정부의 법령 제ㆍ개정안을 향후 AI가 함께 살펴볼 예정이다.
개인정보보호위원회는 23일 ‘AI 개인정보 침해 예방 지원 시스템’을 구축해 운영할 예정이라고 밝혔다.
개인정보위는 그간 법령 제‧개정안이 최소한의 개인정보만을 적법하고 정당하게 수집하는지 사전 평가하는 역할을 맡아 왔다. 1530건에 달하는 정부입법안을 8명의 평가인력이 들여다봐야하는 어려움이 있었다. 개인정보 침해평가 의무대상인 정부입법 외에도 의원입법, 현행법령, 조례 등 대다수 법령들을 살펴볼 수 없는 점 또한 한계로 꼽혔다.
기존 개인정보 침해평가의 한계를 극복하기 위해 AI를 도입하기로 한 것이다. 개인정보위는 지난해 과학기술정보통신부의 ‘디지털 공공서비스 혁신 프로젝트’에 응모하는 등 준비 절차를 밟아왔다. 프로젝트에 선정돼 17억 5000만 원의 예산을 확보, 3월 말 조달청을 통해 발주를 진행할 예정이다.
개인정보위는 그간 구축한 개인정보 법령 정보 데이터베이스를 활용할 예정이다. 조달청을 통해 선정된 업체 협업해 AI를 고도화한다. 평가사례에 기반을 둔 시스템을 구축해 개인정보 침해 여부를 스스로 판단하고 추론하는 기준을 만들어나간다는 구상이다.
개인정보위 관계자는 “그간 개인정보 침해평가를 진행하며 만들어 온 평가 기준 매뉴얼이 있다. 법안 자체에 개인정보 보호 조항이 있는지, 개인정보의 수집ㆍ이용ㆍ파기가 어떻게 구성돼있는지를 살펴보는 것”이라며 “업체는 시스템 모델 개발과 로직을 담당하고, 개인정보위는 침해 요소의 기준을 제시해주는 식으로 협업하려 한다”라고 설명했다.
다만 개인정보 침해평가 대상을 차근히 넓혀가야 한다는 점이 과제로 남았다.
의무평가 대상이 아닌 의원입법, 현행법령, 조례를 살펴보려면 법 개정이 필요하기 때문이다. 개인정보위의 침해요인 평가 결과 또한 구속력을 가지지 않는 권고사항이라는 점 또한 한계로 비쳤다. AI 시스템을 갖춰도 말짱 도루묵이 될 수 있다는 것.
개인정보위 관계자는 “법 개정 이전에는 기본적으로 국회 입법조사관들에게 (해당 시스템에 대한) 로그인 접속 권한을 부여하려고 한다”라며 “발의 이전에 기본적으로 (개인정보 침해요인이 있는지) 자가 체크를 할 수 있도록 돕는 것”이라고 설명했다.
이어 “AI가 100% 완벽할 수 없는 만큼 1~2년 정도 사용 추이를 살펴보려 한다”라며 “3년 차쯤 법을 개정하고 (개인정보 침해요인 평가를) 의무화하는 식으로 발전시키려 한다”라고 말했다.