공공기관에서 인공지능을 활용하려는 경우가 많아지고 있습니다.
그럼에도 불구하고 그동안은 개인정보 영향평가에서 인공지능 분야 별도 기준이 없어
이 부분의 평가 항목을 개별적으로 마련했어야 했는데요.
이번 개인정보위원회의 「개인정보 영향평가에 관한 고시」 개정안을
2025년 9월 5일 시행하면서부터
공공기관의 인공지능(AI) 도입·활용 시의 개인정보 영향평가 기준이 마련되었습니다.
인공지능(AI) 분야 개인정보 영향평가 평가분야 신설
이번에 신설된 인공지능(AI) 분야는 세부 분야로
인공지능(AI) 시스템 학습 및 개발과 인공지능(AI) 시스템 운영 및 관리로 나뉘어지고
주요 평가항목은 다음과 같습니다.
|
평가분야 |
세부분야 |
주요평가항목(안내서) |
|
인공지능(AI) |
인공지능(AI) 시스템 학습 및 개발 |
■ 개인정보 처리의 적법성 보장 ■ 불필요한 민감정보 등 수집 방지 ■ 학습데이터 보유기간 명확화 ■ AI 취약점 공격에 의한 개인정보 유·노출 등 최소화 |
|
인공지능(AI) 시스템 운영 및 관리 |
■ AI 개발‧운영 주체 간 책임 명확화 ■ 개인정보 처리의 투명성 확보 ■ 생성형 AI 서비스의 허용되는 이용방침 제공 ■ 정보주체 권리보장 방안 수립·시행 |
이 기준은 그동안 인공지능 도입 시 개인정보보호법 적용 안내를 위한 다양한 가이드라인을 기반으로 제작되었습니다.
* 인공지능 개발· 서비스를 위한 공개된 개인정보 처리 안내서(‘24.7.),
안전한 인공지능 데이터 활용을 위한 인공지능 프라이버시 리스크 관리모델(’24.12.),
인공지능 개발·활용을 위한 개인정보 처리 안내서(‘25.8.) 등
상세 평가 항목은 개인정보 영향평가 수행안내서를 통해 구체적인 내용이 공개됩니다.
(미리보기) 인공지능 개인정보 영향평가 주요 내용
1) AI 시스템 학습 및 개발
AI 시스템을 구현하기 위해 내부 데이터를 학습하는 경우가 많아지고 있습니다.
이 과정에서 개인정보가 검출되어 이슈가 된 사건들이 많았습니다.
출력 답변에 이름/주소/민감정보가 검출되었던 챗봇 서비스사건을 모두 기억하실 것입니다.
이러한 부분을 방지하기위한 내용으로 주요 내용은 다음과 같습니다.
|
항목 |
상세내용 |
|
개인정보 처리의 적법성 보장 |
개인정보가 포함된 AI 학습용 데이터 수집 시 적법한 처리근거 (예: 동의, 법률, 계약이행, 정당한 이익 등) 확보 |
|
불필요한 민감정보 등 수집 방지 |
공개된 개인정보를 수집하여 AI 학습에 활용하는 경우 민감정보, 14세 미만 아동 정보, 불법유통 개인정보 등이 포함되지 않도록 기술적‧관리적 안전조치 마련 |
|
학습데이터 보유기간 명확화 |
AI 학습데이터 수집 목적 및 적법근거 등을 고려하여 보유기간을 정하고, 불필요하게 되었을 때에는 지체 없이 파기 |
|
AI 취약점 공격에 의한 위험 최소화 |
AI 시스템의 유형·특성·용례·구성 방식 등을 고려하여 AI 취약점 공격에 의한 개인정보 유·노출 등 위험을 식별하고 이에 대한 안전조치 마련 |
|
AI 시스템 학습 및 개발 |
5.7.1 |
AI 학습‧개발 및 운영을 위해 개인정보를 수집‧이용하는 경우, 이에 따른 적법 요건을 확인하고 이를 준수할 수 있도록 계획하고 있습니까? |
|
5.7.2 |
공개된 개인정보를 수집하여 AI 학습에 활용하는 경우, 민감정보, 고유식별정보, 14세 미만 아동의 개인정보, 불법 유통 개인정보 등이 수집되지 않도록 필요한 조치를 계획하고 있습니까? |
|
|
5.7.3 |
AI 학습을 위한 개인정보 또는 개인정보를 포함한 입력 프롬프트 등이 제3자로 이전되어 처리되는 경우, 제3자 제공 또는 위탁 여부에 따른 적법 요건을 갖추도록 계획하고 있습니까? |
|
|
5.7.4 |
AI 학습을 위한 개인정보, 개인정보를 포함한 입력 프롬프트 등이 국외로 이전(제공, 처리위탁, 보관)되어 처리되는 경우, 국외 이전에 따른 적법 요건을 갖추도록 계획하고 있습니까? |
|
|
5.7.5 |
AI 학습데이터의 보유기간을 정하고, 보유기간이 경과하거나 AI 학습·개발 또는 운영 종료 등으로 학습데이터가 불필요하게 되었을 때에는 지체 없이 파기하도록 계획하고 있습니까? |
|
|
5.7.6 |
AI 취약점 공격에 의한 개인정보 유ㆍ노출 등 위험을 최소화하기 위한 대책을 계획하고 있습니까? |
2) AI 시스템 운영 및 관리
개발/구축/도입한 AI 시스템을 실제 운영하고 관리하기 위해서 필요한 항목들입니다.
실제 개발 및 운영 주체간 책임과 역할을 명확하게 정의하였고
개인정보 처리 투명성이나 이용 가이드/신고절차에 대한 부분이 정리되어있습니다.
|
항목 |
상세내용 |
|
AI 개발·운영 주체 간 책임 명확화 |
오픈소스‧API 등 다양한 개발‧배포 방식에 따라 참여자 간 권한‧역할‧책임 등을 명확히 정의 |
|
개인정보 처리의 투명성 확보 |
AI 시스템에서 처리되는 개인정보 현황을 정보주체가 쉽게 이해할 수 있도록 개인정보 처리방침 등에 공개 |
|
생성형 AI 서비스 이용 가이드 제공 |
‘허용되는 이용 방침’을 공개하여 국민이 안전하게 서비스를 이용할 수 있도록 가이드라인 제시 |
|
개인정보 침해 구제절차 강화 |
생성형 AI 시스템의 부적절한 답변, 개인정보 유‧노출 등에 대한 신고 기능 및 정보주체 의도에 반하여 생성된 얼굴‧목소리 등의 삭제 요청 처리 절차 마련 |
|
AI 시스템 운영 및 관리 |
5.7.7 |
오픈소스‧API 등 개발‧배포 방식 특성에 따라 AI 시스템 개발 및 운영 전 주기에 참여하는 관련 기업·기관의 권한 및 역할, 정보주체 권리보장 책임, 협력체계 등을 명확히 정의하고 이를 계약서, 라이선스, 사용지침 등에 반영하도록 계획하고 있습니까? |
|
5.7.8 |
AI 시스템에서 사용하는 개인정보 현황을 정보주체가 쉽게 이해할 수 있도록 개인정보 처리방침 등에 공개하도록 계획하고 있습니까? |
|
|
5.7.9 |
생성형 AI 서비스를 제공하는 경우, 허용되는 이용방침(Acceptable Use Policy)을 공개하도록 계획하고 있습니까? |
|
|
5.7.10 |
생성형 AI 시스템의 부적절한 답변, 개인정보 유‧노출 등에 대한 신고 기능을 갖추고, 정보주체의 의도에 반하여 AI 출력물에 생성된 얼굴·목소리 등의 삭제 요청에 관한 조치 등 정보주체 권리보장 방안을 수립‧시행하도록 계획하고 있습니까? |
|
|
개인정보 침해 구제절차 강화 |
5.7.10 |
생성형 AI 시스템의 부적절한 답변, 개인정보 유‧노출 등에 대한 신고 기능 및 정보주체 의도에 반하여 생성된 얼굴‧목소리 등의 삭제 요청 처리 절차 마련 |
공공기관 인공지능 도입 시 보안을 고려하신다면?
이렇게 공공기관 개인정보 영향평가 기준이 나온만큼
인공지능 신규 프로젝트를 수행중인 공공/지자체라면
보안사항을 검토하고 고려하여야합니다.
개인정보보호 전문 기업 컴트루테크놀로지의
AI 보안 솔루션 – SphinxAI(스핑크스AI)를 통해
①AI 시스템 학습 및 개발
②AI 시스템 운영 및 관리
두 측면에서의 보안 사항을 검토해보세요.
생성형 AI 도입 시 개인정보 유출, 노출에 대응하기 위한 전략!
필수적으로 진행되어야 합니다.
조달로 간편하게 도입하세요! AI를 위한 보안 솔루션 스핑크스 AI
또한 SphinxAI는 조달등록된
생성형 AI 데이터 보안 솔루션입니다.
공공기관, 지자체 문의 시
서울/수도권/지방 모두 지원 가능하오니
연락주세요!
데모 및 문의가 필요하시다면 언제든 연락 부탁드립니다.🫡
서비스 문의
02-396-7005 (503~505)
ask@comtrue.com
Posted by. ComTrue Technologies, Inc.
AI PLATFORM – COMETRUE.AI
