AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>
[더팩트 | 김유진 변호사(김앤장 법률사무소)] 바야흐로 인공지능(AI)이 우리 삶의 모든 영역에 깊숙이 침투하며 '디지털 대전환'을 가속화하고 있다. AI가 우리의 행동 패턴, 선호도, 심지어 감정까지 예측하고 분석해내는 것이 더이상 놀랍지 않은 오늘이다. 정보처리시스템으로서 AI의 강점이자 위협적인 점은 단순히 입력되는 정보를 처리하는 차원을 넘어, 수집된 데이터에서 새로운 패턴을 추론하고 기존에 존재하지 않던 추가 정보를 산출해낸다는 점에 있다.
전통적인 개인정보 법제가 정립되기 시작한 1970년대 후반 이래의 정보처리 환경은 주로 데이터베이스 중심의 중앙 집중식 시스템이었다. 정보가 고정된 파일 형태로 존재하는 환경에서, 개인이 자신의 정보가 어떻게 기록되고 사용되는지 전혀 알 수 없는 비대칭성을 해소하는 것, 그리고 해당 파일에 오류가 기록되는 경우 개인의 사회적 평가에 미치는 영향을 통제하는 것 등이 가장 중요한 보호 목표였을 것이다. 특정 처리자가 정보를 보유한다는 전제 아래, 정보를 확인, 수정, 제거하는 단계적 메커니즘으로 통제를 위한 권리구조가 설계되었다. 그런데, AI 시대의 정보주체는 그 통제력을 무력화하는 두 가지 근본적인 도전에 직면한다.
첫 번째는 '알고리즘적 통제 상실'이라는 요소이다. AI의 핵심 메커니즘인 프로파일링 및 자동화된 의사결정이 기업이나 기관에 의해 활용될 때 정보주체의 권리나 의무에 중대한 영향을 미치는 결과가 발생하지만, 그 판단의 근거가 되는 복잡한 로직을 정보주체가 이해하거나 통제하기 어렵다. AI의 결정은 마치 블랙박스와 같아, 정보주체가 부당한 차별이나 오판에 직면해도 이의를 제기할 명확한 근거를 찾기 어렵다.
이러한 문제의식에 따라 개인정보 보호법은 2023년 개정을 통해 제37조의2를 신설, 정보주체가 자동화된 의사결정에 관해 설명을 요구하거나 정당한 이유가 있을 때 거부할 수 있는 권리를 도입했다. 이는 GDPR 등 해외 입법례와의 조화를 의식한 조치다. 그러나 현실적으로 기업이나 기관이 설명의무를 충실히 이행할 방안은 미비하다. ‘설명’의 수준이나 범위에 관해 법률상 구체적 기준이 제시되어 있지 않고, AI 알고리즘의 특성상 정보주체가 받은 결과를 충분히 이해하거나 평가하기 어렵다. 관련 지침이나 사례가 축적되지 않은 상황에서 설명이 형식적으로 흐르거나, 정보주체가 실제 자신의 권리를 행사하기 어려워질 수 있다.
이처럼 알고리즘적 통제 상실에 대한 현재의 대응은 ‘반걸음 전진’ 상태다. 남은 반걸음, 즉 정보처리 과정의 실질적 투명성과 권리 구제의 실효성 확보까지 개인정보 보호법이 전적으로 감당할 수 있을지, 혹은 별도의 원리와 제도로 보완해야 할지도 미지수다. AI 시대의 설명요구권은 분명 필수적인 권리이지만, 이는 어떤 정보가 사용되었는지를 넘어 그 정보가 어떠한 논리로 처리되어 특정 결과나 결정에 이르렀는지에 대한 설명을 요구하는 것이다. 정보 처리 과정의 정당성을 따지는 것이기에, 기초적인 설명 수준을 넘는 것을 요구하는 순간 개인정보 법제에서 다룰 권리의 범주를 넘어선다는 해석이 제기될 수 있다.
두 번째 도전은 데이터 이동 및 추적의 어려움, 즉 데이터 초연결 시대의 현실적 난이도 문제다. AI는 학습과 서비스 제공을 위해 데이터를 국경을 넘어, 기업 간의 경계를 넘어 쉴 새 없이 이동시키고 결합한다. AI 모델의 역량을 강화하기 위해 수집 출처가 불분명한 데이터가 비식별화 과정을 거쳐 재결합되는 일도 빈번하게 발생한다.
데이터의 복잡한 순환 속에서, 개별 정보를 처리하는 ‘특정 개인정보처리자'의 존재를 전제로 하는 기존의 열람·정정·삭제권으로는 실효적인 통제가 어렵다. 예컨대 정보주체가 AI 모델에 활용된 자신의 데이터 삭제를 요구하는 것은 데이터가 여러 기업을 거쳐 가공되고 파편화되는 AI 현실에서는 사실상 불가능을 주문하는 것에 가깝다.
또한 처리정지 및 삭제 요구권은 AI 학습에 데이터가 한 번 사용되면 그 효과가 영구히 모델 내부에 각인되는 AI의 비가역적 특성과 개념적으로 대치된다. 고정된 정보를 전제로 설계된 기존의 권리 체계는 초연결적 정보 흐름에 부합하기 어렵다. 데이터의 이용과 결합이 실시간으로 이루어지는 AI 환경에서는, 이미 수집·처리된 후의 통제보다는 투명한 활용 동의, 위험 기반 보호설계 등 사전적 보호 관점으로 전환하는 방안이나 두 체계를 어떻게 병치할 것인지의 고민이 절실하다.
이러한 법적 불일치는 데이터를 활용하는 주체에게도 규제 준수 측면의 부담을 가중시킨다. 현행 법제가 AI 학습의 비가역적 특성이나 파편화된 데이터의 흐름을 충분히 반영하지 못함에 따라, 기업은 정보주체의 요청에 응하기 위해 과도한 기술적 노력이나 비용을 감수해야 할 수 있다.
특히, 삭제 요구권과 AI 모델의 비가역성이 충돌할 때, 기업이 법적 의무를 완전히 이행하기 위한 합리적인 방법이나 기준이 명확하지 않아 법적 모호성이 심화된다. 따라서 정보주체의 권리 실현 요구와 효율적인 데이터 활용 간의 균형점을 찾아 규제 준수 비용을 합리화하고, 모호성을 해소하는 것이 당면 과제로 떠오르고 있다.
결론적으로, 인공지능 시대의 정보주체 권리는 ‘데이터 파일 통제’라는 과거의 사후적인 관념틀을 넘어설 것을 요구받고 있다. 이제는 규범적 목표와 기술적 현실 사이의 간극을 좁히는 접근법이 필요하다. AI의 진화 속도와 데이터 활용 방식의 변화에 비추어 정보주체의 권리 실현과 기업의 데이터 운용 간 미래지향적인 균형점을 찾기 위해서는, 기술적 해결책을 함께 녹여낸 새로운 규범 마련이 시급하다.
▶AI 대전환시대 공동 기획 칼럼 관련 시리즈
[기획 칼럼⑫] 인공지능 대전환에 따른 '개인정보 보호법'의 변화 필요성
[기획 칼럼⑩] 아동·청소년의 권리 보호, 잊힐 권리의 보장으로부터
[기획 칼럼⑨] 고인의 사생활 vs 유족의 추억...법의 공백에 방치된 ‘디지털 유산’
[기획 칼럼⑧] AI 대전환과 개인정보 국외 이전, ‘신뢰 기반 체계 구축으로’
[기획 칼럼⑥] 개인정보를 마주하는 우리의 자세, 변화가 필요하다
[기획 칼럼⑤] 인공지능 시대, 정보보호와 개인정보보호의 균형 있는 발전 전략
[기획 칼럼④] 인공지능 시대에서의 ‘정당한 이익’ 가치
[기획 칼럼③] 공개된 정보 활용 패러다임 전환을 통해 AI 학습데이터 물꼬를 터야