개인정보보호위원회(개인정보위)가 생성형 인공지능(AI) 개발과 활용 과정 전반에 적용할 수 있는 개인정보 보호 기준을 담은 안내서를 공개했다. 기관 및 기업들이 AI 개발·운영 과정에서 개인정보 관련 법적 기준을 명확히 확인할 수 있게 됐다.
개인정보위는 6일 서울 정동1928 아트센터에서 열린 '생성형 인공지능과 프라이버시' 오픈 세미나에서 안내서를 공식 발표했다. 위원회는 이번 안내서가 생성형 AI 개발·활용 과정에서 발생할 수 있는 법적 불확실성을 해소하고, 기업·기관의 자율적 법 준수를 촉진하는 기반이 될 것으로 기대하고 있다.
안내서는 생성형 AI의 개발·활용 단계를 △목적 설정 △전략 수립 △학습 및 개발 △시스템 적용 및 관리의 네 단계로 구분한다. 각 단계별로 개인정보 보호를 위한 최소한의 조치와 실제 사례를 제시한다.
'목적 설정' 단계에서는 AI 개발 목적을 구체화하고, 사용하려는 데이터의 종류와 출처에 따라 적법한 수집·이용 기준을 마련하도록 했다. 공개 데이터를 수집해 활용하는 경우에는 개인정보보호법상 '정당한 이익' 요건을 충족해야 하며, 기존 보유한 이용자 데이터를 재사용하는 경우에는 목적 내 이용, 추가적 이용, 별도 목적 이용 등으로 세분화해 기준을 제시했다.
개인정보위는 "범용 모델 개발을 위해 공개된 웹 데이터를 수집하는 경우라도 정보주체의 권리를 침해하지 않도록 충분한 기술적·관리적 조치를 취해야 한다"고 강조했다.
'전략 수립' 단계에서는 기업의 기술 역량과 사업 목적에 따라 적절한 개발 방식을 선택하고, 그에 맞는 리스크 대응 전략을 수립하도록 했다.
안내서는 생성형 AI 개발 방식을 △챗GPT 등 애플리케이션 프로그램 인터페이스(API)를 활용한 서비스형 거대언어모델(LLM) △라마 등의 오픈소스를 사용하는 기성 모델 △모델을 처음부터 학습하는 자체 개발로 구분했다. 각 방식별개인정보 보호를 위한 안전장치 마련이 필요하다고 안내했다.
의료기관이 API 기반 LLM을 활용해 진료 기록 작성을 자동화하는 사례에서는, 이용자 데이터가 저장·재사용되지 않도록 '기업용 라이선스 API' 사용을 권장하고 있다.
'학습 및 개발' 단계에서는 AI 모델 학습 과정에서 발생할 수 있는 데이터 오염, 탈옥 등 다양한 위험에 대비해 다층적 보호조치를 권고했다. 학습 데이터는 반드시 출처 검증과 가명·익명처리를 거쳐야 하며, 개인정보 위험성을 점검하고 반영할 수 있는 피드백 체계를 갖춰야 한다.
마지막 단계인 '시스템 적용 및 관리'에서는 실제 서비스를 운영하기 전 AI의 결과값에 대해 정확도, 데이터 노출 가능성, 안전조치 우회 저항성 등을 사전 점검하고 그 결과를 문서화하도록 했다.
고학수 개인정보위원장은 "이번 안내서는 실무 현장에서 반복적으로 제기된 법적 불확실성 문제를 해소하는 데 기여할 것"이라며 "앞으로도 프라이버시와 혁신이 조화를 이루는 AI 생태계를 만들기 위해 제도 기반을 지속적으로 마련하겠다"고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
