[방은주의 보안산책] 국제무대서 위상 높아진 개인정보위
지난 12일 프랑스 파리에서 이틀 일정으로 열린 'AI 행동 정상회의'가 막을 내렸습니다. 영국 런던(2023년 11월)과 한국(2024년 5월)에 이어 세 번째 열린 세계 AI 정상회의였죠. 특히 이번 행사에서 '사람과 지구를 위한 지속 가능하고 포용적인 AI에 관한 선언문'이 발표됐습니다. 아쉽게 AI 최강국가 미국과 선도국 영국은 서명을 안했죠. 선언문은 AI 다양성과 포용성을 강조하며 AI 접근성 향상, 윤리적이고 안전한 국제 프레임워크 구축, 시장 독점 방지, 노동시장 발전 도모, 지속가능성 확보, 국제 협력 강화 등을 강조했습니다. AI 기술 투명성과 신뢰성 확보를 위해 공동으로 노력하기로 합의했죠. 우리나라를 비롯해 프랑스, 독일, 중국, 일본, 호주, 캐나다, 인도 등 58개국과 EU, 아프리카연합이 서명했습니다. 잘 안 알려진 사실이지만, 이번 행사는 개인정보 분야에서도 주목할 만한 국제협력이 있었습니다. 행사 부대행사로 열린 한국, 영국, 프랑스, 호주, 아일랜드 등 5개국 개인정보보호 감독 담당 고위관료급 회의도 열렸는데요, 이들 5개국 개인정보 감독기구 수장들은 AI 혁신 촉진과 개인정보 보호가 상생할 수 있다면서 데이터 거버넌스 구축에 대한 컨센서스와 함께 공동 선언문을 작성, 11일 서명했습니다. 우리나라에서는 고학수 개인정보보호위원회(PIPC, 개인정보위) 위원장이 참석해 서명했구요. 한국과 부대행사 공동 주최국인 프랑스는 마리-로르 드니 국가정보자유위원회(CNIL) 위원장이, 영국은 존 에드워즈 정보위원회(ICO) 위원장이, 호주는 칼라 카인드 정보위원회(OAIC) 위원이, 아일랜드는 데일 선더랜드 데이터보호위원회(DPC) 위원이 각각 사인했습니다. 선언문 이름이 좀 깁니다. '혁신적이고 개인정보를 보호하는 AI 개발 장려를 위한 신뢰할 수 있는 데이터 거버넌스 체계 구축에 관한 공동 선언문' 입니다(칼럼 하단에 전문 소개). 크게 9개 항목으로 구성됐는데요, 특히 두번째 항목에서 "개인정보 보호 중심설계(PbD) 원칙을 AI 시스템 초기 기획 단계부터 적용해야 한다"면서 "견고한 내부 데이터 거버넌스 체계를 구축하는 것이 포함된다. 이러한 체계에는 AI 시스템 생애주기에 걸쳐 효과적인 리스크 관리 및 완화를 위한 기술 및 절차적 보호장치가 포함돼야 한다"고 명기했습니다. 서명 5개국은 그동안 AI 프라이버시 영역에서 주도적 역할을 해온 나라들입니다. 특히 이들 5개국은 감독기구 역할을 'AI 혁신의 촉매제'로 규정해 시선을 모았습니다. 좋은 규제는 산업 활성화를 촉진, 경제 성장에 기여합니다. 반대로 나쁜 규제는 산업을 죽이죠. 치대국약팽소선(治大國若烹小鮮)이라는 말이 있습니다. 노자 도덕경에 나오죠. 큰 나라를 다스리는 것은 작은 생선을 굽듯 조심해야 한다는 말입니다. 조그만 생선을 구우면서 너무 뒤적거리면 살이 뭉개지고, 마냥 놔두면 타버려 쓸모가 없어집니다. 규제도 비슷합니다. 작은 생선을 굽듯 조심스럽게, 세밀히, 애정을 갖고 다뤄야 합니다. 그래야 혁신의 촉진제가 됩니다. 이번 공동선언문은 우리에게 또 다른 큰 의미가 있습니다. 공동선언문 작성을 우리나라가 주도했습니다. 고학수 개인정보위원회 위원장의 워딩(말)을 옮겨봅니다. "우리 위원회 입장에서 자랑스러운 것은 조인트 스테인먼트(공동선언문) 초안을 우리가 주도해 작성했다는 겁니다. 영국은 영어라는 언어를 만들어낸 나라고, 당연히 우리가 영어가 불편한 점이 있음에도 영어로 된 초안을 우리가 만들었고, 우리가 만든 초안에 대해 영국과 프랑스, 다른 나라들이 코멘트를 해 완성했습니다. 국제 무대에서 우리 목소리, 우리 경험을 중심으로 공동 선언문을 만들어낸 겁니다. 공동선언문에 담긴 핵심 키워드 하나를 꼽는다면 이노베이션(혁신)인데, AI와 개인정보보호라는 큰 흐름을 우리나라가 선도하고 있다는 걸 보여줬다는 점에서 내심 뿌듯했습니다." 고 위원장은 이 말을 지난 21일 서울 강남에서 개인정보위가 한국인터넷진흥원(KISA)과 같이 개최한 '제3기 개인정보 기술포럼'에서 축사 겸 했습니다. 현장에서 들은기자도 가슴이 뿌듯했습니다. 개인정보보호위원회는 개인정보보호법에 따라 2011년 9월 30일 출범했습니다. 개인정보 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 만든 합의제 중앙행정기관이죠. 설립 9년만인 2020년 8월 행정안전부(공공/민간 총괄분야), 방송통신위원회(온라인분야), 금융위원회(상거래기업 개인신용정보 조사·처분)로 분산돼 있던 개인정보보호 감독기능을 통합, 현재의 중앙행정기관으로 재편됐습니다. 위원장은 장관급이구요. 하지만 아직 조직과 예산은 50개가 넘는 정부 중앙부처 중 '미니'입니다. 차관급인 부위원장과 실장급인 사무처장이 있고 사무처장 밑에 국장급 조직이 3개(기획조정관, 개인정보정책국, 조사조정국) 있구요. 별도조직으로 대변인과 범정부 마이데이터추진단도 있습니다. 조직 확대 필요성이 있어 보입니다. 세종시에는 경제 검찰이라 불리는 공정위(공정거래위원회)가 있는데요, 공정위처럼 개인정보위도 조사 업무를 하며 위원 9명이 주요한 결정을 하는 조직입니다. 9명 중 상임위원 2명(위원장과 부위원장)은 국무총리가 제청해 대통령이 정무직 공무원을 임명합니다. 그 외 위원 7명은 위원장 제청 2인, 정당 교섭단체 추천 5인(여2, 야3)으로 역시 위촉은 대통령이 합니다. 개인정보위는 개인정보법을 위반한 기업과 기관에 과징금을 부과할 수 있습니다. 또 1년에 한번 중앙부처와 지자체를 대상으로 개인정보보호 실태조사를 해 그 결과를 발표합니다. 개인정보위가 갖는 '힘'이죠. 앞에서 '팽소선(烹小鮮)'을 언급했는데요, 감독기관인 개인정보위가 늘 '화두'로 붙잡고 있어야 할 언어입니다. 1. 인공지능(AI)은 인류의 이익, 과학, 경제와 사회 전반의 혁신을 위한 막대한 기회를 제공한다. 또한 데이터와 개인정보 보호와 같은 기본권 보호에 상당한 위험을 제기하고, 부적절한 데이터 처리로 인해 종종 발생하는 차별과 허위 정보, 환각과 관련된 위험도 동반한다. 2. 우리는 공공의 신뢰를 충분히 쌓고, AI가 가져올 수 있는 혁신적 혜택을 활용해야 할 필요성을 인지한다. 우리는 AI가 데이터 보호 및 개인정보 보호 및 기타 규범에 따라 개발 및 배포되어야 함을 상기한다. 여기에는 개인정보 보호 중심설계(PbD) 원칙을 AI 시스템 초기 기획 단계부터 적용하고, 견고한 내부 데이터 거버넌스 체계를 구축하는 것이 포함된다. 이러한 체계에는 AI 시스템 생애주기에 걸쳐 효과적인 리스크 관리 및 완화를 위한 기술 및 절차적 보호장치가 포함되어야 한다. 3. 또한 현재 우리는 AI 개발 및 배포를 둘러싼 환경과 데이터 처리가 매우 복잡해졌다는 점을 인지한다. 구체적인 양상은 다음과 같다. -AI는 보건과 공공 서비스, 공공 안보, 인적 자원, 교육 등 다양한 분야에 걸쳐 개발 및 배포되고 있다. -AI 개발 및 배포는 전 세계의 수많은 이해관계자와 데이터셋 생성업체, AI 서비스 제공업체, 데이터셋과 모델 호스팅 플랫폼, 시스템 통합 전문업체, 어노테이터, 시스템 배포자 및 최종 사용자를 비롯한 복잡한 가치사슬을 포함한다. -AI 개발 및 배포는 방대한 양의 데이터를 핵심요소로 하며 광범위하게 이루어진다. -AI 개발 및 배포는 통제에 어려움을 초래하는 복잡한 데이터 처리를 내포하며 개인정보 보호 및 기타 기본권 보호 강화를 위한 투명성의 필요성을 증가시킨다. -AI 개발 및 배포는 매일 기록되는 주요 과학 및 기술의 혁신적 돌파구와 함께 매우 빠른 속도로 발전한다. 4. 따라서 신뢰할 수 있는 데이터 거버넌스 체계 내에서 AI 개발을 가능하게 하기 위해서는 시민과 기업이 요구하는 해결책과 법적 불확실성 관련 문제를 해결하는 것이 점점 더 시급해지고 있다. 이와 동시에 규범의 적용은 프라이버시 및 개인정보 보호와 일관성을 유지하며 다양한 혁신 노력이 가능하도록 충분한 정도의 유연성을 제공하여야 한다. 따라서 우리는 AI 생태계 내 여러 주체가 데이터 보호와 개인정보 보호 규칙을 준수하려는 노력을 지원하고 혁신과 개인의 권리 존중을 조화시키는 것을 돕는 것이 중요함을 인지한다. 우리는 AI로 인해 계속해서 진화하는 당면과제를 해결하기 위한 데이터 거버넌스를 만들어 나가는 데 있어 개인정보 감독기구의 주도적인 역할을 강조하며 다음 사항을 준수할 것을 약속한다. 5. AI 학습 맥락에서 데이터 처리의 합법적인 근거에 대한 공동의 이해를 증진한다. 동의, 계약상 필요, 정당한 이익 또는 기타 법적 근거에 기반하여 AI 학습 데이터가 처리될 수 있도록 표준과 요건을 명확히 만들어야 한다. 이 과정에서 AI 개발의 구체적인 목적, 필요한 데이터의 특성, 정보 주체의 합리적인 기대 및 이와 관련한 리스크 완화 전략을 포함한 다양한 관련 요소에 주의를 기울여야 한다. 6. 과학 및 증거 기반 평가와 다양한 사례에 적합한 비례적 안전 조치에 대한 정보를 교환하고 공동의 이해를 확립해야 한다. 이러한 안전 조치의 타당성은 계속 발전하는 AI 데이터 처리 기술 및 관행에 발맞추어 정기적으로 업데이트하여야 한다. 7. AI의 기술 및 사회적 영향을 지속적으로 모니터링하고 가능한 경우 개인정보 감독기구 및 비영리기구, 공공기관, 학계, 기업의 전문성과 경험을 AI 관련 정책에 최대한 활용한다. 8. AI 개발 및 배포에 데이터 처리가 필수적인 경우 법적 불확실성을 줄이고 혁신을 위한 공간을 확보한다. 이러한 노력에는 규제 샌드박스와 같은 제도적 조치 및 모범 사례 공유를 위한 도구가 포함될 수 있다. 이러한 조치와 도구는 공공의 신뢰에 기반하고, 개인정보 보호 원칙과 일관되어야 한다. 9. AI 시스템과 도구, 어플리케이션에 적용할 수 있는 규율 체계 사이의 일관성을 증진하고 시너지를 창출하기 위해 경쟁 및 소비자 보호, 지식재산권을 담당하는 관련 당국과의 상호 작용을 강화한다. AI 생태계 내 다양한 이해관계자 간 대화도 장려하여야 한다. 2025년 2월 11일
