'개인정보자기결정권'은 이제 시대의 대세가 돼 사회적에서 벌어지는 중요 이슈의 한 부문을 차지하고 있다. 변호사 생활을 처음 시작했을 당시, 개인정보는 한 부처의 한 과에서 담당하던 업무였으나, 이제는 독립 행정기관이 담당하는 분야가 됐다. 개인정보가 현대 사회에서 얼마나 중요한 이슈가 되었는지 능히 짐작할 수 있다.
인공지능(AI)과 개인정보. 정확히는 개인정보의 보호에는 긴장감이 존재한다. AI 개발 과정에서 다양한 정보를 학습시켜야 하는데, 학습데이터에는 개인정보가 포함된 정보가 포함되어 있는 것이 보통이다. 그러나 정보주체의 동의 등 개인정보 보호법에 따른 법적 처리 근거를 마련하지 않고, 개인정보가 포함된 데이터를 사용하면 이는 개인정보 보호법 위반이다.
개인정보 보호법은 당연히 준수돼야 한다. 개별 상황에서 법적 처리 근거가 마련되어 있는지 여부를 명확히 판단하기 어려운 상황이 존재한다는 점이 문제의 시작이 된다. 현재 개인정보보호위원회는 이러한 문제를 해결하기 위해 AI 학습을 위한 공개데이터 처리 기준을 발표했다. 영상데이터 활용 방안 등을 추가로 마련해 개인정보 침해가 발생하지 않으면서도 AI 학습을 위해 사용할 수 있는 방안들을 제시하려고 한다는 점에서 매우 고무적이다.
그러나 AI 시대에 맞춰 개인정보보호법을 개정해야 할 필요는 없는지 사회적으로 논의할 필요는 있을 것 같다.
현행 개인정보 보호법에서는 정보주체의 동의가 있거나 법령에서 그 처리를 요구하거나 허용하는 경우가 아니면 생체인식정보를 처리할 수 없다고 정하고 있다. 반면 EU 일반개인정보보호법(GDPR)은 정보주체의 동의에 근거하지 않더라도 정보주체가 명백히 일반에게 공개한 정보인 경우 등에는 민감정보를 처리할 수 있도록 정하고 있다. 우리 개인정보 보호법보다 생체인식정보의 처리에 관해 보다 많은 법적 처리 근거를 두고 있어, AI 학습용 데이터 이용의 가능성을 열어두고 있다.
다만 생체정보인식이 개인의 프라이버시를 침해할 수 있고, 사회적 감시 시스템 구축에 악용될 수 있다는 점을 고려한다. EU 인공지능법에서는 인터넷 또는 CCTV 영상에서 얼굴 정보를 무차별적으로 수집해 얼굴 인식 데이터베이스를 생성하거나 확장하는 데에 사용되는 AI 시스템은 허용되지 않는다고 규정을 하고, 원격생체인식시스템과 민감하거나 보호되어야 하는 속성이나 특성에 관한 추론에 기초한 생체인식 분류용 AI을 '고위험 AI'로 분류해 정보의 활용 방식을 규제하고 있다.
즉, EU에서는 생체인식정보의 경우 정보주체의 동의가 아니더라도 해당 정보를 AI 학습용으로 이용할 수 있도록 허용하되 그 활용의 범위에 따라 다른 형식의 규제를 부과하고 있는 것이다. 이러한 규제 체계는 정보주체의 프라이버시권에 대한 사회적 침해 가능성을 고려하면서도 생체인식정보의 활용 가능성을 높여주고 있다. 이러한 입법형식을 차용할 수는 없을지 고민이 필요한 상황이라고 생각된다.
개인정보 보호법은 개인정보 처리자의 정당한 이익을 달성하기 위해 필요한 경우에 개인정보를 수집해 이용할 수 있다고 정하고 있으면서도 명백히 정보주체의 권리보다 우선하는 경우로 이를 한정하고 있다. 그러나 GDPR은 이와 달리 '명백성'에 관한 사항을 추가 요건으로 규정하고 있지 않다. 물론 GDPR과 개인정보 보호법에 따른 관련 규정들의 해석에 있어서 크게 차이는 나지 않을 수 있다. 하지만 개인정보 보호법 해석에서 명백성 요건으로 인해 양자의 비교형량에 있어서 논란이 벌어질 수 있다. 명백성 요건을 유지할 필요가 있을지 다시 한번 생각할 시점이라고 생각된다.
윤주호 법무법인(유한) 태평양 변호사 juho.yoon@BKL.co.kr