「인공지능 시대 안전한 개인정보 활용 정책방향」 발표

안녕하십니까? 개인정보보호위원회 위원장 고학수입니다.

바쁘신 가운데 또 폭염이 기승을 부리고 있는 가운데 오늘 브리핑에 참석해주신 기자님들께 깊은 감사의 인사를 드립니다.

이번 주는 개인정보보호위원회 출범 3주년을 맞이하는 때입니다. 특히, 개인정보보호위원회 출범 3주년을 맞이하는 이 시점에 AI 시대 안전한 개인정보 활용 정책방향을 발표하게 된 것을 매우 뜻깊게 생각합니다.

지난 연말에 챗GPT가 이 세상에 나타나게 된 이후에 AI 영역에 대한 관심이 날로 높아지고 있습니다. 의료, 교육, 유통 등 다양한 분야에서 인공지능을 활용한 서비스가 고도화되면서 AI가 가져오는 사회적 편익에 대한 기대가 점점 더 높아지고 있습니다.

하지만 그와 동시에 데이터가 AI의 기반이고 가치 있는 데이터의 상당 부분은 개인정보이다 보니 개인정보 침해 가능성이 높아지는 것은 아닌가 하는 우려의 시각도 나타나고 있습니다.

특히, AI 환경에서는 동의나 계약 등을 통해서 개인정보 정보 주체로부터 직접 정보를 수집했던 지금까지의 일반적인 방식과 다르게 공개된 정보를 이용한다든가 자율주행차 맥락에서 이동형 모빌리티를 통해서 데이터를 수집하는 등 정보 주체가 예측하기 어려운 방식으로 데이터가 처리되는 경우가 증가하면서 이와 관련된 문제 제기가 나타나고 있는 것이 또 다른 현실입니다.

그러나 AI가 모든 산업에 있어 미래를 이끌어갈 기반 기술로서 역할을 하고 전 세계적으로 디지털 심화 시대를 이끌어가는 핵심적인 경쟁요소로 주목을 받고 있는 만큼 개인정보 침해 등 부작용은 최소화하면서 AI 혁신 생태계 발전에 꼭 필요한 데이터는 안전하게 활용하기 위한 제도 마련이 필요합니다.

이번에 정책방향은 이런 문제의식하에서 AI 환경에 현재 개인정보보호법을 어떻게 적용할 수 있을지에 대한 준칙을 제시하는 한편, 앞으로 정부와 민간이 협력하여 AI의 특성을 반영한 새로운 규율체계를 공동 설계해나갈 수 있는 청사진을 제시하는 데 중점을 두었습니다.

그러면 이번 정책방향의 주요 내용을 말씀드리겠습니다.

먼저, 원칙 기반 규율체계를 정립하고 법적인 불확실성을 해소해나가겠습니다.

우리나라 AI 기업의 매출 규모는 최근 3년간 평균 40% 이상 증가했을 정도로 급격한 성장세를 보이고 있고, 앞으로 이런 성장세는 더욱 가파를 가능성이 높습니다. 또 AI가 우리 일상 전반에 계속해서 활용도가 높아지고 있는 현실이기도 합니다.

다른 한편, 많은 기업이 AI 개발을 위해서 데이터를 수집하고 활용하는 데 있어 개인정보보호법 등 관계법령의 저촉 여부를 둘러싸고 불확실성을 호소하고 있기도 합니다.

개인정보위원회는 데이터의 활용 범위, 방식이 복잡하고 변화 속도가 빠른 AI의 특성을 고려해서 세세한 규정 중심이 아니라 원칙 중심으로 규율체계를 전환하고 확립해가려 합니다.

이에 개인정보위원회는 AI에 관한 사항을 전담하여 원스톱으로 처리하는 AI 프라이버시팀을 오는 10월 중에 신설할 계획입니다.

이 전담팀에서는 AI 모델 및 서비스를 개발하고 제공하는 사업자가 개인정보와 관련해서 궁금한 사항이 있는 경우에 사안별로 법령 해석이나 규제 샌드박스 안내 등 필요한 사항을 적극 지원해주는 컨설팅 역할을 수행할 계획입니다.

또한, 사전적정성검토제도 올해 중에 도입할 계획입니다.

이 제도는 사업자의 요청을 받아서 비즈니스 환경을 분석하고 개인정보보호법을 준수할 수 있는 적용 방안을 함께 도출하고 이런 안전장치 등 법 준수 사항에 대해서 적정하게 이행했다고 개인정보보호위원회가 판단한 경우에는 향후에 행정처분을 내리지 않는 그런 제도입니다.

이 제도는 미국에서 금융 영역이나 공정거래 영역 등에서 널리 활용되고 있는 No-action letter 또 유럽연합 GDPR에는 사전협의, prior consultation 이런 제도가 있습니다. 이런 제도로부터 시사점을 얻어서 새롭게 구상한 제도입니다.

특히 사업자가 신청서를 제출한 시점부터 적용 방안 통보까지 60일 이내에 처리하는 것을 원칙으로 해서 민간에서 느끼는 법적 리스크를 신속하고 확실하게 줄여나가도록 하겠습니다.

둘째로, AI 단계별 개인정보 처리 기준을 구체화해나가겠습니다.

그동안 AI 개발 및 서비스를 위해서 데이터를 수집하고 이용할 때 개인정보를 어떻게 처리하는, 처리해야 하는지에 대해서 개인정보보호법에 마련되어 있는 일반적인 기준 이외에는 별도의 명확한 기준이 없었습니다.

이번 정책방향에서는 현행의 개인정보보호법 체계하에서 AI 관련된 기획, 데이터의 수집, AI 학습, 서비스 제공 이렇게 단계별로 개인정보를 어떤 원칙에 입각해서 처리할 수 있는지에 대해서 법령 그리고 해석례, 의결례, 법원 판례 등을 종합하여 구체화했습니다.

먼저, AI 모델 및 서비스를 기획하는 첫 단계에서는 개인정보보호 중심 설계원칙을 반영해서 모델링, 학습, 운영 등의 과정에서 개인정보 침해 위협을 최소화할 수 있는 그런 방안을 안내했습니다.

또한, 이런 리스크를 파악하고 대응할 수 있도록 개발자와 그리고 개인정보보호 담당자가 초기 단계부터 함께 협업하여 함께 참여하고 논의하는 그런 거버넌스 체계를 갖출 것을 권장을 했습니다.

데이터를 수집하는 단계에서는 일반 개인정보, 공개된 개인정보, 영상정보, 생체인식정보 이렇게 데이터를 몇 가지 영역으로 구분을 해서 개인정보 처리의 원칙을 제시를 했습니다.

예를 들면 대규모 언어모형을 개발하는 경우에 공개된 정보를 부분적으로라도 이용해야 하는 상황이 발생할 수 있는데, 공개된 정보를 처리할 수 있는 법적인 근거, 그리고 고려사항을 명확히 하고 공개된 정보를 수집할 때 개인 계정 정보를 분리하고 식별자를 삭제하도록 하고 웹사이트 운영자가 로봇의 접근을 제한하도록 처리한 경우에는 해당 페이지에 접근하지 않는 로봇 배제 표준을 준수하도록 하는 등 공개된 정보를 수집할 때 고려해야 하는 사항을 구체화했습니다.

다음으로, AI 학습의 단계에서는 개인정보를 가명 처리해서 정보 주체의 별도 동의 없이 AI 연구개발이 가능하도록 명확히 했습니다.

이런 가명 처리를 하더라도 다른 정보와 연계하거나 결합을 해서 재식별이 일어나지 않도록 해야 하고요. 사전·사후적으로 발생할 수 있는 그 이외의 리스크 상황에 대한 방지 조치가 중요합니다.

다만, AI 활용 맥락에서 나타날 수 있는 여러 가지 형태의 리스크를 사전적으로 완벽하게 제거하는 것은 어렵다는 판단하에 이를 최소화하기 위한 노력을 개별 사안에 따라서 판단을 하고 예방조치의 이행수준을 판단할 계획입니다.

마지막으로, AI 모델을 개발해서 실제 이용자를 대상으로 서비스를 상용화하는 단계에서 투명성 확보가 매우 중요합니다.

다만, 학습 데이터의 출처 등을 공개하는 범위나 방법, 정보 주체의 열람·삭제·처리·정지권 등 권리를 행사할 수 있는 방법, 이런 것들에 대해서는 지금 논의 상당히 초기 단계이고요.

AI 산업계 및 이해관계자와 충분히 소통을 한 후에 AI 영역의 특성을 반영한 실효성 있는 가이드라인을 마련하도록 하겠습니다.

세 번째로, 보다 면밀한 논의가 필요한 사항에 대해서는 민관 협력을 통해 구체화해나가겠습니다.

이번에 발표하는 정책방향은 현 시점에서의 기초적인 기준과 원칙입니다. 비정형 데이터의 가명 처리 기준, 공개된 정보를 활용하는 방법, 이동형 영상기기 촬영 정보의 활용, 투명성 확보 방안, 이런 걸 포함한 세부 과제에 대해서는 오는 7월 중 발족할 예정인 AI 프라이버시 민관 정책협의회를 중심으로 논의를 진행하고 실제 현장에서 적용할 수 있는 각각의 가이드라인을 마련하도록 하겠습니다.

구체적으로는 비정형 데이터 가명 처리 기준은 올해 안에 공개된 정보와 이동형 영상기기 촬영 정보, AI 투명성 확보에 관한 각각의 가이드라인은 내년 상반기까지, 합성 데이터 활용과 관련된 가이드라인은 내년 9월까지 마련할 수 있도록 하겠습니다.

뿐만 아니라 AI 리스크 수준에 따른 차등적인 규제 설계가 가능하도록 AI 리스크 평가모델도 마련하겠습니다.

이를 위해서는 여러 가지 실험과 시도를 하고 그로부터 리스크 평가모형을 마련해야 할 것이기 때문에 규제 샌드박스 등 여러 경로를 통해서 경험을 축적하고 다양한 사례를 통해서 축적해나가고, 이를 바탕으로 운용 현황 등을 분석하고 위험평가체계를 2025년까지 단계적으로 구축해나가겠습니다.

마지막으로, AI 글로벌 협력체계를 공고히 하겠습니다.

AI는 개발부터 서비스 제공까지 초국가적인 형태로 이루어지기 때문에 국제적인 공조체계가 필수적입니다.

개인정보위원회는 지난 6월 대통령께서 선언하신 파리 이니셔티브에 입각해서 AI 개인정보 분야의 국제규범 마련을 위한 협력체계를 강화해나가겠습니다.

얼마 전 서울에서 개최한 AI와 데이터 프라이버시 국제 콘퍼런스를 시작으로 해서 주요국 개인정보 감독기구와 함께 법·정책 처분 사례 등을 공유하고 AI로 인한 침해 이슈 발생 시 신속하게 대응하겠습니다.

개인정보 분야 최대 규모의 국제협의체인 글로벌 프라이버시 총회, 영어로 ‘global privacy assembly’라고 합니다.

이 글로벌 프라이버시 총회를 2025년에 서울에서 유치하도록 해서 AI를 비롯한 디지털 심화 시대의 프라이버시 이슈에 대해서도 논의를 주도해나가는 한편, 국내외 AI 사업자들과도 소통을 활발하게 하겠습니다.

그 이외에도 여러 논의장에 적극적으로 참여하여 새로운 국제규범이 마련되는 과정에서 주도적인 역할을 하겠습니다.

이상으로 인공지능 시대의 안전한 개인정보 활용 정책방향의 주요 내용을 설명드렸습니다.

개인정보 분야에 있어서 ‘제로 리스크는 없다.’ 이런 말이 있습니다. AI 분야는 이 표현이 현실을 더 정확히 묘사하는 것 같습니다. 위험을 완벽하게 없애는 것은 어렵더라도 하나, 하나의 단계에서 개인정보 침해 위험을 식별하고 이를 줄여나가는 실천적 노력을 기울이면 전체적인 프라이버시 침해 위험은 최소화되고 데이터는 안전하게 활용될 수 있게 될 겁니다.

개인정보위원회는 이번 정책방향을 시작으로 해서 민간과 함께 AI 환경에 적합한 규율체계를 공동으로 설계해 나감으로써 AI 개인정보 분야 디지털 국제규범을 우리나라가 주도해 나갈 수 있도록 최선을 다하겠습니다.

추가로 설명이 필요한 부분은 질의응답을 통해서 보다 상세히 설명드리도록 하겠습니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 오늘 말씀 주신 내용 중에 사전적정성검토제 관련해서 궁금해서요. 이게 행정처분을 어떤 개보위가 적정하다고 판단한 사안에 대해서 행정처분하지 않겠다고 말씀하셨는데 이게 그러면 그 판단한 사안에 대해서 처분하지 않겠다는 게 구체적으로 어떤 의미인 건지 설명 좀 더 부탁드리겠고요.

또 그리고 이게 사전규제로 작용해서 스타트업이나 이런 소규모 기업들에게는 좀 부담이 가중될 수도 있을 것 같은데 그 부분에 대해서 어떻게 생각하시는지도 궁금합니다.

<답변> AI 전담팀을 만들면 AI 팀이 말하자면 원스톱 창구로 작동하게 될 것이고요. AI 영역은 개인정보와 관련해서 현업에서 느낄 수도 있는 불확실성 아니면 회색지대 이런 것들이 앞으로 나타날 수가 있고 해서 이 장치를 마련한 취지의 핵심은 규제, 그러니까 현장에서 느끼는 규제 불확실성을 어떻게든 줄여나가겠다, 라고 하는 게 이 제도를 구상한 가장 핵심적인 취지입니다.

그래서 전담팀을 통해서 원스톱 창구를 만들어서 간단한 법령 해석의 문제라고 하면 법령 해석을 해주고, 현행 법령상 한계가 있는 것이라고 하면 규제 샌드박스를 통해서 실험적인 시도를 그런 환경하에서, 제한적인 환경하에서 해보도록 하는 시도를 하게 하고, 그리고 마지막으로 말씀드렸던 사전적정성제도의 경우는 일정한 안... 우리가 같이 고민을 해가면서 일종의 컨설팅 같은 역할도 수행을 하고 동시에 안전장치라든가 이런 조건을 충족하면 현행 법령상 무리 없이 진행하는 게 가능할 것도 같다, 라고 판단이 될 경우에는 그렇게 같이 고민하고 같은 이런 안전장치를 마련하고 같이 해봅시다, 라고 하는 장치를 마련하는 것이고요.

그래서 이게 당연히 규제를 강화하는 방향은 전혀 아니고 오히려 규제의 불확실성을 어떻게든 줄이자고 하는 거고, 그리고 안전장치를 전제로 수행을 해보고, 예를 들면 3개월, 6개월 동안 이렇게 진행한 다음에 '이렇게 진행하면 문제가 없겠군요.'라고 하는 걸 한번 확인하고, 그래서 이게 이렇게 이야기 듣고 '이렇게 하면 됩니다.'라고 한번 안내하고 끝나는 게 아니라 계속적으로 소통을 하고 그 이후에 또 확인도 하고 그런 과정을 거쳐 가는 그런 제도를 구상하고 있는 겁니다.

<질문> 오늘 발표하신 내용이 정부가 9월에 발표할 디지털 권리장전하고도 연계되는 내용인지 궁금합니다.

<답변> 제가 지금 이야기를, 질문을 정확히 못 들어서 죄송합니다.

<질문> 오늘 발표하신 내용들이 정부가 9월에 발표할 예정인 디지털 권리장전하고 연계가 되는 내용인지 여쭙고 싶습니다.

<답변> 제가 질문을 못 들은 이유가 좀 전 질문에 대해서 짧게 부가 설명을 드렸으면 하는 게 사전적정성 제도 말씀드린 대로 불확실성을 줄여나가고자 하는 게 핵심 취지이고, 불확실성을 줄이는 맥락에서 오히려 규모가 있는 회사들은 자체적인 판단력이나 역량을 상대적으로는 좀 더 가지고 있을 건데 오히려 작은 회사들, 스타트업, 새로 시작하는 회사들은 그런 자체적인 판단 역량이 상대적으로 충분하지 않을 가능성이 높아서 오히려 그런 스타트업들한테 더 도움이 되기를 기대하고 제도를 설계했다, 그 말씀드리고요.

디지털 권리장전 관련해서는 저희가 이것 구상하는 과정에서 다른 관련 부처들하고 또 조율하는 과정이 약간씩 있었고요. 그리고 앞으로 저희가 마련한 정책방향 당연히 디지털 권리장전 포함해서 데이터 영역 전반, 또 AI 영역 전반에 관한 우리 정부의 정책방향과 계속 협의하고 조율해 가는 그런 과정은 앞으로 계속 있을 것이고요.

오늘 이 발표라고 하는 게 말씀드린 대로 정책방향이고, 그리고 예를 들면 가이드라인 같은 것들 앞으로 6개 정도 준비하고 있는데 그게 올해, 내년, 그 후년 해서 몇 년에 걸쳐서 진행될 것에 대한 일종의 로드맵 이런 성격도 있기 때문에 그런 과정 통해서 계속해서 더 심화된 그런 논의가 진행될 것입니다.

<질문> 오늘 발표하신 방안 관련해서 그리고 향후 추진 과제를 통해서 정보 주체인 이용자들은 어떤 긍정적인 영향을 받게 될 것이라고 보시는지 궁금하고요.

그리고 공개된 정보 관련해서 가이드라인 준비하시는 것으로 알고 있는데 이 부분에서는 공개된 정보에 있는 편향성 같은 경우는 어떻게 문제를 해소해 나가실 계획이신지도 궁금합니다.

<답변> 굉장히 어려운 고민을 하고 있는 지점인데요. 결국은 AI 기술이 개발된다, 라고 하는 것이 우리 일반 이용자한테 도움이 되고 우리 일상생활을 편리하게 해주는 그런 방향으로 가야 된다, 라고 생각을 하고요.

그러기 위해서 새로운 기술의 개발이나 새로운 혁신, 이노베이션을 장려해야 되는 게 기본 출발점이고, 그런데 그런 새로운 시도나 새로운 이노베이션이 오히려 이용자를 불편하게 하면 곤란하다, 라고 하는 문제의식이 밑에 깔려 있고요.

그러면 어떻게 이용자의 어떤 이익을 보호할 것이냐, 라는 생각은 계속 하고 있는 중이고 그것을 앞으로 우리가 더 구체화하고 향후 가이드라인 같은 것을 마련하는 과정에서 그 각론을 어떻게 마련할지 고민하게 될 것인데요.

그중에 예를 들면 투명성 같은 게 굉장히 큰 주제 영역, 화두 중의 하나입니다. 그런데 투명성이라고 하는 것이 어떤 식으로 투명성을 구체화하고 구현해야 정보 주체, 이용자한테 도움이 될 것이냐 하는 것은 향후 더 구체화해야 되겠습니다만 예를 들면 투명성이라는 이름으로 학습 데이터를 그냥 통째로 공개한다든가 아니면 AI 모델에 있는 파라미터의 수학적인 수치를 공개한다, 이런 식으로 해서는 사실은 실제 개인, 개개인 정보 주체한테는 오히려 도움이 되지 않고 혼란을 가져올 가능성이 아마 더 있을 것이고요.

그러면 투명성이라는 이름으로 개인, 개개인한테 어떤 정보를 어떤 형태로 제공하는 것이 더 도움이 될 것이냐, 이런 것들이 앞으로 논의를 하면서 더 구체화하게 될 것이고요.

또는 생체정보의 영역도 근래에 관심, 또 기술개발이 늘어나고 있는데 생체정보를 전혀 못 쓰게 할 수는 없을 텐데 그러면 어떤 경우에 어떤 방식으로 쓰도록 하는 통제 장치를 마련할 것이냐. 생체정보는 다른 정보와 다르게 한번 데이터가 추출되면 변경이 어렵고 변화가 되면 식별성이 갑자기 전혀 없어지게 될 가능성도 있고요.

그래서 다른 유형의 개인정보에 비해서 그런 독특한 특징이 있는데 그런 특징을 반영한 어떤 통제 장치를 어떻게 마련할 것이냐, 이런 것들이 다 조금 더 각론적인 앞으로 논의와 고민을 거쳐서 구체화하게 될 그런 영역이고요.

질문 또 주신 것 중에 편향이라든가 이런 영역에 있어서도 편향이라고 하는 게 개인정보와 관련해서 주는 문제는 편향된 데이터를 통해서 개인의 어떤 정체성에 왜곡을 가져올 가능성, 그래서 지금까지 개인정보보호법 체계는 식별, 누구를 알아볼 수 있다, 없다, 이게 핵심적인 지표였는데 알아보긴 하지만 왜곡된 정보를 주는 그런 방향의 이슈들은 근래 AI 기술이 개발되면서 새롭게 등장한 어떤 관심 사항이 되기 때문에 그 영역은 앞으로 조금 더 논의하면서 구체화해 나가야 될 것 같습니다.

<질문> 그동안 개인정보에서 보호, 개인정보보호에서 굉장히 열심히 하고 있다고 생각하는데요. 그런데 문제가 그 법규를 어긴 업체나 부처들을 보면 자기들 이익이 좀 높다고 생각하면 그냥 과징금이나 과태료를 그냥 징수하고 그냥 어긴 것을 유지하는 경우가 많은 것 같은데 그래서 억제력이 매우 중요한 것 같은데 이것을 어떻게 가져가시려고 하는지 궁금하거든요.

<답변> 저희가 사건을 처리하고, 그러니까 조사하고 처분을 하는 궁극적인 목적은 기업, 공공기관 다 마찬가지고 개인정보를 잘 보호하라는 건데 개인정보를 잘 보호한다, 라고 하는 게 다른 모든 것을 다 희생해서라도 보호하라는 것은 아니고요.

지금 오늘 말씀드린 AI 영역 같으면 AI 관련한 활동을 열심히 추진하면서 동시에 그 과정에서 개인정보를 도외시하지 말고 Day one, 첫날, 말하자면 칠판에 그림을 그려가는 그 단계에서부터 개인정보의 영역을 어떻게 관심을 가지고 문제가 안 생기도록 할 것인지 하는 고민을 하도록 유도하는 게 핵심입니다.

그러니까 과징금을 부과하는 것도 과징금을 통해서 그 액수를 국고에 납부하는 그 자체가 목적은 전혀 아닌 것이고요. 과징금 부과를 통해서 문제 상황에 대해서 앞으로 개선하도록 하고 지금까지 해 오던 관행상 어떤 문제 상황이 있었는지 찾아내고, 그리고 앞으로 예를 들면 회사 같으면 회사의 업무 방식, 거버넌스 구조 이런 것에 대해서 개선방안을 찾아서 적극적으로 대처할 수 있도록 하는 그런 것을 유도하는 것이기 때문에요.

저희는 그런 면에서는 조사 처분하고 과징금 부과하는 것이 저희 역할 중에 상당히 중요하긴 하지만 과징금으로 모든 게 기업한테 어떤 시그널을 주고 개선을 유도하는 방식이라고는 생각하지 않고요. 다른 여러 가지 방법을 같이 고민하면서 어떻게 개인정보보호 영역에 대한 관심과 체계를 잘 만들어갈 것이냐, 그런 관점에서 접근하고 있습니다.

<질문> 여기 자료에 '오픈AI와 구글, 메타 등과 소통을 활발히 한다.'라는 내용이 있는데 어떤 식으로 소통을 할 것이며, 구체적인 내용, 발전적인 내용이 있는지 궁금합니다.

<답변> 제가 개별 회사에 대해서 아주 상세한 말씀을 드리기는 좀 어렵습니다만 이번에 오픈AI의 경우에도 저희가 몇 차례에 걸쳐서 질의서를 보내고, 또 답변도 몇 차례에 걸쳐서 오고, 이런 과정을 거쳐서 오픈AI에서 GPT를 어떤 식으로 개발하고 그 과정에서 어떤 식으로 데이터를 수집하고 처리했는지, 이런 것에 대한 이해도가 일정 부분 높아진 점이 있고요.

그리고 개별 질문에 따라서는 굉장히 상세한 질문이, 답이 온 것도 있고, 좀 개괄적인 답이 온 것도 있고, 그런데 오픈AI하고의 그런 소통을 겪으면서 사실은 다른 몇몇 기업들하고도 향후에 우리가, 특히나 생성형 AI 같이 최근 들어서 급부상한 영역에 있어서는 저희 위원회 입장에서도 이 기술이 어떤 기술인지 이 기술의 개발과 상용화 과정에서 개인정보 처리가 어떻게 되고 있는지에 관한 이해를 확보해야 되기 때문에 우리가 질의서를 보낼 수 있고, 그 이외에 다른 방법으로 설명회를 하든지 소통을 하는 것이 필요할 수 있겠다, 라고 저희가 비공식적으로 몇몇 군데에 그런 얘기를 한 바가 있고요.

그래서 향후에 몇몇 주요 기업들 또는 주요 기술에 대해서는 그런 식의 과정을 통해서 저희가 소통을 하고 저희 스스로 이해도를 높이고 현실성 있는 규율체계를 만들어가는 그런 과정을 거치게 될 예정입니다.

<질문> (사회자) 연관성 있는 문자메시지 질문이 하나 들어와서 먼저 말씀드리고 질문받도록 하겠습니다. 뉴스핌의 기자 질문입니다. 국내 기업과 글로벌 기업에 대한 개인정보 통제장치가 달라지는 것은 아닌지 궁금합니다. 해외 업체는 소통을 한다고 해도 쉽게 규제하기는 어려울 텐데 어떻게 할 것인지, 반대로 국내 기업에 대한 역차별 이슈는 없겠는지에 대한 질문입니다.

<답변> 국내 기업과 해외 기업 사이의 차별이나 역차별 문제는 정말 전혀 없다고 제가 단언을 드릴 수가 있고요. 그 이유는 국내 기업들은 당연히 저희가 소통을 하고 경우에 따라서는 조사하고 처분하는 절차가 있는데 그럼 외국 기업에 대해서는 그렇지 않냐, 하면 마찬가지고요. 외국 기업에 대해서 어떤 실효성이 떨어지지 않냐, 라고 하면 전혀 그렇지 않습니다.

아주 사소한 예를 들자면 이번에 오픈AI의 경우에도 저희가 질문을 누구한테 어떻게 할 수 있냐, 맨 첫 단계, 그런 데서부터 시작하는데 당연히 질의를 보낼 수가 있고 저희가 질의를 보냈을 때 곧바로 회신이 왔습니다. 그리고 그런 글로벌 기업들의 어떤 중요한 본사 임원들이 한국에 오거나 할 때 저희 위원회에 방문해서 필요한 소통을 하고자 하고, 저희는 그쪽 회사들이 한국의 개인정보보호위원회의 역할에 대해서 굉장히 존중하고 그런 소통을 하고자 합니다, 라고 하는 메시지를 글로벌 주요 해외 사업자들이 반복적으로 상시적으로 저희한테 그런 얘기를 하고 있고요.

그래서 특히나 이 AI 영역, 생성형 AI 이런 영역에 있어서는 일단 그런 식의 의사소통이 전혀 문제없이 진행되고 있기 때문에 앞으로 이 영역의 정책을 더 구체화하고 규율체계를 구체화하는 과정에서는 저희는 기술 상황이라든가 시장 상황을 어떻게 잘 파악할 거냐에서부터 시작해서 그 과정에서 국내 사업자나 해외 사업자 사이의 차이, 차등, 차별 이런 문제는 전혀 없을 것이라고 생각합니다.

<질문> (사회자) 이 기자님이 추가 질문을 해주셔서 조금 이따가 먼저 하고 조 기자님 질문받겠습니다. 해외 기업은 정보의 투명성 오류가 있어서 다 공개하지는 않는데 이 부분에 대해서 위원회가 극복할 수 있는지 질문하셨습니다.

<답변> 질문의 취지는 정확히 모르겠는데요. 해외 기업이기 때문에 투명성이 높다, 낮다, 라고 일반화해서 말할 수 있는 것은 전혀 아닌 게 현실인 것 같고요. 개별 기업의 여러 가지 요소를 고려한 판단에 따라서 차이가 있습니다. GPT의 경우에도 GPT, 2GPT, 3GPT, 4 이렇게 버전 업이 되면서 모형에 관한 설명의 정도가 약간씩 달라진 바가 있고요.

또는 조금 더, 그걸 일반화해서 이야기하자면 기업이 오픈소스로 생성형 AI를 만드는 그런 기업들의 경우는 대체로 모형이라든가 데이터에 관해서 투명성이 높은 경향성이 있고요. 오픈소스가 아닌 형태로 모형 개발을 하는 경우에는 대체적으로 투명성이 좀 더 떨어지는 경향성이 있습니다.

근데 오픈소스를 하기 때문에 투명성이 높다는 게 그런 회사들이 투명성 개념에 대해서 더 전향적이기 때문에 이렇다, 라고 일반화해서 말하기는 어렵고요. 오픈소스의 경우는 오픈소스를 통해서 생태계를 더 크게 넓게 만들고자 하는 그런 이유가 밑에 깔려 있기 때문에 그런 이유 때문에 오픈소스의 경우는 일반적으로 데이터가 어떤 데이터인지 또는 모형과 관련된 기본 원리라든지 이런 것에 대해서 조금 더 주변에 알리는 그런 경향성이 있기는 하고, 그걸 한국 기업, 해외 기업 이렇게 나눠서 경향성을 일반화해서 보기는 어려운 것 같습니다.

<질문> 오늘 발표한 정책방향이 단계별 처리 기준을 구체화해서 불확실성을 해소하는 데 방점이 찍힌 것 같긴 한데요. 규정이 아닌 원칙 중심의 규율체계를 구축한다고 밝힌 만큼 오늘 발표한 정책방향을 꿰뚫는 원칙이 무엇인지 궁금합니다.

<답변> 가장 기본 원칙은요, 우리나라 개인정보보호법 1조에 대원칙이 있고요. 그다음에 3조에 또 원칙이 있습니다. 그래서 우리나라 개인정보보호법 1조에는 개인의 자유와 권리 이런 식의 표현들이 있고, 3조에 가면 그걸 약간 더 구체화해서 목적의 명확성이라든가 그런 걸 포함한 대원칙이 7~8개 정도 3조에 나옵니다. 그게 원칙이고요.

예를 들면 그로부터 AI 영역의 아주 구체적인 질문들이 곧바로 나옵니다. 목적의 명확성이라든가 최소 수집의 원칙이라든가 이런 것들이 개인정보보호법 3조에 있는 원칙인데, 생성형 AI를 만들고 서비스하는 맥락에 있어서 그런 원칙들은 어떻게 적용해 갈 것이냐? 그러면 '그냥 3조 원칙에 따르세요.'라고 답을 하면 그게 원칙은 되지만 현장에서는 '그걸 어떻게 적용한다는 거지?'라는 질문이 곧바로 나오는데 그 후속 질문에 대해서 저희가 전담팀을 만들고 원스톱 윈도우를 통해서 답을 드릴 수 있는 것, 유권해석을 하는 종류라면 답을 드리고, 같이 고민해 나가고 컨설팅이 필요한 영역 같으면 그런 실질적인 의미의 컨설팅 또는 사전적정성 이런 것을 해나가겠다.

그래서 사전적정성제도라고 하는 게 그런 의미에서는 저희가 얘기하는 원칙 중심의 동전의 뒷면 같은 겁니다. 원칙은 추상성이 일정 부분 있을 수밖에 없는데 그걸 구체화하는 것은 실제로 개별 건들을 보면서 같이 고민하고 또는 위원회에서 판단하는 걸로 되는 경우라면 당연히 그렇게 하고, 그래서 그걸 구체화하는 거는 앞으로 계속 구체화할 수 있는 그런 조직 체계와 절차를 마련하겠다, 그런 상황인 것입니다.

<질문> 규제 샌드박스나 컨설팅, 사전적정성 이런 제도를 통해서 좀 보다 스타트업 AI 기업들이 불확실성이 많이 해소될 것 같기는 한데요. 이런 현실을 반영해서 추후에 개인정보보호법 개정이라든지 이런 계획이 있으신지, 언제쯤 이게 가능할지도 궁금합니다.

<답변> 개인정보보호법은 사실은 올 2월에 개정이 됐는데 개정이 되자마자 새로운 개정안들이 계속 나오고 있는, 그래서 개인정보보호법은 개정안이 항상 쏟아져 나오는 이런 영역인데요. 현재 시점에서는 올해, 올 상반기 개정된 것 후속 작업들, 시행령, 시행규칙 작업들 실무적으로 하는... 하느라, 그 우리 팀들이 작업을 하고 있고요.

몇몇 AI 관련된 영역에서도 또 개정안들이 이미 좀 나와 있긴 합니다. 그래서 그것은 저희가 지금 시점에 구체화해서 말씀드리긴 쉽지 않을 것 같고, 다만 한두 가지 구체적인 영역, 관련된 영역 중의 하나는 영상정보 관련해서는 몇몇 관련된 입법안이 따로 있어서 그건 개인정보보호법이 아니라 별개 법을 입법했으면 하는 그런 흐름이 있고, 또 생체정보 관련해서도 별도의 입법이 필요한 것 아닌가, 그런 논의가 있습니다.

그런데 그 두 영역에 대해서는 전반적인, 저희 위원회에서도 고민을 하겠지만 국회 상황을 보면서 추가 작업을 어떤 식으로 하면 좋을지 하는 고민은 좀 필요할 것 같습니다.

그리고 그 두 영역의 경우는 넓은 틀에서 정책적인 고민이 필요한 부분 하나는 개인정보보호법의 틀 안에서 충분히 해소가 될 수 있는 영역이냐, 아니면 별도 법이 필요한 영역이냐, 즉 그런 차원의 이슈가 있고요.

그 차원에서는 영상정보 관련해서는 개인정보보호법에 규정이 몇 개가 있긴 한데 그것보다 조금 더 구체화된 법체계가 필요하지 않나, 이런 문제의식들이 있어서 그에 대해서는 말씀드린 대로 위원회도 고민하지만 국회 상황도 보면서 판단할 부분이 있는 것 같습니다.

<질문> 위원장님 오랜만에 뵌 김에, 오늘 주제는 아닌데요. 마이데이터사업 지금 추진 어떻게 되고 있는지 시행령 마련하고 어떻게 되는지 궁금해서요. 한번 설명 좀 주시면.

<답변> 마이데이터는 일단 이번 주 월요일, 월요일이죠? 이번 주에 공식적으로 추진단이 출범했습니다. 그래서 저희 위원회 공간이 있고 지금 이번 주에 출범했기 때문에 아직 약간 정리하고 있고 몇몇 직원들 자리하고 있고 아직 조만간 그 자리 채워 나가는 그런 과정 하고 있고요.

당연히 추진단 통해서 여러 가지 작업을 하게 될 텐데 어떻게 일정을 잡아서 어떤 구체적인 작업을 하게 될지 이것은 저희가 지금 지난 몇 달 동안 실무적인 논의를 쭉 해 오고 있고 조만간 그것에 대해서는 구체성을 가진 내용 별도로 말씀드릴 기회가 있을 것입니다. 그 정도로, 마이데이터 관련해서는 그 정도만 지금 말씀드릴 수 있을 것 같습니다.

고맙습니다.

<끝>