AI 시대, 개인정보는 어떻게 지켜야 하나
고위험 AI 규제·정당한 이익 조항 등 법적 쟁점 논의
인공지능(AI) 기술의 발전에 따라 ‘개인정보보호법(이하 개인정보법)‘을 어떻게 정비할 것인지를 놓고 산학계와 국회, 정부가 머리를 맞댔다. AI가 방대한 개인정보를 학습 데이터로 활용하는 만큼, 기존 법체계로는 개인정보 처리 기준과 책임의 주체가 모호하다는 우려가 나오고 있기 때문이다.
김용만 더불어민주당 의원은 15일 서울 여의도 국회의원회관에서 ‘AI 시대, 개인정보 입법방향’을 주제로 토론회를 열고 “AI가 국가 핵심 산업으로 부상한 만큼 개인정보 활용과 보호 사이에서 균형 있는 입법 전략이 필요하다”고 밝혔다. 토론회는 김용만 의원을 포함한 더불어민주당 의원 10여명이 공동 주최하고, 한국정보통신법학회와 한국데이터법정책학회가 공동 주관했다.
김용만 의원은 “AI 3대 강국을 국정 과제로 삼은 만큼, 이제는 단순한 산업 발전을 넘어 개인정보 보호와의 균형을 고민해야 할 시점”이라며 “전문가들의 의견을 바탕으로 입법부가 실질적인 논의에 나서야 한다”고 강조했다.
이날 토론회에는 이성엽·강혜경 고려대학교 교수, 민경식 베라세이프 변호사, 이진규 네이버 최고정보보호책임자(CISO) 등 산학계 전문가와 함께, 과학기술정보통신부(이하 과기부), 개인정보보호위원회(이하 개인정보위) 등 정부 관계자가 패널로 참여해 AI와 개인정보 관련 입법 과제를 논의했다.
EU AI법, 위험 기반 접근…한국도 고위험 AI 평가 체계 구축 시급
첫 발제를 맡은 강혜경 고려대학교 교수는 유럽연합(EU) AI법의 주요 내용을 분석하면서, 한국의 AI기본법의 현황을 진단했다.
강 교수는 “EU는 AI를 위험 수준에 따라 네 단계로 나누고, 특히 ‘고위험’으로 분류된 AI는 사전 적합성 평가를 의무화하고 있다”며 “이는 기존의 제품안전법 체계를 그대로 확장한 것으로, AI가 삶의 중요한 의사결정에 관여하는 만큼 사전 인증 체계가 필수적”이라고 설명했다.
이어 “EU의 AI법은 단순히 규제 목적이 아니라, 기존 법과의 정합성과 산업계 적응을 고려해 설계된 법”이라며 “우리도 AI법을 단순 기술 규제가 아니라 글로벌 경쟁력 확보를 위한 인프라로 이해하고 입법 설계에 나서야 한다”고 강조했다.
EU의 경우, 얼굴 인식 기반 비표적 스크래핑, 공공장소 실시간 생체 인식 등 일부 기술은 기본권을 침해할 위험이 크기 때문에 사용 자체를 원천적으로 차단하도록 규정하고 있다. 하지만 공익 목적에 한해 개인정보 특례를 허용하는 등 샌드박스 조항도 포함돼 있어, 기술 혁신을 고려한 유연한 적용 구조를 갖추고 있다.
강 교수는 “한국의 AI기본법에는 이러한 ‘고위험’ 분류 기준과 사전 평가 체계가 부재하다”며 “법 제정 초기부터 ‘필터 조항’을 통해 합리적 범위의 고위험 판단 기준을 세울 필요가 있다”고 말했다.
글로벌 기업, GDPR 기준으로 대응…‘정당한 이익’ 조항 개선이 핵심
두 번째 발제를 맡은 민경식 베라세이프(VeraSafe) 변호사는 글로벌 기업의 개인정보법 규제 적응 사례를 소개하며, 이를 국내에 적용할 방안을 구체적으로 제시했다.
민 변호사는 “글로벌 기업들은 국가·지역별로 서로 다른 규제를 대비해 가장 강력한 수준의 법인 유럽의 일반개인정보보호법(GDPR)을 거버넌스의 중심으로 삼고, 각국의 지역 법령에 맞춰 현지화하는 방식으로 대응하고 있다”고 설명했다.
이어 “한국의 개인정보법에도 ‘정당한 이익’ 조항이 존재하지만, ‘명백하게 우선’이라는 요건 때문에 현실적으로 활용이 어렵다”며 “특히 AI 학습과 같은 대규모 데이터 처리에서는 개인에게 일일이 동의를 받기 어려운 만큼, 법적 불확실성을 줄이기 위한 입법 정비가 시급하다”고 강조했다.
‘정당한 이익’ 조항은 개인정보법 제15조 제1항 제6호에 규정된 개인정보 처리 근거 중 하나로, 정보처리자가 정보주체의 동의 없이도 개인정보를 처리할 수 있도록 허용하는 조항이다. 일례로, 공익 목적이나 사업자의 합리적 필요에 따라 개인정보를 처리할 필요가 있고, 그로 인한 이익이 정보주체의 권리보다 우선한다고 판단되면 동의 없이도 처리가 가능하다. EU의 GDPR에도 유사한 조항이 있으며, AI 개발 과정에서 대규모 데이터를 효율적으로 활용할 수 있는 실질적 수단으로 여겨진다.
하지만 국내에서는 ‘정보주체의 권리보다 명백하게 우선해야 한다’는 조건이 붙어 있어, 현실에서는 적용이 극히 제한적이라는 지적도 있다.
이에 대해 민 변호사는 “정당한 이익 조항을 제대로 적용하기 위해서는 단순히 요건을 완화하는 데 그치지 않고, 정보처리자에게 투명성 확보 의무와 ‘정당한 이익 평가서(LIA, legitimate interests assessment)‘ 제출 의무를 부과하는 방향으로 가야 한다”며 “EU처럼 정보에 대한 책임을 전제로 한 유연한 규제를 도입해야 한다”고 덧붙였다.
패널 토론 “개인정보법, 위험 기반 유연화·적응형 규제 구조 필요”
이어진 토론에서는 ▲정당한 이익 조항의 해석 ▲개인정보 영향평가 ▲AI 학습 특례 조항 등이 핵심으로 다뤄졌다. 특히 실무자와 법조계, 시민사회가 각기 다른 우려와 제안을 내놓으며 논의가 이어졌다.
심우민 경인교육대학교 교수는 “한국의 법은 개념 법학 중심의 선 긋기 규제 방식에 머물러 있으며, 위험 기반 접근 방식을 취하는 글로벌 규제 방식과는 거리가 있다”며 “법을 유연하게 적용하기 위해 AI 분야에 한정해서라도 사전 개인정보 영향평가 제도 도입을 고려해야 한다”고 제안했다.
윤아리 김앤장 변호사는 “현재 이뤄지는 공개 정보에 기반한 AI 학습은 기술 발전에 한계가 있으며, 더 나은 AI를 개발하기 위해서는 정당한 이익을 근거로 하는 데이터 활용이 중요하다”고 지적했다. 또한, “정당한 이익 조항을 현실에 적용하기 위해 ‘명백하게 우선한다’는 조항을 삭제하고, AI 산업의 특성을 고려한 유연한 법적 해석이 필요하다”고 밝혔다.
이진규 네이버 전무는 “산업계에서는 GDPR보다도 한국의 개인정보법이 오히려 더 엄격하다는 인식이 많다”며 “민감정보나 고유식별정보 처리에 대한 근거 조항도 제한적이어서, 법적 해석의 범위를 확장할 수 있는 여지가 필요하다”고 설명했다. 또한, “AI에 대한 특례를 만들기보다 기존의 법 조항을 보다 유연하게 해석하는 방향이 오히려 실효성이 있다고 본다”고 덧붙였다.
오병일 진보네트워크센터 대표는 “정당한 이익 조항을 남용하면 개인정보 보호의 근간인 ‘목적 명확성 원칙’이 무너질 수 있다”며 “AI 학습에 쓰인 데이터가 무엇인지 공개하고, 정보주체가 이를 인지할 수 있도록 하는 투명성 확보가 우선”이라고 강조했다.
정부 “AI 특례 조항, 8~9월 공개 예정…‘정당한 이익‘ 부분 개선 검토”
한편, 패널들의 다양한 의견에 대해 정부 측은 관련 논의가 계속해서 진행 중이라는 입장을 내놓았다.
공진호 과기부 인공지능기반정책과장은 “고영향 AI는 법에서 정한 10개 분야를 중심으로 판단 기준을 고시와 가이드라인으로 정비 중이며, 8~9월 중 시행령 초안을 공개할 수 있을 것”이라고 설명했다. 또한, “AI기본법에서 사업자의 책무에 대한 사항은 예정대로 시행하되, 초기 혼란을 줄이기 위해 과태료 부과는 유예하고 계도 기간을 둘 방침”이라고 덧붙였다.
AI 기본법에서 규정한 사업자 책무는 AI 시스템을 개발·운영하는 주체가 반드시 이행해야 할 책임으로, ▲AI의 오작동이나 편향을 방지하기 위한 안전성 확보 ▲AI가 내린 결정의 이유를 설명할 수 있도록 하는 설명 가능성 ▲작동 방식과 처리 데이터를 명확히 고지하는 투명성 ▲학습 데이터의 품질과 개인정보 보호를 포함한 데이터 관리 ▲사람이 AI를 통제할 수 있는 인간 감독 체계 마련 ▲설계·테스트·배포 이력 등 기술 문서화와 기록 보관 ▲교육·고용·공공서비스 등 10개 고위험 분야에 해당하는 경우, 별도의 사전 평가와 조치 이행 등 사항이 포함된다.
김직동 개인정보위 개인정보보호정책과장은 “개인정보법의 정당한 이익 조항의 ‘명백하게 우선한다’는 부분을 삭제하는 방향을 검토 중이며, AI 분야에 한정한 특례를 별도로 추진할 가능성도 열어두고 있다”며, “AI 시대에 적합한 개인정보 영향평가 체계도 마련하고, 개인정보 영향평가와 연계하는 방식도 고려 중”이라고 설명했다.
이번 토론회에서는 AI 시대를 맞아 개인정보 보호와 데이터 활용이라는 상충하는 가치 사이에서 입법 방향을 어떻게 조정할 것인지에 대한 다양한 관점이 제시됐다. 고위험 AI에 대한 명확한 정의와 평가 체계 정비, 정당한 이익 조항에 대한 해석, 개인정보 영향평가 체계 강화, 글로벌 규제와의 조화 등은 향후 AI와 개인정보 입법 방향에서 중요한 기준이 될 전망이다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
