2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’이 열렸다. 김남국 국회의원, 국민권익위원회, 경찰청, 대한변호사협회, 개인정보전문가협회가 주최한 본 심포지엄은 각계의 전문가들과 함께 공익제보의 활성화와 공익신고자의 보호를 가능케 할 실효성 있는 방안을 모색하고자 마련되었으며, 박경신 오픈넷 이사가 ‘공익 제보 행위의 개인정보보호법 위반 여부 판단 기준과 향후 과제’를 주제로 발제했다.

발표문_공익제보와-개인정보보호법_박경신

2019. 12. 4. 오픈넷 김가연 변호사는 독일 가르미슈 파르텐키르헨(Garmisch-Partenkirchen)에 위치한 마셜센터(George C. Marshall European Center for Security Studies)에서 운영하는 PCSS(Program on Cyber Security Studies)에 강사로 초대받아 ‘인터넷 자유’에 대한 강의를 진행했습니다. PCSS는 사이버 보안과 관련된 거버넌스 교육 프로그램으로 세계 각국의 고위 정부 관료들에게 사이버 영역의 복잡성에 대한 이해 및 사이버 전략과 정책 문제를 해결할 수 있는 기술을 제공하는 과정입니다.

2019. 10. 30. 스탠포드 대학교의 CISAC(Center for International Security and Cooperation)이 주최한 “Data Governance in Asia” 워크샵에 오픈넷 박경신 이사와 김가연 변호사가 참석했다. 박경신 이사는 아시아 데이터 거버넌스의 전반적인 경향과 특징에 대해, 김가연 변호사는 한국의 데이터 거버넌스의 문제점을 주민등록번호 제도, 실명제 및 본인확인제, 통신감시 제도 등의 사례를 들어 설명했다.

글 | 이미루(진보네트워크센터 활동가)

지난 1월 20일, 사단법인 오픈넷은 해외 전문가들을 초청하여 ‘인공지능의 윤리와 데이터 거버넌스-국제적 흐름에서 데이터3법까지’를 주제로 한 컨퍼런스를 진행했다. 이날 컨퍼런스는 AI 윤리 점검 및 원칙에 입각한 AI프로젝트라는 주제와 AI와 데이터 거버넌스를 주제로 한 두 개의 세션으로 진행됐으며, 각 세션은 국내외 전문가들의 발제는 물론 다양한 질문과 토론이 함께하여 풍성하게 진행되었다.

• 컨퍼런스 발표자료: https://opennet.or.kr/17373
• 영상 다시보기: 1세션(AI 윤리 점검), 2세션(AI와 데이터 거버넌스)

[Session 1] AI 윤리 점검: “원칙에 입각한 AI 프로젝트”

첫 번째 세션은 박경신 오픈넷 이사(고려대학교 법학전문대학원 교수)의 사회 아래 ‘AI 윤리 점검: 원칙에 입각한 AI 프로젝트’를 주제로 진행되었다. 첫번째 발제는 제시카 필드 교수의 ‘원칙에 입각한 인공지능: 윤리 및 권리에 기반한 AI 원칙들에서 나타나는 합의점들’이었으며, 두번째 발제는 허버트 버커드 교수의 ’AI 윤리의 윤리학’이었으며, 마지막 발제는 마르셀로 톰슨 교수의 ‘노력, 설계와 책임’이었다.

제1발제: 제시카 필드(Jessica Fjield) 하버드대학교 로스쿨 사이버법클리닉 교수

“원칙에 입각한 인공지능: 윤리 및 권리에 기반한 AI 원칙들에서 나타나는 합의점들”

제시카 필드 교수는 첫 번째 발제자로 나서 여러 공동저자들과 함께 연구를 진행했던 “원칙에 입각한 인공지능: 윤리 및 권리에 기반한 AI 원칙들에서 나타나는 합의점들”을 발표했다. 몇 년에 걸쳐 총 36개의 문헌을 검토한 연구진은 AI 윤리에 원칙 혹은 표준을 적용해보자는 원칙하에 사회에 긍정적인 영향을 미치길 바라며 연구를 시작했다고 밝혔다. 이후 사회 각층은 물론 여러 정부, 국제 시민사회, 정부간 기구 등을 통해 발표된 여러 AI 원칙을 연구하여 크게 여덟 가지 윤리 원칙에 대한 공통의 인식을 발견할 수 있었다고 밝혔다.

여덟 가지 윤리 원칙은 1) 프라이버시 2) 책임성 3) 안전과 안보 4) 투명성과 설명 가능성 5) 형평성과 차별금지 6) 인간에 의한 기술 통제 7) 전문성이 가지는 책임성 8) 인권증진이다. 필드 교수는 각 원칙들은 세부적이고 다양한 내용들을 포함하지만, 위 여덟 가지 큰 원칙이 지금까지 발표 된 대다수의 AI  원칙에서 중요한 자리를 차지하고 있다고 강조했다(이 외에도 여러 주요 의제들이 있으나, 보다 자세한 내용은 보고서 참조). 앞서 언급된 원칙들은 ‘빅데이터 시대’, ‘AI 기술의 도입’과 함께 지속적으로 문제시 되어왔던 내용들로 원칙적인 선언에 가깝다. 필드 교수는 해당 보고서가 원칙을 주로 담고 있지만, 전반적으로 ‘윤리(ethics)’에 대한 연구가 부족했음을 한계로 지적했다.

제2발제: 허버트 버커트(Herbert Burkert) 스위스 성갈렌대학교 법대 교수

“AI 윤리의 윤리학”

AI 윤리의 윤리학이란 주제로 발제를 이어나간 허버트 버커트 교수는 발제에 앞서 도덕(Moral)과 윤리(Ethics)의 개념을 구분해야한다고 설명했다. 도덕은 사람들이 어떻게 행동하는가의 영역이며, 윤리는 이론적 담화, 즉 무엇이 옳고 그른가에 대한 것이라고 설명했다. 이날 토론회의 큰 주제였던 AI 윤리 원칙이 자세한 행동 규정이라기보단 무엇이 옳고 그른가에 대한 원칙적 이야기임을 강조한 것이다.

허버트 교수는 익숙한 여러 그리스 신화를 예시로 들며 발제를 시작했다. 우리는 보통 판도라를 ‘절대 열지 말라’고 했던 상자를 열어 인류에게 재앙을 안긴 ‘나태하고 장난끼 많은’ 여성으로 기억하고 있다. 하지만 한 조사에서는 이 신화가 와전된 것임을 밝혔다고 한다. 본래 판도라는 ‘가이아’, ‘대자연’으로 불리던 존재로 인류에게 나쁜 것뿐 아니라 좋은 것도 주었던 존재였다는 것이다. 하지만 우리가 기억하는 방식으로 판도라를 기억하게 된 배경에는 모계사회에서 부계사회로의 변화를 위해 여성 혐오 시각이 더해져 신화를 바꿔 전달했을 수 있다고 한다. 허버트 교수는 이 일화를 통해 사회적 원칙, 윤리라는 것이 당시 시대 상황에 따라 변화하는 것임을 강조했다. 따라서 윤리 원칙만을 강조할 것이 아니라 인류가 행동함에 있어서 어떤 것들을 기준으로 삼을 것인가에 대한 이야기를 나눠야 한다고 강조했다.

허버트 교수는 정작 윤리 강령이 놓치는 것은 실제 원칙들 사이에서 충돌이 발생했을 경우임을 이야기하며 AI 윤리와 기술 그 자체에 대한 이야기는 많이 하는데 비해 정작 충돌이 발생했을 때 어떻게 행동해야 하는가에 대한 연구는 부족하다고 지적했다. 상황에 따라 어떤 기준을 따라야 할지, 원칙들 간에 충돌이 발생했을때 어떤 규칙을 따라야 할지 정의할 수 있는 법적 개입 혹은 규제 방안을 마련해야 한다고 강조했다. 이를 위해선 윤리강령에 긍정적이고 건설적인 비판을 할 수 있는 도구를 마련하는 게 중요하다고 강조했다.

제3발제: 마르셀로 톰슨(Marcelo Thompson) 홍콩대학교 법대 교수 

“노력, 설계와 책임”

마르셀로 톰슨 교수는 ‘노력, 설계와 책임’을 주제로 1세션의 마지막 발제를 맡았다. 톰슨 교수는 AI 발전이 우리 가치관에 어떤 영향을 주는지, 그리고 AI가 발전함에 따라 어떻게 인공지능을 활용할지에 관한 규범을 만드는데 어떤 영향을 가지는지에 대한 이야기를 하겠다며 발표를 시작했다. 톰슨 교수는 여러 원칙들 중에서도 ‘책임성’에 집중했고, 내용 규제에서의 플랫폼의 권한과 역할에 대한 예시를 자세히 다루었다.

예를 들어 내용 규제와 플랫폼의 관계에 대해서 이야기할 때, 결과물에 대한 책임, 기술이 만들어 내는 산출물이나 여파가 아니라 해당 결과가 나오는 과정과 AI 솔루션이 만들어지기까지 투여된 노력 등에 더 방점을 둬야 한다는 주장이다. 톰슨 교수는 지금 유럽의 내용 규제는 문제시되는 콘텐츠가 특정 플랫폼에 게시되어 있다면 그 콘텐츠의 문제 여부나 평가 과정 등은 상관없이 결과적으로 해당 콘텐츠가 계속 게시되어 있느냐 아니냐만으로 처벌여부가 결정되기 때문에, 오히려 표현의 자유를 억압하고 플랫폼 운영자들이 게시물을 ‘우선 내리고 보자’는 식으로 반응하게 만들 가능성을 강조한다. 그 결과 톰슨 교수는 결과 기반의 책임성 여부가 아닌 노력 기반의 책임성 체계가 중요하다고 강조한다. 해당 플랫폼이 충분히 노력을 들였고, 대응 과정에서 합리적 노력을 했다면 이런 노력을 인정해 법적 규제의 수준을 달리 할 수도 있다는 것이다. 그는 AI도 마찬가지로 AI 규범과 규제, 법적 제도 등을 만드는데 있어 단순히 설계 결과물을 평가할 것이 아니라 그 과정에서 어떤 노력이 있었는지, 향후 우리 삶에 어떤 영향을 미칠지에 대한 충분한 고민을 했는지, 그리고 법적 책임은 어떤 영향을 미치게 될지에 대한 고민을 해야 한다고 강조했다.

종합토론

이어지는 종합토론에서는 말라비카 자야렘 디지털아시아허브 소장이 원격으로 참여하여 발제에 여러 질문을 던졌다. 자야렘 소장은 개인적 선택과 구조적 문제가 연결될 수 있는가라는 질문이 해당 세션의 핵심이라며 개인의 도덕적 일탈의 수준에서 문제를 바라볼 것이 아니라 제도적이고 구조화된 윤리 의식이 중요하지 않은가라는 질문을 다시 던졌다. 또한 계속해서 AI 윤리 원칙에 대한 논의를 나누고 있지만, 그것이 실제 우리의 현실을 개선할 순 있을지, 각 국가와 사회가 가지는 문화･규범적 특징, 맥락에 의해 다르게 반영될 때, 우리가 원칙이란 이름으로 이를 공통의 인식으로 바라볼 수 있을지 등과 같은 질문을 던졌다.

이상욱 한양대학교 철학과 교수는 우리가 흔히 언급하는 ‘AI 윤리’가 굉장히 추상적인 경우가 많아 그것이 잘 지켜졌는지 판단할 수 있는 기준이 없는 경우가 대부분이라고 했다. 특히나 AI 기술의 발전과 활용에 있어 어느 정도로, 어떤 방식으로 규제할 것인지에 대한 부분도 아직 모호하다고 설명했다. 따라서 제도적 규제를 도입할 때는 각 국가별 문화 등을 반영하여 규제조항을 아주 구체적으로 만든 후 도입해야 함을 강조했다. 이에 더해 AI 윤리 원칙에 대한 중심적인 키워드보다 실제 키워드 사이에 어떤 경쟁들이 존재하는지 이런 갈등을 어떤 방식으로 논의하고 해결하기 위해 노력하고 있는지와 관련한 논의가 부가되었다면 더 좋았을 것 같다며 토론을 마무리했다.

최은필 카카오 연구위원은 AI 기술 역시 사람이 중심이 되는 기술이며,  AI 사회 구성원들이 기술과는 다른 변화의 소용돌이 속에서 기본적인 원칙과 규범을 지킬 수 있을지 고민해야 한다고 말했다. 특히나 알고리즘의 활용 등으로 기업의 사회적 역할이 강조됨에 따라 기업의 숙제와 책임에 대한 요구도 늘어나고 있음을 강조했다. 하지만 기술의 발전과 새로운 서비스의 등장으로 현재 원칙이 담아내지 못하는 부분들이 증가할 수 있음을 이야기하며 사회 전체가 유기적으로 움직이며 더 나은 해법을 찾아야 한다고 강조했다.

카를로스 아폰소 데 수자 리오기술과사회연구소 소장은 현재 인공지능에 대한 논의를 진행함에 있어 로봇공학에서의 인공지능과 인터넷을 기반으로 한 인공지능 두 가지 측면에서 살펴봐야 한다고 말했다. 그는 우리가 말하는 인공지능 원칙이 무엇에 기반해 있는지, 이전 규제 등을 통해서 무엇을 배웠는지 등을 성찰해야 한다고 주장했다. 지금까지의 인공지능 논의 맥락에서 우린 좀 더 단순한 상황에 대한 질문을 심사숙고할 필요가 있으며, 가령 AI 스마트로봇에 새로운 법인격을 부여하여 누가 해당 법인격의 책임자가 될 것인지에 대한 고민이 필요하다고 강조했다. 뿐만 아니라 인간이 인공지능의 완전한 관리자가 되기 위해 어떤 시스템을 가져야 할지에 대한 고민도 필요하다고 했다. 이에 더해 인공지능으로 인한 이익뿐 아니라 그 반대의 경우, 즉 부정적인 결과가 도출 되었을 때 사람이 시스템의 일부가 되어 어떻게 책임을 질 것인지에 대한 고민이 이루어져야 한다고 강조했다.

[Session 2] AI와 데이터 거버넌스

두 번째 세션 역시 박경신 오픈넷 이사(고려대학교 법학전문대학원 교수)가 사회하에 ‘AI와 데이터 거버넌스’를 주제로 진행됐다. 그레이엄 그린리프 교수, 클라우디오 루세나 교수, 오병일 진보네트워크센터 대표가 발제했다. 이들은 GDPR을 중심으로 데이터 시대의 개인정보보호를 중심으로 다루었으며, 현재 한국에서도 논란이 되고 있는 ‘가명정보 처리’에 대한 주제까지 포괄했다.

제1발제: 그레이엄 그린리프(Graham Greenleaf) 호주 뉴사우스웨일스대학교 법·정보시스템학과 교수(원격 참여) 

“연구, 통계, 기록보존 목적의 가명정보 처리: 한국이 EU회원국 입장이라면?”

그레이엄 그린리프 교수는 ‘연구, 통계, 기록보존 목적의 가명정보 처리: 한국이 EU회원국 입장이라면?’을 주제로 발제를 진행했다. 그는 한국이 EU회원국일 경우로 가정하고 GDPR에 어떻게 적용을 받는지, 한국의 개인정보보호법과는 어떤 점이 다른지 등을 중점적으로 이야기 했다.

그린리프 교수는 가명처리를 했다고 해도 여전히 개인정보는 개인정보라는 점을 강조했다. 가명처리가 되었다고 해도, 해당 데이터의 익명성을 완전히 보장할 수 없고, 익명정보에 비해 개인식별의 위험은 여전히 높기 때문이다. 물론 GDPR은 공공의 이익을 위한 아카이빙, 역사적 과학적 연구 목적, 통계 목적의 활용은 양립가능성을 인정하여 정보주체의 동의 없이 개인정보를 처리하여 활용할 수 있도록 하였다고는 하지만, 모든 경우에 예외가 적용되는 것은 아니며, 양립가능성이 인정된다고 해도 정보주체의 권리를 무시해도 된다는 의미가 아님을 강조했다.

그는 현재 한국에서 첨예하게 논의되고 있는, ‘과학적 연구에 상업적 연구를 포함해도 되는가?’에 대해서도 다뤘다. 그린리프 교수는 특정 과학적연구방법을 쓴다고 하더라도, ‘해당 연구사업이 그 분야에서 방법론 및 윤리적 차원에서 모든 기준을 만족하는지?’에 대한 구체적 기준을 정해야 한다고 설명했다. 또한 일반적 상업연구, 예를 들어 시장조사와 같은 연구는 상업적 목적에 입각한 것으로 정보주체의 동의 없이 가명정보처리 및 활용을 해서는 안 된다고 말했다.

이 외에도 가명처리된 개인정보 출판의 위험성, 민감정보 활용시 정보주체의 권리 침해의 위험성 등을 강조했다. 또한 GDPR에서 공익적 목적을 위한 정보 활용의 제한을 많이 풀어두기는 했지만, 그게 모든 것을 해도 된다는 허가는 아니라고 강조했다. 무엇보다 유럽과 한국의 문화적, 사회적 맥락이 다른 만큼 세부적인 사항은 한국적 맥락에 맞춰 활용할 수 있도록 하는 것이 중요하다고 강조하며 발제를 마쳤다.

제2발제: 오병일 진보네트워크센터 대표

“데이터3법의 문제점”

오병일 진보네트워크센터 대표는 얼마 전 국회를 통과한 ‘개인정보 3법’(개인정보보호법, 정보통신망법, 신용정보법)의 문제점을 지적하는 발제를 이어나갔다. 오병일 대표는 현재 대한민국의 개인정보보호법이 유럽 GDPR에 비추어 미흡한 점이 많으며, 이로 인해 정보주체의 권리가 침해되고, 개인정보 보호가 제대로 이루어지기 힘든 구조임을 거듭 강조했다.

오병일 대표는 현재 개인정보보호법이 정의하는 개인정보의 범위가 매우 좁은데, 이 경우 ‘개인정보’로 인정되지 않아 제대로 보호되지 않는 데이터가 발생할 수 있음은 물론, 현재 개인정보보호법상 개인정보 범위에 대한 해석이 애매모호해질 수 있는 부분이 존재함을 지적했다. 또한 최근 이슈가 되고 있는 ‘과학적 연구’에 대해서도 가명처리된 개인정보의 상업적 활용, 제공, 결합을 폭넓게 허용하여 대기업 사이에 고객정보의 무한 공유 및 이에 따른 개인정보 남용 및 유출 위험성이 커짐을 강조했다.

특히나 이번 법 개정에서는 개인의 권리를 보장할 수 있는 정보주체의 권리 조항이 제대로 포함되지 않아, 개인정보 보호를 위한 안전장치도 미흡하다고 강조했다. AI와 빅데이터를 이야기 할 때 개인정보보호중심 설계 및 기본 설정, 프로파일링 권리 보장 및 규제의 부재, 개인정보 영향평가 등 다수 정보주체의 권리 보장 조항이 누락된 점은 특히나 문제라며 발제를 마쳤다.

제3발제: 클라우디오 루세나(Claudio Lucena) 브라질 파라이바 주립대학교 법대 교수 

“프라이버시 친화적 데이터연계 방식과 GDPR”

클라우디오 루세나 교수는 “프라이버시 친화적 데이터연계 방식과 GDPR”을 주제로 발제했다. 그는 브라질의 개인정보보호법 및 데이터 활용 상황도 공유했다. 루세나 교수는 브라질에서도 GDPR이 골든 룰(Golden Rule)처럼 표준으로 여겨지고 있으며, 이를 통해 개혁이 아닌 단순히 데이터보호 체계를 만들어 가고 있다고 했다.

루세나 교수는 데이터 활용과 관련하여 데이터를 재생산 가능한, 민감한 생필품이라고 정의했다. 디지털 경제 생산 시스템에서 데이터를 활용하여 정책을 개선하거나 더 나은 정책을 만들 수 있다는 데이터를 활용할 수 있어야 한다는 것에는 이견이 없을 것이라 주장했다. 따라서 데이터 접근권 및 사용권 자체를 막는 건 경제적으로 맞지 않다고 말했다. 동시에 데이터 자체가 ‘나’라는 존재는 될 수 없지만 오늘날의 데이터는 우리 자신을 대변하는 인격의 연장선상에서 바라봐야 한다고 말했다. 그는 절대적인 접근과 사용을 허가하는 것도, 원천적으로 금지하는 것도 결국 옳은 방법이 아님을 강조했다.

루세나 교수는 브라질의 데이터보호법과 한국의 개인정보보호법 모두 민감정보에 대해 정의하고 있는 반면, GDPR은 민감정보에 대해 명시적인 조항을 가지고 있지는 않음을 이야기했다. 하지만 GDPR을 통해 전반적 데이터 보호 기준이 강화된 것으로 이해해야 한다고 설명했다. 또한 브라질 법의 경우 상업적 데이터로 활용할 수 있는 경우를 매우 자세히 다루고 있음을 언급했다. 또한 기초연구가 아닌 상업적 연구의 경우 브라질은 민감정보를 기반으로한 연구는 금지하고 있다고 밝혔다. 공공을 위한 연구의 경우 예외가 되는데, 다만 활용과 보호 사이 균형을 맞추는 것이 중요하다며, 브라질 법의 경우 세세한 조항으로 언급하고 있음을 강조했다. 그는 이외에도 단순히 법적 규제 만으로는 이런 문제를 전반적으로 다룰 수 없으며, AI 거버넌스 등 다른 일련의 역할을 할 수 있는 장치들을 더해 전 세계적 틀을 구성하여 정보주체의 권리를 잘 담아내야 한다고 강조하며 발제를 마쳤다.

종합토론

이날 토론자로 함께 한 이대희 고려대학교 법학전문대학원 교수는 데이터가 엄청난 가치를 지니게 됨으로써 데이터 활용에 대한 위험성 지적과 함께 프라이버시와 관련된 문제들이 야기되었다고 한다. 그는 데이터의 활용과 보호에 균형을 맞춰야 함을 강조하며, 보호만 강조하면 결국 활용이 힘들어진다고 강조했다. 이번 개인정보보호법 개정에 대해서도 인공지능과 관련한 조항이 없음을 강조하며, 개인정보보호법을 데이터 활용에 보다 초점을 맞춰 개정하고, 이와 동시에 정보주체의 권리도 보다 확대되어야 한다며 토론을 마무리했다.

김가연 오픈넷 변호사는 ‘가명정보’에 초점을 맞춰 토론을 진행했다. 김가연 변호사는 이번 법 개정으로 기업들이 가명정보를 편히 쓸 수 있는 것처럼 이야기하지만, 실상은 그렇지 않다고 강조했다. 이번 개인정보보호법 개정은 활용과 보호를 둘 다 놓친 법안이라고 비판했다. 특히나 대한민국의 경우 주민등록제도와 실명제 등 가명정보 처리를 했다고 하더라도 재식별 가능성이 높기 때문에, 이에 대한 안전장치도 함께 강화했어야 하는데 이 부분은 다 놓쳤음을 강조했다. 이후 시행령 제정 등의 과정 역시 이런 논의들로 쉽지 않을 것이라 주장했다. 김가연 변호사는 개인정보보호법이 정의하는 과학적 연구의 범위가 어디까지 해당 할지에 대한 질문으로 발제를 마무리했다.

이호영 정보통신정책연구원 지능정보사회정책센터 센터장은 현재 세계적 논의와 마찬가지로 국내에서도 각각의 인공지능 원칙들이 충돌할 때에 이를 어떻게 해소할지에 대해 고민하고 있다고 말했다. 뿐만 아니라 인공지능 서비스의 활용 측면에 있어서도 계층화가 이뤄지고 있다고 강조했다. 소득격차, 학력격차 등 개인정보를 제공하고도 서비스를 제대로 누리지 못하거나, 아예 제공 자체를 원천 차단하여 어떤 서비스도 받지 못하는 경우가 존재한다는 것이다. 이외에도 초국가적 시장이 생기고, 그 안에서 정부, 시민사회, 기업 등 모든 것들이 섞여 있어 새로운 프레임이 계속 생겨남에 따라 이를 이야기할 수 있는 국제적 협약이 필요하다며 토론을 마무리했다.

이후 종합토론에서는 플로어의 청충들까지 토론에 참여하여 앞서 논의됐던 주제들은 물론, 정부 규제와 기업의 입장, 노동 시장에서의 인공지능 도입으로 인한 문제 등으로까지 주제를 확장하며 열띤 논쟁이 이어졌다.