인공지능 - 보안 - 인공지능(AI) 개발·서비스에 이용되는 ‘공개 데이터’ 처리 기준 제시

발간기관: 개인정보보호위원회 (2024.12.)

 

 

1. 목적 및 적용 대상

• 목적: 공개된 개인정보(Open Data)를 활용하는 AI 개발·서비스 전 과정에서 개인정보 보호법 준수를 위한 실무적 해설과 사례 제시.
• 대상: 공개된 인터넷 상의 정보를 수집하여 AI 모델을 개발하거나 서비스를 운영하는 기업, 기관, 개발자 등.
• 적용 범위: 웹사이트, SNS, 커뮤니티 등에서의 공개 게시물, 영상, 이미지, 음성, 로그 등 개방형 온라인 공간에 노출된 정보를 대상으로 함.

 

2. 핵심 법적 판단 기준

개인정보보호법 적용 여부 판단

1. 개인정보 여부 판단:
   o 특정 개인을 식별할 수 있는 정보인지 여부.
   o 결합 가능성, 처리 목적, 시간 경과 등을 고려한 총체적 판단 필요.
2. 정보처리자 요건 충족 여부:
   o 해당 정보를 수집·저장·이용·제공하는 행위를 통해 일정한 목적을 가진 정보처리자(개인정보처리자) 에 해당하는지 판단.
   

 

3. 공개된 개인정보의 수집·활용 시 준수사항

 

항목	설명
적법한 수집 근거 확보	정보주체 동의 또는 법률상 근거 필요. 정보주체의 명시적 공개의사 여부 고려
정보 최소화	수집 목적과의 관련성, 적정성, 필요성을 기반으로 최소한의 정보만 수집
수집 출처 및 정보주체 고지	고지 의무는 있으나 예외 조항(법 제20조 제2항)에 해당하면 면제 가능
안전조치 의무 이행	비식별화, 접근통제, 암호화 등 안전조치 필요 (법 제29조 기준)
수집 정보의 재식별 가능성 차단	기술적·관리적 조치를 통해 재식별 우려 방지

 

4. 활용 시 주요 쟁점 및 대응 원칙

쟁점	주요 내용
Open Web Crawling	검색엔진 및 크롤러를 통한 정보 수집은 일정 조건(robots.txt 등)하에서 제한 가능
AI 학습 데이터로 활용 시	개인정보 포함 여부에 따라 적법한 처리 필요. 특히 비식별 조치 및 목적 외 이용 금지 의무 고려
생성 AI 모델 학습 시	LLM 등의 대규모 모델은 개인정보 암기 가능성 존재. 이에 따른 보완조치 필수 (입력 필터링, 학습 제한 등)

 

5. 대표 사례 정리 (부록 요약)

• 사례 ①: SNS 게시글 수집 후 챗봇 응답 데이터로 활용 → 정보주체 고지 및 동의 필요
• 사례 ②: 공공기관 홈페이지의 공시정보 수집 후 LLM 학습 → 공적 영역으로 간주, 비식별 후 활용 가능
• 사례 ③: YouTube 영상 속 인물의 음성 수집 → 식별 가능성이 높으면 개인정보로 간주됨

 

6. 2025년 기준 최신 반영 사항 (명시된 부분만 정리)

• CCPA 개정(2025.1.1. 시행):
  디지털 AI 시스템이 개인 데이터 출력 가능성을 내포할 경우, 개인정보 출력물로 간주.
  → 이는 한국 법제에 직접 적용되진 않으나 유사 개념으로 참고 가능.
• 국제 논의 동향 반영:
  문서 후반(참고문헌)에서 EU AI Act, G7 AI Guideline, 미국 AI Risk Management Framework와의 상호 참조 필요성 언급됨.

 

참고 사항

• 본 문서는 2024년 12월 발간 기준이며, 2025년 법령 개정은 아직 국내에는 적용되지 않았음.
• 내용 전반은 정보주체 권리 보호 및 사전 예방적 조치 강조에 초점을 둠.

 

 

 

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10362