4.1.

개인정보 분야 최근 동향: AI Privacy

• 새 탭 열기
• 작성 이력 보기

1. AI 시대의 데이터 프라이버시 이슈

AI 시대를 맞이하면서 새로운 데이터 프라이버시 이슈들이 발생하고 있다.

먼저, 정부 및 공공영역에서 AI 기반으로 의사결정 시, 편향과 불투명성으로 인해 의도되지 않은 결과가 발생할 수 있는바, 차별 및 프라이버시 이슈가 제기되고 있다.

또한 AI에 의한 정보처리가 사람에 의한 정보 통제를 약화, 무력화, 배제할 수 있다는 점에서도 프라이버시 이슈 가 제기된다. 예컨대 AI에 의한 개인정보 처리가 불투명하거나 광범위하여 사람의 데이터 통제권이 사실상 배제될 수 있다는 것이다.

AI와 IT기술이 결합됨으로써 사람에 대한 일반적 감시 사회가 가속화된다는 것도 문제이다. CCTV, 실시간 원격 생체인식과 프로파일링을 통한 국가의 AI민간사찰은 꾸준히 제기되고 있는 이슈이다.

사람처럼 말하고 대화하는 AI, 즉 AI의 의인화(擬人化)로 인해, 사람의 개성이나 인격을 복제/모방한 AI에 대한 신뢰나 상호작용이 증가하고 이를 통해 정보주체들이 더 많은 개인정보를 AI와 공유/제공함으로써 프라이버시 이슈가 심화될 수 있다는 점도 우려되고 있다.

이러한 AI 시대의 대표적인 데이터 프라이버시 이슈들을 간략하게 유형화해보면, 첫째, '양날의 검'으로서 작용할 AI를 통한 프로파일링(편익과 위험의 공존), 둘째, AI를 통한 민감한 정보의 대량 수집의 위험성, 셋째, 데이터 축적기관과 정보주체 사이의 비대칭성이 프라이버시 이슈를 심화시킬 수 있다는 점으로 정리해 볼 수 있다.

참고로 IAPP(International Association of Privacy Professionals)가 2024. 1. 17. 공개한 "Shaping the future: A dynamic taxonomy for AI privacy risks"는 AI로 인한 프라이버시 위협에 대한 상세하고 동적인 분류를 아래와 같이 제시하고 있다

• Surveillance(감시): AI는 개인정보 수집의 규모와 보편성을 증가시켜 감시 위험을 악화시킨다.
• Identification(개인 식별): AI 기술은 다양한 데이터 소스에서 자동으로 개인 신원을 연결하여 개인 신원 노출과 관련된 위험을 증가시킨다.
• Aggregation(집계): AI는 개인에 대한 다양한 데이터를 결합하여 추론을 수행하는데, 이로 인해 개인정보 침해의 위험이 발생한다.
• Phrenology & physiognomy(골상학과 관상학): AI가 신체적 특징으로부터 성격이나 사회적 속성을 추론하는데, 이는 솔로브 분류체계에는 없는 새로운 위험 유형이다.
• Secondary use(2차 사용): AI는 데이터를 재활용하여 원래 의도한 목적 이외의 목적으로 개인정보를 사용하는 것을 악화시킨다.
• Exclusion(배제): AI는 불투명한 데이터 관행을 통해 사용자에게 데이터 사용 방법에 대한 정보 제공이나 통권을 제공하지 못하는 상황을 악화시킨다.
• Insecurity(불안정성): AI의 데이터 요구 사항과 저장 관행에는 데이터 유출 및 부적절한 액세스 위험이 있다.
• Exposure(노출): AI는 생성 AI 기술 등을 통해 민감한 정보를 공개할 수 있다.
• Distortion(왜곡): AI는 현실적이지만 가짜 콘텐츠를 생성할 수 있는 능력을 갖추고 있어 거짓 또는 오해의 소지가 있는 정보의 확산을 심화시킨다.
• Disclosure(공개): AI는 원시 데이터에서 추가적인 민감한 정보를 추론할 때 부적절한 데이터 공유를 초래할 수 있다.
• Increased Accessibility(접근성 증가): AI는 의도한 것보다 더 많은 사람이 민감한 정보에 더 쉽게 접근할 수 있도록 한다.
• Intrusion(침입): AI 기술은 종종 감시 수단을 통해 개인 공간이나 사생활을 침범한다.

2. AI 시대 데이터 프라이버시 이슈에 대응하기 위한 새로운 규율체계 정립의 필요성과 방향성

그렇다면 이러한 AI 시대의 다양한 데이터 프라이버시 이슈에 대해 어떻게 대응할 수 있을까? 

일단 현재의 데이터 프라이버시 보호체계는 인공지능에 의한 개인정보처리 체계와 조화를 이루기 어렵고 충돌하는 지점들이 있어 대응이 어렵다고 보인다. 예컨대 고지, 동의, 개인정보에 대한 통제권 등과 같은 전통적 개인정보 규율체계가 인공지능 시대에도 적합한지에 대한 의문이 제기되고 있는 것이다.

현재로서는, 연산능력이 우월하고 처리과정이 명확하지 않고 결과가 예측가능하지 않은 AI에 의한 개인정보처리에 적합한 새로운 데이터 프라이버시 규율체계 정립이 필요한 상황이다.

AI 시대 프라이버시 이슈에 기존 규율체계가 대응하기 어려운 구체적인 예시들을 살펴보자면, 먼저, 개인정보보호법의 적용 대상인 '개인정보' 개념은 '식별가능성'을 중요한 기준으로 삼고 있는데 AI를 통해 식별가능성이 무제한적으로 확장될 수 있다는 문제가 있다. 기존에도 특정 데이터 조각이 '식별가능'한 데이터인가를 판단하는 것은 쉽지 않은 문제였다. 그런데 AI는 수집하기 어렵거나 아직 존재하지 않는 정보를 생성할 수 있는 도구이다. 때문에, 외견상으로는 무관하거나 무해해 보이는 다른 데이터 조각으로부터도 추론할 수 있게 하는 예측기술을 통하여, AI는 추론된 데이터를 의사결정 프로세스에 통합시켜서 의사결정을 수행할 수도 있다. AI를 사용하지 않았다면 개인정보로 판별되지 않았을 데이터 조각들이 AI로 인해 언제든지 개인정보 조각이 될 수 있는 것이다.

이처럼 AI의 발전에 따라 개인이 생성하거나 개인과 관련된 모든 정보를 식별할 환경이 조성될 가능성이 높은바, 개인정보의 개념 자체에 대한 중대한 도전이 일어나고 있다. 때문에, 개인정보에 해당하는가에 대한 이분법적 접근방식으로부터의 변화가 필요하다. 개인정보 해당성의 이슈로부터 합법적 처리 이슈로 전환할 필요가 있는 것이다.

개인정보의 개념 뿐만 아니라 개인정보보호의 기본원칙에 대한 도전도 일어나고 있다. AI는 기본적으로 대규모 데이터의 처리에 기반한다. AI에 의한 개인정보 처리와 개인정보의 최소처리 원칙은 시작부터 긴장관계에 있을 수밖에 없는 것이다. 수집제한의 원칙은, 데이터 학습 과정 및 AI를 통한 개인정보 처리 과정 등에서 광범위한 개인정보 수집을 할 수밖에 없는 AI에 태생적으로 들어맞기 어렵다.

목적의 특정성 원칙도 마찬가지이다. AI는 사전에 설명/제시된 특정 목적이 아니라 예측하지 않은 광범위한 목적으로 개인정보를 처리한다. 물론 '합리적으로 예상되는 2차 목적'의 경우에는 추가 처리가 가능하지만, 이 '합리적으로 예상되는 2차 목적'으로 인정가능한 게 어디까지인지 그 범위를 둘러싼 논란이 있을 수 있다. 세대간(특히 디지털 네이티브 세대와 기존 세대간)에 '특정 목적'의 범위에 대한 프라이버시 감수성의 차이가 있을 수 있다는 점도 유의사항이다. 그나마 AI에 긍정적으로 기대해 볼 수 있는 부분은, 오히려 AI를 활용하여 정보주체의 프라이버시 선호도를 반영한 개별화된 개인정보처리 정책을 실현할 가능성도 있지 않을까 하는 지점이다. 

투명성과 동의에 관한 문제도 있다. AI의 개인정보 처리가 어디로 튈지 모르니 일단 고지할 내용을 특정하여 사전고지하는 것 자체가 쉽지 않다. 그리고 적법한 사전고지가 어려우니 적법한 동의 획득도 어렵다. AI가 동의나 계약을 실질적으로 강요할 수도 있고, AI와 비양심적/무의식적 합의에 이르게 될 수도 있다. 역시 그나마 긍정적인 가능성으로 기대해 볼 수 있는 것은 AI를 활용한 설명가능하고 실질적 동의 행사가 가능한 개별화된 프라이버시 플랫폼을 구축할 수 있지 않을까 하는 것이다.

이처럼 기존 규율체계, 기존 개인정보보호법이 AI 시대 프라이버시 이슈에 대응하는 데에 한계가 있다면, 앞으로 개인정보보호법은 어떤 역할로 나아가야 할까?

무엇보다도, AI에 대응하여 차별 등 문제에 맞서 기본적 자유와 권리를 실현하고 보호받을 수 있도록, AI가 처리하는 개인정보에 대한 통제의 실효성을 확보하기 위한 개인정보보호법의 역할이 요구된다. 이를 통해 개인정보 처리에 대한 통제력을 확보하면서 AI가 발전하게 되면, 궁극적으로 차별 등 사람의 기본적 자유와 권리를 더 보장할 수 있게 될 것이다.

3. AI 시대 데이터 프라이버시 이슈에 대응하기 위한 새로운 규율체계 정립 시도들

실제로 이러한 새로운 규율체계의 필요성에 대해서는 국제적으로 공감대가 형성되고 있으며 수많은 시도가 이루어지고 있다. 특히 AI의 범용성과 국제성으로 인해 글로벌 거버넌스의 중요성은 크게 증가하고 있으며, 국제적인 규제 프레임워크와 국내 법제 및 규제 프레임워크의 조화, 연계의 중요성 역시 증가하고 있다. 동시에, AI 개발 및 배포 과정에서 자발적인 개인정보보호 강화 시스템 설계가 중요하다는 점에도 공감대가 이루어지고 있다. 개인정보 자율규제 프레임워크의 중요성이 인식되고 있는 것이다.

이러한 흐름 하에서 이루어지고 있는 다각적인 대응들을 유형화 해 보면 아래와 같다.

[국제기구 차원의 대응]

• OECD A.I. Principles (2019, 2024
• G20 AI Principle (2019)
• G7 Hiroshima AI Process(2023)
• OECD Expert Group on AI, Data and Privacy(2024) 논의 중

[정부 차원의 대응]

• US Algorithmic Accountability Act (2022)
• EU GDPR (2016)
• EU P2B Regulation (2019)
• EU DSA (2022) & DMA (2022)
• US The Blueprint for an AI Bill of Rights(2022)
• EU AI Act (2021, 2023, 2024)
• US Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence(2023)
• UK Bletchley Declaration(2023)
• 일본 개인정보보호법
• 한국 개인정보보호법(2023 개정)
• 한국 21대 국회 인공지능 관련 13개 법안 폐기
• 서울 선언문(2024.5.21.)
• 한국 인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서(2024)
• 22대 국회 인공지능 관련 9개 법안 계류 중

[민간단체]

• 한국소비자연맹, 지능정보사회(AI) 소비자 권리장전(2020)

[기업]

• Munich AI Accord(2024)