국회입법조사처는 AI 경쟁력 강화를 위해 공개정보 활용 명문화·데이터 재이용 확대·가명처리 완화 등 개인정보보호법 개편이 필요하다고 지적했다. [사진 = Rawpixel]


[이코노미 트리뷴 = 김용현 기자] 국회입법조사처가 21일 발표한 현안분석 제366호 ‘AI 혁신과 개인정보 보호, 공존의 해법’ 보고서에서, 인공지능(AI) 기술 발전을 위한 데이터 활용 기반이 현행 개인정보보호법 아래에서는 지나치게 제약돼 있다고 지적했다.

보고서는 “AI 시대의 핵심은 데이터 활용과 개인정보 보호의 균형”이라며, 법의 경직성이 한국의 AI 경쟁력 약화로 이어질 수 있다고 경고했다.

보고서에 따르면 영국 리서치기관 토터스 미디어(Tortoise Media)가 올해 6월 발표한 ‘The Global AI Index’에서 한국의 AI 경쟁력 지수는 27.2점(미국 100점 기준)으로 세계 6위에 그쳤다. 중국(53.8점)과 프랑스(28점)보다 낮은 점수로, 입법조사처는 “풍부한 데이터 인프라를 갖추고도 법적 제약 때문에 AI 개발 효율이 떨어지고 있다”고 분석했다.

보고서는 특히 ‘공개된 개인정보(publicly available information)’의 활용 근거가 불명확하다는 점을 핵심 문제로 지목했다.

대표적 사례로 ‘로앤비 사건’(대법원 2016.8.17. 선고 2014다235080 판결)을 언급했다. 당시 법률정보 기업 로앤비는 대학과 학회의 웹사이트에서 교수들의 이름, 소속, 전공 등 프로필을 자동으로 수집해 자사 유료 서비스에 게시했다. 교수들이 “명시적 동의 없이 상업적으로 이용됐다”며 소송을 제기했지만, 대법원은 “공적 목적을 위해 스스로 공개한 정보이며, 사회적 필요 목적에 활용된 만큼 묵시적으로 동의한 것으로 볼 수 있다”고 판시했다.

입법조사처는 이 판결이 “공개된 개인정보도 일정 범위 내에서는 합리적으로 활용될 수 있음을 인정한 의미 있는 판단”이라고 평가하면서도, “AI 학습처럼 대규모로 자동 수집·가공되는 정보 처리에는 그대로 적용하기 어렵다”고 지적했다.

이에 따라 보고서는 AI 데이터 활용을 촉진하기 위한 3대 법 개편 방향으로 △공개된 개인정보 활용 근거의 명문화 △개인정보 재이용 범위의 확대 △가명정보 외 다양한 보호조치의 인정 등을 제시했다.

먼저 공개된 개인정보 활용 근거 명문화는 현행 개인정보보호법 제15조제1항제6호의 ‘이익형량 조항’을 현실화하는 방안이다. 지금은 정보 활용의 이익이 보호 이익보다 ‘명백히 우선’해야만 처리할 수 있지만, 보고서는 EU의 GDPR처럼 “이익이 우선하는 경우”로 완화해, 명백성 요건 없이도 AI 학습이나 통계 분석 목적의 합리적 활용을 허용해야 한다고 제안했다. 또한 정보주체가 원치 않을 경우 언제든 활용을 거부할 수 있도록 ‘옵트아웃(opt-out)’ 제도를 병행하는 것이 바람직하다고 덧붙였다.

둘째로 개인정보 재이용 범위 확대는 이미 수집된 데이터를 새로운 기술개발에 다시 활용할 수 있도록 법적 근거를 넓히는 방향이다. 현행법상 목적 외 이용은 거의 불가능하지만, 입법조사처는 “공익적 연구나 AI 개발 등 사회적 가치가 인정되는 경우”에는 별도 동의 없이 재이용을 허용하되, 기술적·관리적 안전조치를 의무화해야 한다고 제언했다.

예컨대 병원이 기존 환자 진료 데이터로 AI 진단 알고리즘을 개발하는 경우를 들 수 있다. 실제로 영국 런던의 한 병원은 신장 손상 예측 AI를 개발하기 위해 보유한 의료기록을 활용하려 했으나, 개인정보보호당국이 “원래의 치료 목적과 다르다”며 160만 명 환자에게 재동의를 요구한 바 있다. 보고서는 이러한 사례가 “AI 개발의 공익성을 감안하더라도 현행 목적제한 규정이 과도하게 엄격함을 보여준다”고 평가했다.

셋째로 가명정보 외 보호조치의 인정은 현행법이 요구하는 ‘가명처리’ 중심 규제를 완화하자는 취지다. 가명처리는 개인정보 노출을 막는 대신 데이터 품질과 분석 정확도를 떨어뜨리는 한계가 있다. 보고서는 암호화, 접근통제, 로그기록 관리, 물리적 분리 등 다양한 기술적 안전조치를 적용한 경우에는 데이터 재이용을 허용하는 EU GDPR(일반개인정보보호규정)의 ‘적절한 안전조치(appropriate safeguards)’ 개념을 참고하여, 한국도 특정 보호조치를 충족하면 가명처리 없이도 데이터를 활용할 수 있도록 제도를 개선해야 한다고 제안했다.

입법조사처는 “AI는 개인정보 침해 위험을 높일 수 있지만, 동시에 의료·교통·행정 등 공공 효율성을 극대화하는 핵심 기술”이라며 “데이터 활용의 사회적 가치와 개인 통제권이 조화될 수 있는 법제 전환이 필요하다”고 강조했다. 이어 “공개된 개인정보 활용의 명문화, 재이용 특례 도입, 가명정보 외 보호조치 인정 등을 통해 AI 산업 경쟁력과 개인정보 보호의 공존 체계를 구축해야 한다”고 제언했다.

economytribune@gmail.com