개인정보위, 공공기관 AI 활용시 '개인정보 영향평가' 기준 마련

서울 종로구 정부서울청사에서 열린 2025년 제18회 개인정보보호위원회 전체회의 전경. (개인정보보호위원회 제공)

공공기관들이 인공지능(AI) 활용 사업을 추진할 때 사전에 개인정보보호 리스크를 식별하고 경감할 수 있는 구체적 기준이 마련된다.

개인정보보호위원회가 지난 3일 제19회 전체회의를 열고 개인정보 영향평가에 관한 고시 개정안을 의결했다. 개정된 고시는 5일부터 시행된다.

개인정보 영향평가는 개인정보 처리가 필요한 사업 추진 시 사전에 개인정보에 미치는 영향을 분석하고 개선방안을 수립해 개인정보 침해사고를 예방하는 제도다. 공공기관은 일정 규모 이상 개인정보 파일을 구축·운영하거나 변경할 경우 영향평가를 의무적으로 실시해야 한다.

개정 전 고시에는 AI 분야의 별도 기준이 없어, AI를 도입·활용하는 공공기관들은 영향평가 시 개별적으로 평가항목을 개발해 반영해야 했다. 이에 기관 입장에서는 평가항목이 적정한지 여부를 알기 어려웠다.

이에 개인정보위는 고시 및 안내서를 개정해 △AI 시스템 학습 및 개발 △AI 시스템 운영 및 관리 등 2개 세부 평가분야를 신설했다.

먼저, 'AI 시스템 학습 및 개발' 관련해선 개인정보 처리시 적법한 법적 근거를 확보하고 있는지, 민감정보·14세 미만 아동정보 등이 불필요하게 포함되지 않는지, AI 학습용 데이터의 보유 및 파기를 명확히 규정하고 있는지 등을 검토하도록 했다.

'AI 시스템 운영 및 관리' 관련해선 AI 개발 및 운영주체 간 책임성 명확화, 생성형 AI 서비스 제공 시 허용되는 이용 방침(AUP) 제공, 생성형 AI 시스템의 부적절한 답변, 개인정보 유·노출에 대한 신고 기능 마련 등 정보주체 권리보장 방안 수립·시행을 주요 평가기준으로 제시했다.

상세한 평가항목은 '개인정보 영향평가 수행안내서'를 통해 구체적 해설·사례와 함께 공개된다.

개인정보위는 관련 기관·기업의 적용 사례 등 다양한 의견을 수렴해 평가항목을 지속적으로 개선해 나갈 계획이다.

조재학 기자 2jh@etnews.com