개인정보보호위원회가 공공기관이 인공지능(AI)을 활용한 사업을 추진할 때 개인정보 침해 위험을 사전에 점검할 수 있는 평가 기준을 처음 마련했다.
개인정보위는 지난 3일 전체회의에서 AI 분야를 별도로 반영한 '개인정보 영향평가 고시' 개정안을 의결했다고 4일 밝혔다. 개인정보 영향평가는 대규모 개인정보 파일을 구축하거나 변경할 때 사전에 개인정보에 미치는 영향을 분석하고 개선방안을 수립해 침해사고를 예방하는 제도다.
기존 고시에는 AI 관련 세부 기준이 없어 공공기관이 자체적으로 항목을 만들어 평가해야 했고, 그 적정성 여부도 확인하기 어려웠다. 이에 개정안은 ▲AI 시스템 학습·개발 ▲AI 시스템 운영·관리 등 두 가지 세부 평가 분야를 신설했다.
AI 학습·개발 단계에서는 개인정보 처리의 법적 근거 확보, 불필요한 민감정보·아동정보 포함 여부 점검, 학습용 데이터의 보유·파기 규정 마련 등을 검토하도록 했다. 운영·관리 단계에서는 개발·운영 주체 간 책임 명확화, 생성형 AI 서비스의 허용 이용 방침(AUP) 제공, 부적절한 답변이나 개인정보 노출 시 신고 기능 마련 등 정보주체 권리 보장 방안이 평가 기준에 포함됐다.
세부 항목과 해설, 사례는 '개인정보 영향평가 수행안내서'를 통해 공개될 예정이며, 개인정보위는 현장 적용 사례를 반영해 평가 항목을 지속 보완할 계획이다.
개인정보위는 "이번 기준이 공공기관뿐 아니라 민간기업에도 활용돼, AI 기반 개인정보 처리 과정에서 위험을 조기에 파악하고 예방적 보호체계를 구축하는 데 기여할 것"이라고 밝혔다.