인공지능 - 보안 - AI와 프라이버시

원문: 2025 개인정보 이슈 심층 분석 보고서(VOL.1) - AI와 프라이버시

[2025년 개인정보 이슈 심층 분석 보고서]

1. AI 에이전트 환경에서의 개인정보 보호
  [김병필 / KAIST 기술경영전문대학원 I 교수 I 변호사]

2. EU AI Act와 GDPR간의 관계
  [강지원 / 김ㆍ장 법률사무소 I 미국변호사(뉴욕주)]

3. AI 시대 신기술ㆍ신산업 혁신 촉진을 위한 개인정보 규율체계 정비 방향
  [최경진 / 가천대학교 I 교수]



1. AI 에이전트 환경에서의 개인정보 보호

1.1. AI 에이전트의 장기 메모리 기능과 프라이버시 침해 위험

장기 메모리 기능의 활용: AI 에이전트는 장기 메모리 기능을 통해 과거 이용자 데이터를 저장하고 이를 기반으로 개인화된 서비스를 제공합니다. 예를 들어, Retrieval-Augmented Generation(RAG) 구조를 통해 이전 대화 맥락을 반영한 응답을 생성할 수 있습니다.

 

프라이버시 침해 우려: 이러한 장기 메모리 기능은 개인정보의 장기 저장과 재활용 과정에서 프라이버시 침해의 위험을 증가시킵니다. 특히, 장기간 축적된 정보가 외부 공격이나 내부 유출로 노출될 경우, 정보주체는 심각한 피해를 입을 수 있습니다.

 

1.2. '도구 활용' 기능에 따른 개인정보 침해 위험

외부 시스템과의 상호작용: AI 에이전트는 웹 검색, 수치 계산, 코드 실행, 외부 API 호출 등 다양한 작업을 수행하며, 이를 통해 외부 서비스와 연동하여 이용자의 복합적 요청에 대응합니다.
개인정보 유출 가능성: 이 과정에서 과도하거나 불필요한 개인정보가 외부 애플리케이션으로 전송될 수 있어 새로운 프라이버시 위협이 발생합니다. 예를 들어, 호텔 예약 업무를 수행하는 AI 에이전트가 이용자의 위치나 과거 숙박 기록 등 불필요한 정보를 외부에 전달할 수 있습니다.
2. EU AI Act와 GDPR 간의 관계

2.1. 자동화된 결정과 인간의 개입 권리

GDPR의 규정: GDPR은 정보주체가 자동화된 결정에 대해 인간의 개입을 요구할 권리, 의사결정에 대한 설명을 요구할 권리, 이의를 제기할 권리를 보장합니다.
AI Act의 접근 방식: AI Act는 고위험 AI 시스템의 이용자가 인공지능 서비스의 결과물에 대한 설명받을 권리를 보장하지만, 그 결과물 자체에 대해 의견을 개진하거나 이의를 제기할 절차를 권리로서 명시하지는 않습니다.
2.2. 인간의 관리·감독 조치

GDPR의 조치: GDPR은 프로파일링 등 자동화된 결정에 대해 오류 시정을 위한 기술적·관리적 조치 도입을 강조합니다.
AI Act의 조치: AI Act는 고위험 AI 시스템에 대해 인간과 인공지능 간 효과적인 인터페이스 구축, 제공자와 배포자 간 역할 분담에 따른 인간의 관리·감독 방안을 이용지침에 명시하도록 요구합니다.
2.3. 설명받을 권리

GDPR의 설명받을 권리: GDPR은 자동화된 결정에 활용된 논리, 예상되는 결과 및 그 중요성에 대한 "의미 있는 정보"를 정보주체에게 제공하도록 규정합니다.
AI Act의 설명받을 권리: AI Act는 고위험 AI 시스템의 의사결정에 따라 법률적 효과 또는 이와 유사한 영향을 받는 이용자에게 해당 결정에 대한 명확하고 의미 있는 설명을 제공하도록 요구합니다.
3. AI 시대 신기술·신산업 혁신 촉진을 위한 개인정보 규율체계 정비 방향

3.1. AI 시대 개인정보 규율체계 혁신

법적 기반 마련: 사회적으로 필요한 AI 개발에 개인정보를 안전하게 활용할 수 있는 법적 기반을 마련하여 AI·데이터 생태계 발전을 지원합니다.
특례 규정 도입: 자율주행 AI 개발 등 가명처리만으로 연구 목적 달성이 어려운 경우, 적정한 안전조치를 전제로 개인정보 보호법 상 특례 규정을 마련하여 원본 데이터 활용을 허용합니다.
3.2. 지속가능한 신산업 혁신 기반 마련

제도적·기술적 인프라 구축: 생성형 AI 등 신기술 발전에 대응하는 제도적·기술적 인프라를 구축하여 신산업 혁신을 촉진합니다.
개인영상정보 처리법 제정 추진: 불특정 다수가 촬영되고 정보주체의 사전 동의가 어려운 개인영상정보의 특수성을 고려하여 관련 법률 제정을 추진합니다.
3.3. 글로벌 개인정보 규범 주도권 확보

국제 협력 강화: 글로벌 프라이버시 총회 개최를 계기로 유럽과 미국 중심의 개인정보 규범 논의에 아시아 등 다양한 지역의 시각을 반영한 새로운 규범 형성을 선도합니다.
상호 인정체계 마련: EU와의 상호 데이터 이전 협력을 강화하기 위해 동등성 인정과 적정성 결정 갱신을 통해 상호 인정체계를 마련합니다.

https://www.kisa.or.kr/20202/form?postSeq=395&page=1#fnPostAttachDownload