12 읽음
"AI 에이전트, 현행 개인정보보호 체계와 충돌…법제도 정비해야"
아주경제
0인공지능(AI) 에이전트 기술이 현행 개인정보보호법과 충돌할 소지가 있어 개인정보보호 체계 전반에 대한 재설계가 필요하다는 의견이 나온다.
박소영 국회입법조사처 입법조사관은 18일 오전 서울 여의도 국회도서관에서 열린 'AI시대 개인정보 거버넌스 강화를 위한 대토론회'에서 "AI 프롬프트 기반 대화에서 사용자가 인식하지 못한 채 비정형 정보가 포함되는 경우가 많고, 그 과정에서 AI가 대화를 저장하고 재학습하는 구조를 가지기 때문에 개인정보보호법의 기본원칙과 충돌할 수 있다"고 말했다.
AI 활용 과정에서 보호법의 기본원칙인 △명확한 동의 △목적 제한 △최소 수집 원칙과 충돌하는 상황이 발생할 수 있다는 것이다.
일례로 대화형 AI에 "불면증이 심해서 고민이다", "우리 집 근처 맛집 추천해줘"와 같은 질문을 할 경우, 사용자가 의식하지 못한 상황에서 건강·위치 등 비정형 정보들이 수집될 수 있다.
기존 개인정보보호 체계는 이름, 연락처, 주민번호 등 사용자가 명시적으로 입력하는 정형화된 정보 수집 방식을 전제로 설계됐다. AI 시대에선 감정, 위치정보 등 문맥적인 비정형 정보가 다수 포함돼 현재 규율 체계에서 다루긴 어렵다는 것이다.
박 조사관은 "지난해 12월 유럽 데이터보호이사회(EDPB)가 프롬프트 기반 거대언어모델(LLM) 서비스의 데이터 처리 방식이 GDPR의 목적 제한 및 투명성 원칙을 위반할 소지가 있다는 의견을 채택하기도 했다"고 설명했다.
그는 "AI와 인간이 언어로 소통하는 시대는 더 이상 피할 수 없는 사회적 흐름"이라면서 "이 거대한 기술적 전환을 수용하되, 그로 인해 발생하는 프라이버시의 사각지대를 최소화하고 정보주체의 권리를 실질적으로 보장할 수 있는 제도적 기반을 함께 마련해야 한다"고 했다.
일회성·정적인 개인정보 동의 방식인 기존 체계에선 프롬프트 기반의 AI 시스템을 규율하기 어렵다는 것이다. 박 조사관은 "AI와 사용자 간의 지속적인 피드백과 제어가 가능한 '상호작용 기반·동적·맥락적' 설계를 어떻게 구축해 나갈 수 있을지 고민해야 할 시점"이라고 밝혔다.
개인정보보호위원회의 역할도 변화할 필요가 있다. 개별 기업에 대한 규제 중심에서 종합 정책부서로 변화해야 한다는 것이다. 데이터 활용과 보호를 강조하기 위해 '개인정보위원회'로 명칭 변경의 필요성도 제기됐다.
고성학 개인정보보호협회 상근부회장은 "(개인정보위가) 개별 기업 및 기관에 대한 규제 중심에서 AI 시대 급변하는 새로운 기술에 대응하기 위한 종합적·예방적 대응 전략으로 변화해야 한다"고 밝혔다.
고 부회장은 개인정보 유출 사고와 관련해 구체적 피해, 사건의 인과관계 등과 관계 없이, 유출만으로 피해가 발생했다고 봐야 한다고 말했다.
고 부회장은 "IT 서비스를 이용함에 있어 개인은 자신의 정보자산인 개인정보를 기업에 위탁하는 것이고, 정보유출이나 해킹은 기업이 개인의 정보 자산 관리를 소홀히 해 발생한 것으로 그 자체로 피해를 입은 것으로 보는 것이 타당하다"고 설명했다.
그는 "개인정보 유출 사고가 지속적으로 발생하고 있지만, 그로 인한 이용자 피해를 신속하게 보상해 줄 수 있는 제도는 미비하다"면서 "현재 정부가 개인정보 유출 기업에게 부과하는 과징금을 보상금 형태로 전환해서 직접 피해자인 이용자에게 지급해 주는 '정보자산피해보상' 제도를 마련할 필요가 있다"고 밝혔다.