인공지능 법제의 개인정보보호 거버넌스 - EU AI법과 우리나라 ｢인공지능기본법｣을 중심으로

Personal Information Protection Governance in Artificial Intelligence Legislation : Focusing on the EU AI Act and Korea's Framework Act on Artificial Intelligence

인공지능은 방대한 학습용데이터를 기반으로 작동하는 특성상 개인정보와 불가분의 관계를 맺고 있다. 특히 머신러닝과 생성형 인공지능 모델의 성능은 데이터의 양과 질에 기반하므로, 개인정보가 포함된 학습데이터의 활용 가능성은 필연적으로 제기된다. 이에 따라 인공지능 법제에서 개인정보보호 거버넌스를 어떻게 구축할 것인지가 중요한 쟁점으로 떠오르고 있다. 여기서 ‘개인정보보호 거버넌스’란 개인정보보호 정책의 방향을 체계적으로 조정하고, 관련 업무를 통합･관리하기 위한 제도적 장치를 의미하며, 그 핵심 요소는 개인정보 보호를 뒷받침할 입법적 기반과 이를 총괄･조정하는 컨트롤타워 기능이라 할 수 있다. 본 논문에서는 이러한 문제의식을 바탕으로 EU와 한국의 인공지능 법제를 중심으로 개인정보보호 거버넌스가 어떻게 규정되고 있는지를 분석한다. 세계 최초 인공지능에 관한 포괄적인 기본법이자 실정법인 유럽연합(EU)의 인공지능법(Artificial Intelligence Act, 이하 ‘AI법’이라 한다)은 개인정보 보호 관행, 고위험 AI 시스템의 민감정보 처리 제한, 기본권 영향평가 등을 통해 개인정보보호 거버넌스를 법제화하고 있다. 특히 AI법은 GDPR과의 관계를 명시적으로 규정하고 있다. 반면, 우리나라의 ｢인공지능 발전과 신뢰 기반 조성 등에 관한 기본법｣(이하 ‘인공지능기본법’이라 한다)은 개인정보 보호에 관한 명시적 규정이 없고, ｢개인정보 보호법｣과의 관계도 불명확하여 법적 혼란의 여지가 있다. 결론적으로, 우리나라 ｢인공지능기본법｣상 개인정보보호 거버넌스를 강화하기 위해 입법적 기반과 컨트롤타워 기능 차원에서 필요한 과제는 다음과 같다. 첫째, ｢인공지능기본법｣ 내에서 ｢개인정보 보호법｣과의 관계를 명확히 규정할 필요가 있다. 둘째, 학습용데이터의 특수성을 반영하여 학습용데이터의 적법 처리 근거를 신설하고, 셋째, 고영향 인공지능사업자의 이용자 보호 책무를 구체화하여 개인정보 보호를 실질적으로 구현할 수 있도록 하고, 넷째, 고영향 인공지능 영향평가와 개인정보 영향평가의 적용 관계를 명확히 하여 중복 규제를 완화하면서도 제도의 실효성을 확보할 필요가 있다. 마지막으로 국가인공지능위원회와 개인정보보호위원회 간 협력과 조화를 제도화할 필요가 있다.

AI, by its very nature, operates on vast amounts of training data, and is thus inextricably linked to personal information. In particular, the performance of machine learning and generative AI models relies on the quantity and quality of data, inevitably raising the question of the usability of training data containing personal information. Consequently, how to establish personal information protection governance in AI legislation is emerging as a key issue. Personal information protection governance refers to an institutional mechanism that coordinates policy direction and integrates and manages related tasks to effectively implement personal information protection policies. A legislative foundation and a control tower function to oversee and coordinate these efforts are key elements. The European Union's (EU) Artificial Intelligence Act (AI Act), the world's first comprehensive basic law and positive law on AI, codifies personal information protection governance through measures such as personal information protection practices, restrictions on the processing of sensitive data by high-risk AI systems, and fundamental rights impact assessments. Notably, the AI ​​Act explicitly stipulates its relationship with the General Data Protection Regulation (GDPR). In contrast, South Korea's “Framework Act on the Development of Artificial Intelligence and Creation of a Trust Foundation” (hereinafter referred to as the “Framework Act on Artificial Intelligence”) lacks explicit provisions on personal information protection, and its relationship with the Personal Information Protection Act is unclear, leaving room for legal confusion. Therefore, to implement personal information protection governance under South Korea's “Framework Act on Artificial Intelligence,” first, the relationship between the “Framework Act on Artificial Intelligence” and the “Personal Information Protection Act” must be clearly defined within the “Framework Act on Artificial Intelligence.” Second, the special nature of training data must be reflected in establishing a new basis for the lawful processing of training data. Third, the user protection responsibilities of high-impact AI service providers must be specified to ensure practical implementation of personal information protection. Fourth, the relationship between high-impact AI impact assessments and personal information impact assessments must be clarified to mitigate overlapping regulations while ensuring the effectiveness of the assessment system. Finally, cooperation and coordination between the National AI Commission and the Personal Information Protection Commission must be institutionalized.