개인정보보호위원회(이하 “위원회”)는 2025. 8. 6. ‘생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서’(이하 “안내서”)(링크)를 공개하였습니다.
안내서는 생성형 AI을 개발 및 활용하는 단계(수명주기(lifecycle))를 ① 목적 설정, ② 전략 수립, ③ AI 학습 및 개발 및 ④ 시스템 적용 및 관리의 4단계로 분류하고, 각 단계별로 생성형 AI를 개발 또는 활용하는 사업자가 개인정보 보호를 위해 고려할 사항을 제시하고 있습니다. 또한 AI 개인정보 처리와 관련된 조사, 처분 등의 집행사례 및 혁신지원제도 사례들을 소개하여 사업자의 이해를 돕고 있습니다.
위원회는 안내서를 ‘AI 개발·서비스를 위한 공개된 개인정보 처리 안내서’, ‘AI 프라이버시 리스크 관리 모델’ 등 기존 안내서 및 사전실태점검, 규제샌드박스, 사전적정성 검토 등을 통해 축적된 경험들을 체계화한 것으로 소개하고 있습니다.
안내서가 제시하는 생성형 인공지능 개발·활용의 4단계 및 각 수행업무와 고려사항의 요지는 아래와 같습니다.
|
구분
|
수행업무 및 고려사항
|
|
목적 설정
|
|
–
|
개인정보 처리 목적에 적합한 개인정보 처리의 적법근거 확보
|
|
|
전략 수립
|
|
–
|
개인정보 안심설계(PbD, Privacy by Design)를 위한 개인정보 영향평가 실시
|
|
|
AI 학습 및 개발
|
|
–
|
데이터 오염 방지하기 위한 출처 검증, 전처리, 가명·익명처리
|
|
–
|
AI 모델에 대한 미세조정, 정렬 등 안전장치 추가
|
|
–
|
AI 시스템 접근권한 통제, 입출력 필터링 적용
|
|
|
시스템 적용 및 관리
|
|
–
|
사전 테스트 통해 프라이버시 리스크를 점검 및 문서화
|
|
–
|
허용되는 이용방침(AUP, Acceptable Use Policy) 작성 및 공개
|
|
–
|
개인정보 침해 신고기능 및 정보주체 권리 보장 방안 마련
|
|
|
1.
|
생성형 AI 개발·활용 단계별 주요 고려사항
|
|
(1)
|
1단계: 생성형 AI 활용 목적 설정 및 관련된 개인정보 적법처리근거 확보
안내서는 개인정보 처리의 적법근거는 개인정보의 수집 출처별로 확인해야 한다고 설명하면서 그 수집 출처를 크게 1) 공개된 개인정보의 수집과 2) 이용자 개인정보의 재사용으로 구분하고 있습니다.
1) 공개된 개인정보를 수집·이용하는 경우: 개인정보 보호법(이하 “법”)상 정당한 이익 조항(법 제15조 제1항 제6호)이 수집·이용의 실질적인 적법 근거가 될 수 있습니다. 다만 이를 위해서는 목적의 정당성, 공개된 개인정보 처리의 필요성, 기술적·관리적 안전조치 및 정보주체 권리보장 방안 마련 등을 통한 정보주체의 권리침해 가능성 최소화가 핵심적으로 요구됩니다.[1]
2) 이용자 개인정보를 재사용하여 AI를 학습·개발하는 경우: 이 경우 적법처리 근거는 다음 표와 같이 AI 학습·개발이 당초 개인정보의 수집 목적과의 관련성 및 개인정보의 성격에 따라 달라질 수 있습니다.
|
구분
|
구체적 내용
|
|
당초 수집 목적 범위 내에서 서비스 개선·고도화하는 경우
|
|
|
당초 수집 목적과 합리적 관련성이 있는 경우
|
-
추가적 이용 조항(법 제15조 제3항)을 적법근거로 검토할 수 있음
-
합리적 관련성, 예측 가능성, 정보주체의 이익의 부당한 침해 가능성, 가명처리·암호화 등 안정성 확보 조치 등을 종합적으로 고려함
-
추가적 이용이 지속적으로 발생하는 경우 판단기준을 개인정보 처리방침에 공개하고, 기준 준수 여부를 개인정보 보호책임자(CPO)가 점검해야 함
|
|
당초 수집 목적과 별개의 신규 서비스 개발에 이용하는 경우
|
-
개인정보를 가명·익명처리하거나 새로운 적법근거 마련이 필요함
-
단, 해당 이용이 혁신성, 공익성 등을 갖춘 경우 규제샌드박스 제도를 활용해 일정 요건을 전제로 개인정보 처리 근거를 확보할 수 있음
|
|
민감정보, 고유식별정보 등의 처리가 수반되는 경우
|
|
|
|
(2)
|
2단계: 생성형 AI 개발·활용 방식 및 리스크 관리 등 전략 수립
안내서는 생성형 AI를 개발·활용 방식에 따라 1) 비공개 모델 등 상용 AI 서비스를 API에 연계하는 방법으로 활용하는 서비스형 LLM, 2) 주로 공개(open-weight)된 사전학습(pre-trained model)된 모델을 추가학습하여 개발하는 기성 LLM 활용, 3) 모델을 처음부터 직접 사전학습하는 방식인 자체개발의 3가지 유형으로 구분하며, 각 유형별 AI 개발 과정에서의 이슈 및 권장 조치를 제시하고 있습니다.
|
구분
|
이슈 및 고려사항
|
|
서비스형 LLM
|
-
이슈: 서비스 이용 과정에서 이용자 데이터가 송수신되므로 이용자 데이터 처리의 안전성을 확보하는 것이 핵심
-
기업용 API 라이선스 등을 이용자 데이터가 보다 안전하게 보호되는 라이선스 이용을 고려
-
기업용 이용약관, 데이터 처리 부속서(DPA, Data Processing Addendum) 등을 통해 데이터 보호 요구사항을 계약상 확보
-
개인정보 국외 이전 여부 검토 및 관련 고지·동의 확인
|
|
기성 LLM
|
-
이슈: 초기 학습 시에 활용된 개인정보의 출처 및 그 적법처리 근거가 명확하지 않으므로 주의가 필요
-
학습에 사용된 데이터셋의 출처·이력 확인되는 모델 사용
-
기성 LLM에 적용된 안전조치 확인 및 추가 보완조치 적용
-
기성 모델의 최신 버전 및 패치 주기적 적용
|
|
자체 개발
|
-
이슈: AI 개발·활용 주기의 모든 과정을 전적으로 책임져야 함
-
데이터의 사전 학습, 미세조정, 배포 및 운영, 사후 관리에 이르는 모든 단계에서의 개인정보 리스크 요인 파악 및 경감 조치 적용 필요
|
|
|
(3)
|
3단계: 생성형 AI 학습 및 개발 단계에서의 안전조치
안내서는 AI 학습 및 개발과정에서 데이터, 모델 및 시스템 수준에서 고려할 수 있는 프라이버시 안전조치들로, 1) 데이터 수준에서는 데이터 오염 및 편향성, 부정확성 대응, 가명 및 익명처리 등의 데이터 전처리, 개인정보 강화기술(PET), 2) 모델 수준에서는 미세조정 및 (개인정보 추출 목적의) 적대적 공격 대응, 3) 시스템 수준에서는 API 접근제어 및 필터링 등을 제시하고, 4) 이러한 내용들을 지속적으로 평가하고 이를 기초로 보완하도록 요구하고 있습니다.
|
|
(4)
|
4단계: 정보주체의 권리 침해 모니터링 등 시스템 적용 및 관리 조치
안내서는 AI 시스템 개발을 완료한 후에도 배포 전에 AI 시스템의 프라이버시 리스크를 점검하고 이를 문서화하는 한편 그 사용목적 및 금지행위 등을 정리한 허용되는 이용방침(AUP)을 작성 및 공개하는 등의 조치를 요구하고 있습니다.
또한 정보주체의 권리보장 측면에서, AI 서비스의 학습데이터셋의 규모나 구조적 제약으로 인해 법상 원칙적으로 요구되는 정보주체의 권리(열람, 정정, 삭제, 처리정지 요구권 등)의 행사를 보장하는 것이 어려운 경우, 정보주체에게 그 사실과 사유를 안내하고 대체 수단을 제공하는 것이 가능하다고 설명하고 있습니다.
한편, 생성형 AI 시스템을 활용하여 정보주체에 대한 의사결정을 내리는 경우에는, 해당 의사결정이 법상 자동화된 결정에 해당하는지 여부를 확인하고 그에 관한 거부권, 설명요구권, 검토요구권 등 법상 요구되는 정보주체의 권리를 보장해야 합니다.
끝으로 개인정보처리자가 데이터셋 수집 사실, 주요 출처, 처리 목적 등 AI 시스템 개인정보 처리과정을 개인정보 처리방침, 기술문서, FAQ 등을 통해 공개하여 정보주체의 권리를 지원할 필요가 있습니다.
|
|
2.
|
AI 프라이버시 거버넌스 구축
안내서는 생성형 AI의 데이터 처리 관련 리스크 관리가 중요해짐에 따라 각 기업·기관에서 개인정보 관련 법규 준수와 리스크 관리를 총괄하는 개인정보 보호책임자(CPO) 중심의 내부 관리체계를 구축·운영할 필요가 있다고 강조하고 있습니다.
이러한 거버넌스를 구축함으로써 CPO는 생성형 AI의 목적 설정부터 적용·관리까지의 전체 프로세스를 관리·감독하며 개인정보 처리의 적법성과 안정성을 확보할 수 있게 됩니다. AI 프라이버시 거버넌스를 위하여 안내서가 제시하고 있는 주요 프로세스는 다음과 같습니다.
|
|
3.
|
안내서의 의미 및 전망
위 안내서는 위원회가 그간 AI 서비스와 관련하여 마련한 개인정보 안내서 및 각종 집행 사례와 정책들을 종합하여 생성형AI 사업자가 개발·활용 단계별로 고려할 주요한 안전조치를 체계적으로 제시하였다는 점에서 의미가 있습니다.
나아가, 안내서는 생성형 AI 모델 중 언어모델 기반 생성형 AI를 중심으로 작성되었으나 향후 음성, 이미지, 영상 등 여러 유형의 정보를 처리하는 멀티모달, Agentic AI의 영역까지 점진적으로 확대해 나갈 예정이므로 후속 안내서도 기다려 볼 필요가 있습니다.
특히 이번 안내서는 생성형 AI에 있어 법적 리스크 대응을 위해 AI 프라이버시 거버넌스 구축의 중요성을 강조하고 있습니다. 따라서 귀사가 회사의 서비스 또는 그 고도화를 위하여 공개된 개인정보 또는 기존에 수집 및 확보된 개인정보를 활용하는 경우에는 그 개발 및 활용의 각 단계에서 발생할 수 있는 위험을 매핑하고 측정하여 귀사의 개인정보 최고책임자(CPO)를 중심으로 관련된 위험을 관리하는 정책 및 조치들을 구축 및 운영해 나가는 것이 적절할 것으로 생각됩니다.
|
[1] 공개된 개인정보 처리와 관련된 보다 상세한 내용은 위원회가 2024. 7. 17. 자로 마련한 ‘인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서’ 및 이에 관한 저희 뉴스레터(링크)를 참고 부탁드립니다.
[영문] PIPC Releases Guideline on Processing of Personal Information in Developing and Using Generative AI
