[Tech & Law] 챗GPT와 개인정보보호법

이성엽 고려대 기술경영전문대학원 교수

챗GPT와 같은 생성 AI(인공지능)는 물론 일반적으로 AI는 학습에 필요한 대규모 데이터를 대부분 공개된 웹사이트에서 수집하므로 수집 과정에서 상당량의 개인정보가 포함된 채로 데이터가 AI 개발에 이용되는 것이 불가피한 측면이 있다. 이에 따라 비록 AI 학습 목적이지만 개인정보보호에 위험이 발생할 가능성이 있다는 점에서 정보주체의 프라이버시를 보호할 필요성이 있다. 다른 한편으로는 기존의 개인정보보호법이 인공지능의 기술적 특성과 충돌하면서 인공지능 활용을 저해할 가능성도 주목할 필요가 있다.

이런 관점에서 개인정보보호법은 인공지능 관련 어떤 내용을 담고 있으며 어떻게 평가할 수 있을까. 먼저 인공지능 활용 시 발생할 수 있는 위험으로부터 정보주체의 권리를 보장하는 것에 관한 것으로 세 가지 논점이 있다.

첫째 지난 2월 27일 국회 본회의를 통과한 개인정보보호법 제2차 개정안에 신설된 인공지능에 의한 결정에 대한 거부권, 설명 요구권 등 정보주체의 권리 조항이다. 법 제37조의 2는 정보주체는 인공지능 기술을 적용한 시스템을 포함해 완전히 자동화된 시스템으로 개인정보를 처리해 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대해 해당 결정을 거부할 수 있는 권리를 가진다.

다만 자동화된 결정이 정보주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우에는 거부권이 인정되지 않는다.

또 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대해 설명 등을 요구할 수 있다. 개인정보처리자는 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구할 경우 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 해야 한다. 더불어 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.

이 조항은 신용 정보법상 도입된 권리 조항을 개인정보보호법에 도입한 것이라 할 수 있지만, 문제는 신용 정보를 분석 대상으로 하는 알고리즘의 경우 정보 분석의 목적과 그 대상 정보의 항목이 정해져 있어 평가 지표의 선정 등이 비교적 용이한 반면, 일반 개인정보의 경우 매우 다양한 알고리즘이 있기 때문에 설명 요구가 기술적으로 가능하지 않을 경우도 있다는 점을 유의해야 한다.

둘째 AI가 공개된 소스로부터 개인정보를 수집하는 경우에는 사전 동의를 받을 수 없기 때문에 특별한 고지의무를 부여하고 있다. 즉 현행 개인정보보호법 제20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 조항에서 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보주체에게 알리도록 하고 있다.

하지만 대법원 판례(대법원 2016. 8. 17., 선고, 2014다235080, 판결)에 따르면 공개된 개인 정보라고 하더라도 공개 의도·목적 등을 고려해 사회통념상 정보주체의 동의 의사가 인정되는 합리적인 범위에서 수집·이용 가능하다는 제한을 받는다.

이 조항에 따라 이미지 등 개인정보가 도용된 사실을 알게 된 정보주체는 AI 운영자에게 처리정지 등을 요구할 수 있다. 다만 위 판례와 같이 공개된 개인정보를 수집하는 AI가 공개 목적 범위 내에서 데이터를 이용하는 것이라면 법적 책임을 면할 수 있을 것이다. 판례에 의해 형성된 이 법리를 입법화함으로써 개인정보의 사용범위를 엄격하게 정해 개인정보의 보호와 활용을 동시에 꾀할 필요가 있다.

셋째 가명 처리 과정에서 AI가 더 많은 데이터를 가지고 빅데이터 분석을 하는 경우 비식별화된 정보가 재식별될 가능성이 커지는 문제가 있다. 현행법 제28조의 5는 개인정보처리자는 가명 정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기해야 한다고 규정하고 있으므로, AI 활용 시 특별한 주의를 기울일 필요가 있다.

다음 인공지능의 기술적 특성으로 인해 개인정보보호법과 충돌하는 상황에 관한 것이다. 개인정보호보호법은 개인정보 보호 원칙으로 개인정보처리자는 개인정보의 처리 목적을 명확하게 해야 하고 그 목적에 필요한 범위에서 최소한의 개인 정보만을 적법하고 정당하게 수집해야 한다는 원칙, 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하며, 그 목적 외의 용도로 활용해서는 아니 된다는 원칙, 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 해야 한다는 원칙, 개인정보 처리 방침 등 개인정보의 처리에 관한 사항을 공개해야 하며, 열람청구권 등 정보주체의 권리를 보장해야 한다는 원칙을 명시하고 있다.

그러나 AI는 가급적 대량의 정보를 수집, 분석해야만 타당한 결과를 도출한다는 점, AI 활용 빅데이터 분석이란 틀리면 수정하기를 반복하는 실험의 성격을 가지고 있으며 또 데이터의 용도를 계속 새롭게 찾아내는 성향이 있다는 점, AI의 분석 결과에 대한 설명이 어려운 블랙박스 문제(black box problem)를 포함하고 있다는 점에서 개인정보보호 원칙을 그대로 적용하는 것은 AI 활용을 대단히 어렵게 할 수 있다.

AI 기술과 산업으로 인해 얻을 수 있는 편익을 생각하면 개인정보보호라는 가치만을 우선하기보다는 양자의 이익을 형량하는 것이 필요하다고 할 것이다. 챗GPT와 같은 AI 기술은 인간의 정신노동을 대체할 수 있다는 점에서 가공할 정도의 파괴적 혁신성과 우리 사회 모든 분야에서 사용된다는 광범위한 범용성을 지니고 있다. 이에 AI의 위험을 방지하기 위한 윤리적, 법적 규제와 동시에 AI의 기능과 효용에 결정적 장애가 되는 규제에 대해서는 최소한의 예외를 허용함으로써 AI가 인간에게 유용한 도구의 역할을 할 수 있도록 할 필요가 있다.

이성엽 고려대 기술경영전문대학원 교수·기술법정책센터 센터장

- Copyright ⓒ 조선비즈 & Chosun.com -