AI 시대의 개인정보 보호 방향성에 대한 고찰 및 시사점

2024-11-13 한미정, 김예진

‘개인정보 보호법’ 체계 정립 경과

정보화 시대 이후 개인정보 보호의 중요성을 강조하는 인식이 확산하기 시작하면서 전 세계적으로 개인정보 보호를 강화하는 방향으로 법 체계를 정립하고 발전시켜 왔다. 미국의 경우, 1973년에 공정정보실행원칙(FIPPs: Fair Information Practice Principles)을 수립하였고, 이를 기반으로 캘리포니아주는 2023년 1월부터 소비자 개인정보 보호법(CCPA: California Consumer Privacy Act)을 대체하여 한층 강화된 개인정보 보호 권리법(CPRA: California Privacy Rights Act)을 시행하고 있다. 한편으로, EU에서는 2018년 5월에 일반 개인정보 보호법(GDPR: General Data Protection Regulation)이 발효되어 시행 중이고, 일본에서는 2003년 5월에 개인정보 보호법이 처음 제정되었고, 이를 3년 주기로 개정하여 2022년 4월부터 개정된 개인정보 보호법(Japanese Personal Information Protection Law)을 전면 시행하고 있다.

[그림 1] 글로벌 주요 개인정보 보호법 시행 현황

우리나라는 이러한 글로벌 흐름에 더해 몇몇 주요 유출 사고에 따른 특수성까지 반영하여 해당 법/규제를 발전시켜 왔으며, 대표적으로 2020년 8월 이른바 데이터3법(개인정보 보호법, 정보통신망법, 신용정보법)을 시행하였다. 개인정보 보호법은 추가 정보 없이는 특정 개인을 알아볼 수 없는 ‘가명정보’ 개념을 도입하였고, 개인정보 유출 등을 감독할 컨트롤타워로서 개인정보보호위원회(이하, 개인정보위)를 출범시켰다. 신용정보법은 금융 분야 빅데이터 분석에 가명정보를 이용 가능하도록 하였으며, 정보통신망법은 온라인상 개인정보 감독 기능을 개인정보위로 이관시켰다.

[그림 2] 디지털3법 주요 내용

이후 2023년 3월 개인정보의 안전한 활용을 촉진할 목적으로 개인정보 보호법이 개정된 바 있다. 동 개정의 특징은 첫째로 정보주체가 개인정보를 주도적으로 유통·활용할 수 있게끔 권리 보장을 강화한 것이다. 예를 들어, A 통신사 이용 중 B 통신사로 변경할 때 A 통신사에서 B 통신사로 개인정보 전송을 요구할 수 있는 권리를 신설함으로써, 공공·민간·금융 전 분야에 마이데이터(MyData)* 추세가 확산하였다.
*개인이 자신의 정보를 적극적으로 관리·통제하는 것은 물론 이러한 정보를 신용이나 자산관리 등에 능동적으로 활용하는 일련의 과정
둘째로 글로벌 스탠다드에 부합하도록 법 제도를 정비하였다. 국경을 넘어서 이뤄지는 온라인 전자상거래의 확대로 개인정보 해외 이전 필요성이 높아지고 있는 상황에서, 당시 기업은 고객의 개인정보를 해외로 이전할 때 동의를 구해야 하는 절차가 부담되었다. 더해서 소비자의 동의만 이뤄지면 개인정보 보호가 취약한 지역으로도 정보 이전이 가능하다는 허점이 있었다. 이에 ‘개인정보 국외이전 방식 다양화 및 중지 명령’을 신설하여 개인정보의 국외이전 요건을 다양화하는 동시에, 개인정보를 적정하게 보호하고 있지 않을 때는 이를 중단할 수 있는 ‘중지 명령권’을 신설하였다. 또한 형사 처벌 위주로 이루어지던 개인정보 침해에 대한 책임을 경제 제재 중심으로 전환하여 보호·예방의 실효성을 확보하는 동시에 이러한 경제 제재를 중심으로 변모해 가는 글로벌 트렌드에도 부합하고자 하였다.

셋째로 디지털 중심으로 법 체계를 정비하였다. 일례로, 공개된 장소에서 업무 목적으로 드론, 자율주행차, 블랙박스 등 이동형 영상정보 처리기기를 이용한 개인영상정보 촬영을 제한하였다. 또한 온·오프라인 이중 규제 일원화로 불합리한 규제를 정비하였다. 예컨대 기존에는 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화로 기업의 법 적용 혼선 및 이중 부담이 발생했다. 온·오프라인 서비스의 경계가 모호한 상황에서 이러한 혼선을 없애기 위해 정보통신 서비스 특례 규정을 폐지하고 일반 규정으로 일원화한 바 있다.

[그림 3] 주요 법 개정 내용

AI 시대 개인정보 처리 환경의 변화

[그림 4] AI 시대 개인정보 처리 환경 변화

이와 같이 개인정보 보호는 시대적 흐름에 맞춰 변화해 왔지만, AI 시대가 도래하면서 이전과 다른 처리 환경을 직면하게 되었다.

첫째로 데이터 처리 방식이 변화하였다. 기존에는 사전에 개인정보 수집 목적 및 항목을 특정하여 동의를 획득하는 방식으로 데이터를 처리하였다. 반면 AI는 개발·학습 과정에서 대규모로 데이터를 처리하게 되고 서비스 매개는 존재하지 않게 되었다.

두 번째로 위험의 종류가 다양해졌다. 기존에는 유출, 목적 외 이용 등 예측 가능한 정형적 위험이 있었지만, AI 시대에는 AI 유형·용례별로 다양한 위험 요소가 상존하고 있다. 따라서 개인정보 보호에 대한 신뢰를 구축하면서도 신사업 및 서비스 개발 혁신을 저해하지 않는 방향으로 나아가는 것이 보다 중요해졌다.

마지막으로 글로벌 스탠다드 강화의 필요성이 특히 부각되었다. 기존에는 개인정보 보호법이 국가마다 조금씩 차이가 있었으나, AI 서비스에는 국경이 존재하지 않으므로 통용되는 원칙 수립이 더욱 중요해졌다. 이러한 특성과 변화를 반영하여, AI 시대의 개인정보 보호는 1) 규정 중심에서 원칙 중심으로, 2) 기업·연구자 중심의 혁신을 제고하는 방향으로, 3) 신뢰 기반 구축을 강조하는 방향으로 발전하고 있다.

[그림 5] AI 시대의 개인정보 보호 방향성

AI 시대의 개인정보 보호

원칙 중심의 AI 규율 체계 마련

AI 서비스가 고도화되면서 AI가 가져오는 편익에 대한 기대가 높아지고 있다. 이에 AI 시대의 개인정보 보호는 AI에 대한 기대와 우려 사이에서 AI의 편익은 극대화하면서도 사회적으로 수용 가능한 개인정보 보호환경 조성을 위해 규제가 아닌 ‘원칙 중심의 규율 체계’를 강조하고 있다. 개인정보 보호의 환경이 급격히 변화하면서 생긴 법적 근거의 모호성 또는 부재를 해결하기 위해 새로운 규정을 만들어 일률적으로 적용하기보다는 기본 원칙을 수립하고 기업·연구자가 개인정보의 침해·누출의 위험성을 사전에 최대한 통제하도록 함으로써 AI가 주는 편익을 저해하지 않겠다는 것이다.
이러한 움직임의 예로 가명·익명 처리기준 합리화를 통해 기업 및 연구자의 애로를 해소하고, 기존 가이드라인의 문제점을 해결하고자 한 ‘이미지·영상·음성 등 비정형데이터 가명 처리 기법 안내’를 들 수 있다. AI 기술의 발달로 데이터 활용 수요가 전통적 정형데이터에서 비정형데이터로 변화하고 있으나, 기존 가이드라인은 정형데이터 기준으로 비정형데이터의 고유 특징과 AI 시대 기술 발전 등을 반영하지 못하는 면이 있었다. 이에 정부는 2024년 2월 비정형데이터 가명 처리의 기본 원칙을 수립하였다.

첫 번째 원칙은 데이터 처리 목적·환경, 민감도 등 데이터 처리 맥락*을 종합적으로 고려하여 개인식별 위험성이 있는 정보를 판단하고, 합리적인 처리 방법과 수준을 설정해야 하는 것이다.
*개인식별 가능/불가능 정보의 구분이 상대적이며, 데이터 맥락에 따라 다르게 판단될 수 있음(예: 얼굴 CT 한 장으로는 식별 위험이 낮지만, 여러 위치·각도에서 촬영한 사진 여러 장을 결합하면 식별 위험성 증가)
두 번째는 가명 처리 기술의 한계* 등을 보완하기 위해 사전 준비 단계부터 위험성을 충실히 검토하고 적절한 안전 조치를 수행해야 한다는 것이다.
*비정형데이터 내 개인식별 위험성이 있는 모든 항목을 완벽하게 탐지·처리할 수 있는 기술 부재
마지막으로 데이터 복원 기술 발달 등에 의한 재식별 공격 위험* 등에 대응하여, 가명 처리된 비정형데이터 활용 시 관련 시스템 및 SW의 접근·사용 제한 등 통제 방안을 마련해야 한다는 것이다.
*AI 및 데이터 복원 기술 발달로, 다른 정보와의 연계·결합 없이도 개인 재식별 공격 위험성 증가(예: 음성변조 규칙을 몰라도 화자의 원본 목소리를 복원할 수 있는 기술 존재)

[그림 6] 정형/비정형데이터 차이점

	정형데이터	비정형데이터
정의	정해진 규칙에 맞게 구조화된 형식으로 존재하는 데이터 예)DB에 열과 행으로 저장된 테이블 형식의 자료 등	일정한 규격이나 정해진 형태가 없이 구저화되지 않은 데이터 예)사진, 비디오, 통화음성, 대화기록, 보고서, 메일 본문 등
특징	데이터 연산, 분석 등 데이터 처리 방식 및 가명 처리 기술, 방법이 비교적 단순	연구 목적과 환경에 따라 데이터 처리 방식 및 가명 처리 기술, 방법이 복잡,다양

또한 2024년 7월에는 AI 개발·서비스에 이용되는 ‘공개 데이터’ 처리기준이 제시되었다. 이는 AI 개발에 공개된 개인정보를 활용할 수 있는 법적 근거의 모호성을 해결하기 위한 기준으로 여러 주요국에서는 이미 이러한 기준 수립이 추진되고 있었다. 대표적으로 EU에서는 2024년 5월부터 충분한 안전 조치를 갖추었을 때 적법성 확보가 가능하게 하였고, 미국에서는 2024년 4월 공개된 정보를 개인정보 범위에서 제외하는 입법을 추진하였다. 이러한 글로벌 트렌드에 부합하는 동시에 현장의 불확실성을 해소할 수 있도록 우리나라에서도 공개 데이터*내 개인정보의 적법한 처리기준이 마련되었다. 공개 데이터에는 주소, 고유식별번호, 신용카드번호 등 여러 개인정보가 포함될 수 있어 프라이버시가 침해될 우려가 큰 것이 사실이나, 현행 개인정보 보호법은 공개된 개인정보 처리에 적용될 수 있는 명확한 기준이 없다. 이에 개인정보위는 공개된 개인정보 수집·활용의 명확한 기준을 제시하고 개발 및 서비스 단계에서 어떤 안전 조치를 취하는 것이 적정한지에 대해 기업이 참고할 수 있는 최소한의 기준을 마련하였다.
*인터넷상 누구나 합법적으로 접근할 수 있는 데이터로, 챗지피티(ChatGPT) 등 생성형 AI를 개발하기 위한 학습 데이터의 핵심 원료
먼저 해당 기준은 ‘정당한 이익’에 의해 공개된 개인정보를 AI 학습·서비스 개발에 활용할 수 있다는 점을 분명히 했다. 단, 이러한 ’정당한 이익’ 조항에 적용되기 위해서는 △목적의 정당성(예: 의료 진단 보조, 신용평가 등) △공개된 개인정보 수집·이용의 필요성 △구체적 이익 형량 확보 등의 조건을 만족시켜야 한다. 또한 개인정보를 처리하기 위해 고려할 수 있는 기술적*·관리적** 안전성 확보 조치와 정보주체 권리 보장*** 방안을 구체화했다. 다만, 기업은 동 기준에 제시된 모든 안전 조치를 취해야 하는 것은 아니며 기업 특성에 맞는 ‘안전 조치의 최적 조합’을 스스로 선택할 수 있도록 하였다.
*기술적 안전 조치: 개인정보의 안전한 저장·관리, 학습 데이터 수집 출처 검증·관리 등
**관리적 안전 조치: AI 프라이버시 레드팀 구성, 학습 데이터 처리기준 정립 및 개인정보 처리방침 공개 등
***정보주체 권리 보장: 공개된 개인정보 수집 사실 및 주요 수집출처 안내 등
이 밖에도 정부는 이동형 영상기기를 통해 촬영된 영상을 AI 개발에 활용할 수 있는 구체적인 기준을 연내에 마련할 계획이다. 자율주행차, 로봇 등 영상처리기술에 기반한 산업 발전에도 불구하고 그간 관련 규정 미비로 산업계에서는 어려움을 호소해 왔다. 이에, 이동형 영상정보 처리기기에 의해 처리되는 개인정보의 보호와 활용의 합리적인 균형을 위한 규율 체계를 신설할 예정이다. 다시 말해, 영상기기 운영자 및 제품·서비스 개발자 등이 참조할 수 있는 의무 및 권고 사항과 구체적 사례를 제시하여 법적 불확실성 해소와 함께 첨단 기술 발전에 기여할 수 있는 기반을 갖출 예정이다. 이와 더불어 합성 데이터의 생성·활용 기준 또한 연내에 마련할 계획이다. 개인정보에 대한 법적 제약 없이 AI 학습에 활용할 수 있는 합성 데이터 활용 절차 및 기준이 수립될 예정이며, 이를 통해 합성 데이터를 안전하게 생성·활용할 수 있도록 함으로써 합성 데이터 시장이 지속 확장될 수 있도록 지원할 계획이다.

기업·연구자 중심의 혁신 제고 환경 조성

AI 시대의 프라이버시는 또한 기업·연구자 중심으로 스스로 개인정보 보호에 노력을 기울이도록 유도하면서 혁신을 제고하는 환경을 조성하는 것을 강조하고 있다. 일례로 ‘규제 샌드박스*’를 통해 새로운 시도를 先허용 後제도 개선을 추진하는 일이 왕왕 추진되고 있다. 예를 들어, 자율주행·로봇 기업 등이 안전 조치를 준수하면 정보주체의 동의 없이 영상원본을 활용할 수 있도록 허용하였다. 이는 가명정보를 활용할 때 자율주행 상황에서 보행자 인식의 오류 발생 가능성이 높아지지만, 원본을 활용할 때는 보행자 정상 인식 등 AI 알고리즘의 성능 고도화에 이바지할 수 있는 것을 감안한 조치이다. 또 첨단바이오 분야 국제공동연구에 필요한 가명 데이터셋을 환자 동의 없이도 활용할 수 있도록 허용한 사례가 있으며, 향후 가명정보 국외이전 요건(정보주체의 동의 등) 개선으로 국제공동연구를 활성화하는 방향으로 유도할 예정이다.
*사업자가 신기술을 활용한 새로운 제품과 서비스를 일정 조건(기간·장소·규모 제한)에서 시장에 우선 출시해 시험·검증할 수 있도록 현행 규제의 전부나 일부를 적용하지 않는 것
또한 기업·연구자 등이 안전성이 확보된 환경에서 유연하게 가명화된 데이터를 분석할 수 있는 ‘개인정보 안심구역’ 도입을 올해 초부터 추진해 왔다. 개인정보 안심구역이란 기술적 안전 조치를 취하고, 사전·사후적 데이터 처리 과정 통제 등 환경적 안정성을 갖추면, 기존에 사실상 제한되어 왔던 가명정보 처리를 유연하게 할 수 있도록 하는 제도이다. 2024년 10월 현재 암 데이터 분석을 통한 항암제 타깃 유전자 발굴 등을 위해 국립암센터, 맞춤형 복지 실현 등을 위해 한국사회보장정보원 등 5개 기관을 개인정보 안심구역 시범운영 기관으로 지정하였다. 개인정보 활용은 기존에는 △단기 활용(통상 6개월~1년), △일회성 활용 후 파기, △가명 처리 적정성 전수검사 시행, △결합키* 사용 제한 등을 준수해야 했다. 그러나, 개인정보 안심구역이 본격 운영되면서 △장기 활용(5년+연장 가능), △재사용·제3자 활용, △빅데이터 샘플링 검사, △결합키* 다양화 등을 허용하면서 안정성을 확보하고, 유연하게 가명화된 데이터를 분석할 수 있는 환경을 조성하고자 하고 있다.
*가명정보의 일부분으로, 해당 정보만으로는 특정 개인을 식별할 수 없지만 다른 결합 대상 정보와 구분하기 위해 사용되는 값을 말함. 결합 과정에서 서로 다른 가명정보를 연결하는 데 사용됨

[그림 7] 개인정보 안심구역 도입

기존	안심구역 도입 후
단기 활용(통상 6개월~1년)	장기 활용(5년 이상 연장 가능)
일회성 활용 후 파기	재사용 및 제3자 활용 가능
가명처리 적성성 전수검사(비용/시간)	빅데이터 샘플링 검사 허용(비용/시간 절약)
결합키 사용 제한	결합키 다양화(결합률 향상)

또한 규제 불확실성 해소를 위한 ‘사전적정성 검토제’를 2023년 10월부터 시범 운영하고, 2024년 4월부터 본격 시행하였다. 사전적정성 검토제란 AI 등 신서비스 및 신기술 분야에서 개인정보 보호법을 준수하는 방안을 민간사업자와 정부가 함께 마련하고, 이를 사업자가 적절히 적용하였다면 추후 환경·사정 변화가 없는 한 행정처분 대상에서 제외하는 제도이다. 의결 사례로는 한 인적자원 채용 플랫폼 회사의 사례로, 구직자가 스스로 특정 기업을 선택해 입사 지원을 하는 경우 개인정보 제3자 제공·동의를 별도로 재차 받지 않아도 된다는 취지의 내용이다. 획일적·관행적 동의를 강제한다면 국민이 동의 절차에 오히려 무감각해질 수 있다는 것이다.

또한 공익 목적의 AI 개발을 위한 데이터 공유 및 활용 지원이 활발해졌다. 정부는 통신 3사가 수시기관의 보이스피싱 통화 데이터를 제공받아 AI를 개발할 수 있도록 법령 해석 및 가명정보 활용을 지원하였으며, AI 기반 지능형 재난 관제 체계 전환을 위해 지자체 CCTV 영상을 학습 데이터로 활용 및 공유할 수 있도록 하는 등 공익 목적의 데이터 공유 및 활용을 활발하게 지원하고 있다. 특히, 각 지자체에 분산된 실제 재난 발생 상황 CCTV 영상을 통합하여 지능형 관제 체계 AI 개발을 위한 학습 데이터로 활용할 수 있도록 한 바 있다. 또한 현재는 개인 얼굴을 비식별 처리하여 학습 데이터로 활용하고 있으나, 향후 영상원본이 필요한 경우 법률 개정 등을 추진할 계획이다.

마지막으로 기업 혁신을 지원하기 위해 개인정보위 위원장 직속 원스톱 창구를 2024년 8월 신설하였다. 창구의 단일화, 문제의 실질적 해결, 답변의 신속성 등을 갖춘 사업자 친화적 지원 창구로, 동 창구는 소극적 답변 제공에 그치지 않고, 기업의 애로사항을 해결하는 실질적 대안 제시를 목표로 하고 있으며 5일 이내 1차 답변을 제공하는 것을 원칙으로 한다.

[그림 8] 기업·연구자 중심 혁신 제고 환경 조성을 위한 정책 지원

신뢰 기반 구축

AI 시대에 개인정보 보호는 신뢰를 기반으로 한 구축을 특히 강조하고 있다. 먼저 사람의 개입이 없는 ‘완전히 자동화된 결정*’이 내려지는 영역에서 개인정보 처리의 투명성 확보와 정보의 제공 등 대응권을 보장하려고 하고 있다. 개인정보 처리의 투명성 확보란 자동화된 결정의 기준 및 절차, 처리되는 방식 등을 사전에 공개하는 것으로, 표준화·체계화된 용어 및 시각화된 방법을 활용해야 한다. 정보의 제공 등 대응권 보장은 설명 요구, 의견 제출 및 검토 요구에 간결하고 의미 있는 설명을 제공하는 동시에 의견 반영 여부를 검토하고 결과를 통보하는 등 대응권을 보장한다는 의미이다.
*완전히 자동화된 시스템(AI 기술을 적용한 시스템 등)으로 개인정보를 처리하여 이루어지는 결정
아울러, 공공기관에 대해서도 정보보호 제고를 위해 ‘공공기관 보호수준 평가제’를 도입했다. 종전 공공기관 관리수준 진단은 평가대상 선정, 평가 절차, 진단 결과 및 개선·이행 조치 등에 대한 명확한 법적 근거가 없어 진단 결과 환류에 어려움이 있었다. 그러나 보호수준 평가가 시행됨에 따라 개선 권고 및 조치 결과 요구할 수 있을 뿐 아니라 미흡 기관은 현장 컨설팅 및 실태 점검 시행이 가능하게 되었다. 또한 자료 미제출·부실 제출 시 과태료 부과도 가능해졌다.

이와 더불어, ‘개인정보 처리방침 평가제’ 및 ‘전문 CPO 제도’를 도입하였다. 개인정보 처리방침 평가제의 경우, 2024년 6월 평가 계획을 확정하고, 7개 분야* 49개 기업·기관에 대한 평가를 실시할 계획을 발표했다. 평가기준은 법상 처리방침에 포함하도록 규정한 사항을 구체적이고 적정하게 수립하였는지, 정보주체가 이해하기 쉬운지, 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 등 적정성, 가독성, 접근성 등을 평가하고 있다. 또한 개인정보 분야 전문성·독립성을 갖춘 전문 CPO 제도를 도입하였는데, CPO(개인정보보호책임자, Chief Privacy Officer)는 정보 접근을 보장하고, 대표자 또는 이사회에 직접 보고할 수 있도록 하고, 조직 체계 및 자원 등을 제공받을 수 있도록 하였다.
*빅테크, 온라인 쇼핑, 온라인 플랫폼(주문 배달, 숙박, 여행), 병의료원, 온라인 동영상 서비스, 엔터테인먼트, AI 채용

향후 과제 및 기업에의 시사점

AI가 주는 편익 및 혁신을 저해하지 않으면서 수용 가능한 개인정보 보호환경 조성을 위해 정부는 그간 다각도로 노력을 기울여 왔다. 그러나, AI 시대의 도래로 개인정보 처리·활용 환경이 급격하게 변화하면서 야기된 개인정보 누출 위험성 증가 및 법적 근거의 모호성·부재 등을 해결하기 위해서는 아직 해결해야 할 과제가 남아있다.

첫째로, AI 시대에 대응한 개인정보 법제 개선이 이루어져야 한다. 규제를 확대하는 것이 아니라 기업·연구자가 변화된 환경하에서 유연하게 개인정보를 처리할 수 있도록 적법 처리의 근거가 마련되어야 한다. 예를 들어, 공익적 AI 개발 등에는 개인정보 활용이 가능하도록 적법 처리 근거를 확대해야 한다. 아울러, AI·클라우드 기반 글로벌 교역 확대 등을 고려한 국외이전 수단이 다양화되어야 할 것이다.

둘째로, 지속 가능한 혁신 지원 체계를 정비하여야 한다. 개인정보위 위원장 직속 원스톱 창구 등과 같이 기업 애로사항이 신속하게 해소될 수 있도록 정책적 수단을 마련해야 할 것이다. 또한 가명정보 활용을 확대하여 혁신적 서비스 및 연구가 지속될 수 있도록 지원해야 한다. 아울러, 이러한 개인정보 보호·활용이 적극적·지속적으로 이루어질 수 있도록 기술 개발 및 인재 육성에 대한 투자를 아끼지 않아야 할 것이다.

반면 기업은 이러한 변화되는 환경하에서 신사업·신서비스를 지속 발굴하면서 개인정보 보호에 대한 신뢰를 획득해야 한다.

이를 위해 기업은 첫째로 정부가 내세우는 개인정보 보호 원칙을 철저히 준수해야 한다. 정부는 달라진 데이터 처리·활용 환경하에서 AI의 편익을 저해하지 않으면서 프라이버시를 존중하기 위해 비정형데이터 가명 처리 기법, 공개데이터 처리기준 등 몇 가지 원칙을 발표했다. 해당 원칙에서 제안·권고하는 것들을 철저히 준수함으로써 사전에 개인정보 유출 사고 위험성을 최대한 통제해야 한다. 공통적으로 기업이 처한 상황에 따라 취할 수 있는 조치를 선택할 수 있도록 한 만큼 최적화된 조합의 안전 조치를 취함으로써 프라이버시 침해의 위험성을 사전 차단해야 할 필요가 있다.

두 번째로 정부가 내세우는 혁신 지원 제도를 최대한 활용할 필요가 있다. 앞서 얘기한 바와 같이, 정부는 기업들이 신서비스·신기술 기획·개발 단계에서 기존 선례·해석만으로 명확한 개인정보 보호 준수 방안을 찾기 어려운 경우를 위해 사전적정성 검토제를, 기존 법령에 관련 규제가 없거나 불분명한 경우 규제 샌드박스를, 가명정보의 유연한 활용을 촉진하기 위해 개인정보 안심구역 제도를 활용하도록 하였다. 이를 통해 기업·연구자가 스스로 개인정보 보호에 노력을 기울이도록 하는 동시에 혁신을 제고하는 환경을 조성하고자 하였다. 그뿐만 아니라 기업이 처한 관련 애로사항을 신속하고 적극적으로 해결하기 위해 원스톱 창구도 개설하였다. 따라서, 기업은 지속적 혁신을 위해 제공하는 정책적 혜택 및 편의를 적극 활용하여야 한다.

마지막으로 개인정보 보호에 대한 신뢰 구축에 노력해야 한다. 전문성과 독립성을 갖춘 CPO가 적절한 권한을 가지고 관련 조직과 자원을 제공받을 수 있도록 하는 동시에, 지속적으로 적극적인 개인정보 처리·활용이 가능하도록 후속 세대를 양성하는 데 지원을 아끼지 않아야 할 것이다. AI의 편익을 극대화하고, 혁신을 지속하는 동시에 신뢰할 수 있는 개인정보 보호환경 조성을 하는 것이 요구되는 시점이다.

이 글이 좋으셨다면 구독&좋아요

여러분의 “구독”과 “좋아요”는
저자에게 큰 힘이 됩니다.

한미정, 김예진

삼성SDS ESG기획그룹