AI 서비스를 제공하는 회사는 대량의 데이터를 처리하기 때문에 개인정보보호에 더 많은 관심을 두게 되는데요.
AI를 위한 학습 데이터를 규제에 맞게 수집하고 활용하기 위해서는 수집부터 파기까지 어떻게 관리해야 하는지 AI 개인정보보호에 대해 알아보도록 하겠습니다.
1. 이용자에게 데이터 활용을 알리고 선택권을 주어야 한다.
개인정보를 수집할 때는 이용자에게 개인정보의 항목, 목적, 보유이용기간, 동의거부권을 반드시 안내하고 동의를 받아야 합니다.
이때 주의해야 할 사항! 수집목적에 필요한 최소한의 개인정보를 수집해야 합니다.
AI 분석에 활용되는 데이터는 인과관계가 없을 거로 생각되는 수많은 데이터를 결합하여 도출하는 과정을 반복하는데 적절한 결과가 나오기까지 어떤 변수가 유효한 변수임을 알지 못합니다. 그렇기 때문에 필요한 최소한의 개인정보 항목이 무엇인지 사전에 특정하기 어려운 것이 현실인데요. 그럼에도 AI 서비스는 이용자가 AI 알고리즘의 학습에 본인의 데이터를 활용하게 할 것인지를 자발적으로 선택할 수 있도록 하고 원치 않으면 언제든 쉽게 철회할 수 있도록 운영해야 합니다. 그 방법이 무엇인지 알아보겠습니다.
2. 동의는 명확하게 받아야 한다.
이용자가 본인의 데이터가 어떤 목적으로 활용되는지 명확하게 인지하고 선택하기 위해서는 별도의 동의가 필요합니다.
여기서 반드시 구분해야 하는 사항은 개인정보처리방침이 아닌 개인정보 수집동의서를 통해 동의를 받아야 한다는 점인데요. 개인정보처리방침은 개인정보처리에 대한 전체 내용을 담고 있어 길고 복잡합니다. 때문에 이용자에게 개인정보 수집·이용 동의서를 통해 서비스가 개인정보를 어떻게 사용하겠다는 것인지 쉽게 인지할 수 있도록 해야 합니다. 또한 체크박스 등의 방법으로 이용자가 직접 동의 의사를 명확하게 표시하는 방식으로 동의를 받아야 합니다.
이용자의 개인정보를 분석에 활용할 때 개인정보처리방침에만 내용을 기재하거나 이용약관에 데이터 분석에 대한 내용을 기재하고 동의 받은 것으로 간주할 수 없다는 점을 꼭 기억하세요.
3. Q. 동의 받지 않은 데이터 또는 당초의 수집 목적과 다른 데이터도 분석에 활용할 수 있나요?
A. 가명 처리를 해라!
개인정보보호법 제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여
정보주체의 동의 없이 가명정보를 처리할 수 있다.
지난 2020년 8월 개인정보보호법이 개정되면서 가명정보라는 개념이 생겼습니다.
내용인 즉, 가명처리한 개인정보를 이용자의 동의없이 과학적 연구 등의 목적으로 활용할 수 있다는 말인데요. 여기서 과학적 연구는 기술의 개발과 실증, 기초연구, 응용 연구뿐만 아니라 새로운 기술, 제품, 서비스 개발 등 산업적 목적을 위해서도 수행할 수 있으며, 민간 투자 연구, 기업 등이 수행하는 연구도 가능합니다. 따라서 동의 받지 않은 개인정보를 학습 데이터로 활용하려면 데이터 내 개인정보를 가명 처리하여 특정인을 식별할 수 없는 상태로 전 처리해야 합니다.
가명처리란?
개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 의미 암호화, 마스킹, 범주화, 총계화 등의 방법이 있다.
가명처리 된 데이터를 활용할 때 반드시 기억해야 할 사항은 재식별 행위를 엄격하게 금지하고 있습니다.
예를 들어 A의 개인정보를 가명처리하여 분석 후 그 결과를 토대로 A에게 맞춤형 서비스를 제공하고 싶다면 가명처리된 개인정보를 재식별하는 행위이므로 이는 과태료, 과징금 등 엄중한 제재가 있을 수 있습니다. 또한 가명정보 역시 개인정보에 해당합니다. 따라서 개인정보처리방침 공개, 가명처리의 적절성 검토 등의 보안조치가 있으니 반드시 개인정보 가명처리 가이드라인을 확인하여 안전하게 활용하길 바랍니다.
가명정보에 대해 더 알고 싶다면 여기를 클릭하세요 😊
4. 개인정보 목적 내 활용하고, 이용 목적이 달성하면 삭제해라
AI 서비스를 제공할 때는 개인정보는 수집 목적에 한정하여 활용해야 합니다.
수집 목적은 이용자에게 동의받은 시점의 동의서에 근거함으로 동의목적에 벗어나 활용하면 동의받지 않은 데이터의 활용으로 큰 문제가 됩니다.
또한, 개인정보의 보유이용 기간이 도래하면 해당 정보는 즉시 삭제해야 합니다.
가명처리한 개인정보로 특정인을 식별할 수 없을지라도 여전히 개인정보임으로 이유불문! 가명처리의 목적이 달성한 시점에 해당 데이터를 삭제해야 합니다.
📌인공지능(AI) 개인정보보호 자율점검표_개발자 운영자용이 궁금하신가요?