AI 활용 공공사업, '개인정보 영향평가' 의무화… 새 기준 나왔다

공공기관이 인공지능을 활용한 사업을 추진할 때 적용할 수 있는 개인정보 보호 기준이 새롭게 마련됐다. 이제부터는 인공지능 시스템 도입과 관련된 개인정보 침해 위험을 사전에 분석하고 줄이기 위한 체계적인 평가가 가능해질 전망이다.

개인정보보호위원회는 9월 3일 열린 전체회의에서 ‘개인정보 영향평가에 관한 고시’ 개정안을 의결하고, 4일 이를 공식 발표했다. 영향평가 제도는 기관이나 기업이 대규모 개인정보를 처리하는 사업을 시작하기 전, 관련 위험을 사전에 식별하고 개선 방안을 마련하도록 하는 제도다. 공공기관의 경우 개인정보가 100만 건 이상이거나, 민감·고유식별정보가 5만 건 이상인 경우 영향평가가 의무적으로 시행된다.

기존 고시에는 인공지능 분야에 대한 별도의 기준이 명시돼 있지 않아, AI 기술을 사용하는 공공기관은 자체적으로 평가항목을 개발해 사용해야 하는 불편이 있었다. 이 과정에서 평가가 적절히 이뤄졌는지 여부도 명확히 확인하기 어려웠다.

이에 따라 이번 개정안에서는 ‘인공지능 시스템 학습 및 개발’과 ‘운영 및 관리’의 두 가지 분야에 걸쳐 구체적인 평가항목을 신설했다. 예를 들어, AI 개발 과정에서는 적법한 개인정보 처리 근거 확보 여부, 민감정보나 아동정보의 불필요한 포함 여부, AI 학습 데이터를 보유·파기하는 규정의 명확성 등이 평가 대상이 된다. 운영 단계에서는 생성형 AI 서비스의 허용 범위를 명시하고, AI가 개인정보를 노출하거나 부적절한 답변을 제공할 경우 신속히 대응할 수 있는 신고 체계를 마련하도록 요구하고 있다.

이러한 상세 기준은 ‘개인정보 영향평가 수행안내서’에 실례와 함께 담겨 현장 적용이 쉽게 이뤄질 수 있도록 제공된다. 개인정보보호위원회는 향후 다양한 기관과 기업의 실무 경험을 바탕으로 평가항목을 지속적으로 보완해 나가겠다는 계획이다.

이번 조치는 공공 부문뿐 아니라 민간기업에도 실질적으로 도움이 될 것으로 보인다. 인공지능 기반 서비스가 급증함에 따라 개인정보 오남용 우려가 커지는 가운데, 이번 기준은 사전 예방 중심의 보호체계를 구축하는 데 기초자료로 활용될 수 있다. 앞으로 개인정보 보호와 기술 발전 간 균형을 맞추기 위한 정책적 움직임이 더욱 활발해질 것으로 예상된다.