인공지능(AI)는 데이터를 통해 학습하고 추론한다. 인공지능과 데이터는 현대 사회에서 더 이상 무시할 수 없는 중요한 요소로 부상하고 있다. 이 두 가지 기술은 우리의 삶을 변화시키고 새로운 가능성을 제시하는 데 핵심적인 역할을 한다.

반면, 우리 일상에서 생산되고 공유되는 데이터는 개인의 정보부터 기업의 자산까지 다양한 형태와 양으로 존재한다. 이에 따라 데이터 문제는 보호와 규제에 관한 다양한 이슈들을 동반하고 있다.

데이터는 데이터 연산, 분석 등 정해진 규칙에 맞게 구조화된 형식으로 존재하는 '정형데이터'와 사진·이미지, 비디오, 통화음성, 대화기록, 논문·보고서, 블로그 등 일정한 규격이나 정해진 형태가 없이 구조화되지 않은 '비정형데이터'로 구분할 수 있다.

생성 AI를 비롯한 인공지능과 컴퓨팅 자원의 발달로 비정형데이터(이미지·영상·음성·텍스트 등)에 대한 활용수요가 폭발적으로 증가하고 있다. 지난해 IDC 자료에 따르면 전 세계 데이터 중 이미지, 영상, 음성, 텍스트 등 비정형데이터가 최대 90%를 차지한다고 한다.

개인정보보호위원회(위원장 고학수, 이하, 개인정보위)는 이미지, 영상, 음성, 텍스트 등 인공지능 시대 기술개발의 핵심 재료인 비정형데이터에 대한 가명처리 기준을 새롭게 마련했다.

하지만, 기존의 '가명정보 처리 가이드라인(이하, 가이드라인)은 정형데이터에 대한 처리기준만 제시하고 있어 기업, 연구기관 등은 적합한 가명처리 방법이나 수준을 알지 못하는 등 현장의 불확실성이 컸다.

이에, 개인정보위는 정책연구용역, 각 분야 전문가로 구성된 T/F 운영, 산업계‧학계‧법조계‧시민사회 및 관계부처 의견수렴 등 1년여 기간 동안 준비 작업을 거쳐 가이드라인을 대폭 개정했다.

개정된 가이드라인에는 비정형데이터를 가명처리하고 활용하는 과정에서 특수하게 나타날 수 있는 개인정보 위험을 사전에 확인하고 통제하기 위한 원칙과 함께, 의료‧교통‧챗봇 등 각 분야 사례 및 시나리오를 제공함으로써 현장에서 손쉽게 활용할 수 있도록 했다.

특히, 80장 분량을 할애하여 가명정보 활용 전 과정을 상세하게 안내한 7종의 시나리오는 의료데이터(MRI, CT, X-ray 등), CCTV 영상, 음성 대화‧상담 정보를 활용하는 바이오‧헬스, 인공지능, 데이터 솔루션 개발 등 여러 분야에서 안전하게 가명처리를 하는 데, 유용하게 참고할 수 있을 것으로 기대된다.

 비정형데이터 가명처리 기준의 주요 내용은 다음과 같다.

첫 번째로 비정형데이터는 개인식별 가능 정보에 대한 판단이 상황에 따라 달라질 수 있는 만큼, 데이터 처리목적 및 환경, 민감도 등을 종합적으로 고려하여 개인식별 위험을 판단하고 합리적인 처리방법과 수준을 정하도록 했다. 예를 들어, 정형데이터의 경우, 주민번호, 전화번호, 주소 등과 같이 개인식별위험이 있는 정보가 비교적 명확히 구분되지만, 비정형데이터는 그렇지 않다.

눈‧코‧입을 알아볼 수 없는 거리‧각도에서 찍힌 CCTV 영상‧사진도 머리스타일, 흉터, 문신 등 특이한 신체적 특징 때문에 식별위험이 있을 수 있다. 흉부 CT 촬영사진도 그 자체로는 식별위험이 높지 않지만 3차원 재건기술 악용, 특이한 흉터 등은 위험요소가 될 수 있다.

이에 대해, 개인정보위는 가이드라인에서 제시한 개인식별 위험성 검토 체크리스트(데이터의 식별성, 특이정보, 재식별 시 영향도, 처리환경의 안전성 등을 점검하기 위한 항목)를 통해 식별위험을 사전에 진단하고, 위험을 낮추기 위한 관리적‧환경적 통제방안을 마련하여 활용토록 했다. 연구목적 달성에 필수적인 정보항목을 남기는 경우에는 그 외 정보에 대한 가명처리 수준을 높이거나 접근권한 통제, 식별에 악용될 수 있는 소프트웨어(SW) 반입제한, 보안서약서 징구 등 조치를 시행하도록 했다.

두 번째로, 비정형데이터에 내재된 개인식별 위험 요인을 완벽하게 탐지하여 처리할 수 있는 기술이 아직 없기 때문에, 이러한 기술적 한계 등을 보완하기 위한 조치들을 이행할 것을 권고하였다.

가명처리 기술의 적절성·신뢰성을 확인할 수 있는 근거(예: CT사진의 가장자리를 마스킹 솔루션을 적용하여 가명처리한 경우, 해당 솔루션의 관련 가명처리 기능, 솔루션의 객체 인식률·처리 정확도(오류율)에 대한 증빙자료 등)를 작성·보관하고, 가명처리 결과에 대해 자체적인 추가검수를 수행하도록 했다. 또한 처리기술의 적절성·신뢰성을 확인할 수 있는 근거와 추가검수 등에 대해서 외부전문가가 참여한 위원회의 적정성 검토를 받도록 했다.

또한, 가명정보 활용 기관의 내부통제를 강화하고, 처리 목적이 달성된 가명정보는 신속히 파기하도록 하여, 개인정보 침해를 방지하기 위한 노력을 강조했다.

세 번째로, 비정형데이터는 인공지능 및 데이터 복원기술의 발달에 따라 다른 정보와의 연계·결합 없이도 개인을 재식별해낼 수 있는 위험(음성변조 규칙을 몰라도 AI를 활용해 화자의 원본 목소리를 복원해내는 음성복원기술, 모자이크된 사진을 원본에 가깝게 복원해낼 수 있는 기술 등이 연구·발전 중)이 있으므로, 가명처리된 비정형데이터 활용 시 관련 시스템·소프트웨어(SW)의 접근·사용 제한 등 통제방안을 마련하여야 한다.

다만, 인공지능 개발·활용 과정에서 나타날 수 있는 다양한 위험을 사전에 완벽하게 제거하는 것은 불가능하므로, 인공지능 서비스 제공 과정에서도 개인식별 위험 등 정보주체 권익 침해 가능성을 지속 모니터링하도록 했다.

그밖에 기업 및 연구자가 가명처리 단계별(사전준비, 위험성 검토, 가명처리, 적정성 검토, 안전한 관리)로 고려해야 하는 사항을 안내하고 현재 개발 중인 가명처리 기술도 소개하여, 관련 경험이 부족한 스타트업 등이 참고할 수 있도록 했다.

비정형데이터 영역은 데이터 유형, 활용 분야마다 가명처리 기준‧방법이 다양하고 관련 기술도 빠르게 발전하고 있어 다양한 활용사례(use-case)를 축적하는 것이 중요하다.

기업이나 연구기관은 가이드라인에 포함된 사례 외에도 새로운 기술이나 서비스를 개발하는 과정에서 데이터의 개인식별 위험성을 낮추기 위한 가명처리 절차 및 방법, 관리적·환경적 통제방안 등이 '개인정보 보호법'을 준수하는 것인지에 대해 '사전적정성 검토'를 신청할 수 있다. 앞으로 개인정보위는 신청받은 사례를 전문가들과 함께 신속히 검토하여 회신하는 한편, 관련 사례를 가이드라인에 지속 추가하여 모범사례(Best Practice)를 확산시켜 나갈 계획이다.

'사전적정성 검토'란 새로운 서비스 및 신기술 분야에서 개인정보위가 보호법 준수 방안을 사업자와 함께 마련하고, 이를 적용한 사업자에게는 추후 환경·사정 변화가 없는 한 행정처분을 하지 않는 제도다.

고학수 개인정보위 위원장은 “인공지능 등 많은 신기술 영역은 현장의 불확실성을 해소할 수 있는 세밀한 데이터 처리정책이 중요하다”면서, “금번 가이드라인을 시작으로 대규모 언어모형 등 생성형 AI와 관련한 '공개된 개인정보 처리 가이드라인' 등 현장의 어려움을 해소할 수 있는 기준을 올해 중에 순차적으로 발표하겠다”고 밝혔다.

한편, 비정형데이터 가명처리 기준을 담아 개정한 '가명정보 처리 가이드라인'은 5일부터 개인정보위 누리집(다운), 또는 개인정보포털에서 내려받을 수 있다.(아래 사본 첨부)