개인정보보호프라이버시

[해외정보인권] {/}빅데이터, 인공지능, 머신러닝 및 개인정보 보호

By 2017/11/16 No Comments

편집자 주 : 다른 나라가 개인정보보호법 없이 자유로이 빅데이터를 처리한다는 일부의 주장은 사실이 아닙니다. 빅데이터 시대를 맞아 세계 여러 나라가 개인정보 보호를 고민하고 있습니다. 미국은 개인정보 보호법이 없고 의료관련 법률에서 보호하는 환자정보가 매우 제한적이지만, 시민단체와 정부는 이런 문제를 인식하고 대응해 왔습니다. 유럽은 헌법상 기본권인 국민의 개인정보에 대한 권리를 빅데이터 처리와 조화시키기 위해 여러 모로 정책적 대응을 고민해 왔습니다. 특히 최근 빅데이터 처리에 대한 고민을 반영했다고 알려진 유럽 일반개인정보보호규정(GDPR)은 유럽과 무역하는 세계 여러 나라에 영향을 미칠 것으로 보여집니다. 영국은 유럽연합에서 탈퇴했지만, 영국 개인정보감독기구인 정보감독위원회(ICO)는 빅데이터, 인공지능 처리에 있어서도 개인정보 보호원칙을 준수해야 한다는 입장을 고수하고 있습니다.
우리나라 역시 국민의 개인정보 자기결정권은 헌법상 기본권입니다. 국민들에게 혜택을 주는 빅데이터 정책이 수립되기 위해서는 국민의 기본권과 공익을 적법하게 조화시키기 위한 노력이 필요합니다. 박근혜 정부처럼 국가데이터와 민간기업 데이터를 직접 결합시키거나 민간기업들의 고객정보를 결합시키는 데 국가기관을 동원하는 사례는 세계적으로 찾아볼 수 없습니다. 많은 국민들은 보험회사와 같은 민간기업들이 영리 목적으로 자신의 동의 없이 개인 정보를 처리하는 것을 반대하고 있습니다. 국민의 신뢰를 잃는다면 꼭 필요한 공익적 빅데이터도 난관에 봉착하게 됩니다. 영국에서 성난 국민들의 민원으로 보건의료 빅데이터 care.data가 중단된 것처럼 말이지요.

번역오류는 antiropy 골뱅이 jinbo.net 으로 알려주세요.

제목 : 빅데이터, 인공지능, 머신러닝 및 개인정보 보호
원문 : Big data, artificial intelligence, machine learning and data protection​
작성 : 2017년 3월, 영국 정보감독위원회 (ICO)
이 자료는 개인정보 보호위원회의 번역입니다. 전체 번역본은 개인정보 보호위원회 다음 자료를 참고하시기 바랍니다.
빅데이터, 인공지능, 머신러닝과 데이터 보호

제5장 결론

  1. 빅데이터, AI 및 머신러닝은 공공 및 민간 분야에서 널리 퍼지고 있습니다. 점점 더 ‘여느 때와 같은 비즈니스’로 여겨질 수 있지만, 빅데이터 분석의 주요 특성은 개인정보의 처리와 관련된 큰 변화를 나타냅니다.
  2. AI 덕분에 가능한 기능을 사용하는 빅데이터의 분석은 개인정보 보호에 대한 함의를 제공하며, 빅데이터 환경에서 개인정보 데이터를 사용할 때 개인정보 보호 원칙을 적용하는 것이 더욱 어려울 수 있습니다. 이런 함의는 데이터의 양뿐만 아니라 정보가 생성되는 방식, 새로운 사용 목적을 찾기 위한 성향, 처리의 복잡성 및 개인에게 있어 예상치 못한 결과의 가능성에서도 발생합니다. 이 문서에서 우리는 빅데이터 분석의 기능에 대한 개인정보 보호 원칙을 나타내고 잠재적인 어려움이 있는 영역에 대해 강조했습니다.
  3. 또한 우리는 정보처리자들이 개인정보의 처리가 개인정보 보호 법률을 준수하는지를 보장하고 프라이버시에 미치는 영향을 최소화할 수 있는 익명처리, PIA 및 개인정보 보호 최적화 설계(PBD) 등 다양한 수단과 접근법도 논의했습니다. 우리는 정보처리자들이 자신들만의 윤리 원칙을 개발하고 대중들과의 신뢰 관계를 쌓고자 하는 경향을 반갑게 생각합니다. 이를 실행에 옮기는 것으로 개인정보 보호 요구사항을 준수하는 데 도움이 되기 때문입니다. ‘정보처리자 내부적으로 또한 국가적으로 윤리 각료의사회’를 구성하고자 하는 최근의 움직임은 이를 지원하는 또 다른 긍정적인 요인이라고 할 수 있습니다.
  4. 우리는 전반적으로 개인, 공공 서비스, 비즈니스 및 사회를 위해 빅데이터를 사용하는 것으로부터 흘러들어 올 수 있는 많은 혜택을 인지하고 있습니다. 그러나 이런 혜택들은 프라이버시 권리와 개인정보 보호가 이루어지는 방식에 포함될 때만 실제로 그 혜택을 느낄 수 있습니다. 그러므로 정보처리자들이 자신들이 하는 일에 따른 잠재적 혜택과 프라이버시 위험을 해결하기 위해 수행한 절차에 대해 분명히 아는 것은 매우 중요합니다.
  5. 그렇지만 개인정보 보호는 빅데이터 분석에 대한 법적 요구사항만이 아니며 다른 이유들에 따라 이익이 되면서 신중해야 하기도 합니다. 창의성과 혁신을 권장하는 것 외에도, 우리는 개인정보 보호 권리를 얻는 것으로 빅데이터 세계의 비즈니스 및 공공 부문 정보처리자들에게 있어 점점 더 중요해지는 데이터의 품질을 보장할 수 있다고 주장합니다. 그러므로, 빅데이터에 의존하는 정보처리자들에게 있어 데이터 보호는 법무 부서 또는 규정준수 부서는 물론 데이터 분석, 마케팅 및 연구를 담당하는 인원에게도 중요합니다. 이들은 빅데이터 분석의 데이터 보호 영향과 PIA 같은 수단에 대해서 알 필요가 있습니다. 또한, 이러한 역할을 맡게 될 사람들을 위해서 데이터 보호가 고등 교육과정의 일부가 되어야 한다고 제안합니다.
  6. 우리는 개인정보 보호 원칙을 빅데이터 분석에 적용하는 것의 어려움을 고려할 때 각기 다른 법적 또는 규제적 접근법이 필요하다는 견해에 대해 알고 있습니다. 그러나 개인정보 보호가 현재 법률에 포함된 것처럼 빅데이터의 환경에서 적용될 수 없다는 생각은 수용할 수 없습니다. 빅데이터가 각기 다른 규정으로 하는 게임이 아니라고 우리는 주장합니다. 이런 문제들을 다룰 때 증가하는 책임의 중요성을 인지하고 있으나, 그렇다고 해서 좀 더 전통적인 투명성의 원칙을 대체할 수 있다고 보지 않습니다. 투명성은 여전히 중요한 역할을 하고 있으며, 복잡한 AI 및 머신러닝의 세계에서도 이를 달성할 수 있습니다.
  7. 이 문서 전체에서 우리는 GDPR의 관련 조문들을 언급했습니다. GDPR은 어느 정도 빅데이터 분석과 관련하여 제기된 의문들에 답하기 위한 용도로 작성되었습니다. 이러한 환경에서 프라이버시 권리를 강화하는 것을 목적으로 하며, 구체적으로 프로파일링 같은 문제와 개인정보 보호 영향평가 및 설계를 통한 기본적인 개인정보 보호 같은 수단을 나타냅니다.
  8. ICO는 빅데이터 정보처리자들이 기존 및 새로운 개인정보 보호 의무를 지킬 수 있도록 돕는 역할을 합니다. 비록 이 문서가 주로 토론용 문서로서 제작되었다고 하더라도, 현실적인 범위, 특히 제3장 규정준수 수단 및 별첨 1의 PIA 수행을 추가했습니다. 또한 이들 논의를 통해 여섯 가지 주요 권고사항을 도출하고 이를 제6장에 제시했습니다.
  9. 그러나, 이 문서가 개인정보 보호와 빅데이터 분석에 대한 마지막 작업이 아닙니다. 이 분야, 특히 GDPR 및 빅데이터, AI, 머신러닝과 관련된 ‘프로파일링’ 및 ‘위험’ 같은 문제에 관한 GDPR의 조문과 관련한 다양한 활동들을 현재 진행 중이며 계획 중에 있습니다. 이 문서와 다른 작업의 결과물은 우리의 웹사이트 www.ico.org.uk에 발행(또는 링크)되고 월간 e‐뉴스레터에 소개될 예정입니다.
  10. 우리는 정보처리자들이 의무를 지킬 수 있도록 돕고 장려하기 위해 이 분야에서 지속적인 활동을 할 것입니다. 또한 집행 통보 및 벌금형 통보를 포함하는 규제조치에 비례하는 개인정보 보호 법률의 위반에 대응하는 역할도 맡고 있습니다. 이는 빅데이터, AI 및 머신러닝의 세계에서도 다르지 않으며 우리는 계속해서 우리의 규제 조치 정책(Regulatory Action Policy)에 따라 필요한 곳에 힘을 발휘할 것입니다.

제6장 ‐ 주요 권고사항

  1. 본 문서 제3장의 규정준수 수단을 토대로, 우리는 정보처리자들이 빅데이터 세계에서 개인정보 보호 규정준수를 달성하고 넘어설 수 있도록 돕는 다음과 같은 여섯 가지 주요 권고사항을 도출했습니다.

  1. 수행될 빅데이터 분석이 실제로 개인정보의 처리를 필요로 하는지 신중하게 고려합니다. 흔히 이 경우에 해당하지 않습니다. 이런 상황에서 정보처리자들은 적절한 기술을 사용하여 분석 전 데이터셋 내 개인정보를 익명 처리해야 합니다. (익명처리 섹션에서 더 보기)
  2. 빅데이터 프로젝트 내내 적절한 단계에서 유의미한 개인정보 보호 고지사항을 제공하기 위해서 혁신적인 접근법의 조합을 사용하여 개인정보의 처리에 대해 투명성을 유지해야 합니다. 아이콘, 시기 적절한 알림 및 계층화된 개인정보 보호 고지사항의 사용을 포함할 수 있습니다. (개인정보 고지사항 섹션에서 더 보기)
  3. 주어진 프로젝트의 필요성과 비례 원칙을 평가하고 프라이버시 위험을 식별하기 위해 빅데이터 처리 활동에 프라이버시 영향평가 프레임워크를 포함합니다. 프라이버시 영향평가는 데이터 분석자, 규정준수 담당자 위원회 의원 및 대중 등 모든 관련 당사자로부터의 입력 데이터를 포함해야 합니다. (프라이버시 영향평가 섹션 및 별첨 1에서 더 보기)
  4. 빅데이터 분석의 개발 및 적용에서 개인정보보호 최적화 설계(PBD) 접근법을 도입합니다. 이 접근법은 데이터 보안, 데이터 최소화 및 데이터 분리 등의 문제들을 해결하기 위한 기술적 및 조직적 조치의 시행을 포함해야 합니다. (개인정보보호 최적화 설계 섹션에서 더 보기)
  5. 주요 개인정보 보호 원칙을 강화하기 위해 윤리적 원칙을 개발합니다. 더 작은 정보처리자의 직원들은 빅데이터 프로젝트에서 작업 시 이들 원칙을 기준으로 활용하여야 합니다. 더 큰 정보처리자는 프로젝트를 면밀히 조사하고 빅데이터 분석에서 나타날 수 있는 복잡만 문제들을 평가하기 위해서 윤리위원회를 구성합니다. (윤리적 접근법 섹션에서 더 보기)
  6. 감사 가능한 머신러닝 알고리즘을 개발할 수 있는 혁신적인 기술을 실행합니다. 내부 및 외부 감사는 알고리즘 결정을 내린 근거를 설명하고 편견, 차별 및 오류를 살펴보기 위한 목적을 갖고 이루어져야 합니다. (알고리즘 투명성 섹션에서 더 보기)