개인정보위, 가명정보 처리기준 전면 개정…‘위험도 기반’ 판단체계 도입

개인정보보호위원회(이하 개인정보위)는 인공지능(AI) 전환 확산에 맞춰 ‘가명정보 처리 가이드라인’을 전면 개정하고, 가명정보 처리 위험성을 활용 주체와 처리 환경을 기준으로 판단하는 ‘위험도 기반’ 체계를 마련했다고 31일 밝혔다.

개인정보위는 이번 개정이 단순한 문구 수정이 아니라, 제도 도입 뒤 현장에서 쌓인 문제를 반영한 전면 정비라고 설명했다. 이를 위해 인공지능 기업 50곳과 공공기관 1441곳을 상대로 실태조사와 심층 인터뷰를 진행했고, 실무자와 전문가가 참여한 태스크포스(TF)를 거쳐 개선안을 마련했다. 현장에서는 그간 위험성 판단 기준이 모호하고, 어떤 서식이 꼭 필요한지 알기 어려우며, AI의 지속 학습 특성과 제도가 맞지 않고, 대규모 영상 데이터의 전수 검수 부담이 크다는 지적이 나왔다.

핵심은 ‘위험도 판단 기준의 표준화’다. 기존에는 기관과 담당자에 따라 같은 사안도 다르게 판단하는 일이 잦았다. 개인정보위는 복잡한 위험요인을 일일이 따지는 대신 ‘누가 활용하는지’와 ‘어떤 환경에서 처리되는지’를 기준으로 위험도를 구분하도록 했다. 같은 개인정보처리자의 내부 활용은 저위험으로, 제3자 제공은 제공기관이 통제할 수 있는 환경이면 중위험, 그렇지 않으면 고위험으로 판단하는 구조다. 다만 개별 사례의 특수성과 기관 내부지침을 고려해 위험도를 올리거나 낮출 수 있는 여지는 남겼다.

절차와 서류도 위험도에 맞춰 차등 적용한다. 저위험 사안은 담당자 검토만으로 처리할 수 있고, 필요한 최소한의 서류만 작성하면 된다. 중위험은 2인 이상의 내부위원 심의를 거치게 했고, 서면이나 온라인 심의도 가능하도록 했다. 고위험은 최소 3인 이상의 적정성 검토위원회를 열도록 했으며, 외부 전문가 참여를 권고했다. 작성 서식도 기존 24종에서 10종으로 줄였다. 개인정보위는 같은 기관 안에서 서비스 이용 통계를 만들기 위해 가명정보를 활용하는 경우처럼 외부 제공이 없는 사례는 저위험으로 보고 별도 검토위원회 없이 처리할 수 있다고 설명했다.

AI 개발 현장과의 괴리를 줄이기 위한 기준도 담겼다. 지금까지는 사전에 정한 목적과 기간 안에서만 가명정보를 활용하도록 해, 특정 목적의 AI를 개발한 뒤 유사한 다른 분야에 응용하거나 성능을 높이려 할 때 다시 가명처리와 검토 절차를 밟아야 한다는 지적이 있었다. 개정안은 유사한 범위 안의 ‘확장 가능한 목적’을 사전에 함께 설정해 검토할 수 있도록 허용했다. 같은 가명정보를 유사한 목적으로 반복 활용할 수 있는 길을 연 셈이다. 처리기간도 AI 서비스 개발과 고도화에 필요한 기간 동안 지속 활용할 수 있도록 유연하게 바꿨다.

대규모 비정형데이터에 대한 검수 방식도 현실화했다. 영상, 이미지, 텍스트처럼 양이 많은 데이터는 가명처리가 적절한지 전수조사하기가 사실상 어렵다는 점을 반영해, 일부 데이터를 골라 확인하는 표본 검수 등 다양한 검수 방식을 적용할 수 있도록 안내했다. 개인정보위는 이를 통해 검수의 시간·비용·인력 부담을 줄이면서도 데이터 처리 효율성을 높일 수 있다고 봤다.

가이드라인 구성도 바꿨다. 하나의 문서에 제도 설명과 실무 내용을 모두 담아 이해하기 어렵다는 지적에 따라, 가이드라인을 ‘본권(제도 안내편)’과 ‘별권(처리 실무편)’으로 나눴다. 본권은 개념과 절차 중심으로, 별권은 가명처리 기법과 안전조치, 서식 작성법 등 실무 중심으로 구성했다. 활용 시나리오와 질의응답도 대폭 보강했다.

송경희 개인정보위 위원장은 “그간 가명정보 제도는 복잡한 절차와 보수적 운영으로 현장에서 진입장벽이 높은 편이었다”며 “현장의 애로사항과 의견을 바탕으로 실질적 위험도를 기준으로 가이드를 전면 개편한 만큼, 가속화되는 AI 전환 환경에서 가명정보의 안전하고 효과적인 활용이 늘어나는 전환점이 될 것으로 기대한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network