유럽 데이터 보호 이사회, AI 개발에 관한 의견 발표

AI 모델 개발 시 데이터 보호법 준수 방향 제시

유럽 데이터 보호 이사회(EDPB)는 인공지능(AI) 기술 개발에서 개인정보 처리와 유럽연합(EU)의 개인정보 보호법 규정을 준수하는 방안에 대한 의견을 발표했다. 이번 의견은 특히 대규모 언어 모델(LLM) 등 AI 모델이 개인정보를 어떻게 활용할 수 있는지, 이에 따른 규정 준수 조건을 검토한 내용을 담고 있다.

AI 모델의 익명성 여부, 사례별로 평가 필요

개인정보를 직접 또는 간접적으로 식별하지 않는지 확인

EDPB는 AI 모델의 익명성 여부를 평가할 때 사례별 판단이 필요하다고 강조했다. 익명성이란 AI 모델이 특정 개인을 직접 혹은 간접적으로 식별할 수 없도록 하는 것을 의미한다. 이를 위해 개발자들은 학습 데이터 출처를 신중히 선택하고, 데이터 최소화(data minimization)와 개인정보 보호 기술을 적용하는 등의 노력을 기울여야 한다고 언급했다.

"정당한 이익" 법적 근거 활용 가능성 검토

개인 동의 없이 개발 가능한 경우, 위험성 평가 필요

AI 개발 시 "정당한 이익(legitimate interests)"을 법적 근거로 삼아 개인정보를 처리할 수 있을지에 대한 논의도 포함되었다. 이는 데이터 처리 과정에서 매번 개인 동의를 받을 필요가 없으므로 실용적이라는 장점이 있다. 하지만 이를 인정받기 위해서는 목적의 정당성, 필요성, 그리고 데이터 처리로 인해 초래될 수 있는 개인의 기본권 침해 가능성을 면밀히 평가해야 한다. 만일 이러한 평가에서 문제가 드러나면, 데이터의 가명화(pseudonymization)나 투명성 강화 조치 등의 보완책이 필요할 수 있다고 설명했다.

불법적으로 처리된 데이터 사용 시 법적 문제

운영 단계에서 개인정보 활용 없으면 규정 미적용 가능

불법적으로 처리된 데이터로 훈련된 AI 모델의 활용 가능성에 대해서도 의견이 나왔다. EDPB는 AI 모델 운영 단계에서 개인정보가 전혀 처리되지 않을 경우, GDPR이 적용되지 않을 수도 있다고 밝혔다. 이는 AI 개발자들에게 잠재적 가이드라인을 제공하지만 동시에 데이터 규제의 악용 가능성에 대한 우려를 낳고 있다.