소식지인공지능

[해외정보인권] Consultation on the OPC’s Proposals for ensuring appropriate regulation of artificial intelligence{/}[해외정보인권] AI의 적절한 규제를 위한 OPC의 제안

By 2020/08/24 8월 24th, 2022 No Comments
번역오류는 policy 골뱅이 jinbo.net 으로 알려주세요.
제목 : AI의 적절한 규제를 위한 OPC의 제안
원문제목 : Consultation on the OPC’s Proposals for ensuring appropriate regulation of artificial intelligence
원문링크 : https://www.priv.gc.ca/en/about-the-opc/what-we-do/consultations/consultation-ai/pos_ai_202001/
일시 : 2019년 5월
작성 : 캐나다 개인정보보호위원회, The Office of the Privacy Commissioner of Canada (OPC)

PROPOSALS FOR CONSIDERATION

 

제안1. AI에 대한 정의를 법률에 포함시켜 어떤 법적 규칙이 적용되는지 명확히 하는 한편 다른 규칙은 AI를 포함한 모든 처리에 적용됨. 

PIPEDA는 기술적으로 중립적이고 전반적인 지원에 해당하는 법률이다. 그렇다보니 AI, 자동화된 의사결정, 혹은 자동화된 처리에 대한 정의를 포함하고 있지 않다. 하지만 본 문서에서 발견된 다른 제안에서 제시된 것처럼, AI의 특정 용도를 다루기 위한 특정 규칙이 필요할 수 있으며, 이러한 규칙이 적용되는 시기를 명확히 하기 위해 법률 내에서 이를 정의하는 것을 지지한다.

캐나다를 포함한 42개국이 2019년 5월 채택한 OECD 인공지능 원칙은 AI 시스템을  “인간이 정한 목표의 주어진 집합에 대해 실제 또는 가상 환경에 영향을 미치는 예측, 권고 또는 의사결정을 할 수 있는 기계 기반 시스템”으로 정의하고 있다. AI시스템은 자율성이 다양한 수준으로 작동하도록 설계됐다. 그러나 IEEE의 자율·지능 시스템 윤리 글로벌 이니셔티브(Global Initiative on Ethics of Autonomous and Intelligence Systems)는 AI라는 용어가 너무 모호해 대신 ‘자율·지능 시스템’을 사용하고 있다는 견해를 밝혔다.

EU의 GDPR은 제22조의 자동화된 의사결정 및 프로파일링을 언급함으로써 AI를 명시적으로 다루고 있다. 영국의 정보위원실(ICO, Information Commissioner’s Office)는 2017년 지침인 빅데이터, 인공지능, 머신러닝, 데이터 보호에서 AI의 핵심 용어인 ‘머신 러닝’과 ‘빅데이터 분석을 구분하며, AI는 종종 상호 교환적으로 사용되지만 미묘한 차이가 있다는 점에 주목한다. 예를 들어 ICO는 빅데이터의 가치를 푸는 열쇠로 AI를, AI를 촉진하는 기술적 메커니즘 중 하나로 머신러닝을, AI와 머신러닝 프로세스의 합으로 빅데이터 분석을 언급하고 있다.

질의

  1. AI가 다른 처리방식과 똑같이 이 문서에서 제안하는 잠재적으로 향상된 규율에 의해 다뤄져야 할까(즉, 기술 중립적으로 보존된 정의나 원칙이 필요 없이) 혹은 프라이버시와 다른 인권에 대한 특정한 위협으로 인해 AI를 제한할 수 있는 특정한 규칙을 새로 만들어야 할까?
  2. 만약 특정한 규칙이 AI에 적용되어야만 한다면, 이런 규칙에 명확히 적용하기 위해 법에 어떻게 정의되어야 할까?

 

제안2: 기본적 인권이자 기타 인권의 행사에 대한 기초로서 인식되는 보다 광범위한 프라이버시 권리를 보호하기 위한 수단으로 데이터 보호 원칙을 구현하도록 법률에 권리 기반 접근(rights-based approach) 방식을 채택한다.

폴 네미츠(Paul Nemitz) EU 집행위원회 법무정책 수석보좌관은 AI가 특별한 법적 관심을 필요로 하는 이유와 법치주의에서 반인권적인 것에 대해 확인하는 것의 중요성을 적절히 포착했다.

삶의 많은 영역에서 AI는 특정한 규칙에 따라 이전에 인간이 내린 결정이나 선택을 결정하거나 결정이나 선택을 준비할 것이다. 따라서 이제 AI가 우리가 살고 있는 규칙을 통합해 실행한다면, 우리는 AI가 항상 법 그 자체처럼 취급되어야 한다는 사실에 익숙해질 필요가 있을 것이다. 그리고 법률에서는 상급법률, 헌법 민주주의의 기본교리에 의해 확인되는게 보통이다. 모든 법이 거쳐야 하는 테스트는 그것이 근본적 권리에 부합하는지, 민주주의 원칙에 모순되는지는 않는지, 따라서 특히 합법적인 절차로 채택되었는지, 그리고 법치주의 원칙에 부합하는지 여부, 기존의 법률과 모순되지는 않는지 충분히 추구하려는 목적에 비례하여 명확한지 등이다.

법의 목적은 가장 넓은 범위의 의미로 인권으로 이해되고 그 자체가 인권이면서 다른 인권을 실행할 수 있는 기본적인 것으로서의 프라이버시를 보호 해야만한다. 인권 기반 접근은 2019 캐나다 지방 및 연방, 영토의 정보 및 프라이버시 의원 결의안(2019 Resolution of Canada’s Federal, Provincial and Territorial Information and Privacy Commissioner)과 일치하며 이는 AI와 기계학습 기술들이 반드시 “투명성, 책임성, 공정성 이라는 프라이버시 원칙의 보호를 확보함으로써 기본권을 존중하는 형태로 설계되고, 개발되고 사용되어야 함”을 강조한다.

마찬가지로 제40차 국제 정보 보호 및 개인정보보호 위원회(ICDPPC, International Conference of Data Protection and Privacy Commissioners)의 AI 결의안(2018)은 “인공지능 시스템의 생성, 개발 및 사용은 인권, 특히 프라이버시 및 개인정보 보호에 대한 권리를 인간의 존엄성, 반차별 및 기본적 권리 만큼 존중해야 한다”고 단언한다. ICDPPC의 최근 프라이버시에 대한 결의(2019)는 프라이버시에 대한 강력한 의지를 그 자체로 권리와 가치로서 재확인하고, AI와 같은 새로운 기술의 진보에 따라 프라이버시 침해와 인권에 미칠 악영향을 방지하기 위한 적절한 법적 보호를 요구한다.

권리의 보호를 보장하기 위해서, PIPEDA에 적절한 폭과 범위에서 프라이버시를 인정하고 나머지 법 조항은 어떻게 해석해야 하는지에  대한 방향을 제시하는 권리에 근거한 토대가 마련되어야 한다고 우리는 본다. 이러한 접근 방식은 EU의 데이터 보호 법률 내에 프라이버시에 대한 인권 기반 접근방식을 통합한 GDPR을 포함하여 많은 국제기구와 일맥상통할 것이다. GDPR은 recital을 통해 데이터 처리와 관련된 개인의 기본권에 대해 반복적으로 언급한다.

PIPEDA에 권리를 확고히 내포하고 명확히 할 필요성은 컴퓨터가 인간적인 관여가 거의 없는 상태에서 결정을 내리는 디지털 환경에서 더욱 압박적으로 작용한다.

질의

  1. 만약 법이 개정되어 AI 시스템을 개발하는데 있어 더 명확하게 프라이버시, 인권, 헌법 민주주의의 기본적 교의에 대해 확인하도록 요구한다면, 조직에 어떤 문제가 생길 수 있을까?

 

제안3: 자동화된 의사 결정에 이의를 제기하고 특정 예외를 적용하여 오직 자동화된 처리에만 기반한 의사결정의 대상이 되지 않을 권리를 법률에 만들어야 한다. 

AI 시스템을 포함한 디지털 환경에서 인권으로서의 프라이버시를 의미 있게 보호하려면 컴퓨터가 내리는 결정에 이의를 제기하고 인간의 개입을 요청할 수 있는 권리를 고려해야만 한다. 세계의 많은 사법권은 자동화된 의사결정으로부터 자유로워질 수 있는 권리 또는 개인정보자동화처리에 대한 이의 제기 할 수 있는 유사한 권리와 자동화에 기반한 결정의 대상이 되지 않을 권리가 법률에 포함되어 있다.

예를 들어, GDPR 제22조는 계약에 대해 자동화 결정이 필요한 경우, 법에 명시된 경우, 명시적인 동의를 얻은 경우를 제외하고는 프로파일링을 포함한 자동화된 의사결정의 대상이 되지 않을 권리를 개인에게 부여하고 있다. 또한 적법한 처리 근거에 기반하여 중대한 자동화된 의사 결정을 하는 경우 정보주체는 여전히 인간의 개입을 요구할 수 있고, 결정에 이의를 제기하고 자신의 견해를 표명할 권리가 있다는 주의사항이 포함되어 있다.

GDPR 제21조는 개인에게 합법적인 이익이나 공익 또는 공적 권한에 따라 수행되는 직무에 기초하여 수행되는 프로파일링이나 기타 처리에 반대할 권리를 허용한다는 점에 유의한다. 그러나 처리에 반대할 권리가 행사되는 경우, 개인의 이익, 권리 및 자유를 우선하는 처리를 계속해야 하는 설득력 있는 이유가 있음을 보여줄 수 있는 경우에만 법적 청구권의 성립, 행사, 또는 방어를 위해 계속해서 진행할 수 있다.

또한 제21조는 개인이 직접 마케팅 목적으로 개인정보가 처리되는 것에 대해 이의를 제기할 수 있는 권리를 허용하고 있으며, 이의신청이 접수되는 즉시 관련 프로파일링과 처리가 중단되어야 한다. 직접적인 마케팅에 대한 개인의 반대를 거절할 수 있는 예외나 근거는 없다.

우리는 PIPEDA의 제한적 거부권에 GDPR에서 발견되는 유사한 조항을 포함하는 것을 지지한다.

현재 PIPEDA 의 원칙 4.3.8이 개인이 법적 또는 계약적 제한과 합리적인 통지에 따라 언제든 동의를 철회할 수 있다고 규정하고 있다. OPC는 이 원칙을 동의 철회권과 유사하게 자동화된 의사결정으로부터 자유로울 권리와 통합하고자 한다.

질의

  1. PIPEDA가 이 제안에서 나타내는 거부권을 포함해야 하는가?
  2. 만일 그렇다면 그 적용에 관련된 매개변수와 조건은 무엇인가?

 

제안4: 자동화된 처리와 상호작용하거나 그 대상이 될 때 개인에게 설명권 및 투명성 향상을 제공

투명성은 PIPEDA의 공개 원칙에 근본이 되는 요소이며 신뢰의 전제조건이다. 하지만 현재 틀에 박힌 이 원칙은 AI 시스템이 제기하는 투명성 문제를 적절하게 해결하는데 필요한 구체성이 결여되어 있으며, 이는 자동화된 처리 작업을 수행할 때 개인에 대한 설명권을 명시적으로 제공하고 있지 않다.

유럽의회의 개인정보 자동처리에 관한 개인보호 협약 자문위원회(Consultative Committee of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data states)의 인공지능과 개인정보보호 가이드라인: 정보 주체는 AI 적용에 대해서 통지받아야 하고, 정보주체에게 적용되는 AI 데이터 처리의 기초가 되는 추론에 관한 정보를 얻을 권리가 있다. 이는 해당 추론의 결과도 포함되어 있어야 한다.

유럽의 경우 시스템 작동에 관한 설명을 요구할 것인지 로직과 중대성, 특정 결정의 결과에 대한 설명을 요구할지에 대한 토론이 이어지고 있다. 캐나다 정부는 알고리즘 투명성을 지지한다고 표현한 바 있음. PIPDEA 백서에서는 혁신 연방 부서, 캐나다 과학 및 경제 개발부 (Science and Economic Development Canada)는 더 의미있는 통제를 제공하고 AI와 관련하여 개인에게 투명성을 증가시키기 위해 법을 개정할 것을 제안했다. 그들은 개정된 PIPDEA에 “개인에게 자동화된 의사결정과 관련된 요소와 의사결정에 영향을 미치는 곳, 의사결정의 기반이 되는 로직에 대한 정보를 제공해야 한다”고 제안한다.

우리는 PIPEDA의 공개 원칙이 AI 시스템과 상호작용하는 개인에게 그들 데이터의 자동화된 처리와 권리와 이익에 대한 추론의 결과를 제공하는 설명권을 포함해야 한다고 믿는다.

이에 더해, 투명성을 향상시키기 위해 다음과 같은 것들이 법에 의무화되기를 요구한다.

  • AI처리가 프라이버시 및 인권에 미치는 영향과 관련된 평가를 포함하여 프라이버시 영향 평가(개인정보영향평가) (PIAs, Privacy Impact Assessments)의 수행 및 발행. 공개된 내용은 OPC와 협의하여 개발될 최소 요구사항 집합에 기초해야 한다.
  • 미국 증권거래위원회(SEC, U.S. Securities and Exchange Commission)의 신고와 유사한 알고리즘에 대한 공개 제소, 비공개 및 비준수에 대한 벌칙 적용. 나다니엘 어스킨-스미스(Nathaniel Erskine-Smith) 하원의원은 ETHI(Standing Committee on Access to Information, Privacy and Ethics) 위원회에 알고리즘에 대한 파일 작성 의무화 의제를 제기하며 다음과 같이 말했다. “우리가 투명성과 설명가능성의 수준에 대해 진지하게 생각한다면, 정보가 포함되지 않은 경우 미준수에 대해 약간의 제재를 수반하는 SEC문서와 같은 민간 부문의 알고리즘 영향 평가를 요구해야 함을 의미한다.”
질의

  1. 설명권은 무엇을 포함해야 하는가?
  2. 투명성 강화 조치가 개인정보보호를 크게 향상시킬 것인가, 아니면 감사 및 규제 기관의 기타 시행 조치와 같은 더 전통적인 조치들로 충분할까?

 

제안5: 프라이버시 중심 설계와 인권 중심 설계를 데이터 수집을 포함 모든 처리 관련 법문에 적용할 것을 요청함.

국제적으로, 조직들이 사생활, 인권 및 기본적 자유에 대해 발생할 수 있는 불리한 결과를 피할 수 있는 방식으로 제품, 시스템 또는 프로그램을 설계하도록 지시하는 법적 및 구속력 없는 많은 기구들이 있다. 유럽의회의 개인정보 자동처리에 관한 개인보호 협약 자문위원회(Consultative Committee of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data states)의 인공지능과 개인정보보호 가이드라인에서 다음과 같이 밝히고 있다:

데이터 수집을 포함한 처리의 모든 단계에서 AI 개발자, 제조업체 및 서비스 제공자는 인권 중심 설계 방식을 채택해야 하며 의도하지 않거나 숨겨져 있는 차별 또는 기타 정보 주체의 인권과 기본 자유에 부정적인 영향을 미칠 위험을 피해야 한다.

“정보보호 중심 설계 및 설정”은 GDPR Article 25의 중요한 제목으로 AI시스템에만 적용되는 것보다는 더 넓은 범위에 적용되는 개념이다. 제25조는 데이터 보호 원칙을 구현하고 개인의 권리와 자유를 보호하기 위해 설계된 적절한 기술적 및 조직적 조치를 수립하는 것을 포함하여 해당 의무의 많은 요소를 논의하고 있다.

자동화된 의사결정에 대해 캐나다 재무위원회의 지침은(The Treasury Board of Canada Secretariat’s Directive on Automated Decision-Making)) 제품을 출시하기 전에 캐나다 정부의 허가를 받도록 하고 있으며 처리과정을 개발하기 위해서는 의도치 않은 데이터 편향 및 결과에 불공평한 영향을 미칠 요소가 있는 지 검사하도록 되어있다. 해당 지침은 자동화된 결정 시스템을 제작 하기 전에 알고리즘 영향 평가를 완료하도록 요구한다. 또한 이런 부정적인 영향을 지속적으로 모니터링하고 예방하기 위해 시스템 기능 또는 자동 의사결정 시스템의 범위가 변경될 때 평가를 업데이트 해야 한다.

우리는 각각의 텍스트가 유익하고 각각 요구사항이 PIPEDA에 통합될 가치가 있다고 생각한다.

질의

  1. PIPEDA에 프라이버시 중심 설계를 법적 요건으로 해야 하는가?
  2. 시장에 접근하기 전에 전제조건으로 AI 제품과 처리가 프라이버시와 인권에 미칠 영향에 대한 절차를 시험할 의무를 만드는 것은 실현가능하거나 바람직한 일인가?

 

제안6: 현실적이고 효과적으로 AI 환경에서 목적을 명확히 하고 데이터를 최소화 하는 원칙을 준수하도록 하라

캐나다 정보기술 협회는 ETHI(Standing Committee on Access to Information, Privacy and Ethics) 위원회에 “넓고 방대한 양의 데이터에 접근할 수 있는 것이 캐나다에서 우리의 인공지능 능력을 발전시키는 열쇠”라고 전달했다. 이 목표는 현재 PIPEDA에 따른 AI 시스템의 개발 및 구현에 적용되는 목적 규격 및 데이터 최소화라는 중요한 법적 원칙과 긴장관계에 있다.

기계가 연계를 식별한 후에야 명백해지는 목적을 명시하는 것은 어려울 수 있다. 예를 들어, 정보 책임 재단(Information Accountability Foundation)은 “데이터가 분석될 때까지 정보 보유는 공개되지 않기 때문에, 정확하게 기술된 목적에 근거해 처리 동의를 얻을 수 없다”고 주장한다. 처음부터 목적을 식별할 수 없는 경우, PIPEDA가 요구하는 대로 조직에서 식별한 목적에 필요한 수준으로만 수집을 제한하는 것도 똑같이 어렵다.

일부 개인정보보호 당국은 목적 명확성과 데이터 최소화가 AI 맥락에서 여전히 적용가능하다고 주장한다. 예를들어 AI 시스템에서의 데이터 최소화에 대해서 영국 ICO에서는 “일부 데이터가 나중에 예측에 유용한 것으로 판명될 수 있다는 사실은 해당 목적에 대한 필요성을 확립하는데 충분하지 않으며, 수집, 사용, 보존을 소급적으로 정당화하지도 않는다”고 했다. 영국 ICO는 또한 훈련 단계에서도 다음과 같은 가정에 근거해 최소화 할 수 있다고 한다. “데이터 세트에 포함된 모든 기능이 반드시 업무와 관련이 있는 것은 아니다.” 노르웨이 정보보호 기구는 데이터 최소화를 적극적으로 고려하는 것은 비례성의 바람직한 목표를 뒷받침하는 것으로, 개인에게 가장 덜 침해적인 방식으로 AI 처리 목표를 달성하는 방법을 고려해야 한다고 제안한다.

캐나다 의회 위원회(Canadian Parliamentary Committee) 보고에서는 윤리와 AI의 맥락에서 데이터  최소화 원칙의 장점을 검증한다. 구체적으로는, 2019년 6월에 ETHI위원회는 정부가 개인정보보호법을 현대화하고, “데이터 최소화를 유지하거나 연구 혹은 이와 유사한 목적으로 수집할 때 모든 개인정보를 비식별화하거나 정부 부처 및 기관간의 개인정보를 교환하는 것과 관련하여 동의 규칙을 명확히 할 것”을 권고했다.

목적 명확성과 데이터 최소화는 여전히 복잡한 문제로 남아있으며 처리를 위한 대안적 근거를 탐구할 이유가 있는지 여부를 논의하는 AI 상황에서 이러한 법적 원칙을 준수하는데 있어 잠재적인 난제로 남아있다.

질의

  1. 목적 명확성과 데이터 최소화의 법적 원칙이 AO 맥락에서 작동하도록 할 수 있는가? 그리고 이것이 처음부터 설계되어질 수 있는가?
  2. 만약 그렇다면, 그렇게 하는 것이 AI를 사용함으로써 얻을 수 있는 잠재적인 사회적 이익을 제한할 것인가?
  3. 그렇지 않다면, 고려해야 할 대안이나 안전장치는 무엇인가?

 

제안7: 충분한 동의를 얻을 수 없을 때 개인정보 보호를 위한 대체 근거 및 해결책을 법률에 포함시켜야 한다.

동의라는 개념은 현재 PIPDEA를 포함한 여러 개인정보보호법의 중심축이다. 다만 현재 동의 모델이 AI의 특정 용도를 포함한 모든 상황에서 실행 가능하지 않을 수 있다는 증거가 있다. 이는 부분적으로 조직이 개인에게 자신의 정보가 수집, 사용 또는 공개되는 목적을 충분히 상세하게 알릴 수 없을 때 충분한 동의를 얻지 못하기 때문이다. 충분한 동의 획득에 관한 가이드라인(Guidelines on Obtaining Meaningful Consent)에서 언급한바와 같이 목적의 명확성은 충분한 동의를 얻기 위해 조직이 강조해야 하는 핵심 요소 중 하나이다.

GDPR과 같은 다른 법률에서 동의는 처리를 위한 많은 법적 근거 중 하나에 불과하다. GDPR에서는 공익을 수행하기 위해 반드시 처리가 필요한 경우 및 데이터 처리자 혹은 제3자가 “합법적 이익”을 목적으로 처리가 필요할 때 정보주체의 기본권과 자유 혹은 해당 이익이 다른 이익을 무시하는 경우(특히 정보 주체가 어린이인 경우)를 제외하고는 정보를 처리할 수 있도록 하고 있다.

우리는 AI 활용에 있어서 동의가 가지는 지속적인 역할이 있다고 믿으며 그 정도까지는 연방정부의 혁신적인 동의 모델을 추진하는 새로운 사업 모델의 인센티브를 주기 위한 방안을 찾고자 하는 노력을 지지한다. 예를 들어 새롭게 등장하는 동의 기술 및 개인정보 관리 시스템은 인력을 보존할 수 있는 중요한 기회를 제공하고, 개인에게 AI 시스템의 개발과 배치에 대해 충분히 의미 있게 알려준다. 이러한 접근방식은 가능할 때마다 동의를 용이하게 하도록 극대화되어야 한다.

따라서 동의에 관한 보고서에서 요약된 바와 같이, 우리는 특히 충분한 동의를 얻을 수 없고 특정한 전제 조건이 충족될 때, 동의에 대한 대체적인 근거가 특정 상황에서 허용될 수 있다는 것을 인정한다. 우리의 보고서에서 우리는 국회가 PIPEDA 를 개정하여 원래 PIPEDA 제정자들이 예상하지 못했던 사회적으로 유익한 활동을 허용하기 위한 동의에 대해 새로운 예외를 도입할 수 있도록 고려할 것을 제안했다. 이런 대안적 근거들은 프라이버시 규칙을 완화하기 위한 것이 아니라 동의가 모든 상황에서 효과적이지 않다는 것과 프라이버시 보호를 위해 더 효과적인 조치를 채택해야 한다는 점을 인식하기 위한 것이다.

향후 PIPEDA가 AI맥락에서 동의를 어떻게 적절하게 되어야 하는지를 평가할 때, 우리는 투명성과 인력을 보존하기 위해 첫째로 충분한 동의가 요구되어야 한다고 제안한다. GDPR이나 동의에 대한 보고서의 개요에서도 볼 수 있듯이 처리를 위한 대체 근거는 충분한 동의를 얻을 수 없고 (동의를 얻는게) 불가능한 경우이고 PIA가 사전에 수행되고 공표되었던 것과 같은 조건을 만족할 때에 가능하다.

비식별 방법의 적용 등을 통해 개인을 식별할 수 없도록(non-identifiable data)한 정보는 이 법에 따라 합법성 혹은 공익성 등 특정한 처리 근거가 허가될 수 있는지를 결정하는 요인이 될 수 있다.

이런 성격의 새로운 동의 예외는 개인 정보 사용이 실제로 광범위한 사회적 목적을 위한 것이며 규정된 법적 조건을 충족하는지 여부를 평가하기 위해 반드시 개인 정보 규제 기관이 허가하는 강력한 시행 권한에 따라 좌우되어야 할 것이다.

질의

  1. 새로운 법률이 개인정보 보호 조건과 함께 동의없이 처리할 수 있는 법적 근거를 추가한다면, 다른 근거에 눈돌리기 전에 조직이 혁신적 모델을 포함한 동의의 획득을 먼저 강구하도록 해야할까?
  2. 법이 동의가 때론 실행 불가능하고 다른 보호 형태를 반드시 찾아야 하는 것에 비해 소비자가 새로운 동의 모델을 통해 AI에 권한을 부여하는 부담을 공유하도록 하는 것은 공평한가?
  3. 동의를 요구하는 것은 조직이 동의가 의미 있을 정도로 충분한 정밀도로 데이터를 사용하고자 하는 목적을 정의할 수 있음을 의미한다. AI 처리에 다양한 목적들이 내재되어 있음을 충분히 인식할 수 있도록 수집시 충분한 동의를 얻기 위해서 개인에게 목적이 명확히 설명될 수 있는가?
  4. 목적이 명확하고 관련된 서비스와 직접적으로 연관된 상황에서 보유되고 특정 상황에 대해선 다른 근거에 의해 지배되어야 하는가? 당신의 견해에 따라, 다른 근거에 의해 지배되어야 할 상황은 무엇인가?
  5. PIPEDA에서 처리할 수 있는 새로운 근거를 어떻게 틀을 잡을 수 있을까: 사회적 이익을 목적으로(공공의 이익이 프라이버시 침해보다 분명한 경우) 또는 더 넓게는 GDPR의 합법적 목적(합리적인 상업적 이익을 포함하는)?
  6. 비즈니스 혁신을 위한 개인정보 사용에 대한 충분한 동의 모델을 권장할 수 있는 인센티브를 채택하는 것에 대한 당신의 견해는 어떠한가?

 

제안8: 재식별을 방지하기 위한 강화된 조치가 있는지 확인하는 동시에, 식별 불가능(non-identifiable)한 정보를 유연하게 사용할 수 있는 규칙을 제정한다. 

비식별(정보)는 데이터셋에서 개인을 식별할 수 있는 정보를 제거하는 과정을 통해 달성할 수 있고 재식별 및 공개의 위험을 낮은 수준으로 감소 시킬 수 있다. 하지만 중요한 것은 사실상 비록 원격이라 해도 재식별의 가능성이란 위험은 항상 남아있다.

비식별 정보가 개인정보 보호법의 범위에 포함되는지에 대해서는 국제적으로 다양한 접근법이 있다. 많은 국가에서 비식별 혹은 익명 정보는 개인정보가 아닌 정보로 보고 있다. 예를 들어 오스트레일리아의 개인정보보호법 1988(Privacy Act 1988)은 재식별이 일어날 가능성이 없는 한, 비식별을 거친 정보에는 적용되지 않는다. 마찬가지로 홍콩의 개인정보보호법(Privacy law)은 관련 개인이 직간접적으로 식별될 수 없는 한 익명화된 익명화된 개인정보로 취급하지 않을 것이다.

일본 체제는 개인정보 보호에 관한 법률(Act on the Protection of Personal Information)이 “익명 처리된 정보”의 범주에 적용되고, 익명 정보 또/혹은 익명화된 정보의 활용(통보 포함)하는 조직에 대한 의무를 규정한다는 점에서 상당한 차이가 있다. 이 법에 따라 익명으로 처리된 데이터의 사용 또는 공개에 대해서는 동의가 필요하지 않다.

항상 재식별의 위험이 남아있기 때문에, 우리는 PIPEDA가 계속 적용되어야만 한다고 보지만, 새로운 법률에 따라 식별이 불가능한 정보(또는 식별 불가능한 정보를 제공하는 정보)를 사용할 수 있는 유연성이 있을 수 있다고 본다. 이런 유연성으로 특정 PIPEDA원칙(예를 들어, 동의의 원칙)을 적용할 수 없거나 적용이 완화될 수도 있다. 언급했듯이, 비식별화는 합법적인 이익과 같은 처리를 위한 대체적인 근거가 허가되어야 하는지를 결정하는 요인이 될 수 있다.

우리는 또한 비식별화된 데이터셋으로부터 개인정보를 재식별하는 결과를 초래하는 과실이나 악의적인 행위에 대한 처벌을 법률에 포함시키는 것을 지지한다. 재식별행위에 대해 벌금을 부과하는 방식은 다른 국가들과 일치한다. 예를 들어 일본의 데이터 보호 법률은 비식별화된 정보의 재식별을 징역형이나 벌금형에 처할 수 있도록 하여 특별히 금지하고 있고, 호주의 2016년 제안된 프라이버시 수정(재식별 방어)법안은 비식별화된 개인정보 혹은 그런 정보의 공개에 대해 형사 및 민사 처벌을 할 수 있는 조항을 포함하고 있다.

질의

  1. 합법적인 상업적 이익과 프라이버시 보호 모두를 충족하는데 있어 비식별 또는 다른 비교 가능한 기술(합성 데이터, 차등 프라이버시 등)의 역할은 무엇인가?
  2. 예외 또는 완화의 대상이 되는 PIPEDA의 원칙은 무엇인가?
  3. 재식별을 막기 위해 개정된 법 아래서 어떤 조치가 강화될 수 있을까?

 

제안9: 조직에서 AI 시스템 수명 주기 동안 수행된 데이터셋, 데이터 처리 및 의사 결정과 관련된 데이터 및 알고리즘 추적성을 보장하도록 요구해야 한다. 

알고리즘 추적성에 대한 요구는 접근과 수정뿐만 아니라 책임성, 정확성, 투명성, 데이터 최소화를 포함한 몇 가지 원칙의 적용을 용이하게 할 것이다. 실제로 몇몇 국제기구는 AI 시스템 데이터의 출처를 추적하는 것이 가능하면서도 매우 바람직하다는 입장을 취하고 있다. 예를 들어 OECD 인공지능 원칙은 “AI 행위자들은 AI 시스템 생애주기 동안 이루어진 데이터셋, 처리 및 결정과 관련된 추적가능성을 보장해야, AI 시스템의 결과, 질문에 대한 대답, 상황에 적합하고 기술 상태와 일관되게 분석이 가능하다”고 명시하고 있다.

IEEE(The Institute of Electronics Engineers)는 다음과 같이 강조하고 있다.

기술자와 기업은 인공지능 시스템(A/IS, Artificial Intelligence System) 기술을 구현하기 전에 윤리 실사를 진행해야 한다 …  항공 분야의 비행 데이터 기록과 비슷하게 알고리즘 추적성은 계산이 의심스럽거나 위험한 행동을 초래한 것에 대한 통찰력을 제공할 수 있다. 이러한 과정이 다소 불투명하더라도 기술자들은 결과를 검증하고 위해를 감지하는 간접적인 방법을 모색해야 한다. 

몇몇 개인정보 보호 기구들이 해당 이슈에 대해 언급한 바 있다. 싱가포르의 개인정보보호 위원회(The Personal Data Protection Commission of Singapore)은 인공지능 거버넌스 프레임워크의 제안된 모델 에서 “데이터 계통(data lineage)”과 “데이터 증명 기록(data provenance records)” 둘 다 시행할 것을 권고한 바 있다. “데이터 계통”이란 “데이터의 원래 출처가 어디인지, 정보가 조직내에서 어떻게 모이고, 큐레이팅 되고 움직였는지, 그리고 어떻게 시간이 지나서도 정확성을 유지하는지”를 아는 것이다. 데이터 계통은 데이터가 소스로부터 목적지로 어떻게 이동하는지, 어떤 경로로 어떻게 변화되는지, 다른 데이터와 상호작용하는 곳은 어디인지 표현방식이 어떻게 묘사가 변화하는지를 시작적으로 드러낼 수 있다”. “데이터 증명” 기록은 “조직이 그 기원과 후속 변화에 근거하여 데이터의 품질을 확인하고, 오류의 잠재적 원인을 추적하고, 데이터를 업데이트하며, 데이터가 조직의 소스에 속하도록 한다”고 설명하고 있다.

프랑스의 개인정보보호 기관(the Commission nationale de l’informatique et des libertés—CNIL)은 알고리즘 감사를 위한 “국가적 플랫폼”(National platform)을 개발할 것을 권고했다. 해당 제안은 미연방 통상 위원회(US Federal Trade Commission)에 기업들이 기계학습 시스템을 편견과 차별에 대해 평가하도록 요구하는 새로운 권한을 부여하는 제안된 알고리즘 책임법(Algorithmic Accountability Act. AAA)과 일맥상통 한다. 법 시행 후 2년 이내에 공정위가 채택해야 하는 규정은 독립 감사인 및 독립 기술 전문가 등 제3자와 협의하여 “합리적으로 가능하다면” 자동화된 의사결정 영향 평가와 데이터 보호 영향 평가를 실시하도록 요구할 것이다.

민간 컨설팅업체인 PwC Australia는 “AI 계획은 … 승인되기 전에 데이터가 어디서 왔는지, 얼마나 신뢰할 수 있는지, 그 사용에 적용될 수 있는 규제 민감성에 대한 명확한 그림부터 시작해야 한다”는 입장을 취하며 AI 거버넌스에 대한 권고안을 내놓았다. 데이터 준비 및 데이터 ‘라벨 표시’ 과정은 추적 가능해야 한다. 즉, 나중에 감사나 조사가 있을 경우, 시간이 흐르면서 데이터에 발생한 모든 것에 대한 추적 감사를 보여줄 수 있어야 한다고 말했다.

법률 전문가 다니엘 시트론(Danielle Citron)과 프랭크 파스퀘일(Frank Pasquale)은 “예측 과정에서 알고리즘적으로 도출된 상관관계와 추론을 기록한 감사 추적을 채점 시스템에 포함한다면 피해 소비자들에게 합리적인 통지를 보장할 수 있을 것이다. 감사 추적이 있으면, 개인들은 그들의 점수를 이해할 수 있는 수단을 갖게 될 것이다. 그들은 오탈자와 잘못된 추론에 도전할 수 있고, 이로 인해 점수가 매겨질 수 있다”고 주장한다.

혁신과학기술개발부의(ISED, Innovation, Science and Economic Development)의 PIPEDA 개혁안은 “조직이 정보의 변경이나 삭제를 공개된 다른 조직에게 전달하도록 함으로써 구속기간 전반에 걸쳐 개인에 대한 정보의 정확성과 무결성을 보장한다”고 권고하고 있다.

이러한 전문가의 견해와 개인이 기존의 접근권과 수정권을 스스로 이용할 수 있고 또한 개선된 PIPEDA에 따른 인권 보호를 위한 AI 시스템 결과를 추적, 분석, 및 검증할 수 있는 중요성을 고려할 때, AI 시스템에 대한 알고리즘 추적가능성 요건을 포함할 것을 권고한다.

질의

  1. AI 환경에서 데이터 정확성, 투명성, 접근성, 수정 및 책임 원칙 준수를 보장하기 위해 필요한 데이터 추적 가능성 혹은 이러한 원칙을 유의미하게 준수할 수 잇는 다른 효과적인 방법이 있는가?

 

제안10: AI 처리 개발 및 구현에 대한 입증 가능한 책임 의무화 

PIPEDA의 책임성 원칙의 현재 틀이 갖춘 단점들은 현대화된 법률에 책임에 대한 보다 강력한 개념이 포함되어야 한다는 결론을 내리게 한다. PIPEDA의 원칙 4.1은 조직이 통제하에 있는 개인정보에 대해 책임을 지도록 요구하는 반면 우리는 원칙을 재구성하여 조직이 “입증할 수 있는(demonstrable)”책임을 요구하도록 제안한다. 입증 가능한 책임성은 조직은 요청에 따라 법적 요건을 준수하는 증거를 제공할 수 있어야 한다고 하고 있다. 동의가 요구되지 않을 때 책임성을 입증할 수 있는 조직의 능력이 더욱 중요해지고, 책임성을 통해 보호 격차를 해소할 것으로 예상된다.

앞서 논의한 바와 같이 추적가능성, 설명권, 프라이버시 및 인권영향평가 요구 등 입증 가능한 책임성을 달성할 수 있는 방법은 다양하다. 또한 사전 예방적 검사를 수행하는 OPC의 능력을 촉진하기 위해 기록 유지 요구가 필요할 수 있다. 이러한 검사 권한은 현재 영국과 몇몇 다른 나라들에 전세계적으로 존재하며, 권리 보호와 위험을 예방하기 위한 효과적인 집행을 위해 필수적인 메커니즘으로 존재한다. 국제 기술 법학회(the International Technology Law Association)의 책임있는 AI: 글로벌 정책 프레임워크는 “유익한 AI는 인간의 책임을 요구한다. 일반적인 원칙에서 비록 잘 의도되었더라도 집행 가능한 책임 제도나 효율적인 통치 모델 없이는 무용지물이다”라고 설명하고 있다.

프라이버시 위원들은 정부기관이 법의 특정 조항을 준수하도록 확신하기 위해서 프라이버시 법의 제37조에 따라 검사를 진행할 권리를 가진다. OPC가 조직의 실행을 사전에 검사할 수 있도록 PIPEDA에 그러한 조항을 추가하면 입증 가능한 책임성 모델로 법을 움직이게 할 것이다.

우리는 법이 AI 시스템의 생애 주기 전체에 걸쳐 독립적인 제3자 감사를 요구하도록 제안한다. 감사인이 사실상 준수하지 않은 행위에 서명함으로써 (법을) 무시하는 행동을 할 경우 벌금을 부과할 수 있다.

우리는 또한 조사 중 완화 요소로서 여러 조치를 고려하거나, 불이행에 따른 재정적 벌금의 부과와 같이 입증 가능한 책임성 수단을 도입하는 조직에게 PIPEDA 인센티브를 도입하는 것을 선호한다.

마지막으로, 우리는 진정한 책임감이 기계가 아닌 인간에 대한 책임으로 이어져야 한다고 생각한다. 이와 같이, 입증 가능한 책임성은 사생활 침해를 초래하는 설계 실패에 대한 책임 및 결함 조사와 강하게 연계되어야 한다.

질의

  1. 우리가 제안하는 것과 같은 강화된 조치(기록 보관, 제3자 감사, OPC에 의한 사전 예방적 검사)가 부분적으로라도 조직에서 입증 가능한 책임성을 보장하는 효과적인 수단이 될 수 있는가?
  2. 확인된 다양한 조치를 구현하기 위한 고려사항은 무엇인가?
  3. 인간이 AI 결정에 대한 책임을 계속 지도록 하기 위해 어떤 추가 대책이 마련되어야 하는가?

 

제안11: OPC가 (규제)미준수 조직에게 법적 구속력있는 명령을 발부하고 벌금을 물릴 수 있도록 권한을 주어야 함

AI 시스템이 프라이버시와 인권에 미칠 중대한 위험은 그에 비례적으로 강력한 규제 체계를 요구한다. 법률 준수를 장려하기 위해 PIPEDA는 미준수가 확인된 조직에 대해 실질적인 결과와 함께 충분한 집행을 실행을 할 수 있어야 한다.

디지털 시대의 프라이버시 보호 조치로서 더 강력한 시행을 위한 법률 제정의 필요성은 유럽 평의회(the Council of Europe)의 2017년 자동화된 데이터 처리 기술(특정 알고리즘에서)의 인권적 차원의 접근과 가능한 규제 함의에 대한 연구와 일맥상통하는 것이며 해당 연구가 조언하길 “다른 인권을 실행하기 위한 조건으로서의 프라이버시는 효과적인 시행이 필요하다”고 한다.

캐나다의 개인정보보호법은 불행하게도 시행에 있어 교역 상대들에 비해 크게 뒤쳐져 있다. 동시에, 대부분의 캐나다인들은 그들의 프라이버시권이 조직들에 의해 존중되지 않는다고 믿는다. 이러한 정서는 소비자 신뢰구축에 도움이 되지 않으며, 개인과 조직의 관점 모두에서 바람직하지 않다. 법률은 개인들이 프라이버시 보호를 위한 신속하고 효과적인 구제책을 이용할 수 있도록 하고 상업조직에 의한 광범위한 준수에 대해서 인센티브를 만드는 집행 메커니즘을 제공해야 한다.

PIPEDA에 요구되는 개선사항 중 하나는 캐나다 프라이버시 위원에게 구속력 있는 명령을 내릴 수 있는 권한을 부여하고 그 법을 준수하지 않을 경우 그에 따른 벌금을 부과할 수 있도록 하는 것이다. 침해를 받았다고 주장하는 개인이 몇 년 후 법원에 제소할 때까지 기다리도록 요구하는 것 보다는 이러한 권한을 첫 단계 기관에 부여하는 것이 보다 시의적절하게 권리를 누릴 수 있도록 보장하는 효과적인 방법이다.

캐나다와 해외 다른 국가의 사법권에서는 프라이버시와 개인정보보호 규정이 구속력 있는 명령을 내리고 벌금을 부과할 수 있도록 하고 있다. 명령을 내릴 수 있는 권한을 부여하는 범위는 조직에게 개인정보의 수집, 사용, 혹은 공개를 중단 할 것을 요청할 수 있게 하고 법규 위반으로 수집된 개인 정보를 파괴하도록 요구할 수 있도록 하며 보다 일반적으로 개인 정보를 보호하기 위해 적절한 교정 조치의 적용을 명령하는 기능을 포함한다. 예를 들자면, 벌금과 관련하여 유럽 GDPR에서는 “관리적 벌금(administrative fine)”의 발부를 허용하고 있다. GDPR을 위반하는 조직은 연간 세계 시장 매출액의 최대 4% 혹은 2,000만 유로(둘 중 더 큰 금액)의 벌금을 부과받을 수 있다.

참된 명령권과 벌금은 캐나다인들을 더 빠른 해결로 이끌 것이며 디지털 시장에 자신있게 참여할 수 있는 확신을 줄 것이다. 궁극적으로 시행 메커니즘은 개인에 대한 신속하고 효과적인 구제책과 조직과 기관에 의한 광범위하고 지속적인 (법률) 준수를 약속해야 한다. 효과적인 집행 없이는 권리는 공허해지고 신뢰는 소멸된다.

질의

  1. AI가 사생활과 인권과 관련하여 실행되기 위해 법을 준수하지 않을 경우 집행 가능한 처벌을 받아야 한다는 것에 동의합니까?
  2. 동일한 목표를 달성할 수 있는 추가 조치 또는 대안 조치가 있는가?