[기획 칼럼⑲] 공공행정의 혁신과 개인정보 보호의 상관 관계

AI 전환기의 공공행정 혁신을 위해 개인정보 보호의 법과 정책이 나아가야 할 방향은 명령과 통제의 강화도 아니고 방임에 가까운 규제완화도 아니라, 신뢰 기반의 개인정보 거버넌스를 안착시키는 것이라 하겠다. 사진은 개인정보보호법학회 세미나 장면./개인정보보호법학회

AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>

[더팩트 | 계인국 교수(고려대 행정전문대학원, 개인정보보호법학회 연구이사)] 대한민국 정부는 OECD 국제 디지털 정부 평가에서 종합 1위를 차지하는 등 세계 최고 수준의 디지털 정부를 구현하였으며 이제는 인공지능을 활용하는 혁신적인 행정을 기획하고 있다. 최근 엔비디아가 발표한 GPU 공급 계획을 보면 5만장의 GPU가 대한민국 정부에 제공되고 이들이 AI파운데이션 모델과 국가AI컴퓨팅센터 구축에 사용된다고 한다.

행정 인프라 부문에서 본격적인 AI 대전환이 시작된 것이다. 이러한 인프라를 통해 실제 행정이 유효하게 기능하기 위해서는 무엇이 준비되어야 할 것인가? 분명하게도 AI 대전환 시대에 적합한 데이터 활용 전략이 필요하고 그 한가운데에 개인정보의 이용과 보호 문제가 있다. 그렇다면 지금, 개인정보 보호의 법과 정책은 어떤 길로 나아가야 하는가?

- 개인정보 보호원칙의 변화

행정의 혁신 및 현대화는 반복적으로 개인정보 보호원칙에 대한 도전상황에 직면하게 된다. 과거에도 행정 혁신과 개인정보 보호원칙의 충돌은 있었다. 개인정보가 특정 목적을 위해서만 수집, 이용되어야 하며 관할 기관 외에 행정기관으로의 개인정보가 제공되는 것은 엄격히 제한된다는 개인정보 보호원칙은 One-Stop-정부와 같은 전자정부의 이념과 충돌할 수밖에 없었고 앞으로 AI 전환기의 행정에서도 유사한 문제가 나타날 수 있다.

데이터의 예비적 수집이나 배경정보의 수집을 차단하는 필요성 원칙, 정보처리자로 하여금 최소한의 정보만을 수집하도록 하는 최소수집의 원칙 역시 그대로 유지될 수 있을지 생각해 볼 문제이다. 관건은 보호원칙에 어느 정도 유연성과 시대적응성을 부여할 수 있을 것인가이다.

개인정보 보호원칙을 유지하면서도 데이터의 이용 촉진과의 조화를 모색한 예로 EU 데이터 거버넌스 법(DGA)에서의 공공기관 데이터 재사용 조건과 에스토니아의 공공정보법 및 X-tee 시스템이 있다. DGA는 일정한 범위의 공공데이터를 재사용할 수 있도록 하면서 비례성, 투명성, 공평성, 비차별성의 원칙을 준수하고 또한 모든 접근 기록을 공개하도록 한다.

한편 에스토니아는 DGA를 준수하면서 자국의 공공정보법에 공공부문 데이터의 공유와 재사용 근거 규정을 마련하였고 이에 따라 에스토니아 공공부문 데이터 교환 기반 시스템인 X-tee는 데이터의 무결성과 기밀성을 유지하면서도 공공부문 간 정보를 효과적으로 교환 및 재사용할 수 있도록 한다. EU와 에스토니아의 사례와 같이 기존의 보호원칙을 유지하되 일정 부분 변화를 통해 개인정보 보호원칙의 시대적응성을 높이게 될 경우 행정 혁신과의 조화는 물론 지속가능한 원칙이 될 수 있다.

- 정보보호 리스크의 완화

개인정보의 보호에만 편중된 정책은 정보보호 리스크로 인한 행정부담을 높이게 된다. 이 경우 정보처리자로서 행정은 필요 이상의 동의 절차를 요구하거나 개인정보를 이유로 행정서비스 제공에 소극적인 태도를 보이게 된다. 개정 개인정보 보호법은 동의 외에 개인정보를 수집·이용하는 근거를 마련하였으나, 이로써 행정 현실에서 동의 위주의 개인정보 처리 관행이 실제적으로 변화하였다고 보기는 어렵다.

보다 근본적으로 행정의 정보보호 리스크를 완화시킬 수 있는 방안이 강구되어야 한다. 기술적 측면에서는 프라이버시 강화 기술(PETs)을 공공부문에 적극적으로 도입하는 방안을, 제도적 측면에서는 부분적 옵트아웃이나 면책 기준 설정 등과 같은 장치를 생각해볼 수 있다.

- 개인정보 보호 강화와 위험평가

행정의 과도한 개인정보 수집과 처리는 항상 경계되어야 한다. COVID-19 펜데믹 사태 당시 방역 목적으로 개인정보가 광범위하게 수집, 처리되었던 것은 행정이 필요 이상으로 보유하는 개인정보와 이들의 결합이 가져올 수 있는 위험성을 보여준다. 향후 AI 기반 기술과 행정이 보유한 개인정보가 연결될 경우 "빅브라더"의 출현은 현실로 다가올 수 있다.

사회보장분야에서 AI 기반 행정은 민감정보의 수집과 처리라는 문제나 공정성 문제를 가져올 수도 있다. 실제로 사회보장수급 부정행위를 방지하기 위해 네덜란드 정부가 도입한 도입된 AI 시스템 SyRI는 처리과정에서의 개인정보 보호의 문제로 인해 좌초된 바 있다. 이러한 문제를 방지하기 위해 개인정보보호위원회는 개인정보 영향평가에 관한 고시를 개정하여 공공기관이 인공지능을 활용할 경우 개인정보 침해가능성을 평가항목을 통해 점검하고 위험감소 방안을 마련하도록 하였다.

- 신뢰 기반 개인정보 거버넌스

공공행정의 혁신과 개인정보의 문제는 결국 공공부문에 도입되는 기술과 제도 등이 개인정보 보호에 있어 어느 정도 신뢰를 얻을 수 있는가에 달려 있다. AI 대전환의 시대라고 해서 개인정보 보호를 포기해서도 안 되지만 이용을 막는 것만으로도 개인정보 보호의 목적을 달성하지 못한다.

개인정보 보호원칙의 시대적응성과 유연성, 행정의 개인정보 수집과 이용의 투명성과 비차별성을 갖춘 행정시스템, 이를 구현해낼 수 있는 기술적 방안, 행정의 정보보호 리스크 완화, 개인정보를 수집 및 이용에 있어 발생할 수 있는 위험을 스스로 평가하여 감소시키는 영향평가 등은 모두 신뢰 확보를 목표로 하고 또한 신뢰에 기반한 방안이다.

AI 전환기의 공공행정 혁신을 위해 개인정보 보호의 법과 정책이 나아가야 할 방향은 명령과 통제의 강화도 아니고 방임에 가까운 규제완화도 아니라, 신뢰 기반의 개인정보 거버넌스를 안착시키는 것이라 하겠다.

계인국 교수(고려대 행정전문대학원, 개인정보보호법학회 연구이사)

▶AI 대전환시대 공동 기획 칼럼 관련 시리즈

[기획 칼럼⑱] 개인정보 보호법상 형사처벌 규정 개선을 위한 관계기관 소통 절실

[기획 칼럼⑰] 상시적 내부통제 강화는 규제 아닌 경영문화로 자리 잡아야

[기획 칼럼⑯] 법률 AI 혁신의 시대, 유연성과 개방성의 저울로 공정의 중심을 세우자

[기획 칼럼⑮] AI 대전환 시대, 가명정보 활용의 새로운 기준을 세워야 할 때

[기획 칼럼⑭] 인공지능 개발을 위한 개인정보 처리 특례에 주목하는 이유

[기획 칼럼⑬] 인공지능 시대, 개인정보처리 근거로서 ‘계약의 이행’

Copyright@더팩트(tf.co.kr) All right reserved.