AI 기술이 사회 곳곳에 접목되면서 편리함과 함께 새로운 법률적 문제들이 발생하고 있는데, 최근 '이루다' 사태가 그러한 예로 언급되고 있다. 이에 AI 알고리즘에 대한 적절한 관리가 필요하다는 논의가 있던 차에, 개인정보보호위원회가 AI분야 개인정보와 관련해서 5월 31일 AI 개인정보보호 자율점검표를 발표하였다.

자율점검표는 AI 관련 개인정보보호 6대 원칙(적법성, 안전성, 투명성, 참여성, 책임성, 공정성)을 도출하고, 설계/개발, 운영과정에서 지켜야 할 개인정보 보호법상 주요 의무 및 권장사항을 4단계(기획/설계, 수집, 이용/제공, 보관/파기)별 점검항목과 4개(서비스 관리/감독, 이용자 보호 및 피해구제, 자율보호활동, 윤리점검)의 상시 점검항목으로 구분해서 16개 사항에서 54개 항목으로 제시하였다.

각 단계별 및 상시 점검사항, 그 항목의 내용을 개략적으로 정리하면, ① 기획/설계 단계의 점검사항은 권장사항으로 PbD(Privacy by Design) 원칙과 개인정보 영향평가에 대한 4개 항목 ② 수집 단계의 점검사항은 의무사항으로 동의 방법, 법령상 근거에 대한 10개 항목 ③ 이용/제공 단계의 점검사항은 의무사항으로 목적 부합성, 가명처리의 적절성에 대한 13개 항목 ④ 보관/파기 단계의 점검사항은 의무사항으로 개인정보의 안전한 보관/관리, 적절한 파기에 대한 6개 항목 ⑤ 서비스 관리/감독의 점검사항은 의무사항으로서 개인정보취급자에 대한 관리/감독, 수탁자에 대한 관리/감독에 대한 5개 항목 ⑥ 이용자 보호 및 피해구제의 점검사항은 의무사항으로서 개인정보처리방침, 권리보장절차, 유출 신고 및 피해구제에 대한 7개 항목 ⑦ 자율보호활동의 점검사항은 권장사항으로서 개발/운영 과정에서의 자율적인 보호활동에 대한 5개 항목 ⑧ 윤리점검활동의 점검사항은 권장사항으로서 윤리적 이슈에 대한 지속점검활동 4개 항목이다.

6대 원칙 중 '참여성'은 여전히 자동화된 의사결정에 대한 참여 근거가 없다는 점, '공정성'은 개인정보 보호법이 이를 목표로 하는지 불명확하고 '개인정보보호' 측면보다는 데이터를 처리하는 방식의 문제라는 점에서 원칙에 대한 의문이 있고, 자율점검표의 내용이 AI에 특화된 것으로 보기 어렵지만, 개발자들이 실무에서 참조할 점검사항과 개인정보보호의 방향성을 제시하였다는 점에서 의미가 있다.

이근우 변호사 (법무법인 화우)