인공지능 및 데이터 보호 가이드라인의 필요성
오픈소스 기반의 인공지능 프레임워크인 ‘시드 토큰(Seed Token)’의 공동 설립자 마크 스티븐 메도우스(Mark Stephen Meadows)는 “인공지능은 사람들이 알고 있는 지식보다 더 많은 지식을 축적하고 분석할 수 있기 때문에 윤리적인 문제를 안고 있을 수밖에 없다”고 했다.
이는 인공지능이 삶에 깊숙이 파고들수록 우리는 인공지능이 가져올 수 있는 위험성·부작용을 인지하고, 이에 대응하는 방안을 구체적으로 논의할 필요가 있다는 뜻이다.
인공지능의 윤리적 이슈와 데이터 보안
인간이 아닌 인공지능(AI)이 데이터를 분석하고 결정까지 내린다고 했을 때, 가장 민감한 사안은 ‘윤리성’이다.
프라이버시 침해, 공정성, 투명성, 책임성 등의 각종 윤리적 이슈는 법으로 규율하기 어려운 도덕과 윤리의 영역인 경우가
대부분인데다가 인공지능의 결정이 윤리적으로 그릇된 것일 때가 있다는 건 이미 실제 실험과 프로젝트를 통해 입증된 사실이기 때문이다.
그래서 인공지능의 성능과 장점에만 집중하던 주요국의 정부와 기업들은 어느 순간부터 인공지능의 윤리성에도 똑같이 관심을 갖기 시작했다.
현재 각 나라의 정부정책은 자율적인 이행을 촉진하며 우수사례 등을 제시하고 권고하는 원칙이나 지침, 가이드라인의 형식을 띠고 있다.
하지만 대량의 데이터를 처리함으로써 발생하는 데이터 보호와 개인정보 침해는 구체적인 가이드가 필요한 부분으로 거론되고 있다.
안전한 인공지능 활용을 위한 주요 국가들의 정책 동향
인공지능은 단순하게 정의하기 힘든 복잡한 의미를 담고 있는 용어이다. 따라서 이를 어떻게 정의하는지를 알아보는 것도 중요하다.
유럽연합 집행위원회의 고위 전문가 그룹은 “복잡한 목표가 주어졌을 때 데이터 획득을 통해 환경을 인식하고 수집한 정형 또는 비정형 데이터를
해석·추론함으로써 최선의 조치를 결정하고 물리적 차원이나 디지털 차원에서 행동하도록 인간이 설계한 소프트웨어·하드웨어 시스템”이라고 본다.
영국 상원의 인공지능 특별위원회에서 정의한 인공지능은 “인식, 음성인식 및 언어 번역과 같이 인간의 지능이 필요한 작업을 수행할 수 있는 기술”에 한정한다.
일본은 ‘관민데이터활용추진 기본법’에 인공지능의 개념을 “인공적인 방법으로 학습, 추론, 판단 등의 지적인 기능을 실현하고 인공적인 방법으로 실현된 당해
기능의 활용에 관한 기술”이라고 정의한다.
이를 통해 각 나라별로 조금씩은 차이가 있지만 주로 인간지능과 연결된 인지 문제 해결을 위한 결정을 내리는 데에 기여하는 기술을 인공지능이라고 인식하는
공통점이 있다는 것을 알 수 있다.
그러나 아직도 소프트웨어, 하드웨어, 기술 등을 포괄하는 개념으로 특정 서비스나 기술에 한정하기 어렵다는 한계를 보여준다.
윤리는 법으로 강제할 수 있는 영역을 넘어서고, 공정성과 투명성, 프라이버시 보장 등 모두 인공지능 서비스 제공과 관련해서 일률적으로 규제할 수 없는 한계가 있다.
따라서 현재 주요 국가들은 포괄적인 원칙이나 가이드라인을 제시함으로써 안전한 인공지능의 활용을 권장하고 있다.
▲출처: 주요국의 인공지능과 데이터보호 정책 동향 분석(정보통신기획평가원, ITFIND 주간기술동향 1999호)▲
2018년부터 2021년까지 발표된 주요 국가의 정책문서 발간 현황을 보면 대부분 원칙, 지침, 가이드라인, 권고사항, 의견서 등의 형식이다.
하지만 싱가포르나 영국과 같이 구체적인 방안을 제시하고 있는 국가도 있다.
싱가포르 가이드가 전반적인 가이드를 제시하고 있다면 영국의 가이드는 데이터와 개인정보 보호에 대해 보다 상세한 방안을 제시하고 있어
모두 유용한 내용을 담고 있다고 평가받고 있다.
싱가포르 “AI 거버넌스 프레임워크 모델 도입 가이드”
<운용 관리>
인공지능 도입 프로세스의 운용 측면에서 책임감 있는 조치를 채택하고 지원하도록 하며 데이터보호법과 OECD의 개인정보 보호 원칙 등과
업계의 모범 사례ㆍ표준을 채택하도록 권고한다. 또한, 개인이 식별되지 않는 가명 또는 비식별 데이터로 학습이 가능한지 검토하여 실행하도록 하고
인공지능이 접근하는 데이터도 접근이 불가능한 민감 데이터를 분류하여 별도 관리하도록 명시하고 있다.
학습 데이터도 데이터의 활용 내역을 관리할 수 있도록 계보를 관리하도록 권고하며, 출처와 오류 등을 사전 고려하는 방안을 제시한다.
투명성과 연결되는 설명 가능성 부분에서도 모델의 작동 방식과 과정에 대한 설명을 모두 기록하도록 하며,
단순한 알고리즘을 활용할 것을 직접적으로 권장하기도 한다.
<이해관계자와의 소통 및 상호작용>
주로 정보주체의 권리 보장을 위한 구체적인 수단을 포함하고 있다. 기본적으로 이해관계자를 파악하고 결과 중심의 설명을 제공하도록 하며,
인공지능 활용 사실을 알리도록 한다. 학습 데이터의 출처에 대해서도 알리고 인공지능 활용 여부 관련한 의사를 철회할 수 있는지의 여부도 공개하도록 권장한다.
서비스에도 상황별로 동의가 가능하도록 반영하고 해당 기능을 필요로 할 시에만 데이터를 수집하도록 설계할 것을 권고하고 있다.
뿐만 아니라 피드백 또는 문의를 위한 채널을 제공하고 적절한 담당자가 이를 관리하도록 해야 하며, 인공지능의 결정에 대해 실질적으로 검토 요청을 할 수 있는 수단과
채널을 제공하는지 고려해야 함을 명시한다.
영국 “인공지능 및 데이터보호 가이드”
영국의 지침은 ▷ 개인정보 영향평가(DPIA), ▷ 공정하고 합법적이며 투명한 처리, ▷ 데이터 최소화 및 보안, ▷ 정보주체의 권리 보장 등의 파트로 기술
전문가와 고위 경영진, 법률 고문, 개인정보 보호 책임자(DPO) 등을 대상으로 하고 있다.
<책임성과 거버넌스>
인공지능 프로세스의 단계와 처리 활동에 대한 체계적인 설명과 공정성에 영향을 미치는 오차 한계 등 처리과정에 대한 설명을 제공하도록 한다.
또한, 설명 내용이 일반 개인정보 처리와 달리 복잡하고 어렵기 때문에, 두 가지 버전으로 평가의 종류를 나눠서 진행하기를 권고하고 있다.
이밖에도 계획 중인 추가 조치, 추가 조치를 취한 후 잔여 위험의 수준 등 문서화할 사항까지 제시하고 있다.
<공정하고 합법적이며 투명한 처리>
공정성의 구현과 차별성 완화를 위해서는 모든 단계에 걸쳐 편향을 완화하는 접근방식을 문서화하고 정책과 모범사례를 마련함과 동시에 모니터링을 지속 수행하고
조직 내에서 편견과 차별을 식별할 수 있도록 다양한 인력으로 조직을 운영해야 한다고 규정하고 있다.
또한, 합법성을 위해서도 법적 근거를 선택하여 모든 결정 내용을 문서화하고 정당한 사유 없이 추후 법적 근거를 변경하지 못하도록 필수 고려사항을 제시하며,
데이터 수집을 위한 동의도 쉽게 동의철회가 가능해야 하므로 수용할 준비를 하도록 하는 내용을 포함한다.
<데이터 최소화와 보안>
보안 강화를 위해서는 학습 데이터와 인공지능 모델의 위험을 관리하도록 하고 있으며, 데이터 최소화 방안으로는 학습 단계와 추론 단계, 모델 수립 후를 나누어서 설명한다.
학습 단계는 노이즈 추가, 데이터 합성, 연합 학습 등의 기법을 활용하도록 하고, 추론 단계는 인간 판독이 어려운 형식으로 데이터를 변환하는 등 개인정보 활용을
최소화하는 방안을 제시하며, 모델 수립 후에는 재학습 가능성이 낮고 일정기간이 경과한 데이터는 모두 파기하도록 하는 방안을 제시한다.
결국, 개인정보가 활용되는 모든 프로세스에 대해 데이터 최소화 방안을 매핑하고 실행하도록 권장하는 것으로 판단된다.
<정보주체의 권리보장>
데이터 이동권은 개인정보 처리가 동의나 계약에 근거한 경우만 적용이 가능하며, 정보를 제공받을 권리는 의사결정에 대한 개인정보를 처리하는 경우에만
적용될 수 있다는 점을 주의해야 한다.
인공지능 모델에서 특정 개인의 정정권이나 삭제권 요구가 있을 시에 정정권ㆍ삭제권 모두 보장해주어야 한다고 보며,
특히 삭제권은 한 개인의 정보를 삭제하는 것이 목적 달성에 영향이 있지 않으므로 요청을 이행하지 않을 근거가 되지 않는다고 서술하고 있다.
또한 자동화된 결정 관련 권리 보장 방안으로 필요한 경우 인공지능 시스템의 결정을 무효화해야 한다고도 밝히고 있다.
싱가포르와 영국의 가이드라인 시사점
1. 인공지능 시스템을 운영하는 조직의 책임성과 투명성을 구현하기 위해서는 문서
화가 필수적이며, 학습 데이터의 관리의 병행이 중요하다.
:싱가포르의 가이드는 인공지능 모델의 작동 방식을 기록하고, 산출 결과와 과정 또한 모두 기록하도록 하며 기록용 블랙박스의 운영과 학습 데이터 사본 관리로
데이터의 계보가 추적 가능해야 한다고 권장한다.
영국의 가이드 또한 인공지능의 결정을 모두 문서화하도록 하며, 개인정보 영향평가의 경우 문서화할 사항을 별도로 제시하며 강조한다.
2. 인공지능 서비스의 정보주체 권리 보장과 이해관계자 간 소통 등의 중요성이
더욱 부상할 것이므로 이에 대한 준비가 요구될 것이다.
:인공지능 서비스가 개인정보를 활용하여 의사결정을 내리는 경우 정보를 제공받을 권리나 정정권, 삭제권 등의 요구가 실제로 제기될 수 있다.
영국의 가이드에서 제시하고 있는 것처럼 이는 인공지능 시스템에서도 적용되어야 하고 보장해야 하는 권리로서 내부적인 기준과 절차를
마련하여야 할 것이다.
또한, 인공지능 프로세스 관련 이의 제기가 있는 경우 이를 검토할 수 있는 별도의 채널을 운영하고 실질적인 권리 구제가 가능하도록
조치하여야 할 것이다.
3. 인공지능 프로세스의 데이터와 개인정보보호는 결국 시스템을 운영하는 기관이나 기업의 자율적인 실천으로 구현되는 것이기
때문에 관련법과 지침을 준수하고 우수사례를 공유하며 교육을 통해 인식을 제고하는 등의 지속적인 노력이 필수적이다.
:대량의 데이터를 필요로 하는 인공지능의 특성상 시간과 인력을 투입하고 피드백을 받아 수정하고 지속적인 모니터링을 하는 데에는 자원의 배분이 불가피하다.
최고 경영자와 고위 임원들의 인식을 제고하고 개인정보보호의 권고와 이를 유도할 수 있는 인센티브를 제공하는 등의 방안을 강구하는 것이
정책 당국의 중요한 과제가 될 것이다.