많은 학습데이터를 요구하는 인공지능 환경에서 새로운 형태의 개인정보 처리가 증가함에 따라 개인정보 침해 가능성에 대한 우려는 더욱 커지고 있다.
미국 연방거래위원회(FTC: Federal Trade Commission)는 개인정보 침해에 강력히 대응하기 위하여 개인정보를 침해한 학습데이터로 만든 인공지능 알고리즘·모델을 삭제하도록 하는 ‘알고리즘 삭제 명령’을 몇 차례 내렸다. 기업이 데이터를 불법으로 수집하였다면 그 데이터나 이를 이용하여 개발한 어떠한 알고리즘으로도 이득을 얻어서는 안 된다고 판단한 것이다.
이에 국회입법조사처는 「미국 FTC의 알고리즘 삭제 명령, 개인정보 침해 데이터로 학습한 인공지능 규제의 시사점」을 다룬 『이슈와 논점』 보고서(저자: 박소영 입법조사관)를 2024년 3월 22일(금) 발간했다. 보고서는 FTC가 알고리즘에 대해 삭제를 명령한 배경과 주요 사례를 살펴보고, 개인정보 침해 데이터로 학습한 인공지능에 대한 규제수단으로서의 알고리즘 삭제 명령에 대해서 살펴봤다.
보고서에 의하면, 알고리즘 삭제 명령은 불법 결과물로부터 이익 얻는 것을 차단하고 인공지능이 학습한 개인정보가 다시 생성되는 위험을 제거하는 기능이 있으나, 실질적인 집행이 어렵고 과학기술과 경제 발전을 저해할 우려도 있다. 따라서 침해 정도가 현저히 큰 경우에 대해서 알고리즘 삭제를 명령하는 것을 고려하되 신기술 규제에 필요한 정부의 기술 역량을 확보하고, 기업의 자율적인 규제를 유도하는 방향으로 정책을 모색할 필요가 있다고 보고서는 시사점으로 제시했다.
□ FTC의 알고리즘 삭제 명령과 주요 사례
ㅇ FTC는 과징금을 부과하는 것으로는 기업의 데이터 불법 수집・이용 동기를 차단하기에 충분하지 않다고 보고, 2019년 캠브리지 애널리티카 사례를 시작으로 알고리즘 삭제 명령을 내리고 있다.
① 심리검사 앱을 이용해 수집한 페이스북 이용자와 그 친구들의 정보를 대선 운동 홍보에 사용한 캠브리지 애널리티카(Cambridge Analytica) 사례
② 사진 공유 앱에 업로드한 사진을 이용하여 인공지능 얼굴 인식 기술을 개발한 애버앨범(Everalbum) 사례
③ 직원의 접근 권한을 광범위하게 허용하고 보안 장치를 제대로 갖추지 않아 스마트홈 기기로 수집한 개인정보를 유출 위험에 노출시킨 링(Ring) 사례
ㅇ 알고리즘 삭제 명령은 불법으로 얻은 데이터를 사용하여 개발된 컴퓨터 데이터 모델・알고리즘을 삭제하도록 하는 명령으로, 불법행위로 인한 결과물이 계속 이익을 창출하고 위험을 유발하는 상황을 제거하는 반면 데이터를 수집하고 전처리하여 알고리즘・모델을 학습시키는 데 많은 시간과 비용을 들인 기업에는 경제적 타격을 줄 수 있다.
ㅇ 미국에서도 알고리즘 삭제 명령이 일반적인 규제 수단으로 자리잡은 것은 아니나, 인공지능 구축 과정에서 개인정보 보호의 중요성에 대한 경각심을 기업에게 불러일으켰다.
□ 알고리즘 삭제 명령 관련 쟁점
알고리즘 삭제 명령은 개인정보 침해 문제뿐만 아니라 지식재산권 침해, 허위 정보 생산, 편향성 등 여러 인공지능 문제에 대한 새로운 규제 수단이 될 수 있지만 다음과 같은 사항을 고려할 필요가 있다.
▷ 규제 효과에 대한 찬반
ㅇ 알고리즘 삭제 명령은 특정 영업을 중단하게 할 정도로 강력하기 때문에, 부적절한 데이터 수집 유인을 방지하고 기업이 내부 통제 시스템을 구축하여 사전에 주의하는 환경을 조성하게 함으로써 개인정보 보호의 효과적인 수단이 될 수 있다.
ㅇ 하지만 하지만 알고리즘 삭제 명령은 기업이 많은 시간과 비용을 들여 만든 인공지능 모델을 삭제하는 것으로, 상당한 경제적 피해를 초래하고 인공지능 산업 등 국가 경쟁력을 저하시킬 우려도 있다.
▷ 알고리즘 삭제 범위 특정의 문제
ㅇ 규제당국은 불법데이터가 어느 알고리즘에서 사용되었는지 정확하게 확인하기 어렵기 때문에 삭제 범위를 특정하기 쉽지 않다.
ㅇ 따라서 알고리즘 삭제 범위를 특정하기 위해서는 기업에게 데이터 수집・이용 과정을 구체적으로 기록하도록 하고 이를 제대로 이행한 경우에는 삭제 범위를 최대한 축소하는 방안 등의 인센티브를 줄 필요가 있다.
▷ 알고리즘 삭제 이행 여부 확인의 문제
ㅇ 알고리즘 삭제 명령에 대한 강제력을 확보하기 위해서는 기업이 삭제를 이행하였는지 규제당국이 확인하고 집행할 수 있어야 한다. 그런데 현재는 규제당국이 알고리즘 삭제를 직접 확인할 수 있는 제도가 뒷받침되어 있지 않고, 기술 전문성도 갖추지 못하고 있는 상황이다.
ㅇ 따라서 알고리즘 삭제 명령을 인공지능 규제 수단으로 활용하기 위해서는 알고리즘 삭제 명령 이행 여부를 확인할 수 있는 방안이 필요하다.
□ 시사점
ㅇ 알고리즘 삭제 명령의 긍정적인 효과를 고려하여 개인정보 침해의 정도가 현저히 큰 상황에 대해서 알고리즘 삭제 명령의 타당성을 고민해 볼 필요는 있다. 상당한 불법행위에 의한 인공지능 알고리즘이 계속 사용되는 것이 정보주체를 계속 불안하게 하거나 불공정하다고 판단되면 이를 제거하는 수단이 필요한 것이다.
ㅇ 다만 부정적인 효과도 상당하고 기술적 어려움이 있는 만큼 알고리즘을 삭제하는 과정에서 발생할 수 있는 피해를 최소화하기 위한 장치와 실질적인 집행 방법 및 신기술 규제에 필요한 정부의 기술 역량 확보가 필요하다.
ㅇ 동시에 인공지능 산업이 과도한 규제로 발이 묶이지 않도록 기업의 자율적인 규제를 유도하는 방향으로 정책을 모색할 필요도 있다.
