인공지능(AI) 시대 개인정보 법제 개선방안에 관한 연구
A study on ways to improve personal information legislation in the era of artificial intelligence (AI)
- 주제어 (키워드) 개인정보 , 인공지능 , 인공지능 학습데이터 , 공개된 개인정보의 활용 , 개인정보보호법 , 개인정보 법제 , 개인정보 법제 거버넌스
- 발행기관 서강대학교 일반대학원
- 지도교수 김광수
- 발행년도 2024
- 학위수여년월 2024. 8
- 학위명 박사
- 학과 및 전공 일반대학원 법학과
- 실제 URI http://www.dcollection.net/handler/sogang/000000079252
- UCI I804:11029-000000079252
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록 (요약문)
오늘날 인공지능의 활용은 시대적 흐름이자 요청이라고 해도 과언이 아니 다. 전 세계적으로 인공지능 시장은 급격한 성장률을 보이며 확대되고 있다. 금융, 위치정보, 통신, 영상정보, 플랫폼 등 민간부문의 전 산업 분야와 공공부 문까지 아우르며 우리 사회 전반에서 인공지능이 활용되고 있다. 인공지능의 활용은 산업 발전을 이끌 뿐만 아니라, 개인의 삶을 윤택하게 하는 등 편익을 제공함으로써 궁극적으로는 국가 발전과 국가 경쟁력 제고에 기여하게 될 것 이다. 바야흐로 ‘인공지능 시대’가 도래하였다. ‘인공지능 시대’의 의미는 인공지능 이 단지 유용한 기술 그 자체로만 존재하는 것이 아니라 기존의 패러다임의 전환을 가속화하고 있으며, 이에 따라 인공지능 환경에 부합하는 새로운 규율 체계의 수립이 요청되고 있음을 의미한다. 최근 EU는 세계 최초의 인공지능 에 관한 기본법(AI Act)을 채택하였으며, 미국, 독일도 인공지능에 관한 독립 적인 법안을 마련하기 위한 움직임을 보이는 등 글로벌 입법 추세 역시 인공 지능 시대에 대응한 새로운 법적 규율 체계를 하는 것임을 알 수 있다. 인공지능은 방대한 양의 데이터를 기반으로 한다는 점, 알고리즘의 복잡성 과 불투명성, 자동화와 자율화 등을 특징으로 한다. 특히 생성형 AI의 활용을 위해서는 인공지능 학습데이터를 활용하여야 하며, 학습데이터 활용의 핵심은 개인정보의 활용, 그 중에서도 공개된 개인정보의 활용이라고 할 수 있다. 이 러한 점에서 인공지능과 개인정보 법제는 밀접한 관련이 있으며, 인공지능 학 습데이터에 대한 수요가 증가하는 만큼, 공개된 개인정보의 활용 수요도 증가 하므로 이에 대한 법·제도적 대응이 필요한 상황이다. 따라서 인공지능 환경 에 부합하는 개인정보 법제에 관한 출발점은 ‘인공지능의 특성’과 인공지능의 활용에 기반이 되는 ‘개인정보의 활용’을 함께 고려하는 것에서 시작하는 것이 필요하다. 현행 「개인정보 보호법」은 다음과 같은 점에서 오늘날 인공지능 환경과 부합하지 않는 문제가 있다. 첫째, 현행법은 인공지능 학습데이터를 위한 공개 된 개인정보의 활용에 관한 법적 근거가 없다. 현재 인공지능에 관한 포괄적 인 법률 체계가 마련되어 있지 않으며, 인공지능 관련한 일부 규정을 포함하 고 있는 개별법이 산발적으로 존재할 뿐이다. 둘째, 대량의 데이터, 알고리즘 의 복잡성과 불투명성, 자동화와 자율성과 같은 인공지능이 가진 특성은 「개 인정보 보호법」과 충돌되는 측면이 존재한다. 인공지능은 데이터의 양이 많 으면 많을수록 더욱 향상된 결과를 만들어 낼 수 있기 때문에 최대한 많은 데 이터를 수집해서 가능한 한 오랫동안 보유하고자 하는 특성을 가진다는 점에 서 최소 수집의 원칙과 충돌된다. 또한 인공지능 머신러닝의 원리 자체가 수 많은 데이터의 분석을 통해 예상하지 못한 상관관계를 찾아내고 그로부터 새 로운 용도와 통찰을 찾아내는 데 있으므로, 애초에 처리 목적을 명확하게 특 정하고 그 목적 범위 내에서 개인정보를 처리하는 것을 보장하기는 쉽지 않 다. 셋째, 우리나라 개인정보 법제는 일반법·기본법인 「개인정보 보호법」보 다 개별법인 「신용정보법」, 「위치정보법」 등이 먼저 제정되는 등 체계적 으로 제·개정되지 않은 연혁적 이유로 인해 필연적으로 법률 간 유사·중복 문 제를 야기하여 법체계 정합성 원칙에 부합하지 않는다. 넷째, 최근 개인정보보 호위원회는 인공지능 환경에 대응한 개인정보 정책방안으로 합성데이터 생성 참조모델을 발표하였으나 이는 법적 구속력이 없는 가이드라인으로서 인공지 능 환경의 개인정보 활용을 규율하기에는 한계가 있다. 또한 개인정보 보호법 이 적용되는 것을 전제로 안내하고 있으나, 이는 개인정보 보호법의 적용 가 능성 및 타당성 관점에서 내용상으로도 한계가 있다고 보여진다. 따라서 인공지능의 특징, 인공지능과 개인정보의 관계, 인공지능 시대 개인 정보 이슈, 현행 개인정보 법제의 문제점 등을 분석한 것을 토대로 하여 인공 지능 시대 개인정보 법제는 다음과 같은 방향으로 개선되어야 한다. 첫째, 새 로운 규율 체계의 수립이 필요하다. 인공지능 시대의 도래로 인한 사회 전반 의 패러다임의 전환은 기존과는 다른 규율 체계를 요구하고 있는 만큼, 인공 지능 시대의 도래에 따른 개인정보 법제는 기존의 규율 체계에서 벗어나 새로 운 법적 규율체계를 수립하는 방향으로 개선되어야 한다. 인공지능의 활용은 오늘날의 시대적 흐름이자 요청이다. 따라서 개인정보 법제는 인공지능 시대 로의 패러다임의 변화에 맞추어 인공지능 활용의 장점을 살릴 수 있도록 개선 하는 것이 필요하다. 또한 인공지능 특성으로 인해 정보의 비대칭성으로 정보 주체가 소외되기 쉬운 환경이 놓여짐에 따라 정보주체의 권리가 실효성 있게 보장될 수 있도록 ‘개인정보의 활용’과 ‘정보주체의 권리 보장’이 조화를 이루 는 방향으로 개선되어야 할 것이다. 둘째, 인공지능 시대 새로운 규율체계 수 립은 인공지능 학습데이터를 위한 개인정보의 활용에 관한 별도의 법률을 제 정하는 방향으로 구체화되어야 한다. 이러한 문제의 개선 방안으로 현행법을 개정하는 것을 고려할 수 있을 것이나, 「개인정보 보호법」은 일반법이자 기 본법이라는 점을 고려하면, 특정 대상과 특정 상황에 해당하는 인공지능 관련 개인정보의 처리와 보호에 해당하는 내용을 기존 「개인정보 보호법」에 반영 하는 것은 법체계 정합성의 원칙에 맞지 않는다. 따라서 이를 위한 구체적인 방법으로는 (가칭) 인공지능 학습데이터를 위한 개인정보 활용을 위한 법률 (이하 ‘인공지능 개인정보 활용법’)을 제정하는 방안을 고려해볼 수 있다. 마지 막으로, 인공지능 시대 개인정보 법제의 방향성은 일반법·기본법인 「개인정 보 보호법」과 분야별 개별법 간 법체계 정합성 원칙을 준수하는 방향으로 개 선되어야 한다. 기본법은 정책의 기본방향과 구체화를 도모하는 기능을 하며, 개별법은 기본법에서 규율하는 사항을 개별분야의 특성을 고려하여 구체화를 실현하는 기능을 한다는 점에서 기본법과 개별법의 관계는 기본법이 한정적으 로 우월성을 가진다. 따라서 일반법이자 기본법인 「개인정보 보호법」이 개 별법인 「신용정보법」, 「위치정보법」과의 관계에 있어서 중심이 되는 기준 이 되는 것이 바람직할 것이다.
more초록 (요약문)
It is no exaggeration to say that the use of artificial intelligence today is a trend and request of the times. Globally, the artificial intelligence market is expanding at a rapid growth rate. Artificial intelligence is being used throughout our society, encompassing all industrial sectors in the private sector and the public sector, including finance, location information, communications, video information, and platforms. The use of artificial intelligence will not only lead to industrial development, but will also provide benefits such as enriching the lives of individuals, ultimately contributing to national development and enhancing national competitiveness. The ‘era of artificial intelligence’ has now arrived. The meaning of the 'artificial intelligence era' means that artificial intelligence does not exist only as a useful technology itself, but is accelerating a shift in the existing paradigm, and accordingly, the establishment of a new disciplinary system suitable for the artificial intelligence environment is being requested. do. Recently, the EU adopted the world's first basic law on artificial intelligence (AI Act), and the United States and Germany are also moving to prepare independent laws on artificial intelligence. Global legislative trends are also showing new legal provisions in response to the artificial intelligence era. You can see that it is a discipline system. Artificial intelligence is characterized by being based on vast amounts of data, algorithmic complexity and opacity, and automation and autonomy. In particular, in order to utilize generative AI, artificial intelligence learning data must be utilized, and the key to utilizing learning data is the use of personal information, especially the use of publicly disclosed personal information. In this respect, artificial intelligence and personal information legislation are closely related, and as the demand for artificial intelligence learning data increases, the demand for use of disclosed personal information also increases, so legal and institutional responses are necessary. Therefore, the starting point for personal information legislation suitable for the artificial intelligence environment is to consider both the ‘characteristics of artificial intelligence’ and the ‘use of personal information’ that is the basis for the use of artificial intelligence. The current Personal Information Protection Act has the following problems in that it is not compatible with today's artificial intelligence environment. First, the current law has no legal basis for the use of disclosed personal information for artificial intelligence learning data. Currently, there is no comprehensive legal system regarding artificial intelligence, and individual laws containing some provisions related to artificial intelligence only exist sporadically. Second, the characteristics of artificial intelligence, such as large amounts of data, algorithmic complexity and opacity, automation and autonomy, have aspects that conflict with the Personal Information Protection Act. Artificial intelligence conflicts with the principle of minimum collection in that it has the characteristic of collecting as much data as possible and retaining it for as long as possible because the larger the amount of data, the more improved results can be produced. In addition, since the principle of artificial intelligence machine learning itself is to find unexpected correlations through the analysis of numerous data and discover new uses and insights from them, the purpose of processing must be clearly specified from the beginning and personal information will be processed within the scope of that purpose. It is not easy to guarantee that this will happen. Third, Korea's personal information legislation is inevitably subject to legal changes due to historical reasons of not being systematically enacted or revised, such as the individual laws such as the Credit Information Act and the Location Information Act being enacted before the general law and basic law the Personal Information Protection Act. It does not comply with the principle of legal system consistency because it causes problems of similarity and duplication of information. Fourth, the Personal Information Protection Commission recently announced a synthetic data generation reference model as a personal information policy measure in response to the artificial intelligence environment, but this is a non-legally binding guideline and has limitations in regulating the use of personal information in the artificial intelligence environment. In addition, guidance is provided on the premise that the Personal Information Protection Act applies, but this seems to have limitations in terms of content in terms of the applicability and validity of the Personal Information Protection Act. Therefore, based on an analysis of the characteristics of artificial intelligence, the relationship between artificial intelligence and personal information, personal information issues in the artificial intelligence era, and problems in the current personal information legislation, the personal information legislation in the artificial intelligence era must be improved in the following directions. First, the establishment of a new disciplinary system is necessary. As the paradigm shift in society as a whole due to the advent of the artificial intelligence era requires a different disciplinary system from the existing one, the personal information legislation following the advent of the artificial intelligence era seeks to break away from the existing disciplinary system and establish a new legal disciplinary system. There must be improvement in this direction. The use of artificial intelligence is a trend and request of today. Therefore, it is necessary to improve personal information legislation to take advantage of the advantages of using artificial intelligence in line with the paradigm shift to the artificial intelligence era. In addition, as the nature of artificial intelligence creates an environment in which data subjects are likely to be alienated due to information asymmetry, 'use of personal information' and 'guarantee of data subject rights' are harmonized so that the rights of data subjects can be effectively guaranteed. It should be improved in the direction of achieving . Second, the establishment of a new disciplinary system in the era of artificial intelligence must be specified in the direction of enacting a separate law on the use of personal information for artificial intelligence learning data. As a way to improve this problem, it may be possible to consider revising the current law, but considering that the Personal Information Protection Act is a general law and a basic law, it covers the processing and protection of personal information related to artificial intelligence that corresponds to specific targets and specific situations. Reflecting the contents of the existing Personal Information Protection Act does not comply with the principle of legal system consistency. Therefore, as a specific method for this, we can consider enacting a (tentative name) law for the use of personal information for artificial intelligence learning data (hereinafter referred to as the ‘Artificial Intelligence Personal Information Utilization Act’). Lastly, the direction of personal information legislation in the era of artificial intelligence must be improved to comply with the principle of legal system consistency between the Personal Information Protection Act, a general law and basic law, and individual laws in each field. The basic law has the function of promoting the basic direction and specification of policy, and the individual law has the function of realizing the specification of matters regulated by the basic law by considering the characteristics of individual fields, so the relationship between the basic law and individual laws is limited to the superiority of the basic law. has Therefore, it would be desirable for the Personal Information Protection Act, a general and basic law, to become the central standard in the relationship with the individual laws, the Credit Information Act and the Location Information Act.
more목차
제1장 서론 1
제1절 연구의 목적 1
제2절 연구의 범위와 방법 5
Ⅰ. 연구의 범위 5
Ⅱ. 연구의 방법 6
제2장 인공지능 시대의 도래와 개인정보 법제 8
제1절 인공지능 시대의 도래 8
Ⅰ. 인공지능의 의의 8
1. 인공지능의 개념 8
2. 인공지능 관련 주요 개념 11
3. 인공지능의 특징 16
4. 소결 19
Ⅱ. 인공지능 관련 주요 산업 동향 20
1. 인공지능 시장 규모와 전망 20
2. 주요 산업별 동향 21
3. 소결 26
제2절 인공지능 시대 개인정보 이슈 28
Ⅰ. 인공지능과 개인정보의 관련성 28
1. 인공지능 학습데이터와 개인정보 28
2. 공개된 개인정보의 활용 28
3. 알고리즘과 개인정보자기결정권 29
4. 프로파일링과 사생활 침해 30
Ⅱ. 주요 산업별 개인정보 이슈 31
1. 금융분야 31
2. 위치정보 분야 31
3. 영상정보 분야 32
제3절 우리나라 개인정보 법제 현황 33
Ⅰ. 우리나라 개인정보 법제의 발전 과정 33
1. 국가 행정의 효율화 및 정보화 기반 조성 33
2. 개인정보 보호를 위한 입법의 형성 35
3. 개인정보 보호를 위한 제재규정의 강화 38
4. 개인정보 ‘보호’와 ‘활용’의 조화 39
5. 신기술 환경과 글로벌 스탠다드 반영 40
6. 소결 45
Ⅱ. 일반법·기본법으로서의 개인정보 보호법 46
1. 의의 46
2. 적용 요건 48
3. 구성 51
4. 개인정보 보호 원칙 52
5. 개인정보 적법 처리 요건 57
6. 다른 법률과의 관계 59
7. 소결 60
Ⅲ. 금융분야와 개인정보 보호 61
1. 의의 61
2. 주요 연혁 62
3. 구성 65
4. 적용 요건 66
5. 다른 법률과의 관계 79
6. 소결 80
Ⅳ. 위치정보 분야와 개인정보 보호 81
1. 입법배경과 제정 의의 81
2. 주요 연혁 85
3. 구성 88
4. 적용 요건 90
5. 다른 법률과의 관계 97
6. 소결 98
제3장 인공지능 시대 개인정보 법제의 문제점 100
제1절 인공지능 시대 개인정보 법제의 개선 필요성 100
Ⅰ. 법체계 정합성 원칙의 준수 100
1. 법체계 정합성의 의의 100
2. 법체계 정합성 확보를 위한 고려사항 101
3. 소결 103
Ⅱ. 인공지능 관련 개인정보 법제 거버넌스의 부재 104
1. 인공지능에 관한 기본법의 부재 104
2. 현행 인공지능 관련 개별법의 문제점 105
3. 인공지능 관련 개인정보 법제 거버넌스의 필요성 107
Ⅲ. 개인정보보호위원회의 인공지능 관련 가이드라인의 한계 109
1. ‘인공지능 단계별 데이터 처리기준’에 대한 비판적 검토 109
2. ‘합성데이터 생성 참조모델’에 대한 비판적 검토 111
3. 형식상 한계 113
제2절 현행 「개인정보 보호법」상 문제점 115
Ⅰ. 개인정보 개념의 문제점 115
1. 식별 가능성만 개념요소로 규정 115
2. 식별 가능성 판단주체의 불명확성 116
Ⅱ. 개인정보처리자 개념의 문제점 118
1. 개인정보파일을 필수요소로 규정 118
2. 개인정보파일 운용의 목적성 119
Ⅲ. 개인정보 보호 원칙의 한계 119
1. 최소 수집 원칙의 한계 120
2. 목적 제한 원칙의 한계 121
3. 투명성 원칙과의 한계 122
Ⅳ. 공개된 개인정보의 처리에 관한 법적 근거의 부재 123
1. 현행법상 근거 규정의 부재 123
2. 공개된 개인정보의 처리에 관한 해석 124
3. 개인정보처리자의 정당한 이익 126
4. 개인정보의 추가적 이용·제공 127
Ⅴ. 정보주체의 권리 보장의 한계 128
1. 개인정보자기결정권 보장의 한계 128
2. 개인정보 고지제도의 한계 128
3. 자동화된 결정에 대한 정보주체의 권리 규정의 한계 129
4. 개인정보 처리방침의 한계 130
Ⅵ. 일반법의 개별법화 131
제3절 「개인정보 보호법」과 다른 법률 간 유사·중복 문제 132
Ⅰ. 신용정보법과 개인정보 보호법 132
1. ‘신용정보’의 범위의 지나친 확대 132
2. ‘개인신용정보’와 ‘개인정보’ 개념의 구별 불필요 133
3. 개인정보 보호법과 유사·중복제도 134
Ⅱ. 위치정보법과 개인정보 보호법 137
1. ‘개인위치정보’와 ‘개인정보’의 개념 구별 불필요 137
2. ‘위치기반서비스사업자’와 ‘위치정보사업자’ 구분 불필요 138
3. 개인정보 보호법과 유사·중복제도 139
4. 불필요한 신고·등록제도 142
제4장 해외 개인정보 법제와의 비교법적 고찰 145
제1절 유럽연합(EU)의 개인정보 법제 145
Ⅰ. 일반법 : EU GDPR 146
1. 의의 146
2. 주요내용 147
Ⅱ. 개별법 152
1. 정보통신분야 152
2. 금융분야 159
3. 위치정보 분야 161
4. 영상정보 분야 162
Ⅲ. EU AI법 164
1. 입법 배경 164
2. 입법 과정 166
3. 주요내용 167
4. EU AI법과 GDPR의 주요 중복·충돌 영역 175
Ⅳ. 우리 법제와 비교법적 고찰 179
제2절 독일의 개인정보 법제 182
Ⅰ. 연방 개인정보 보호법(BDSG) 182
1. 개관 182
2. 주요내용 183
Ⅱ. 개별법 186
1. 금융분야 186
2. 위치정보 분야 187
3. 영상정보 분야 188
Ⅲ. 인공지능 관련 입법 동향 189
Ⅳ. 우리 법제와 비교법적 고찰 189
제3절 미국의 개인정보 법제 191
Ⅰ. 연방 개인정보 보호법(안) 191
1. 개관 191
2. 주요내용 191
3. 주요 주의 개인정보보호 관련 입법 동향 193
Ⅱ. 개별법 197
1. 금융분야 197
2. 위치정보 분야 199
3. 영상정보 분야 201
Ⅲ. 인공지능 관련 입법 동향 202
1. 인공지능 행정명령 202
2. 2023 인공지능 발전법안 203
3. AI 파운데이션 모델 투명성 법안 203
4. 2024 연방 인공지능 위험관리법안 204
5. 2024 인공지능 허위 및 무단 복제 금지법안 204
Ⅳ. 우리 법제와 비교법적 고찰 205
제4절 영국의 개인정보 법제 207
Ⅰ. 일반법 207
1. UK GDPR 207
2. 영국 개인정보보호법(DPA 2018) 208
Ⅱ. 개별법 208
1. 금융분야 208
2. 위치정보 분야 209
3. 영상정보 분야 209
Ⅲ. 인공지능 관련 입법 동향 211
Ⅳ. 우리 법제와 비교법적 고찰 213
제5절 소결 215
제5장 인공지능(AI) 시대 개인정보 법제의 개선방안 217
제1절 인공지능(AI) 시대 개인정보 법제의 방향성 217
Ⅰ. 새로운 규율체계의 수립 217
Ⅱ. 인공지능 학습데이터를 위한 개인정보 활용에 관한 특별법 제정 218
Ⅲ. 법체계 정합성 원칙에 따른 일반법과 개별법의 조화 220
제2절 (가칭) 「인공지능 학습데이터를 위한 개인정보 활용법」 제정 222
Ⅰ 적용 범위 222
1. 공개된 개인정보 222
2. 공개된 개인정보가 포함된 인공지능 학습데이터 223
3. 인공지능 시스템 개발자와 인공지능 서비스 제공자 223
Ⅲ. 기본원칙 224
1. 목적의 호환성·유연성 원칙 224
2. 개인정보 최소 수집의 원칙 미적용 225
3. 공개된 개인정보의 활용 원칙 225
4. 투명성 원칙 226
Ⅳ. 공개된 개인정보의 활용 기준 226
1. 개인정보의 추가적 이용 규정의 합리화 226
2. 인공지능 시스템 개발자 등의 정당한 이익 227
Ⅴ. 정보주체 권리 보장 실질화 228
1. 개인정보 출처 고지제도의 개선 228
2. 자동화된 결정 대응권 규정 개선 229
제3절 개인정보 보호법 개선방안 230
Ⅰ. 개인정보의 개념 재정의 230
Ⅱ. 개인정보처리자 개념 재정의 231
Ⅲ. 개인정보의 추가적인 이용·제공 기준 완화 232
Ⅳ. 개인정보처리방침 제도 개선 233
제4절 분야별 개별법의 개선방안 235
Ⅰ. 「신용정보법」 개선방안 235
1. ‘신용정보’ 개념의 합리화 235
2. ‘개인신용정보’ 개념 삭제 236
3. 유사·중복제도의 일원화 236
Ⅱ. 「위치정보법」 개선방안 238
1. ‘개인위치정보’ 개념 삭제 238
2. 위치정보의 처리에 관한 규정 삭제 238
3. ‘위치정보기반서비스 사업자’와 ‘위치정보사업자’의 개념 일원화 239
4. 위치정보 사업의 등록·신고제 폐지 240
Ⅲ. 개인영상정보 관련 개별법 제정 241
1. 적용 범위 241
2. 개인영상정보 기본 원칙 구체화 242
3. 개인영상정보주체의 권리 보장 242
제6장 결론 244
참고문헌 253