AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>
[더팩트 | 신용우 변호사(법무법인 지평, 개인정보보호법학회 연구이사)] 우리는 지금 생성형 인공지능(AI) 기술을 중심으로 산업과 사회 전반이 재편되는 ‘AI 대전환 시대’의 초입에 서 있다. 이는 더 이상 일부 기술이나 기업의 경쟁이 아닌, 경제 및 사회 패러다임의 근본적인 전환을 의미하며, 국가 경쟁력은 AI 모델의 개발 및 배포 역량과 불가분의 관계에 놓여 있다.
생성형 AI의 확산은 필연적으로 대규모 데이터 처리를 수반하며, 개인정보 보호 관점에서 다양한 법적, 기술적 이슈가 제기된다. 인터넷 공간, IoT 기기 등 다양한 출처에서 수집된 개인정보를 AI 학습에 적법하게 이용할 수 있는 기준을 마련하는 것이 핵심 논의 과제로 대두되고 있다.
대표적인 개인정보 처리의 적법 근거로 가명처리를 들 수 있다. 2020년에 가명정보 제도가 도입되어 정보주체의 동의 없이도 가명정보를 활용할 수 있는 길이 열렸다. 그러나 가명처리 기준이 모호하고 절차가 복잡하며 재식별에 따른 법적 책임이 발생할 수 있어 실제 활용은 미흡한 것으로 평가된다. 많은 기업과 기관이 법적 리스크 우려로 가명정보를 적극 활용하지 못하고 있다.
이를 타개하기 위해 개인정보보호위원회(이하 ‘개인정보위’)는 ‘가명정보 처리 가이드라인(2024. 2.)’, ‘생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서(2025. 8.)’ 등을 꾸준히 내놓았지만, 여전히 제도적 불확실성이 존재한다.
예를 들어 AI는 이미지, 텍스트, 음성 등 비정형 데이터에 크게 의존하지만, 개인정보위는 그 특수성으로 인해 개인정보를 담고 있는지 여부를 판단하는 것이 쉽지 않고 가명처리 기술도 불완전하다고 설명하고 있다. 이와 같은 상황에서 기업은 자사의 가명처리가 적법하다고 보증할 수 없고, 결국 리스크 회피를 위해 비정형 데이터 이용을 포기하게 된다.
개인정보 강화기술(PET, Privacy Enhancing Technology)을 이용할 경우 가명처리나 익명처리로 인정될 수 있는지도 의문이다. 연합학습(Federated Learning, FL)은 PET의 한 종류이며, 민감한 원본 데이터를 중앙 서버로 전송하지 않고 각 기관(클라이언트)이 로컬에서 모델을 학습시킨 후 학습된 "모델의 결과값(파라미터)"만을 중앙 서버로 전송하여 결합하는 기술로서 AI의 안전성을 높이는 것으로 주목받고 있다. 연합학습 시 원본 데이터의 노출 위험은 상당히 낮은 것으로 알려져 있으나, 개인정보위 가이드라인은 연합학습한 LLM에 대해서도 유·노출 위험성을 평가하여 추가적인 PET 결합 필요성을 검토하는 것이 바람직하다고 설명하고 있다.
연합학습만으로 안전성이 인정되지 않는다면 기업 입장에서는 굳이 해당 기술을 채택할 필요성을 느끼지 못하고, 이는 PET 사용을 위축시킬 수 있다. 따라서, PET 사용에 대해 ‘크레딧’이나 ‘면책 조항(Safe Harbor)’을 제공함으로써 PET에 대한 투자와 이용을 장려하는 정책을 고려할 필요가 있다.
개인정보 강화기술(PET, Privacy Enhancing Technology)을 이용할 경우 가명처리나 익명처리로 인정될 수 있는지도 의문이다. 연합학습(Federated Learning, FL)은 민감한 원본 데이터를 중앙 서버로 전송하지 않고 각 기관(클라이언트)이 로컬에서 모델을 학습시킨 후 학습된 "모델의 결과값(파라미터)"만을 중앙 서버로 전송하여 결합함으로써, AI의 안전성을 높이는 기술로 주목받고 있다.
연합학습 시 원본 데이터의 노출 위험은 상당히 낮은 것으로 알려져 있으나, 개인정보위 가이드라인에 따르면 연합학습한 LLM에 대해서도 유·노출 위험성을 평가하여 추가적인 PET 기법을 결합할 필요가 있다. 기업 입장에서는 보수적으로 대응할 수밖에 없으며, 연합학습을 통해 AI 모델을 개발하더라도 추가적인 조치가 필요하다면, 굳이 그 기술을 채택할 필요를 느끼지 못할 수 있다. 우수한 프라이버시 보호 기술의 사용에 대해 ‘크레딧’이나 ‘면책 조항(Safe Harbor)’을 제공하지 않는다면 PET에 대한 투자가 저해될 수 있다.
개인정보위는 2025년 9월 ‘가명정보 제도·운영 혁신방안’을 내놓으며 절차 간소화와 법적 불확실성 해소를 위해 노력하고 있다. 법 적용이 불명확한 경우 개인정보위가 행정조치 대상인지 여부를 신속히 회신해주는 ‘비조치 의견서(No Action Letter)’ 제도를 도입하고, 가명처리 적정성 심의위원회의 구성, 운영 등에 관한 사항을 법제화하여 기관 간 가명처리 기준의 일관성을 확보할 계획이다. 향후 적극적인 유권해석과 사례 축적을 통해 불확실성이 저감되길 기대한다.
AI 대전환 시대의 개인정보 보호는 ‘위험 회피’가 아니라 ‘안전한 활용’을 목표로 해야 한다. 데이터는 AI 혁신의 연료이자 산업 경쟁력을 연결하는 핵심 자원이다. 가명정보에 대한 법적·기술적 기반이 안정적으로 구축된다면, 기업은 과도한 법적 부담 없이 혁신을 시도할 수 있고, 정보주체 역시 통제 가능한 신뢰 환경 속에서 자신의 데이터가 활용될 수 있을 것이다. AI 시대의 가명정보는 단순한 규제 예외가 아니라, 신뢰 가능한 AI 실현을 위한 핵심 도구로 자리 잡아야 한다.
▶AI 대전환시대 공동 기획 칼럼 관련 시리즈
[기획 칼럼⑭] 인공지능 개발을 위한 개인정보 처리 특례에 주목하는 이유
[기획 칼럼⑬] 인공지능 시대, 개인정보처리 근거로서 ‘계약의 이행’
[기획 칼럼⑫] 인공지능 대전환에 따른 '개인정보 보호법'의 변화 필요성
[기획 칼럼⑪] AI 시대를 사는 정보주체의 개인정보 자기결정권
[기획 칼럼⑩] 아동·청소년의 권리 보호, 잊힐 권리의 보장으로부터
[기획 칼럼⑨] 고인의 사생활 vs 유족의 추억...법의 공백에 방치된 ‘디지털 유산’
- 발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
- · 카카오톡: '더팩트제보' 검색
- · 이메일: jebo@tf.co.kr
- · 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
- · 네이버 메인 더팩트 구독하고 [특종보자→]
- · 그곳이 알고싶냐? [영상보기→]
