정의하는 것이 바람직함
    목적의 정당성이 인정될 수 없는 경우
    - 안면인식 DB와 결합하여 개인에 대한 프로파일링 및 감시 목적으로 AI 시스템 개발
    - 사이버 공격, 개인 사칭 사기(피싱∙스미싱) 목적으로 AI 시스템 개발

     (처리의 필요성∙상당성∙합리성) 개인정보 처리가 정당한 이익의 달성을 위하여 필요하고, 상당한 관련성 및 합리성이 인정될 것 
    - AI 개발자 및 서비스 제공자는 공개된 개인정보를 수집∙이용하는 경우 정당한 이익과 상당한 관련이 있고, 합리적인 범위를 초과하는지 여부를 스스로 평가해 보아야 함. 
    - AI 개발 목적∙용도에 맞는 학습데이터 수집 기준을 사전에 정하고, AI 개발과 상당한 관련성이 없는 정보는 학습에서 제외하는 것이 바람직함 

    (이익형량) 개인정보처리자의 정당한 이익이 명백하게 정보주체의 권리보다 우선할 것 
    - AI 학습∙서비스 맥락에서는 공개된 개인정보의 성격, 공개의 대상 범위, 공개된 개인정보의 처리방식, 정보주체의 예견가능성, 권리보장 방안 등을 고려하여 ‘정보주체 권리’에 대한 침해∙제한 정도를 평가할 수 있음 
    - 이익형량 요건을 충족하기 위해서는 (i) 개인정보처리자의 이익이 정보주체 권리에 우선한다는 점이 명백하거나 (ii) 개인정보처리자의 이익이 정보주체 권리에 명백히 우선하도록 정보주체 권리침해 위험을 예방∙경감하기 위한 안전성 확보조치 및 정보주체 권리보장 방안을 마련∙시행하여야 함
    개인정보처리자 이익이 정보주체 권리에 우선함이 명백한 경우
    - 금융사기 탐지·방지 등 정보주체 또는 제3자의 급박한 생명, 재산 등 이익을 위해 필수적인 경우
    - 전자통신망에의 무단접근 예방, 정보통신망 및 정보 보안 목적을 위해 반드시 필요한 경우
    - 범죄행위 또는 공공안보에 대한 위협으로부터 보호·예방을 위해 필요한 경우
     
☞ 본 안내서는 개인정보 보호법 제15조 제1항 제6호의 정당한 이익 조항을 근거로 공개된 개인정보를 AI 학습 및 서비스 개발에 활용할 수 있다는 점을 명확히 안내해주고 있습니다. 본 안내서는 정당한 이익 조항 적용을 위한 각 요건(목적의 정당성, 처리의 필요성∙상당성∙합리성, 이익형량)에 관한 구체적인 기준과 예시들을 제시하고 있으므로, 이를 참조하여 정당한 이익 조항의 적용 가부를 가늠해 볼 수 있습니다.

 

3. 안전성 확보 조치 기준

  • 본 안내서는 AI 개발자 및 서비스 제공자가 정당한 이익과 정보주체 권리 사이의 명백한 우선관계를 확인하기 어려운 경우, 안전성 확보 조치를 충분히 시행하도록 권고하며 아래와 같은 조치들을 구체적인 예시와 함께 안내하였습니다.

    ○ 기술적 조치
    유형 내용
    학습데이터 수집 출처 검증∙관리 - 웹사이트 이용약관과 로봇배제표준 등 준수
    - 해당 데이터 집합에 포함된 주요 데이터 출처 목록을 확인
    개인정보 유∙노출 방지 - 특정 범주의 개인 식별자를 AI 학습 전 삭제하거나 비식별화
    - 중복제거(de-duplication) 데이터셋을 이용하거나 중복제거 도구를 직접 적용
    개인정보의 안전한 저장 및 관리 - 접근제한 등 안전조치 적용
    미세조정을 통한 안전장치 추가 - 지도학습 기반 미세조정, 사람 피드백 기반 강화학습 등 적용
    프롬프트 및 출력 필터링 적용 - 프롬프트 필터, 출력 필터 등 적용
    학습 결과에서 특정 데이터 삭제 - 연구 성과와 기술 개발 추이에 따라 머신 러닝 기술 적용 적극 고려

    ○ 관리적 조치
    유형 내용
    학습데이터 처리기준 정립 및
    개인정보 처리방침에 공개    		 - 학습데이터수집·이용 기준을 개인정보 처리방침, 기술문서, FAQ등에 공개
    개인정보 영향평가 수행 고려 - 민감한 정보가 포함되어 있을 개연성이 높거나 정보주체의 권리·의무에 중대한 영향을 미칠 수 있는 AI 서비스를 개발·운영하는 경우 영향평가 실시를 고려
    AI 프라이버시 레드팀 구성·운영 - 기획·개발 시 예상하지 못한 개인정보 침해 유형을 시험‧확인
    AI 개발∙배포 특성에 따른 안전조치 - 오픈소스 모델 혹은 API 연계를 통한 서비스 제공 시 각 유형에 따른 안전조치 시행
☞ 비록 본 안내서는 안내서에서 제시하는 모든 기술적∙관리적 보호조치를 시행하도록 요구하는 것이 아님을 명시하고 있으나, 개인정보 보호법 제15조 제1항 제6호의 정당한 이익 조항에서 정하고 있는 요건을 충족하고 있는지 여부가 모호한 경우가 대부분이므로, 본 안내서가 제시하는 보호조치들을 적극 참조하여 시행한 후 필요한 사항들에 대해서는 추후 개인정보보호위원회와 긴밀히 협의하는 방안을 고려해볼 수 있습니다.

 

▣ 시사점

  • 개인정보보호위원회는 ’24년 2월 공개한 조사업무 추진방향에서 신사업 3대 점검 분야로 AI를 제시하였고, ’24년 3월에는 국내에서 초거대 AI 서비스(LLM)를 운영하고 있는 10개 사업자를 대상으로 실시한 사전 실태점검을 바탕으로 오픈AI, 구글, 메타 3개 사업자에 대해 학습용 데이터 처리 관련 개선권고를 의결하였습니다.
     
  • 개인정보보호위원회는 앞으로도 지속적으로 AI 분야에서의 개인정보 보호 이슈에 주목할 것으로 예상되므로, AI 관련 사업자는 자신의 AI의 학습 및 서비스 단계에서 웹 크롤링 혹은 스크래핑 등을 통해 공개된 개인정보를 활용하는 구조, 방식 등이 본 안내서에서 제시하고 있는 기준에 부합하는지 여부를 확인해 볼 필요가 있습니다.
     
  • 본 안내서는 개인정보보호위원회가 인공지능 환경에서 개인정보 보호법 적용 원칙 및 기준을 구체화하기 위해 마련하겠다고 밝힌 ‘AI 단계별 6대 가이드라인’ 중, 「비정형데이터 가명처리 기준(’24년2월)」, 「합성데이터 생성 참조모델 (’24년5월)」에 이은 세 번째 가이드라인이며, 12월까지 추후 공개될 가이드라인들*의 내용도 역시 주목할 필요가 있습니다.
    * ① ‘생체인식정보 가이드라인(실시간 원격 얼굴인식기술 제한기준 등 마련)’, ② ‘이동형 영상기기 가이드라인(이동형 영상기기로 인한 부당한 권리침해 판단 기준 구체화)’, ③ ‘투명성 확보 가이드라인(데이터 처리의 공개범위∙내용 구체화)’
     
  • 개인정보보호위원회는 이외에도 AI 분야에서 민관협력 자율규제 고도화 방안, 사전적정성 검토제 운영** 등을 검토하고 있는바, 추후 AI 관련 사업 방향을 결정함에 있어 AI 분야에 대한 개인정보보호위원회의 주요 동향들을 지속적으로 파악하여 참고할 필요가 있겠습니다.
    **신기술·신서비스의 기획·개발 단계에서부터 데이터 처리구조·방식(아키텍쳐 등)의 프라이버시 친화적 설계를 컨설팅해 주는 제도
     
  • 한편 개인정보보호위원회를 제외한 타 부처에서도 AI 관련 정책 마련이 한창 진행중에 있습니다. 과학기술정보통신부는 지난 21대 국회에서 임기만료로 폐기된 “인공지능 발전과 신뢰 기반 조성 등에 관한 법률안”의 국회 재상정 및 고위험 인공지능 영역 가이드라인 마련에 관한 논의를, 방송통신위원회는 “AI 서비스 이용자 보호법안” 제정에 대한 논의 등을 본격화하고 있습니다. 따라서 AI를 둘러싼 범부처 정책 동향 역시 면밀히 살펴볼 필요가 있습니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종은 개인정보 분야에 차별화된 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.