백남정

AI 프라이버시 리스크는 인공지능 시스템이 개인정보를 수집·처리·학습하는 과정에서 발생할 수 있는 개인정보 침해, 차별, 프로파일링, 재식별화 등의 위험을 말합니다. EU AI Act, 인공지능기본법, 개인정보보호법 제3조의 최소 수집 원칙이 AI 맥락에서 어떻게 적용되는지가 핵심입니다. AI 시스템 설계 단계부터 Privacy by Design 원칙을 적용하고, 고위험 AI에 대해서는 개인정보 영향평가(PIA)를 수행해야 합니다.

PET(Privacy Enhancing Technologies)는 개인정보를 보호하면서도 데이터 활용을 가능하게 하는 기술의 총칭입니다. 대표적으로 ① 동형암호(Homomorphic Encryption) — 암호화 상태로 연산, ② 다자간 연산(MPC, Multi-Party Computation) — 분산 데이터 협력 분석, ③ 차분 프라이버시(Differential Privacy) — 통계 노이즈 추가, ④ 합성데이터(Synthetic Data) — 원본 대신 인공 데이터 생성, ⑤ 연합학습(Federated Learning) — 데이터 이동 없이 모델 학습 등이 있습니다. 개인정보보호위원회는 PET 안전활용 가이드라인을 통해 각 기술의 적용 기준을 제시하고 있습니다.

CBPR(Cross-Border Privacy Rules)은 APEC(아시아태평양경제협력체) 회원국 간 개인정보의 국경 간 이전을 가능하게 하는 인증 체계입니다. CBPR 인증을 취득한 기업은 APEC 참여국(미국, 일본, 한국, 싱가포르 등) 간 개인정보 이전 시 별도 동의나 계약 없이 이전할 수 있어 글로벌 비즈니스 효율이 높아집니다. 한국은 2019년 CBPR 정식 참여국이 되었으며, 개인정보보호위원회가 인정기관(AA)으로 기능합니다. KB국민은행, 네오플 등 국내 기업이 인증을 취득한 바 있습니다.

ISMS-P는 한국 KISA가 운영하는 국내 정보보호 관리체계 인증으로, 개인정보보호(P) 영역이 포함된 통합 인증입니다. 일정 규모 이상의 정보통신서비스 제공자에게 의무 인증입니다. ISO 27001은 국제표준화기구(ISO)가 발행한 글로벌 정보보안 경영시스템 표준으로, 국내외 모든 기업이 자발적으로 취득할 수 있습니다. 글로벌 비즈니스에는 ISO 27001이, 국내 법적 의무 이행에는 ISMS-P가 필요합니다. 두 인증을 함께 보유하면 국내외 신뢰도를 모두 확보할 수 있습니다.