인문학
사회과학
자연과학
공학
의약학
농수해양학
예술체육학
복합학
DBpia AI
AI 에이전트
AI 아이디어
AI 리더
AI 뷰어
Citeasy
크롬 서지관리 다운로드
지원사업
학술연구/단체지원/교육 등 연구자 활동을 지속하도록 DBpia가 지원하고 있어요.
커뮤니티
연구자들이 자신의 연구와 전문성을 널리 알리고, 새로운 협력의 기회를 만들 수 있는 네트워킹 공간이에요.
논문 기본 정보
- 자료유형
- 학위논문
- 저자정보
- 지도교수
- 정상조
- 발행연도
- 2024
- 저작권
- 서울대학교 논문은 저작권에 의해 보호받습니다.
이용수403
초록· 키워드
상세정보 수정요청해당 페이지 내 제목·저자·목차·페이지정보가 잘못된 경우 알려주세요!
정보주체의 명시적인 동의에 기초하여 개인정보를 인공지능 학습 목적으로 이용할 경우 개인정보의 처리목적이나 내용을 4가지의 법정 고지사항에 정확히 기재하는 것이 기술적으로 곤란하다. 인공지능의 특성상 데이터의 분석 과정에서 데이터의 처리 목적이 재설정되거나 데이터의 분석을 통해 전혀 새로운 목적이 도출·파생될 수 있기 때문이다. 또한 인공지능이라는 새로운 환경하에서는 개인정보의 처리 내용 자체가 기술적 세부 사항과 상세한 법적 내용에 해당하기 때문에 평균적인 이용자가 이해할 수 있는 범위를 넘어서게 된다는 문제점도 있다. 이처럼 새로운 제4차 산업혁명 시대의 정보주체는 개인정보의 처리로 발생할 위험과 혜택에 대해 완전히 평가하는 것 자체가 불가능하게 되므로, 종래의 ‘고지 및 인지와 이해’를 전제로 한 동의 모델을 기초로 하여 개인정보를 인공지능 학습용 데이터로 이용하는 것은 이제 한계 상황에 직면하였다고 할 수 있다. 이와 같이 인공지능의 고유한 특성으로 인해 정보주체의 명시적인 동의를 전제하는 경우에조차 개인정보 활용 측면에서 한계점이 나타나고 있는 상황이므로, ‘정보주체의 동의가 있었을 것으로 추단되는 상황’을 가정적으로 판단하여 개인정보의 적법 처리 여부를 판단하는 종전 판례의 기준은 그 타당성이 현저히 저하되었다고 할 것이다.
특히 공개된 개인정보의 경우 인공지능 모델을 개발하려는 기업들이 이를 활용하여야 할 필요성이 압도적으로 높으나, 종전 대법원 판례만을 기준으로 적법 여부를 판단하고자 할 경우 판단기준이 모호하여 공개된 개인정보의 활용이 현실적으로 불가능하게 될 우려가 크다. 또한 인공지능 학습 데이터의 경우 비식별처리에 있어 많은 한계점이 존재하므로, 현행 개인정보보호법에 의하면 자칫 공개된 개인정보를 인공지능 학습 목적으로 사용하지 못하게 되는 상황이 발생할 수 있다. 이러한 불합리한 결과를 방지하기 위해서는 우선 인공지능 학습데이터 처리를 위해 정보주체의 사전 동의만을 획일적인 기준으로 하는 기존의 opt-in 방식의 규제를 전면적으로 개선할 필요성이 있다.
개인정보자기결정권은 결코 침해되어서는 안되는 절대적인 권리가 아니고, 다른 권리와의 비교형량을 통해 제한이 될 수 있는 권리이다. 또한 개인정보자기결정권에서 침해될 수 없는 ‘본질적인 내용’이란 정보주체가 모든 경우에서 자신의 정보의 이용 및 수집을 스스로 통제할 수 있다는 것 즉, 우리 개인정보보호법과 같이 거의 모든 경우에 정보주체의 사전 동의 방식으로 개인정보를 통제하는 것을 의미하는 것이 아니라, ‘정보주체가 자신에 관한 개인정보처리에 관하여 알 수 있는 것, 그리고 이를 바탕으로 합리적인 범위에서 그 수집 및 이용에 관한 통제권을 보유함으로서 행동의 자유가 위축되지 않도록 하는 것’을 의미한다. 한편 개인정보자기결정권은 권리주체의 인격권 뿐만 아니라 개인정보에 접근하고, 이를 수집하고자 하는 측의 표현의 자유와도 밀접한 관련성이 있는데, 인격권과 표현의 자유가 충돌하는 상황에서 표현의 자유에 관한 사전적 통제는 되도록 억제되어야 한다는 것이 일반적 법리이다. 명예훼손과 같은 인격권의 침해 상황에 대해 금지청구와 손해배상청구가 허용되는 경우가 있지만, 이러한 행위가 발생하기도 이전에 행위 자체를 원천적으로 봉쇄하여 달라는 청구는 지극히 엄격한 요건 아래에서 인정되는데, 이는 사전적인 금지청구가 폭넓게 인정되는 배타적인 소유권의 경우와 구별되는 점이며, 개인정보의 인격권적인 특성에 부합하는 결론이라고 할 수 있다. 따라서 이미 온라인상에서 접근할 수 있는 상태로 제공되어 있었던 공개된 개인정보의 경우, 그 개인정보에 접근하고 이를 수집하여 사용하고자 하는 주체의 알권리 및 표현의 자유의 가치가 더욱 보장되어야 할 헌법적인 필요성이 충분하다. 따라서 공개된 개인정보의 경우 그 특수성을 인정하여 일률적인 사전 동의 방식의 예외를 두는 것이 타당하다. 다만 이 경우에도 개인정보자기결정권의 본질적인 내용이 침해되어서는 안될 것이기 때문에, 정보주체가 자신에 관한 개인정보처리에 관하여 알 수 있도록 보장하기 위한 장치, 이를 바탕으로 합리적인 범위에서 그 수집 및 이용에 관한 통제권을 보유함으로서 행동의 자유가 위축되지 않도록 할 수 있도록 적절한 규제 방안을 마련할 필요가 있다.
이러한 규제 방안을 검토함에 있어서는 정보주체의 인격권으로서의 개인정보의 성질과 동시에, 개인정보처리자의 관리·유지 대상인 데이터로서의 개인정보의 성질을 함께 고려할 필요가 있다. 인공지능을 포함한 컴퓨터 시스템을 통해 처리되는 개인정보는 누군가가 인위적으로 생산하거나 기존 정보를 수집해고 이를 가공하는 과정을 거쳐 재산적인 가치가 부가된 결과물에 해당하고, 토지와 같은 자연 상태에 존재하고 있는 자원이 아니기 때문이다. 또한 개인정보의 수집과 이용은 개인정보처리자와 정보주체의 상호이익은 물론 공동체의 이익으로 귀착되는 측면도 존재한다. 개인정보의 수집과 이용을 통해 사회적 비용이 현저하게 감소하고 이에 따른 편익을 일반 국민들도 누릴 수 있게 되기 때문이다. 개인정보보호 체계를 정비함에 있어서는 개인정보의 이와 같은 고유한 특질 즉, 사적비밀(privacy)과 유사한 속성을 가지면서도 사적비밀과 같이 절대적인 비밀로 유지될 수는 없고, 오히려 정보주체 스스로 정보통신서비스를 제공받기 위해 적극적으로 이를 활용하고 있다는 특수성이 반드시 고려되어야 할 것이다. 향후 펼쳐질 인공지능 시대에서 정보주체의 보호를 위해서는 사전적·획일적인 개념적인 도구를 통한 규제보다는, 인공지능을 개발하는 개인정보처리자에게 개인정보 및 그 보호 시스템을 철저히 관리·유지하도록 할 엄격한 의무를 부담하고 내부·외부적으로 이를 통제하도록 하는 것이 타당하다. 이처럼 사전(ex ante)의 관점에서 사후(ex post)의 관점으로 전환하는 것은 수집 단계에서의 통제로부터 이용 단계의 통제로의 전환을 의미한다. 이는 개인정보자기결정권의 성질, 개인정보의 특성에도 부합한다. 즉, 수집 단계에서 어차피 제대로 읽지도 않는 문구를 제공하여 동의를 받는 것보다 오히려 이용 단계에서 합리적인 범위 내에서 정보주체가 자신의 개인정보를 통제할 수 있도록 규제의 틀을 변경하는 것이 보다 합목적적이라고 할 것이며, 인공지능과 사물인터넷 시대의 현실에도 부합한다.
대법원은 공개된 개인정보를 ‘정보주체의 동의가 있었다고 객관적으로 인정되는 범위’ 내에서 처리하는 경우 정보주체의 별도 동의는 불필요하다는 판단기준을 제시한 바 있다. 그러나 인공지능의 특수성을 고려하였을 때 종전 대법원 판례가 제시한 기준에 따라 공개된 개인정보를 인공지능 학습용 데이터로 사용하는 것이 적법한지 여부를 판단하는 것은 매우 어려운 일임이 분명하다. 또한 공개된 개인정보를 인공지능 학습 목적으로 사용하는 경우에 종전 판례의 기준을 그대로 적용하게 되면 법원이 현행 개인정보보호법상 근거가 없는 새로운 법리를 창조함으로써 발생하는 문제점이 잔존하게 된다. 대법원은 개인정보보호법 제20조의 사후통제를 통해 정보주체를 보호할 수 있게 된다는 점을 이러한 판단의 중요 근거로 제시하였으나, 인공지능 학습의 특수성으로 인해 개인정보보호법 제20조를 통한 정보주체의 보호가 가능할 것인지 여부를 판단하기 어려운 상황이다. 이처럼 종전 대법원 판례만을 기준으로 공개된 개인정보를 인공지능 학습 목적으로 사용할 수 있을지를 판단하게 될 경우 여러 문제점이 발생하게 되어, 이를 활용하고자 하는 개발주체의 입장에서는 예측가능성이 현저하게 떨어지고 경우에 따라서는 공개된 개인정보의 활용 자체가 불가능하게 될 우려가 있다. 이에 대해 공개된 개인정보의 개인 식별 목적 처리를 금지하고, 학습데이터에 대한 비식별처리를 통해 결과값에 원본데이터가 포함되지 않도록 한다면 대법원의 판단기준에 따라 개인정보 처리의 적법 여부를 가릴 필요가 없다는 견해가 있다. 그러나 초거대 인공지능, 기반모델, 대규모 언어모형의 경우와 같이 방대한 규모의 학습데이터를 사용하는 인공지능 모델이 개발되고 있는 현실을 고려하면, 학습데이터에 대한 전수조사를 통해 개인식별정보를 전부 제거하는 것은 기술적으로 기대가능성이 없는 상황이고, 개인식별가능정보와 비정형 데이터에 대한 비식별처리에 대해서는 적절한 기준이 수립되어 있지 못하다는 문제점도 있다. 더욱이 인공지능의 학습데이터에 대해 개인식별가능성을 완전히 제거하는 정도의 비식별화조치를 요구할 경우 인공지능 학습의 목적을 달성하기 어렵게 된다는 근본적인 난점이 발생한다.
이와 같이 공개된 개인정보를 활용함에 있어 종래 법원이 형성한 판례와 전통적인 비식별조치에 의존하는 것은 급변하는 인공지능 환경에서 분명한 한계 상황을 맞이하였다고 할 수 있다. 이에 본 논문에서는 공개된 개인정보를 인공지능 학습 목적으로 사용하는 특수한 상황에서는 국내외의 논의, 각종 법안, 저작물 TDM 규정을 종합적으로 참고하여 “컴퓨터를 이용한 자동화 분석기술을 통해 정보주체가 직접 또는 제3자를 통하여 공개한 개인정보를 포함한 대량의 정보를 분석(규칙, 구조, 경향, 상관관계 등의 정보를 추출하는 것)하여 추가적인 정보 또는 가치를 생성하는 경우”에는 정보주체의 동의없이 공개된 개인정보를 수집∙이용 및 제공할 수 있는 근거 규정을 마련하는 방안을 제안하였다. 다만 이처럼 인공지능 학습을 위하여 정보주체의 동의가 없이도 공개된 개인정보를 처리할 수 있도록 허용하면서, 동시에 정보주체의 보호를 위해 개인정보보호법이 정한 모든 규정이 그대로 적용되도록 할 경우 제도적 변혁의 취지가 몰각될 우려가 있으므로 가명정보(제3절 가명정보의 처리에 관한 특례)의 경우와 같이 특정 상황에서 부분적 적용 제외 방식을 채택하여 정보주체의 권리를 세밀하게 조정할 필요성이 있다.
다만 정보주체의 동의 없이 공개된 개인정보를 인공지능 학습데이터로 활용하도록 함에 있어 아무런 제약이 없는 것은 아니고, 법무부 출입국 심사 ‘인공지능(AI) 식별 추적 시스템’ 개발 사건 사례에서 적용되었던 기술적인 방식에 준하는 환경하에서 인공지능 학습을 진행한다는 전제조건이 부가되어야 할 것이다. 해당 사건에서 법무부는 인공지능의 학습데이터인 안면 이지미 정보가 외부로 반출되지 않도록 외부 네트워크와 철저히 분리된 ‘zero 클라이언트’를 통해서만 인공지능 알고리즘이 데이터를 학습할 수 있는 시스템을 구축하고, 원본 데이터가 외부로 반출되지 않도록 물리적인 관리∙감독조치를 취하였다. 인공지능 알고리즘의 학습이 완료된 이후에는 학습통제구역 내 DB 및 저장매체 내의 모든 정보를 삭제하였다. 이처럼 인공지능 학습데이터와 원 개인정보 사이의 결합 여지를 차단할 수 있는 충분한 안전조치가 이행되거나 혹은 개인정보보호위원회가 인증하는 개인정보 안심구역에서의 개인정보보호 강화기술(PETs)을 활용하는 경우 등에 한하여 공개된 개인정보를 인공지능 학습에 이용할 수 있도록 한다면, 인공지능 산업의 동력을 확보함과 동시에 개인인정보 보호의 목적도 달성할 수 있을 것이다. 나아가 클리어뷰AI 사건 등에서 확인된 공개된 개인정보 오남용의 문제의 발생을 방지하기 위해 공개된 개인정보를 개인 식별목적으로 수집∙이용하거나, 딥페이크 등 범죄를 목적으로 수집∙이용하는 것에 대해서는 명문의 금지규정과 강력한 처벌규정을 마련할 필요성이 있다. 또한 정보주체 또는 해당 개인정보처리자가 기술적 조치 등을 통해 접근 및 이용제한에 대한 명시적인 의사표시 또는 시스템상의 표시를 하였음에도 이를 위반한 개인정보 처리가 발생할 경우 이를 제재할 수 있는 방안도 함께 마련되어야 할 것이다.
In the case of publicly available personal information, there is an overwhelming need for companies to utilize it to develop artificial intelligence models, but if you try to judge the legality based only on the previous Supreme Court precedents, there is a great concern that it will be impossible to utilize disclosed personal information due to the ambiguity of the judgment criteria. In addition, since there are many limitations in de-identification in the case of AI learning data, the current Personal Information Protection Act may result in a situation where it is impossible to use disclosed personal information for AI learning purposes. In order to prevent such unreasonable results, it is necessary to completely improve the existing opt-in regulation, which requires only the prior consent of the information subject as a uniform standard for the processing of AI learning data.
In this paper, we proposed a proposal to establish ground rules to collect, use, and provide publicly available personal information without the consent of the information subject in special situations where publicly available personal information is used for AI learning purposes. However, allowing the processing of publicly available personal information without the consent of the data subject for the purpose of artificial intelligence learning, while at the same time ensuring that all regulations set forth in the Personal Information Protection Act are applied to protect the data subject, may fade the purpose of improving the system, so it is necessary to fine-tune the rights of the data subject by adopting a partial exclusion method in certain situations, such as the special case of Pseudonymous Information(Section 3 Special Provisions for Processing Pseudonymized Information). If the publicly available personal information can be used for AI learning only when sufficient safety measures are implemented to block the possibility of combining AI training data and original personal information, or when privacy enhancement technologies (PETs) are utilized in a privacy safe zone certified by the Personal Information Protection Commissioner, the purpose of protecting personal information can be achieved while securing the momentum of the AI industry. Furthermore, in order to prevent the problem of misuse of publicly available personal information identified in the Clearview AI case, it is necessary to establish clear prohibitions and strong penalties for collecting and using publicly available personal information for the purpose of personal identification or collecting and using it for criminal purposes such as deep fake. In addition, measures should be taken to sanction the processing of personal information in violation of such prohibitions, even if the information subject or the personal information processor has made an explicit expression or system indication of access and use restrictions through technical measures, etc.
특히 공개된 개인정보의 경우 인공지능 모델을 개발하려는 기업들이 이를 활용하여야 할 필요성이 압도적으로 높으나, 종전 대법원 판례만을 기준으로 적법 여부를 판단하고자 할 경우 판단기준이 모호하여 공개된 개인정보의 활용이 현실적으로 불가능하게 될 우려가 크다. 또한 인공지능 학습 데이터의 경우 비식별처리에 있어 많은 한계점이 존재하므로, 현행 개인정보보호법에 의하면 자칫 공개된 개인정보를 인공지능 학습 목적으로 사용하지 못하게 되는 상황이 발생할 수 있다. 이러한 불합리한 결과를 방지하기 위해서는 우선 인공지능 학습데이터 처리를 위해 정보주체의 사전 동의만을 획일적인 기준으로 하는 기존의 opt-in 방식의 규제를 전면적으로 개선할 필요성이 있다.
개인정보자기결정권은 결코 침해되어서는 안되는 절대적인 권리가 아니고, 다른 권리와의 비교형량을 통해 제한이 될 수 있는 권리이다. 또한 개인정보자기결정권에서 침해될 수 없는 ‘본질적인 내용’이란 정보주체가 모든 경우에서 자신의 정보의 이용 및 수집을 스스로 통제할 수 있다는 것 즉, 우리 개인정보보호법과 같이 거의 모든 경우에 정보주체의 사전 동의 방식으로 개인정보를 통제하는 것을 의미하는 것이 아니라, ‘정보주체가 자신에 관한 개인정보처리에 관하여 알 수 있는 것, 그리고 이를 바탕으로 합리적인 범위에서 그 수집 및 이용에 관한 통제권을 보유함으로서 행동의 자유가 위축되지 않도록 하는 것’을 의미한다. 한편 개인정보자기결정권은 권리주체의 인격권 뿐만 아니라 개인정보에 접근하고, 이를 수집하고자 하는 측의 표현의 자유와도 밀접한 관련성이 있는데, 인격권과 표현의 자유가 충돌하는 상황에서 표현의 자유에 관한 사전적 통제는 되도록 억제되어야 한다는 것이 일반적 법리이다. 명예훼손과 같은 인격권의 침해 상황에 대해 금지청구와 손해배상청구가 허용되는 경우가 있지만, 이러한 행위가 발생하기도 이전에 행위 자체를 원천적으로 봉쇄하여 달라는 청구는 지극히 엄격한 요건 아래에서 인정되는데, 이는 사전적인 금지청구가 폭넓게 인정되는 배타적인 소유권의 경우와 구별되는 점이며, 개인정보의 인격권적인 특성에 부합하는 결론이라고 할 수 있다. 따라서 이미 온라인상에서 접근할 수 있는 상태로 제공되어 있었던 공개된 개인정보의 경우, 그 개인정보에 접근하고 이를 수집하여 사용하고자 하는 주체의 알권리 및 표현의 자유의 가치가 더욱 보장되어야 할 헌법적인 필요성이 충분하다. 따라서 공개된 개인정보의 경우 그 특수성을 인정하여 일률적인 사전 동의 방식의 예외를 두는 것이 타당하다. 다만 이 경우에도 개인정보자기결정권의 본질적인 내용이 침해되어서는 안될 것이기 때문에, 정보주체가 자신에 관한 개인정보처리에 관하여 알 수 있도록 보장하기 위한 장치, 이를 바탕으로 합리적인 범위에서 그 수집 및 이용에 관한 통제권을 보유함으로서 행동의 자유가 위축되지 않도록 할 수 있도록 적절한 규제 방안을 마련할 필요가 있다.
이러한 규제 방안을 검토함에 있어서는 정보주체의 인격권으로서의 개인정보의 성질과 동시에, 개인정보처리자의 관리·유지 대상인 데이터로서의 개인정보의 성질을 함께 고려할 필요가 있다. 인공지능을 포함한 컴퓨터 시스템을 통해 처리되는 개인정보는 누군가가 인위적으로 생산하거나 기존 정보를 수집해고 이를 가공하는 과정을 거쳐 재산적인 가치가 부가된 결과물에 해당하고, 토지와 같은 자연 상태에 존재하고 있는 자원이 아니기 때문이다. 또한 개인정보의 수집과 이용은 개인정보처리자와 정보주체의 상호이익은 물론 공동체의 이익으로 귀착되는 측면도 존재한다. 개인정보의 수집과 이용을 통해 사회적 비용이 현저하게 감소하고 이에 따른 편익을 일반 국민들도 누릴 수 있게 되기 때문이다. 개인정보보호 체계를 정비함에 있어서는 개인정보의 이와 같은 고유한 특질 즉, 사적비밀(privacy)과 유사한 속성을 가지면서도 사적비밀과 같이 절대적인 비밀로 유지될 수는 없고, 오히려 정보주체 스스로 정보통신서비스를 제공받기 위해 적극적으로 이를 활용하고 있다는 특수성이 반드시 고려되어야 할 것이다. 향후 펼쳐질 인공지능 시대에서 정보주체의 보호를 위해서는 사전적·획일적인 개념적인 도구를 통한 규제보다는, 인공지능을 개발하는 개인정보처리자에게 개인정보 및 그 보호 시스템을 철저히 관리·유지하도록 할 엄격한 의무를 부담하고 내부·외부적으로 이를 통제하도록 하는 것이 타당하다. 이처럼 사전(ex ante)의 관점에서 사후(ex post)의 관점으로 전환하는 것은 수집 단계에서의 통제로부터 이용 단계의 통제로의 전환을 의미한다. 이는 개인정보자기결정권의 성질, 개인정보의 특성에도 부합한다. 즉, 수집 단계에서 어차피 제대로 읽지도 않는 문구를 제공하여 동의를 받는 것보다 오히려 이용 단계에서 합리적인 범위 내에서 정보주체가 자신의 개인정보를 통제할 수 있도록 규제의 틀을 변경하는 것이 보다 합목적적이라고 할 것이며, 인공지능과 사물인터넷 시대의 현실에도 부합한다.
대법원은 공개된 개인정보를 ‘정보주체의 동의가 있었다고 객관적으로 인정되는 범위’ 내에서 처리하는 경우 정보주체의 별도 동의는 불필요하다는 판단기준을 제시한 바 있다. 그러나 인공지능의 특수성을 고려하였을 때 종전 대법원 판례가 제시한 기준에 따라 공개된 개인정보를 인공지능 학습용 데이터로 사용하는 것이 적법한지 여부를 판단하는 것은 매우 어려운 일임이 분명하다. 또한 공개된 개인정보를 인공지능 학습 목적으로 사용하는 경우에 종전 판례의 기준을 그대로 적용하게 되면 법원이 현행 개인정보보호법상 근거가 없는 새로운 법리를 창조함으로써 발생하는 문제점이 잔존하게 된다. 대법원은 개인정보보호법 제20조의 사후통제를 통해 정보주체를 보호할 수 있게 된다는 점을 이러한 판단의 중요 근거로 제시하였으나, 인공지능 학습의 특수성으로 인해 개인정보보호법 제20조를 통한 정보주체의 보호가 가능할 것인지 여부를 판단하기 어려운 상황이다. 이처럼 종전 대법원 판례만을 기준으로 공개된 개인정보를 인공지능 학습 목적으로 사용할 수 있을지를 판단하게 될 경우 여러 문제점이 발생하게 되어, 이를 활용하고자 하는 개발주체의 입장에서는 예측가능성이 현저하게 떨어지고 경우에 따라서는 공개된 개인정보의 활용 자체가 불가능하게 될 우려가 있다. 이에 대해 공개된 개인정보의 개인 식별 목적 처리를 금지하고, 학습데이터에 대한 비식별처리를 통해 결과값에 원본데이터가 포함되지 않도록 한다면 대법원의 판단기준에 따라 개인정보 처리의 적법 여부를 가릴 필요가 없다는 견해가 있다. 그러나 초거대 인공지능, 기반모델, 대규모 언어모형의 경우와 같이 방대한 규모의 학습데이터를 사용하는 인공지능 모델이 개발되고 있는 현실을 고려하면, 학습데이터에 대한 전수조사를 통해 개인식별정보를 전부 제거하는 것은 기술적으로 기대가능성이 없는 상황이고, 개인식별가능정보와 비정형 데이터에 대한 비식별처리에 대해서는 적절한 기준이 수립되어 있지 못하다는 문제점도 있다. 더욱이 인공지능의 학습데이터에 대해 개인식별가능성을 완전히 제거하는 정도의 비식별화조치를 요구할 경우 인공지능 학습의 목적을 달성하기 어렵게 된다는 근본적인 난점이 발생한다.
이와 같이 공개된 개인정보를 활용함에 있어 종래 법원이 형성한 판례와 전통적인 비식별조치에 의존하는 것은 급변하는 인공지능 환경에서 분명한 한계 상황을 맞이하였다고 할 수 있다. 이에 본 논문에서는 공개된 개인정보를 인공지능 학습 목적으로 사용하는 특수한 상황에서는 국내외의 논의, 각종 법안, 저작물 TDM 규정을 종합적으로 참고하여 “컴퓨터를 이용한 자동화 분석기술을 통해 정보주체가 직접 또는 제3자를 통하여 공개한 개인정보를 포함한 대량의 정보를 분석(규칙, 구조, 경향, 상관관계 등의 정보를 추출하는 것)하여 추가적인 정보 또는 가치를 생성하는 경우”에는 정보주체의 동의없이 공개된 개인정보를 수집∙이용 및 제공할 수 있는 근거 규정을 마련하는 방안을 제안하였다. 다만 이처럼 인공지능 학습을 위하여 정보주체의 동의가 없이도 공개된 개인정보를 처리할 수 있도록 허용하면서, 동시에 정보주체의 보호를 위해 개인정보보호법이 정한 모든 규정이 그대로 적용되도록 할 경우 제도적 변혁의 취지가 몰각될 우려가 있으므로 가명정보(제3절 가명정보의 처리에 관한 특례)의 경우와 같이 특정 상황에서 부분적 적용 제외 방식을 채택하여 정보주체의 권리를 세밀하게 조정할 필요성이 있다.
다만 정보주체의 동의 없이 공개된 개인정보를 인공지능 학습데이터로 활용하도록 함에 있어 아무런 제약이 없는 것은 아니고, 법무부 출입국 심사 ‘인공지능(AI) 식별 추적 시스템’ 개발 사건 사례에서 적용되었던 기술적인 방식에 준하는 환경하에서 인공지능 학습을 진행한다는 전제조건이 부가되어야 할 것이다. 해당 사건에서 법무부는 인공지능의 학습데이터인 안면 이지미 정보가 외부로 반출되지 않도록 외부 네트워크와 철저히 분리된 ‘zero 클라이언트’를 통해서만 인공지능 알고리즘이 데이터를 학습할 수 있는 시스템을 구축하고, 원본 데이터가 외부로 반출되지 않도록 물리적인 관리∙감독조치를 취하였다. 인공지능 알고리즘의 학습이 완료된 이후에는 학습통제구역 내 DB 및 저장매체 내의 모든 정보를 삭제하였다. 이처럼 인공지능 학습데이터와 원 개인정보 사이의 결합 여지를 차단할 수 있는 충분한 안전조치가 이행되거나 혹은 개인정보보호위원회가 인증하는 개인정보 안심구역에서의 개인정보보호 강화기술(PETs)을 활용하는 경우 등에 한하여 공개된 개인정보를 인공지능 학습에 이용할 수 있도록 한다면, 인공지능 산업의 동력을 확보함과 동시에 개인인정보 보호의 목적도 달성할 수 있을 것이다. 나아가 클리어뷰AI 사건 등에서 확인된 공개된 개인정보 오남용의 문제의 발생을 방지하기 위해 공개된 개인정보를 개인 식별목적으로 수집∙이용하거나, 딥페이크 등 범죄를 목적으로 수집∙이용하는 것에 대해서는 명문의 금지규정과 강력한 처벌규정을 마련할 필요성이 있다. 또한 정보주체 또는 해당 개인정보처리자가 기술적 조치 등을 통해 접근 및 이용제한에 대한 명시적인 의사표시 또는 시스템상의 표시를 하였음에도 이를 위반한 개인정보 처리가 발생할 경우 이를 제재할 수 있는 방안도 함께 마련되어야 할 것이다.
In the case of publicly available personal information, there is an overwhelming need for companies to utilize it to develop artificial intelligence models, but if you try to judge the legality based only on the previous Supreme Court precedents, there is a great concern that it will be impossible to utilize disclosed personal information due to the ambiguity of the judgment criteria. In addition, since there are many limitations in de-identification in the case of AI learning data, the current Personal Information Protection Act may result in a situation where it is impossible to use disclosed personal information for AI learning purposes. In order to prevent such unreasonable results, it is necessary to completely improve the existing opt-in regulation, which requires only the prior consent of the information subject as a uniform standard for the processing of AI learning data.
In this paper, we proposed a proposal to establish ground rules to collect, use, and provide publicly available personal information without the consent of the information subject in special situations where publicly available personal information is used for AI learning purposes. However, allowing the processing of publicly available personal information without the consent of the data subject for the purpose of artificial intelligence learning, while at the same time ensuring that all regulations set forth in the Personal Information Protection Act are applied to protect the data subject, may fade the purpose of improving the system, so it is necessary to fine-tune the rights of the data subject by adopting a partial exclusion method in certain situations, such as the special case of Pseudonymous Information(Section 3 Special Provisions for Processing Pseudonymized Information). If the publicly available personal information can be used for AI learning only when sufficient safety measures are implemented to block the possibility of combining AI training data and original personal information, or when privacy enhancement technologies (PETs) are utilized in a privacy safe zone certified by the Personal Information Protection Commissioner, the purpose of protecting personal information can be achieved while securing the momentum of the AI industry. Furthermore, in order to prevent the problem of misuse of publicly available personal information identified in the Clearview AI case, it is necessary to establish clear prohibitions and strong penalties for collecting and using publicly available personal information for the purpose of personal identification or collecting and using it for criminal purposes such as deep fake. In addition, measures should be taken to sanction the processing of personal information in violation of such prohibitions, even if the information subject or the personal information processor has made an explicit expression or system indication of access and use restrictions through technical measures, etc.
목차
- 제1장 연구의 목적과 방법 1제1절 연구의 배경 1제2절 연구의 목적 2제3절 연구의 방법 4제2장 인공지능의 개념과 규제 현황 7제1절 인공지능 및 인공지능 학습의 개념 7Ⅰ. 인공지능의 정의 7Ⅱ. 인공지능의 학습 91. 기본 개념 92. 인공지능 모델 개발 단계에 따른 학습데이터의 이용 12가. 학습용 데이터의 수집 단계 12나. 인공지능 모델의 학습 단계 13Ⅲ. 대규모 언어모형(Large Language Model)의 등장 141. 초거대 인공지능과 기반모델(Foundation Model) 142. 언어모형의 개념 163. 딥러닝을 이용한 언어모형의 발전 17가. 구글 트랜스포머(Transformer) 모형 17나. Google BERT 모형 19다. GPT-2, GPT-3 모형 204. 언어모형과 관련한 문제점 20제2절 인공지능에 대한 규제 현황 22Ⅰ. 개발 주체의 자발적인 움직임 22Ⅱ. 비교법적 규제 현황 241. 미국의 경우 242. EU의 경우 26가. GDPR과 인공지능법(AIA) 26나. 디지털서비스법(DSA) 28다. 디지털시장법(DMA) 29Ⅲ. 국내 규제 현황 301. 가이드라인 및 윤리기준 302. 개인정보보호법 303. 부정경쟁방지법 324. 저작권법 개정안 335. 인공지능산업 육성 및 신뢰기반 조성에 관한 법률안 34제3절 소결론 34제3장 인공지능 기술과 개인정보 보호의 특수성 36제1절 서론 36제2절 개인정보자기결정권, 개인정보의 개념 및 보호 범위 36Ⅰ. 개인정보자기결정권의 개념과 보호 범위 371. 개인정보자기결정권의 개념 372. 개인정보자기결정권에 대한 제한 403. 개인정보자기결정권의 본질적인 내용 414. 검토 43Ⅱ. 개인정보의 개념과 보호 범위 431. 개인정보의 개념 442. 개인정보의 유형 44가. 개인정보보호법 제2조에 따른 분류 44나. 정보의 종류 또는 정보의 수집 방식에 따른 분류 47다. 관찰된 정보, 추론된 정보의 개념 48제3절 인공지능과 개인정보보호 원칙의 관계 49Ⅰ. 인공지능에 의한 정보처리의 특징 491. 자율성 492. 설명불가능성 50가. 전통적인 컴퓨터 알고리즘과의 본질적인 차이 51나. 데이터 의존성 52다. 불투명성 53Ⅱ. 인공지능 학습의 특성과 개인정보보호 원칙의 관계 541. 인공지능 학습과 개인정보 빅데이터의 필요성 542. 개인정보보호의 원칙과의 갈등 관계 55가. 목적제한, 최소수집 원칙과의 충돌 56나. 이용제한의 원칙과의 충돌 57다. 투명성의 원칙과의 충돌 59제4절 소결론 60제4장 인공지능 학습데이터와 관련한 개인정보 침해 가능성 61제1절 서론 61제2절 인공지능과 학습데이터 61Ⅰ. 학습데이터의 개념 61Ⅱ. 학습데이터의 유형 62Ⅲ. 학습데이터와 개인정보 보호의 필요성 63제3절 인공지능의 특성으로 인한 침해 가능성 65Ⅰ. 문제점 651. 인공지능의 추론·연산 능력으로 인한 재식별 가능성 652. 언어모형 등 생성형 인공지능에서 암기된 개인정보가 추출될 가능성 67Ⅱ. 관련 사례 701. 매사추세츠 주지사 의료정보 재식별 사례 702. 넷플릭스(Netflix) 영화 평점 정보로 인한 재식별 사례 71Ⅲ. 비식별조치의 내용 및 한계 721. 비식별조치의 개념 및 유형 722. 비식별조치의 방법 74가. 가명처리(pseudonymization) 74나. 총계처리(aggregation) 74다. 삭제(data reduction) 75라. 범주화(suppression) 75마. 마스킹(masking) 763. 인공지능 학습데이터에 대한 전통적인 비식별조치 적용의 한계 76Ⅳ. 새로운 개인정보 보호 강화기술(PETs)의 내용 및 한계 781. 개념 782. 종류 79가. 차분 프라이버시(Differential Privacy) 79나. 연합학습(Federated Learning) 81다. 동형 암호화(Homomorphic Encryption) 기법 82라. 합성 데이터(synthetic data) 833. 새로운 개인정보 보호 강화기술의 한계 85Ⅴ. 결어 86제4절 정보주체의 동의 없는 이용으로 인한 침해가능성 89Ⅰ. 상업적으로 수집된 데이터의 이용 문제 891. 개요 892. 관련 사례 89가. 스캐터랩 챗봇 서비스 ‘이루다’ 사건 89나. 법무부 출입국 심사 인공지능(AI) 식별 추적 시스템 개발 사건 933. 검토 96가. 신규 서비스 개발 목적의 해석 범위 96나. 안전성 확보조치 요건의 부가 99다. 개인정보 안심구역의 활용 100Ⅱ. 추론된 정보에 대한 법적 취급 문제 1011. 개요 1012. 관련 사례 103가. 맞춤형 광고의 활용 103나. 페이스북의 케임브리지 애널리티카(CA) 스캔들 1053. 추론된 개인정보 생성의 적법 요건 1074. 비교법적 검토 1095. 검토 112Ⅲ. 사물인터넷 등 새로운 기술을 이용한 개인정보 수집 문제 114Ⅳ. 공개된 개인정보의 수집·이용 문제 116Ⅴ. 결어 117제5절 소결론 118제5장 인공지능의 공개된 개인정보 수집·이용에 대한 규제 121제1절 서론 121제2절 공개된 개인정보의 수집·이용 적법요건 측면의 문제 122Ⅰ. 서언 122Ⅱ. 관련 사례 1241. 서울시 특사경 ‘AI 수사관’ 사건 1242. 클리어뷰AI(Clearview AI) SNS 공개 얼굴 이미지 수집 사건 1273. 페이스북의 제3자 앱 개인정보 제공 사건 131Ⅲ. 공개된 개인정보의 수집∙이용 적법성에 관한 학설 1331. 묵시적 동의가 추단된다는 견해 1332. 이익형량에 따라 동의가 있었다고 해석할 수 있다는 견해 1343. 개인정보 이용을 위한 사전동의의 예외를 확대하여야 한다는 견해 1344. 현행법상 규율의 흠결이 있다는 견해 135Ⅳ. 판례의 태도 1371. 공개된 개인정보의 성격 및 보호 범위 1372. 공개된 개인정보 처리의 경우 별도 동의 불요 1393. 구체적인 판단 기준 140Ⅴ. 비교법적 검토 1461. 공개된 개인정보를 개인정보보호법의 적용대상에서 제외하는 법제 1462. 개인정보보호규정의 적용대상으로 하되 동의를 요구하지 않는 법제 147Ⅵ. 국내 법령 현황 1511. 개인정보보호법 개정안 및 신용정보법 1512. 표준개인정보보호지침 1523. 빅데이터 개인정보보호 가이드라인(폐지) 153Ⅶ. 결어 154제3절 공개된 개인정보 데이터베이스에 대한 접근 권한 측면의 문제 157Ⅰ. 서언 157Ⅱ. 공개된 정보를 크롤링하는 행위의 위법성 여부 1581. 여기어때의 야놀자 숙박업소 정보 크롤링 사건 1582. 엔하위키 미러의 리그베다위키 데이터베이스 크롤링 사건 1613. 사람인HR의 잡코리아 채용정보 크롤링 사건 163Ⅲ. 공개된 정보의 크롤링을 방해하는 행위의 위법성 여부 1641. 하이큐 랩스 v. 링크드인 사건의 개요 1642. 연방순회 제9항소법원의 판결 1653. 연방순회 제9항소법원의 환송심 판결 166Ⅳ. 결어 1671. 공개된 정보를 크롤링하는 행위 측면 1682. 공개된 정보의 크롤링을 방해하는 행위 측면 1693. 이익형량의 기준 170제4절 인공지능 학습을 위해 공개된 개인정보를 처리하는 측면의 문제 170Ⅰ. 서언 170Ⅱ. 공개된 개인정보를 인공지능 학습 목적으로 이용하는 경우의 특수성 1711. 대법원 판단기준 적용상의 한계 1712. 비식별조치 적용상의 한계 1743. 정보주체의 동의 기준을 탈피해야 할 필요성 178Ⅲ. 공개된 개인정보의 수집∙이용에 대한 규제 방안 1821. 저작물 TDM(Text∙Data Mining) 규정의 참고 1822. 규제 형식에 대한 검토 1873. 적용제외 권리에 대한 검토 192Ⅳ. 결어 198제5절 소결론 200제6장 결론 202참 고 문 헌 204
최근 본 자료
