보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
[외부 법률 기고] 인공지능 학습 단계에서의 개인정보 활용 이슈
2024.11.28
78
※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.
인공지능 기술이 고도화되면서 다양한 분야에서 AI 서비스를 활용하게 되어 AI가 가져올 사회적 편익에 대한 기대가 높아지고 있다. 하지만 AI 모델과 서비스를 개발하는 기업들은 지속적으로 새로운 학습 데이터를 필요로 하며, 가장 쉬운 데이터 공급원은 이용자의 개인정보이기 때문에 개인정보 자기결정권 침해 가능성 또한 증가하고 있다. 이에 최근 미국 FTC는 이용자 개인정보를 AI 학습에 활용하기 위해 프라이버시 정책을 변경한 기업들에 경고하고, 인공지능 알고리즘 삭제를 명령하기도 하였다. 이에 이하에서는 미국 FTC가 AI 모델에 대한 주요 규제수단으로서 알고리즘 삭제명령을 활용하고 있는 사례 등에 대해서 살펴보도록 하겠다.
먼저 프라이버시 정책 또는 약관에 관한 규제를 살펴보도록 하겠다. 1Health.io Inc.사는 DNA 검사 결과와 소비자 정보를 활용해 건강, 웰니스, 가계도 보고서를 제공하는 회사이다. 1Health.io Inc.사는 2017년부터 2020년까지 소비자의 건강 및 유전에 관한 정보 등 민감정보를 일부 제한된 기관에만 제공한다고 밝혔으나 2020년 소비자에 고지하거나 소비자의 동의를 받지 않고 개인정보 제3자 제공의 범위를 소급하여 슈퍼마켓 체인, 영양 보충제 업체 등으로 확대하는 등 프라이버시 정책을 변경하였다.
이에 미국 FTC는 1Health.io Inc.사에 7만 5천 달러의 과징금을 부과하고, 2020년 전후 수집된 개인정보의 제3자 제공을 금지했으며, FTC 국장은 기업이 일방적으로 정책을 중대하게 변경하여 기존에 수집된 개인정보를 활용하는 행위를 규제할 것이라고 경고했다. 나아가 미국 FTC는 프라이버시 정책을 은밀히 변경해 AI 학습 등에 개인정보를 활용하려는 기업을 지속적으로 단속할 계획이라고 발표했다.
또한 알고리즘 삭제 명령에 대해서 살펴보자면, 미국에는 연방 차원의 포괄적 개인정보 보호법이 없지만, FTC는 ‘기만적이거나 불공정한(deceptive or unfair) 상행위’를 금지한 연방거래위원회법(Federal Trade Commission Act) 제5조를 근거로 개인정보 감독기구 역할을 수행해 왔다.
FTC는 AI 기업들이 모델 개발과 개선을 위해 지속적인 데이터 공급을 필요로 하므로 기존 개인정보 보호의무와 상충될 수 있다고 우려해 왔다. 이에 FTC는 일부 AI 기업들이 모델 학습을 위해 개인정보 정책을 소홀히 할 수 있다고 판단, 새로운 구제책으로 불법적인 방법으로 취득한 데이터를 기반으로 개발된 알고리즘을 삭제하도록 명령하기 시작했다. FTC 위원에 따르면 알고리즘 삭제 명령은 기업이 불법 데이터와 이를 활용한 알고리즘으로 이익을 취하지 못하게 하기 위한 취지에서 내려졌다.
미국 FTC는 2019년 캠브리지 애널리티카 사건에서 최초로 불법적으로 수집된 데이터를 활용해 만든 알고리즘의 삭제를 명령했다. 이후 2021년 Everalbum 사건에서도 이용자 데이터를 무단 활용하여 개발된 AI의 폐기를 명령했는데, 당시 "부분적 또는 전체적으로" 불법 데이터를 사용해 개발된 "모델 또는 알고리즘"을 "영향받은 작업 산출물(Affected Work Product) "로 규정하고 90일 내 삭제하도록 했다. 최근 2023년 5월에는 아마존 알렉사의 아동용 제품이 사용자의 정보 삭제 요청에도 위치정보를 삭제하지 않고 무단 활용한 점 등을 들어 아동 온라인 개인정보보호법(Children's Online Privacy Protection Act, 이하 COPPA) 위반으로 보아 해당 데이터와 AI 모델의 삭제를 명령했다. FTC는 이처럼 불법 데이터로 개발된 AI 알고리즘의 삭제를 지속적으로 요구하고 있다.
정리하자면, 미국 FTC는 연방거래위원회법 제5조와 아동 온라인 개인정보보호법(COPPA) 등을 근거로 기업들이 프라이버시 정책이나 이용약관을 소급 변경하는 행위를 금지하고, 기업들이 불법적으로 수집한 개인정보로 인공지능 모델을 훈련시킨 경우, 그 알고리즘을 삭제하라고 명령하기도 한다.
FTC의 이러한 알고리즘 삭제 명령 사례들은 앞으로 AI 모델을 규제하는 주요 수단으로 활용될 수 있음을 시사한다. 우리나라 개인정보보호위원회 역시 AI 시대의 안전한 데이터 활용 정책 방향에서 정보주체가 요청하면 특정 데이터의 AI 모델 학습을 제거할 수 있는 'Machine Unlearning’의 가능성을 제기하였다. 국내에서도 불법적으로 수집된 개인정보로 만든 알고리즘이나 AI 모델에 대해 삭제 명령 등의 조치가 가능한지 유심히 지켜볼 필요가 있다.