brunch

You can make anything
by writing

C.S.Lewis

AI 와 IP (3) - 데이터 보안

AI와 법

AI 시스템은 일반적으로 방대한 양의 데이터에 의존하게 된다. 그런데 이러한 데이터 중에는 개인의 병력이나 건강 정보, 기업의 재무제표나 영업비밀 등 매우 민감한 내용들이 포함되어 있을 수 있으며, 따라서 프라이버시와 데이터 보안의 이슈는 더욱 중요해지고 있다. AI 시스템을 개발하거나 사용하는 개인 또는 기업의 입장에서는 민감한 자료들의 무단 공개 또는 사용을 방지하기 위한 2중, 3중의 예방조치를 취해야 함은 아무리 강조해도 지나치지 않다. 데이터를 다루는 기업의 관리자라면 다음의 조치들에 대하여 한 번쯤은 고려를 해 볼 것을 권한다.


데이터 보안을 위한 조치들


<물리적 조치>

· 출입 통제

· ID 보안 체크

· 보안직원 모니터링

· 방문자 로그

· 외부인 방문시 항상 내부직원 동행

· 비밀정보의 표시 부착 등


<기술적 조치>

· 보안 VPN 네트워크

· 비밀번호 설정

· 모바일 기기 보안 프로그램 등


<인사상 조치>

· 새로 채용할 직원에게 동종업종 비경쟁 의무가 있는지 여부에 대한 사전 조사

· 직원 교육

· 영업비밀 사규를 정리한 직원용 핸드북 배포

· 신규 직원, 방문자, 제3자 독립계약자 및 컨설턴트와의 개별적 비밀유지계약(NDA) 등


데이터 보안에 적용가능한 일반 법률


특히, 개인정보 보호 및 데이터 보안과 관련하여 적용가능한 모든 연방 및 주 법률을 준수하여야 한다. 내가 다루는 정보들이 어느 개별 법률의 적용을 받는지를 분명히 알고 있는 것은 매우 중요하다. 영업비밀 편에서 다루었던 연방 영업비밀보호법(DTSA) 외에도,

- 의료정보의 경우에는, Health Insurance Portability and Accountability Act (HIPAA) 와 Health Information Technology for Economic and Clinical Health Act 등

- 아동 관련 정보는, Children’s Online Privacy Protection Act 등

- 특정 금융관련 정보는, Gramm-Leach-Bliley Act (GLBA) 또는 Fair Credit Reporting Act (FCRA) 등

의 적용을 받을 수 있다.


그 외에도, 개인정보를 처리할 때마다, 국내에서는 데이터 3법(개인정보보호법, 신용정보법, 정보통신망법), EU의 GDPR 및 캘리포니아의 CCPA 의 적용을 받는지 역시 살펴보아야 한다.


GDPR의 경우, 적용 대상은 EU 거주 시민의 개인정보를 처리하는 모든 정보 통제자, 정보 처리자, 정보보호책임자(DPO) 등이며, EU 국가에 사업장을 보유한 경우, 또는 EU에 사업장을 가지고 있지 않더라도 EU 거주 정보 주체에게 재화 또는 서비스를 제공하거나 정보주체의 행동을 모니터링하는 기업들도 모두 적용대상이 된다.


CCPA의 경우, 의무 주체인 ‘사업자’는 캘리포니아에서 영리 목적으로 사업을 경영하는 자를 모두 포함하되, 정부 및 비영리단체는 적용되지 않으며, 연간 총 매출액 2천 5백만 달러 이하, 연간 5만 명/개 미만의 상업적 목적의 개인정보 처리, 연간 매출액의 50% 미만이 캘리포니아 소비자의 개인정보 판매로 발생한 자도 적용대상에서 제외가 되니, 내가 적용대상인지 여부를 정확하게 확인해보는 것이 필요하다.


AI에 특화되어 별도로 제정된 미국의 연방법은 아직까지는 없는 것으로 보인다. 다만, 지난 2020년 4월, 연방거래위원회(FTC)는 기업들의 머신러닝 기술 및 자동화된 의사결정 과정에 AI 시스템을 사용하는 것과 관련한 지침(FTC guidance: Using Artificial Intelligence and Algorithms)을 내린 바 있다. 위 지침에서는, AI 시스템의 악용으로 인하여 발생하는 소비자 보호와 리스크 관리에 대한 모범 사례 등을 포함하고 있으며, 특히 AI 알고리즘은 투명하고( transparent), 공정하며(fair), 설명가능해야 하고(explainable), 경험적으로 건전한 것(empirically sound)이어야 한다는 점을 명확히 규정하고 있다. 지침의 자세한 내용은 여기에서 확인가능하다.


마지막으로, 연방법은 아니지만, 일리노이주에서는 인공지능 화상면접 법률(Artificail Intelligence Video Interview Act of 2020, Ill. HB. 2557, 820 ILCS 42, Public Act 101-0260)이 제정되었다. 이 법률은, 요새 화두가 되고 있는 비대면 인공지능 화상면접을 시행하려고 하는 경우 준수해야 할 내용들을 다루고 있으며, 대표적인 내용은 다음과 같다.


- 인터뷰이(interviewee)에게 본인의 동영상을 AI가 분석하게 될 것임을 고지할 것

- AI 분석이 어떤 방식으로 이루어지며 인터뷰이의 영상이 어떻게 평가될 것인지를 고지할 것

- 인터뷰이(interviewee)의 사전 동의를 얻을 것

- 인터뷰를 평가할 면접관에게만 해당 인터뷰 영상을 공유할 것

- 인터뷰이(interviewee)의 요청이 있을 경우, 30일 이내에 모든 사본을 파기할 것 등


AI 시대에 당면한 데이터 보안의 과제


AI의 이용과 데이터 보안은 근본적으로 상충되는 지점이 있다. 예컨대, 대부분의 데이터보호 법률들은 기업들이 명시적이고 특정한 목적을 달성하기 위해서 절대적으로 필요한 범위 내에서만 개인정보를 수집, 저장, 분석 및 사용하도록 요구하고 있으며, 실제로 사용 후에는 데이터를 삭제할 것을 요구한다. 반면에 AI가 근본적으로 작동하기 위해서는, 정확하고 안전한 결과를 예측하기 위하여 가능한 한 많은 데이터들을 수집하는 것이 필요하다. 몸에 부착하여 생체정보를 얻고 건강상태를 체크하는 웨어러블(wearable) 기술에서 특히 더 중요할 수 있다. 이런 경우에 FTC의 지침에 따르면, 해당 정보들에 대한 암호화와 익명화 작업을 거쳐 가능한 모든 곳에서 데이터와 개인을 분리하여 식별 불가능하도록 만들 것을 요구한다.


한편, FTC 지침은, AI 알고리즘의 프로세스를 개인에게 설명할 것을 요구하는데, 이는 경우에 따라서는 기업의 영업비밀을 일부 공개해야 하는 상황이 될 수 있으므로 주의가 필요하다. 따라서 어느 정도의 기술 공개가 불가피하다면, 해당 기술을 특허로서 보호받을 수 있는 조치를 먼저 취하는 것을 고려하는 것이 좋겠다(영업비밀은 비밀성이 깨지는 순간 더 이상 보호를 받기가 어렵다).


또한, 기업이 개인정보를 사용하는 과정에서 데이터 수집 당시에 공개한 수집목적과 일치하는지 여부를 정기적으로 모니터링 할 필요가 있다. 사업이 확장되면서 서비스가 추가됨에 따라, 수집된 데이터를 새로운 서비스에 사용하고자 하는 경우가 있을 수 있다. 그러나 만약 공개된 수집목적과 다른 새로운 목적을 위해 데이터가 사용되었거나 사용될 예정이라면, 그 즉시 개인정보 보호정책을 업데이트해야 하고, 필요할 경우에는 정보의 주체에게 새로운 동의를 얻어야 한다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari