전문가칼럼

[기업법률리그 26] AI 개발 및 서비스 시 개인정보 수집 및 이용 방법

양진영
[법무법인 민후 양진영 변호사] AI(인공지능, artificial intelligence)가 급속도로 발전함에 따라 사람의 출생에서부터 사망에 이르기까지 생애 전과정에 AI가 관여할 수 있는 수준에 이르렀다. 실생활에 AI를 접목한 새로운 서비스와 기술 개발이 한창이다. AI는 학습할 기초 데이터가 중요한데, 실생활과 관련된 AI 개발을 위하여는 개인정보가 포함된 데이터셋이 필요한 경우가 많다. AI 개발 및 서비스 시 성명, 주소, 연락처, 생년월일, 출생지, 성별, 얼굴, 음성, 유전자정보, 지문, 키, 몸무게, 학력, 직장, 소득 등 각종 개인정보가 수집 및 이용될 수 있다. AI 개발 및 서비스 과정에서 확인하여야 할 개인정보 수집 및 이용 관련 이슈에 대해서 알아본다.

■ AI 개발 및 서비스를 위해 개인정보를 수집하는 경우

AI 개발 및 서비스를 위해 개발사가 직접 개인정보를 수집하는 경우, 개인정보주체의 동의를 받아야 하는 것이 원칙이다(개인정보보호법 제15조 제1항 제1호). 다만 개인정보보호법 제15조 제1항 제2호 이하에서는 정보주체의 동의 없이 개인정보를 수집할 수 있는 경우에 대해서 열거하고 있는데, 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우(제4호), 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다) 등에는 정보주체의 동의 없이 개인정보를 수집할 수 있다(제6호). 따라서 개인정보주체로부터 개인정보를 수집할 때에 동의를 받기 어려운 사정이 있다면 개인정보보호법 제15조 제1항 각 호 사유 중 해당하는 사항이 있는지에 검토하여야 한다.

AI 서비스를 시행하고 있는 경우, 해당 서비스를 이용하는 소비자들에 대하여는 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우(제4호)가 적용될 가능성이 있다. 이때 계약의 체결 및 이행을 위하여 필요한 최소한의 개인정보 항목만을 동의 없이 수집할 수 있는 것이므로, 그 이외의 개인정보 항목에 관하여는 원칙대로 별도의 동의를 받아야 한다.

AI 개발 및 서비스에 활용하기 위해 개인정보주체 이외의 제3자로부터 개인정보를 수집하는 경우도 있다. 위와 같이 제3자로부터 개인정보를 제공받은 경우 그 제3자가 적법하게 개인정보를 수집하였는지에 관하여 확인하여야 한다.

또한 제3자로부터 개인정보를 제공받은 경우 개인정보주체가 요구하면 수집출처, 처리 목적, 개인정보의 처리 정리를 요구할 권리가 있다는 사실 등을 고지하여야 한다(동법 제20조 제1항). 그러나 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 경우, 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 경우에는, 서면·전화·문자전송·전자우편 등 정보주체가 쉽게 알 수 있는 방법으로, 개인정보를 제공받은 날부터 3개월 이내에, 개인정보 수집출처, 처리 목적, 개인정보의 처리 정리를 요구할 권리가 있다는 사실 등을 정보주체에게 알려야 한다(동법 제20조 제2,3항, 동법 시행령 제15조의2 제1,2항). 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 위와 같이 정보주체에게 알릴 의무가 없다.

일반대중에게 공개된 개인정보를 수집한 경우에는 공개된 취지를 확인하여 공개의도, 목적 등을 고려하여 사회통념상 개인정보주체의 동의 의사가 인정되지를 살펴보아야 한다. 공개된 정보라고 하더라도 개인정보주체의 동의 의사를 벗어나는 범위에서의 수집 및 이용은 위법하다.

■ AI 개발 및 서비스를 위해 개인정보를 이용하는 경우

수집한 개인정보는 당초의 수집 목적에 부합하게 이용해야 한다. AI 개발 및 서비스 제공자는 당초 수집 목적과 합리적으로 관련된 범위에서 개인정보를 이용할 수 있다(동법 제15조 제1항). 따라서 개인정보주체로부터 개인정보 수집 및 이용동의를 받을 때에 수집하는 개인정보의 항목과 개인정보의 수집 목적을 명확하게 기재하여야 한다.

만약 개인정보 수집 목적에 'AI 서비스 제공'만이 있고 'AI 기술 개발(모델링, 학습, 시험)'가 명시되지 않은 경우 AI 서비스의 개선 또는 고도화의 목적으로 활용할 수 있을까. 개인정보보호위원회에는 AI 개발·운영 과정에서 특정 서비스 제공 목적으로 수집한 개인정보를 해당 서비스의 개선, 고도화 등의 목적으로 AI 개발에 이용하는 경우, 개인정보 보호법 제15조 제3항에 따라 당초 수집 목적과 합리적으로 관련되어 추가적 동의 없이 이용할 수 있다고 보고 있다. 그러나 서비스를 이용하는 소비자들의 예측가능성을 확보하고 추후 분쟁의 소지를 줄이기 위해 애초부터 개인정보수집 목적에 'AI 서비스 제공' 및 'AI 기술 개발(모델링, 학습, 시험)'을 추가하는 것을 권장한다.

AI 개발 및 서비스 중 신사업 진행 등에 따라 예상치 못한 이용목적이 생겨나는 경우도 있다. 이러한 경우 새로운 이용목적을 추가하여 정보주체로부터 추가 동의를 받는 것이 원칙이나, 추가동의를 위한 비용이나 소요시간이 부담될 수 있다.

개인정보 보호법 상 개인정보 수집 시 개인정보의 수집 목적을 명확하게 명시하지 않은 경우에도 당초 수집목적과 관련성이 있고, 개인정보를 수집한 정황 또는 처리관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측가능성이 있으며, 정보주체의 이익을 부당하게 침해하지 않는 경우에는 개인정보주체의 동의 없이 개인정보를 이용할 수 있다. 이때 가명저처리 또는 암호화 등 안전성 확보에 필요한 조치가 함께 이루어져야한다(동법 제14조의2 제1항).

위와 같이 개인정보주체의 동의 없이 개인정보를 이용하려는 경우 개인정보주체가 이를 미리 예상할 수 있도록 개인정보처리방침에 동의 없이 이용할 수 있는 경우에 대한 판단기준을 명시하여야 한다(동법 제14조의2 제2항). AI 개발 및 서비스 제공과 관련하여 신사업을 확장하거나 새로운 시도를 통해 개인정보의 이용목적이 추가될 가능성이 있다면 미리 개인정보처리방침에 판단기준을 명시하여 개인정보주체의 동의 없이 개인정보를 이용할 수 있는 방안을 마련해두어야 할 것이다.

한편, 가명정보의 경우 개인정보처리자가 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 처리할 수 있다(동법 제28조의2). 가명정보란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 것을 말한다.

AI 기술 개발(모델링, 학습, 시험) 등에는 과학적 방법이 적용되므로 개인정보보호법 제28조의2의 과학적 연구에 해당할 여지가 있으나, AI 기술이 적용된 서비스의 운영은 이미 개발이 진행된 이후의 서비스 제공이므로 과학적 연구로 보기 어렵다. 따라서 AI 기술 개발과정에서의 가명정보의 활용은 정보주체의 동의 없이 처리가 가능하나, AI 기술이 적용된 서비스를 본격적으로 제공하는 경우에는 정보주체의 동의 없이 가명정보를 활용할 수 없다.

<양진영 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>
디지털데일리가 직접 편집한 뉴스 채널