개인정보위, 공공기관 AI 사업 위한 개인정보 영향평가 기준 마련

공공기관이 인공지능(AI) 활용 사업을 추진할 때 사전에 개인정보보호 위험을 식별하고 경감할 수 있는 구체적 기준이 마련된다.

개인정보보호위원회(이하 개인정보위)는 지난 3일 제19회 전체회의를 개최하고 '개인정보 영향평가에 관한 고시' 개정안을 의결했다고 4일 밝혔다. 개정된 고시는 9월 5일부터 시행된다.

개인정보 영향평가(이하 영향평가)는 개인정보 처리가 필요한 사업 추진 시 사전에 개인정보에 미치는 영향을 분석하고 개선방안을 수립해 개인정보 침해사고를 예방하는 제도이다.

공공기관은 일정 규모 이상 개인정보 파일을 구축‧운영하거나 변경할 경우 영향평가를 의무적으로 실시해야 한다.

현행 고시에는 AI 분야의 별도 기준이 없어, AI를 도입·활용하는 공공기관들은 영향평가 시 개별적으로 평가항목을 개발해 반영해야 했다. 이에 기관 입장에서는 평가항목이 적정한지 여부를 알기 어려웠다.

이에 개인정보위는 고시 및 안내서를 개정해 ▲AI 시스템 학습 및 개발 ▲AI 시스템 운영 및 관리 등 2개 세부 평가분야를 신설했다.

먼저, 'AI 시스템 학습 및 개발' 관련해서는 ▲개인정보 처리시 적법한 법적 근거를 확보하고 있는지 ▲민감정보·14세 미만 아동정보 등이 불필요하게 포함되지 않는지 ▲AI 학습용 데이터의 보유 및 파기를 명확히 규정하고 있는지 등을 검토하도록 했다.

'AI 시스템 운영 및 관리'와 관련해서는 ▲AI 개발 및 운영주체 간 책임성 명확화 ▲생성형 AI 서비스 제공시 허용되는 이용 방침(Acceptable Use Policy; AUP) 제공 ▲생성형 AI 시스템의 부적절한 답변, 개인정보 유·노출에 대한 신고 기능 마련 등 정보주체 권리보장 방안 수립·시행을 주요 평가기준으로 제시했다.

평가항목은 그간 개인정보위에서 발간한 인공지능 맥락에서의 개인정보 보호법 적용을 위한 안내서들을 고려해 마련했다.

상세한 평가항목은 '개인정보 영향평가 수행안내서'를 통해 구체적 해설·사례와 함께 공개된다. 개인정보위는 관련 기관·기업의 적용 사례 등 다양한 의견을 수렴해 평가항목을 지속적으로 개선해 나갈 계획이다.

개인정보위 측은 "이번에 마련된 인공지능 분야 영향평가 기준은 공공기관 뿐 아니라 민간기업에서도 인공지능을 활용한 개인정보 처리시 잠재적인 위험성을 식별하고 경감하는 사전 예방적 개인정보 보호체계를 구축하는 데 유용한 참고자료로 활용될 수 있을 것으로 전망된다"고 말했다.