AI 시대 개인정보 활용, 동의 위주 판단 체계 개선 필요 | 종합

1시간 전 203 읽음

AI 시대 개인정보 활용, 동의 위주 판단 체계 개선 필요

IT조선

인공지능(AI) 서비스 고도화를 위해 개인정보를 다시 활용할 때는 동의 여부에 무게를 둔 현재 방식만으로 적법성을 판단하기 어렵다는 분석이 제기됐다. AI 서비스는 방대한 데이터를 학습·분석하고, 서비스 개선이나 추천 고도화 등에 개인정보를 다시 쓰는 경우가 많다. 전문가들은 이때 기존 목적 범위 안의 이용인지, 합리적인 추가 이용인지, 별도 법적 근거가 필요한 처리인지를 사안별로 검토해야 한다고 지적한다.

김도엽 김앤장 법률사무소 변호사는 20일 서울 중구 포스트타워에서 열린 제2차 ‘2026 개인정보 미래포럼’ 전체회의에서 ‘AI 시대 개인정보 적법처리 근거와 고려사항’을 주제로 이 같은 내용을 발표했다. 개인정보보호위원회는 이날 ‘AI 시대의 개인정보 정의 재설계’를 주제로 포럼을 개최했다.

김 변호사는 AI 기술의 특성이 기존 개인정보 보호 원칙과 충돌하는 지점이 있다고 말했다. 개인정보 보호체계는 필요한 정보만 수집하는 ‘최소 수집’, 수집 당시 정한 목적 안에서만 쓰는 ‘목적 제한’, 목적이 끝나면 파기하는 ‘이용 제한’을 기본 원칙으로 삼는다. 반면 AI는 성능을 높이기 위해 많은 데이터를 필요로 하고, 서로 관련 없어 보이는 데이터 사이의 관계를 찾아내는 방식으로 작동한다.

김 변호사는 “AI는 사실상 ‘최대한의 정보 수집’ 원칙을 지향하는 것 같다”며 “물론 수집 당시 목적만 기준으로 개인정보 활용을 제한하면 AI 서비스 개선이나 학습 데이터 활용이 제약될 수 있다”고 말했다. AI 서비스를 기존 개인정보 처리 체계 안에서 단순히 정리하기 어려운 이유다.

그가 가장 먼저 짚은 쟁점은 ‘동의’다. 기존 온라인 서비스는 개인정보 수집·이용 동의 체크박스를 두고 이용자에게 동의를 받는 방식에 익숙하다. 하지만 AI 서비스는 처리하는 데이터 양이 많고 과정도 복잡하다. 어떤 데이터가 어떤 단계에서 어떻게 쓰일지 사전에 모두 특정해 알리기 어렵고, 동의를 받더라도 이용자가 처리 내용을 충분히 이해하고 자유롭게 결정했는지를 따져볼 필요도 있다.

김 변호사는 유럽 일반개인정보보호법(GDPR) 사례를 들어 동의가 항상 가장 적절한 근거는 아니라고 설명했다. GDPR은 동의를 ‘자유로운 의사에 따른 결정’으로 보며, 근로 관계처럼 힘의 불균형이 있는 경우에는 동의가 제대로 작동하기 어렵다고 본다. 즉 AI 시대에는 데이터 처리 구조가 더 복잡해지는 만큼, 동의의 실질적 유효성이 쟁점이 될 수 있다는 게 김 변호사의 설명이다.

기업 입장에서 대안 중 하나는 ‘계약 이행’이다. 계약 이행은 서비스 제공에 개인정보 처리가 필요한 경우를 말한다. 예를 들어 온라인 쇼핑몰이 주문 상품을 결제·배송하기 위해 주소와 연락처를 처리하는 것은 계약 이행에 해당한다. 맞춤형 추천도 서비스의 본질적 기능이라면 계약 이행 근거로 볼 여지가 있다.

다만 약관에 적었다고 모두 계약 이행이 되는 것은 아니다. 김 변호사는 서비스 제공에 꼭 필요한 처리인지, 이용자가 객관적으로 예상할 수 있는 범위인지 따져야 한다고 설명했다. 계약 이행을 너무 좁게 보면 AI 시대 데이터 활용이 어려워지고, 너무 넓게 보면 정보주체 권리가 약해질 수 있다.

‘정당한 이익’도 핵심 근거다. 정당한 이익은 개인정보처리자나 제3자의 합법적 이익을 위해 개인정보 처리가 필요한 경우를 뜻한다. 사기 방지, 보안 위협 탐지, 서비스 개선 등이 대표 사례다. 유럽에서는 AI 기술·서비스 개발을 위한 데이터 학습에 정당한 이익을 적용할 수 있다는 논의가 이어지고 있다.

국내에서는 문턱이 더 높다. 개인정보보호법은 개인정보처리자의 정당한 이익이 정보주체 권리보다 ‘명백하게’ 우선하는 경우에 한해 이를 처리 근거로 인정한다. 김 변호사는 AI 학습 등에 정당한 이익을 적용하려면 단순히 “AI 개발에 필요하다”는 주장만으로는 부족하다고 했다. 목적의 정당성, 처리 필요성, 정보주체 권리 침해 가능성, 안전조치, 거부권 보장 등을 사안별로 따져야 한다는 설명이다.

AI 서비스 개발에서는 추가적 이용도 중요한 기준이다. 처음 수집한 목적과 관련성이 있는 범위에서 개인정보를 다시 쓰는 경우다. 판단할 때는 당초 수집 목적과의 관련성, 이용자의 예측 가능성, 정보주체 이익 침해 여부, 안전성 확보 조치 등을 살펴야 한다.

안전성 확보 조치에는 개인정보 일부 마스킹, 접근 권한 최소화, 학습데이터 내 식별 가능 정보 삭제, AI 프라이버시 레드팀, 개인정보 영향평가, 학습데이터 처리 기준 마련 등이 포함될 수 있다. 정보주체에게 학습데이터 활용 사실과 거부 방법을 알리고, 실제 거부 요청이 들어오면 학습 대상에서 제외하는 방식을 사용할 수 있다.

김 변호사는 AI 개발·고도화를 위한 개인정보 활용과 관련해 국내에서도 다양한 적용 사례를 쌓아야 한다고 했다. 개인정보위의 사전적정성 검토, 비조치 의견, 규제 샌드박스, 이노베이션존 등을 활용해 AI 학습과 서비스 개선에 어떤 처리 근거를 적용할 수 있는지 예측 가능성을 높여야 한다는 취지다. 다만 아동 정보와 민감정보에는 강화된 보호 기준을 적용할 필요가 있다고 덧붙였다.

투명성도 과제로 꼽았다. 동의 체크박스가 줄어들수록 이용자는 자신의 정보가 어떤 목적으로 쓰이는지 알기 어려워질 수 있다. 개인정보 처리방침에서 처리 목적과 법적 근거를 더 쉽게 보여줘야 하는 이유다.

마지막으로 김 변호사는 현재처럼 개인정보 항목별로 법적 근거를 모두 나열하는 방식이 온라인 서비스 구조와는 맞지 않을 수 있다고 지적했다. 하나의 개인정보 항목이 여러 목적에 반복적으로 쓰이는 경우가 많기 때문이다. 장기적으로는 어떤 목적으로 개인정보를 쓰고, 그 목적별 법적 근거가 무엇인지 보여주는 방식도 검토할 필요가 있다고 봤다.

김 변호사는 “동의를 받지 않고 처리하는 근거가 무엇인지는 결국 법적인 문제로 넘어간다”며 “책임성과 투명성이 구현되는 방향으로 개인정보 처리 체계를 봐야 한다”고 말했다.

정종길 기자

jk2@chosunbiz.com