인공지능(AI) 챗봇 ‘이루다’와 같은 개인정보 침해 사례의 재발을 막는 ‘AI 개인정보보호 자율점검표’가 나왔다.
개인정보보호위원회(개인정보위)는 31일 AI 개인정보보호 자율점검표를 공개했다. 점검표는 AI 서비스를 개발하고 운영할 때 개인정보 침해를 예방하도록 하는 안내서다.
이번에 공개한 자율점검표는 인공지능 설계, 개발ㆍ운영 과정에서 개인정보를 안전하게 처리하기 해 지켜야 할 개인정보 보호법상 주요 의무ㆍ권장사항을 단계별로 자율점검할 수 있도록 알기 쉽게 담아냈다. 업무처리 전 과정에서 지켜져야 할 6가지 원칙(적법성, 안전성, 투명성, 참여성, 책임성, 공정성)과 이를 기반으로 단계별로 점검해야 할 16개 항목, 54개 확인사항을 함께 제시했다.
업무처리 단계별(8단계) 주요 점검항목은 다음과 같다. 첫째, 기획ㆍ설계에서 AI 서비스 특성상 예상치 못한 개인정보 침해가 발생할 수 있어 기획 단계부터 사전 점검과 예방을 위해 ①개인정보보호 중심 설계(PbD) 원칙을 적용한다. 이 원칙은 개인정보 처리의 전체 생애 주기에 걸쳐 이용자의 프라이버시를 고려한 기술ㆍ정책을 설계에 반영하는 것을 뜻한다. 만약 침해가 우려되는 경우 ②개인정보 영향평가를 하도록 했다.
둘째, 개인정보 수집에서 인공지능 개발, 운영 시 대규모 개인정보가 수집ㆍ이용되는 점을 고려해 ③적법한 동의방법 ④동의 이외의 수집근거 확인 ⑤공개된 정보 등 정보 주체 이외로부터 수집 시 유의사항을 점검하도록 했다.
셋째, 이용ㆍ제공 부분에서 ⑥개인정보는 수집 목적 내 이용ㆍ제공해야 하고, 목적 외 이용은 적법한 근거를 확인하도록 했다. ⑦동의 없이 가명 처리해 활용하려는 경우 과학적 연구, 통계작성 등 허용된 목적인지, 관련 기준에 부합하는지 등 점검내용을 제시하고, 학습데이터의 가명처리 시 유의사항, 가명정보의 공개제한 등을 안내했다.
이 외에도 △보관ㆍ파기 △AI 서비스 관리ㆍ감독 △이용자 보호 △자율보호 활동 △AI 윤리 점검 부분에서 단계별 체크 항목을 제시했다. 점검표는 개인정보위 누리집에서 확인할 수 있다.
개인정보위는 “그동안 국내외에서 논의된 AI 관련 프라이버시에 관한 사항은 추상적인 원칙 수준이었으나, 이번 자율점검표는 AI 서비스의 개인정보 침해사례와 산업계의 관심 사항을 구체적으로 반영해 현장에 도움이 되도록 했다”고 설명했다. 또, 다양한 ICT 서비스의 개발ㆍ운영에도 활용될 수 있어, 신기술 분야의 개인정보 침해 요인를 예방하는 데 도움이 될 전망이다.
개인정보위는 내달 초부터 AI 스타트업을 대상으로 점검표에 관한 설명회를 개최하고 중소기업 컨설팅ㆍ교육 등에도 활용할 예정이다.
윤종인 개인정보위 위원장은 “AI 개발자ㆍ운영자가 이번 자율점검표를 적극 활용해 AI로 인한 개인정보 침해를 예방하길 바란다”며 “앞으로도 개인정보위는 바이오정보ㆍ자율주행차ㆍ드론 등 신기술 환경변화에 대응해 현장에서 개인정보가 안전하게 보호될 수 있도록 노력하겠다”고 말했다.