개인정보위, 공공기관 AI 사업, '개인정보 영향평가' 의무화

[이코노믹데일리] 앞으로 공공기관이 인공지능(AI)을 활용한 사업을 추진할 때 개인정보 침해 위험을 사전에 의무적으로 평가받아야 하는 구체적인 기준이 마련됐다.

개인정보보호위원회는 3일 전체회의를 열어 이 같은 내용을 담은 ‘개인정보 영향평가에 관한 고시’ 개정안을 의결했다고 4일 밝혔다. 개정안은 오는 5일부터 시행된다.

개인정보 영향평가는 일정 규모 이상의 개인정보 파일을 다루는 사업 추진 시 사전에 개인정보 침해 위험을 분석하고 개선 방안을 수립하는 제도다. 공공기관은 의무적으로 이 평가를 받아야 한다.

하지만 기존 고시에는 AI 분야에 대한 별도 기준이 없어 AI 사업을 추진하는 공공기관들은 자체적으로 평가항목을 개발해야 하는 등 혼란을 겪어왔다.

이에 개인정보위는 고시를 개정해 △인공지능 시스템 학습 및 개발 △인공지능 시스템 운영 및 관리 등 2개의 세부 평가 분야를 신설했다.

‘학습 및 개발’ 단계에서는 AI 학습용 데이터에 민감정보나 14세 미만 아동 정보가 불필요하게 포함되지 않았는지 데이터의 보유 및 파기 규정이 명확한지 등을 중점적으로 점검한다.

‘운영 및 관리’ 단계에서는 AI 개발자와 운영 주체 간의 책임 소재를 명확히 하고 생성형 AI의 부적절한 답변이나 개인정보 유출에 대비한 신고 기능 마련 등 정보주체의 권리보장 방안을 제대로 수립했는지를 평가한다.

개인정보위는 이번에 마련된 기준이 공공기관뿐만 아니라 민간기업에서도 AI 활용 시 잠재적 위험을 식별하고 관리하는 데 유용한 참고자료가 될 것으로 기대하고 있다. 상세한 평가항목과 사례는 ‘개인정보 영향평가 수행안내서’를 통해 공개될 예정이다.