기업들의 개인정보 처리방침 작성 수준이 지난해 전반적으로 향상됐으나 '생성형 AI' 분야는 여전히 이용자 눈높이에 미치지 못하는 것으로 나타났다.
송경희 개인정보보호위원회 위원장은 4일 서울 중구 한국프레스센터에서 국내외 주요 생성형AI 기업 및 전문가들과 함께 '생성형 AI 분야 개인정보 처리방침 개선을 위한 간담회'를 개최하고 이같이 발표했다. '개인정보 처리방침 평가'는 개인정보처리자가 수립·공개한 처리방침을 평가하는 제도로 AI와 자율주행 등 신기술을 활용하거나 대규모 민감정보 및 개인정보를 처리하는 대표서비스를 대상으로 2024년부터 실시하고 있다.
7대 분야에 대해 최초 실시한 2024년도 평가에서는 전체 평균 점수가 57.9점에 그쳤으나 지난해 전체 평균 점수는 71점으로 상승했다. 평가매뉴얼 배포, 작성지침 개정 설명회 및 평가지표 설명회 개최, 기업간담회 등 설명·안내를 적극 강화한 결과로 풀이된다. 지난해에는 △커넥티드카 △에듀테크 △스마트홈 △생성형 AI △통신 △예약·고객관리 △건강관리앱 등 분야를 평가했다.
다만 생성형 AI 분야의 경우 적정성, 가독성, 접근성 전반에서 상대적으로 미흡한 사례가 확인됐다. 일부 서비스는 '처리하는 개인정보 항목'을 포괄적으로 기재하거나 '처리의 법적근거'를 구체적으로 밝히지 않았다. 또한 '개인정보 보유·이용기간'을 모호하게 표현한 경우도 있었다. 개인정보를 제3자에게 제공하면서 '협력업체', '서비스 제공업체' 등 추상적인 용어를 사용해 제공받는 자를 명확히 특정하지 않은 사례도 있었다.
아울러 정보주체의 권리행사 방법을 영문으로 안내하거나 개인정보 관련 민원 처리를 지연하는 사례도 있었다. 일부 모바일 앱은 처리방침을 확인하기 위해 로그인을 요구하거나 여러 단계를 거치도록 운영돼 접근성 측면에서 개선이 필요하다는 평가를 받았다. 번역투의 문장과 장문의 서술형 문장이 이어져 정보주체의 이해를 어렵게 하는 사례도 있었다.
참석 기업들은 생성형 AI의 기술적 특성상 처리 구조가 복잡하고 글로벌 본사 정책과의 조율에 어려움이 있다고 설명하면서도, 이용자의 신뢰 확보를 위해 보다 명확하고 이해하기 쉬운 설명 방식이 필요하다는 데 공감했다. 특히 입력정보의 학습 활용 여부, 보유기간, 옵트아웃(AI 학습 거부) 절차 등에 대해서는 이용자가 직관적으로 이해할 수 있도록 구체성을 높이는 방향으로 개선해 나가겠다는 의견이다.
정부는 이번 간담회 논의 결과를 바탕으로 생성형 AI 기업이 보다 명확하게 처리방침을 작성할 수 있도록 개인정보 처리방침 작성지침을 보완할 계획이다. 아울러 기업·기관들이 개정 기준을 충분히 이해하고 현장에 적용할 수 있도록 다음달 중 '개인정보 처리방침 작성지침 개정본'을 발간하고 설명회도 개최할 예정이다.