개인정보위, 공공기관 AI 활용 시 개인정보 보호 강화
개인정보보호위원회(위원장 고학수)는 3일 제19회 전체회의에서 ‘개인정보 영향평가에 관한 고시‘ 개정안을 의결했다고 4일 밝혔다. 개정안은 5일부터 시행되며, 공공기관이 인공지능(AI)을 도입·활용할 때 개인정보 침해 위험을 사전에 분석하고 줄일 수 있는 구체적 평가 기준을 새로 마련했다.
개인정보 영향평가 제도는 개인정보 파일을 일정 규모 이상 구축하거나 변경할 경우 의무적으로 실시해야 한다. 현행 기준은 ▲민감·고유식별정보 5만명 이상 ▲다른 개인정보파일과 연계된 정보 50만명 이상 ▲개인정보 100만명 이상이다. 평가 과정에서 개인정보 처리 영향과 개선방안을 사전에 검토해 침해사고를 예방하는 것이 목적이다.
그동안 인공지능 분야에는 별도의 평가 기준이 없어 각 기관이 자체적으로 항목을 마련해야 했다. 이에 따라 적정성 판단이 어렵다는 지적이 제기돼 왔다. 개정안은 이를 보완해 ‘AI 시스템 학습 및 개발’, ‘AI 시스템 운영 및 관리’ 두 개 세부 평가 분야를 신설했다.
학습·개발 단계에서는 ▲개인정보 처리의 적법성 ▲민감정보·14세 미만 아동정보 등 불필요한 수집 차단 ▲AI 학습 데이터 보유기간 명확화 ▲AI 취약점 공격으로 인한 개인정보 유·노출 최소화 여부 등을 확인한다. 운영·관리 단계에서는 ▲AI 개발·운영 주체 간 책임 명확화 ▲개인정보 처리 투명성 확보 ▲생성형 AI 서비스 이용 방침 제공 ▲부적절한 답변과 개인정보 노출에 대한 신고·구제 절차 마련 등을 주요 기준으로 삼는다.
이번 개정은 개인정보위가 발간한 기존 안내서, 예컨대 ‘인공지능 개발·서비스를 위한 개인정보 처리 안내서’(2024년 7월), ‘AI 프라이버시 리스크 관리모델’(2024년 12월), ‘생성형 AI 개인정보 처리 안내서’(2025년 8월) 등을 토대로 마련됐다. 세부 항목과 사례는 ‘개인정보 영향평가 수행안내서’ 개정판을 통해 공개된다.
또한 이번 기준은 공공기관뿐 아니라 민간기업도 활용할 수 있다. 기업이 AI를 이용해 개인정보를 처리하는 과정에서 잠재 위험을 사전에 식별하고 완화하는 예방적 보호 체계를 구축하는 데 참고자료가 될 것으로 기대된다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network


