개인정보보호위원회는 생성형 인공지능(AI) 서비스 개발과 활용을 위한 개인정보 처리 기준을 담은 안내서를 8월 6일 공개했다. 이번 안내서는 생성형 AI 전 과정에서 개인정보 보호법 적용의 불확실성을 해소하고, 기업과 기관의 자율적 법 준수를 지원하기 위해 마련되었다.

안내서는 생성형 AI 개발·활용 단계를 목적 설정, 전략 수립, 학습 및 개발, 시스템 적용 및 관리, 거버넌스 구축 등 5단계로 나누고, 단계별 법적 고려 사항과 안전성 확보 기준을 구체적으로 제시한다. 예를 들어 ChatGPT API 활용, Llama 오픈소스 미세조정, 자체 경량 모델 개발 등 다양한 유형별 AI 개발 방식을 반영했다.

특히, 인터넷에 공개된 데이터는 개인정보 보호법상 ‘정당한 이익’ 조항에 따라 활용 가능하며, 기업이 보유한 이용자 정보의 AI 학습 재이용 시 목적 내 이용, 추가 이용, 별개의 목적 등 구체적 사례에 따른 법적 판단 기준을 안내했다.

학습 및 개발 단계에서는 데이터 오염, 탈옥 등 AI 리스크를 경감하기 위한 다층적 안전조치를 포함했다. 시스템 적용 시에는 AI 결과값의 정확도 점검과 모니터링, 정보주체 권리 보장 방안 마련을 강조했다.

마지막으로 개인정보보호책임자(CPO)를 중심으로 한 내부 거버넌스 구축이 필수적이며, CPO가 AI 기획·개발 초기부터 개인정보 보호 원칙을 내재화할 수 있도록 권고했다.

개인정보위 고학수 위원장은 “이번 안내서를 통해 생성형 AI 개발 현장의 법적 불확실성이 해소되고, 개인정보 보호와 혁신이 상호 공존할 수 있는 정책 기반이 마련될 것”이라고 말했다.