알림 부터

유엔 인권최고대표에 디지털 시대 프라이버시권 보고서에 대한 의견 제출

인공지능감독, 영향평가, 투명한 정보공개, 권리 구제 절차 등
인공지능 정책방향에 대한 한국 시민사회 의견 제시

  1. 지난 5월 30일, 민주사회를 위한 변호사모임 디지털정보위원회, 정보인권연구소, 진보네트워크센터, 참여연대 등 4개 단체는 유엔 인권최고대표(Office of the United Nations High Commissioner for Human Rights)가 준비하고 있는 <디지털 시대 프라이버시권(the right to privacy in the digital age)> 보고서 작성을 위해 한국 시민사회의 의견을 제출하였습니다. 
  2. 지난 2019년 9월 26일, 유엔 인권이사회(Human Rights Council)는 '디지털 시대의 프라이버시권'에 대한 42/15 결의안을 채택하면서, 유엔 인권최고대표에 프로파일링, 자동화된 의사결정, 기계학습 기술 등을 포함한 인공지능이 적절한 안전조치가 없을 경우 프라이버시권의 향유에 어떠한 영향을 미칠 것인지에 대한 보고서를 준비하도록 요청했습니다. 이에 유엔 인권최고대표는 보고서 작성에 앞서 전 세계 이해관계자들에게 의견을 제출해줄 것을 요청한 바 있습니다. 
  3. 유엔 인권최고대표에 보낸 의견서에서 우리 단체들은 코로나19 역학조사지원시스템, 공공기관의 AI 면접, 챗봇 이루다 논란 등 국내에서 인공지능이 논란이 된 사례를 소개하였으며, 공공 및 민간 영역에서 인공지능 서비스가 이미 도입되고 있음에도 불구하고 인공지능에 대한 영향평가를 비롯하여 그 위험성을 통제할 수 있는 제도가 미흡하다는 점을 지적하였습니다. 또한 2020년 개인정보보호법 개정으로 기업들의 고객정보가 무분별하게 목적 외로 활용, 판매, 공유될 것에 대한 시민사회의 우려를 전달했습니다. 마지막으로 지난 5월 24일 120개 한국 시민사회단체가 발표한 <인권과 안전, 민주주의가 보장되는 인공지능 정책 요구 시민사회 선언>을 소개하면서, ▲ 인공지능에 대한 국가적 차원의 감독 마련, ▲ 인공지능 정보의 투명한 공개 및 소비자, 노동자, 시민의 참여 보장, ▲ 인공지능에 대한 영향평가 절차 마련 및 고위험 인공지능 규제, ▲ 인공지능으로 인한 권리 침해를 구제할 수 있는 절차 마련 등 한국 시민사회의 입장을 최종 보고서에 반영해줄 것을 요청하였습니다. 
  4. 우리는 앞으로도 국제적인 차원의 인공지능 규범 마련에 참여하여 국내 시민사회의 목소리를 반영할 수 있도록 노력할 것입니다.끝.

▣ 붙임 :
- 디지털 시대 프라이버시권 보고서에 대한 의견
- Input for Report on right to privacy in the digital age

120개 시민사회단체, 인공지능에 대한 첫 공동 선언

“정부와 국회는 인공지능 정책에서 인권과 안전, 민주주의를 보장하라”

- 공공과 민간 인공지능은 인권과 법률을 준수하고
- 소비자, 노동자, 시민을 보호하는 인공지능 규율법이 마련돼야

120개 시민사회단체는 오늘(5/24, 월) 오후 2시 참여연대 아름드리홀에서 기자회견을 열고 정부와 국회에 인권과 안전, 민주주의가 보장되는 인공지능 정책을 요구하는 선언을 발표했습니다. 시민사회단체는 △인공지능의 인권과 법률 준수 △인공지능 규율법의 마련을 촉구하며, 규율법에 담겨야 할 내용으로 ①인공지능 국가 감독 체계 마련 ②정보 공개와 참여 ③인공지능 평가 및 위험성 통제 ④권리구제 절차 보장을 제안하였습니다.

최근 정부는 과학기술정보통신부・4차산업혁명위원회 등 산업진흥 부처・기구 주도 하에 인공지능 정책을 발표하고 있으며, 관련 입법 또한 빠른 속도로 추진할 계획입니다. 코로나 위기로 여론 수렴이 부족한 상황에서 지난 3월 정부와 국회는 행정청이 인공지능을 비롯해 완전히 자동화된 시스템으로 처분을 할 수 있도록 하는 「행정기본법」(제20조)을 제정하였고, 행정기관이 인공지능을 활용하여 전자정부서비스를 제공할 수 있도록 하는 내용의 「전자정부법 일부개정법률안」도 심의 중입니다(안 제18조의2). 그러나 인공지능으로 사람에 대한 처분이나 의사결정에 이르도록 하면서 그 보호 방법이나 구제절차에 대한 논의는 충분히 이루어지지 못하였으며, 과학기술정보통신부 등이 주도하는 인공지능 정책은 산업계의 요구로 점철되어 있습니다. 

반면 시민사회는 이미 인공지능 챗봇 이루다 논란으로 불법적이고 편향적이고 무책임한 인공지능 제품이 어떻게 우리의 개인정보를 오남용하고 사회적 혐오를 재생산할 수 있는지 목격하였습니다. 공공기관과 민간기업이 <AI 채용>을 확대하고 있지만 불합격된 사람들은 본인이 어떻게 평가받고 탈락되었는지, 혹여 사투리나 외모로 차별받았는지 알 수 없습니다. 여성이나 장애인에게 차별적인 인공지능 스피커가 학교 교육에 이용되거나 안전이 검증되지 않은 자율주행차량이 거리를 질주할 때 우리의 미래 또한 위험할 것입니다. 알고리즘은 이미 언론 공론장과 노동을 통제하고 있으며, 금융서비스와 사회복지급여에 관여하고 있고, 심지어 사람을 대신하는 인공지능의 자동 행정과 의사결정도 시작되었습니다. 인공지능의 무기화 또한 빠르게 진행되고 있습니다. 

해외 여러 나라에서는 인공지능에 인권과 법률 준수를 요구하는 목소리가 커지고 있습니다. 2017년 폴란드와 미국의 법원은 각각 실업 급여와 교사 해고를 결정하는 데 사용된 인공지능 알고리즘에 대하여 투명성 보장을 요구하였고, 2020년 네덜란드 법원은 사회복지급여 부정수급 탐지 알고리즘의 운영을 중단시켰습니다. 영국에서는 코로나로 취소된 대학입학시험에서 교사 대신 인공지능이 부여한 성적이 부유한 사립학교 학생에게 높은 점수를 부과하여 사회적 분노를 샀습니다. 심지어 플랫폼 기업의 알고리즘이 미국 대통령 선거 등 민주주의에도 영향을 미쳤다는 경각심이 일고 있습니다. 여러 나라에서 인공지능을 규율하는 정책을 마련하고 있으며, 특히 유럽연합은 지난 4월 기본권 일반과 노동자·소비자의 권리에 영향을 미치는 인공지능 제품과 서비스에 대하여 엄격하게 관리하는 내용의 법안을 유럽 의회에 발의하였습니다.

기자회견 참석자들은 인공지능의 편향성과 위험성이 사람의 인권과 안전에 영향을 미친 최근의 논란을 지켜보며 인공지능 제품과 서비스를 무조건 신뢰하기는 어렵다고 밝히고, 모든 인공지능 시스템이 헌법과 관련 법률에 따라 개인정보를 보호하고 인권 침해와 차별을 금지해야 한다고 주장하였습니다. 더불어 공공과 민간이 도입하고 사용하는 모든 인공지능이 소비자의 안전과 권리를 보호하며, 노동자와 노동권을 보호하는 현행 법률을 준수할 것을 요구하였습니다. 참석자들은 딥러닝 등 특정한 기술적 특성이나 기업자율적인 윤리가 인권과 법률의 준수 의무를 회피하는 이유가 되어서는 안된다고 강조하였습니다.

또한 참석자들은 인공지능을 사회적으로 적절히 통제하기 위해 정부와 국회가 인공지능을 규율하는 법률을 마련할 것을 촉구하였습니다. 인공지능 규율 법률은 우선 인공지능 제품과 시스템을 국가적으로 감독하는 체계를 수립하여야 하는데, 참석자들은 국민을 위해 인공지능을 감독하는 역할은 산업부처나 기술부처가 아니라 공정거래위원회, 국가인권위원회, 개인정보보호위원회가 수행해야 마땅하다고 지적하였습니다.
더불어 인공지능 규율 법률이 인공지능 시스템에 대한 정보공개와 참여로 그 투명성과 민주성을 보장하여야 하며, 특히 공공기관 인공지능의 경우 민간에서 조달한 시스템이라 하더라도 국민 앞에 공개해야 한다고 밝혔습니다. 또한 위험한 인공지능을 제도적으로 통제하기 위하여 법률적 의무를 부과하고, 사람의 안전과 생계, 인권에 대하여 명백한 위험을 야기하는 인공지능은 금지해야 하고, 특히 실시간으로 거리에서 불특정다수의 얼굴을 인식하여 추적하는 시스템은 원칙적으로 금지해야 한다고 주장했습니다. 마지막으로 참석자들은 피해를 입거나 인권을 침해당한 사람에 대하여 권리구제를 보장할 것을 요구하였습니다. 피해를 입거나 인권을 침해당한 당사자가 인공지능 제품과 시스템에 대응할 수 있으려면 인공지능이 언제 어떻게 사용되었는지, 어디서 어떻게 이에 대한 이의를 제기할 수 있는지 알 수 있어야 한다고 주장했습니다. 

<인권과 안전, 민주주의가 보장되는 인공지능 정책 요구 시민사회 선언> 기자회견에는 백정현(민주노총 사무금융노조 정책국장), 조선희(민주언론시민연합 팀장), 은사자(한국여성민우회 성평등미디어팀 활동가), 김민(진보네트워크센터 활동가), 한광희(피스모모 리서치랩 팀장), 오정미(참여연대 공익법센터 운영위원), 서채완(민변 디지털정보위원회 변호사) 등이 참석하여 발언하였고, 김조은(투명사회를위한정보공개센터), 이라나(중구장애인자립생활센터), 허진선(평등과연대로!인권운동더하기) 활동가가 선언문을 낭독했습니다. 오늘 발표한 시민사회 선언은 이후 관련 정부부처 및 국회 상임위원회에 전달할 예정입니다. 끝.

▣ 붙임 : 인권과 안전, 민주주의가 보장되는 인공지능 정책 요구 시민사회 선언문

▣ <인권과 안전, 민주주의가 보장되는 인공지능 정책을 요구하는 시민사회 선언 기자회견> 개요 

  • 일시 및 장소 : 2021년 5월 24일(월) 오후 2시, 참여연대 2층 아름드리홀 
  • 공동 주최 : 인권과 안전, 민주주의가 보장되는 인공지능 정책을 요구하는 시민사회 선언 연명 120개 단체
  • 사회 : 장여경(정보인권연구소 이사)
  • 발언

ㅇ 시민사회 선언의 취지와 배경
ㅇ 각계 발언 및 인공지능 법적규제의 필요성 등 선언 주요 내용

- 인공지능이 야기하는 문제점 : 백정현(민주노총 사무금융노조 정책국장), 조선희(민주언론시민연합 팀장), 은사자(한국여성민우회 성평등미디어팀 활동가), 한광희(피스모모 리서치랩 팀장)
- 인공지능 법제 마련의 필요성 : 김민(진보네트워크센터 활동가)
- 인공지능 감독과 시민참여 : 오정미(참여연대 공익법센터 운영위원)
- 인공지능 위험성 규제와 권리구제 : 서채완(민변 디지털정보위원회 변호사) 

ㅇ 선언문 낭독 : 김조은(투명사회를위한정보공개센터), 이라나(중구장애인자립생활센터), 허진선(평등과연대로!인권운동더하기) 활동가
질의 응답

인권과 안전, 민주주의가 보장되는 인공지능 정책을 요구하는 시민사회 선언

오늘 우리 120개 단체들은 인권과 안전, 민주주의가 보장되는 인공지능 정책을 요구하는 선언을 발표합니다.

인공지능은 이미 우리 생활에 널리 사용되고 있습니다. 검색, 자동 번역, 추천 알고리즘, 챗봇처럼 소비자들이 인터넷에서 만나는 수많은 서비스들 뿐 아니라 AI스피커, 가전, 자동차와 같은 제품들에도 인공지능이 탑재되어 있습니다. 일터에서는 인공지능이 업무 성과를 관리 및 평가하기 시작했으며 플랫폼 노동처럼 알고리즘으로 업무를 배치받고 지시받는 사람들이 많아지고 있습니다. 금융 서비스 뿐 아니라 생계에 많은 영향을 미치는 신용 평가나 대출, 보험의 요율이나 지급 여부 결정에도 인공지능이 관여하고 있습니다. 실업 급여 지급 결정이나 부정수급 탐지[1]와 같은 사회복지 업무도 인공지능으로 수행될 것으로 예측되고 있습니다. 경찰은 어느 지역이 범죄율이 높은지 예측하는 인공지능 치안활동을 전국적으로 시작하였으며[2], 과학기술정보통신부와 지방자치단체는 코로나 확진자와 접촉자를 추적하기 위하여 거리 CCTV에 얼굴인식을 도입하고 있습니다[3]. 이미 수많은 공공기관과 민간기업들이 채용절차에 <AI면접>이나 <AI서류평가> 등 인공지능 도구를 사용하고 있고[4], 군대도 <AI면접>을 통해 특기병을 결정한다고 합니다[5]. 인공지능 무기 또한 눈앞의 현실로 다가왔습니다[6].

인공지능의 안전과 인권 침해 문제

이처럼 인공지능은 서비스나 제품을 추천·제공하는 단계부터 노동, 금융, 사회복지, 치안, 군사 영역에서 사람을 평가하고 중대한 의사결정을 내리는 단계까지 나아가고 있습니다. 이는 소비자, 노동자, 시민의 인권과 안전에 중대한 영향을 미칠 것입니다. 특히 안전이 검증되지 않는 인공지능 제품이 일상생활에서 사용된다면 우리의 생명조차 위험에 처할 것입니다. 미국에서 운행 중인 자율주행차량들이 오작동으로 몇 차례 사망사고를 일으켰지만 그 책임 문제가 여전히 불분명합니다[7].

또 인공지능이 드러내는 편향성에 대하여 세계적으로 논란이 불거지고 있습니다. 온라인 챗봇이 공개 후 불과 몇시간 만에 인종주의자가 되었고[8], 많은 기관에서 사용되는 얼굴인식기술이 흑인 여성을 잘 식별하지 못하였습니다[9]. 인공지능은 채용지원자 중 여성을 선호하지 않았고, 흑인들의 재범 위험을 백인보다 2배 높다고 판단하였습니다[10]. 지난해 영국에서는 코로나로 인해 취소된 대학입학시험 대신 인공지능으로 성적을 부여하였다가 부유한 지역 학생이 높은 점수를 받고 가난한 지역 학생이 낮은 점수를 받은 것으로 드러나 큰 사회적 논란을 겪기도 했습니다[11].

이는 기존의 데이터셋으로 학습하여 미래를 예측하는 인공지능의 본질적인 특성에 따른 문제이기도 합니다. 업계에서는 인간에게도 편견이 있다며, 인공지능은 인간사회의 차별을 학습했을 뿐이라고 주장합니다. 실제로 우리는 인공지능 챗봇 이루다가 어떻게 여성, 장애인, 성소수자, 유색인종에 대한 편견과 혐오를 빠르게 배우고 재현하는지를 직접 목격하였습니다. 문제는 이러한 인공지능의 편향성이 사회적 통제 없이 가정에서, 학교에서, 직장에서 사용되는 제품과 시스템에 바로 적용된다면, 우리 사회에 이러한 편견과 혐오가 항구적이 될 것이라는 점입니다. 그리고 이러한 편견과 혐오에 기초한 차별은 우리 사회에서 더욱 취약한 사람들의 권리를 위협할 수밖에 없습니다.

사람을 보호하는 법제도와 보호장치 미비

그럼에도 인공지능으로 영향을 받는 당사자들이나 일반 국민은 인공지능의 도입, 운영, 결정에 대하여 발언과 참여 기회를 전혀 보장받고 있지 못합니다. <AI 채용>에서 불합격된 사람들은 본인이 어떻게 평가받고 채용 탈락으로 결정되었는지 알지 못합니다[12]. 공공기관들은 인공지능을 적용한 면접이나 서류평가가 공정한지, 면접대상의 외모나 사투리를 차별하지는 않는지 전혀 검증하지 않고 사용해 왔습니다. 플랫폼 기업의 불투명한 알고리즘은 노동자와 자영업자들에게 고통을 주고 있습니다. 포털 뉴스의 비밀 알고리즘은 공론장의 편향성에 영향을 미치고 있습니다[13]. 해외에서는 플랫폼 기업의 알고리즘이 선거와 민주주의에도 영향을 미쳤다는 경각심이 일고 있습니다[14].

세계 여러나라에서 인공지능 알고리즘의 공정성과 투명성에 대한 소송이 제기되었고, 법원은 인공지능의 불투명성에 도전하는 당사자들과 시민사회의 손을 들어 주었습니다. 2017년 폴란드 법원은 정부의 실업자 점수 알고리즘에 대하여 정보공개를 하도록 하였고[15], 미국 법원은 민간기업에서 조달한 교육청의 교사 평가 알고리즘에 대하여 투명성과 적법절차 부족을 이유로 운영을 중단시켰습니다[16]. 특히 미국 법원은 민간기업의 영업비밀과 국민의 헌법상 권리인 적법절차를 모두 충족하기 위해서는 공공기관의 중요한 의사결정에 비밀 알고리즘을 사용해서는 안된다고 설시하였습니다. 2020년에는 네덜란드 법원이 사회복지급여 부정수급 탐지 시스템에 대하여 투명성 부족과 개인정보보호법 위반을 이유로 운영을 중단하라는 내용의 판결을 내렸습니다[17].

한국 사회에서 알파고가 던진 충격 이후 인공지능의 놀라운 발전은 언론, 산업계, 학계, 정부와 국회에서 큰 관심을 받았습니다. 그러나 이러한 관심 대부분은 대체로 산업적 가치에만 초점을 맞추어 왔습니다. 기술이 어떻게 사람의 인권과 안전을 보장할 것이며 이 기술을 어떻게 민주적으로 통제할 것인지에 대한 문제는 진지하게 검토되지 않았습니다. 나아가 인공지능 기술이 사람들의 인권과 안전에 영향을 미치는 것이 분명함에도, 정작 영향을 받는 사람들이 의견을 개진할 수 있는 공간은 전무한 상황입니다.

인공지능도 인권과 법률을 준수해야 합니다.

최근 인공지능 챗봇 이루다 개발사의 개인정보 보호법 위반 사건에서 확인하였듯이, 인공지능이라고 하여 인권과 법률 준수 의무에서 예외가 될 수는 없습니다. 모든 인공지능 시스템은 헌법과 관련 법률에 따라 인권 침해와 차별을 금지하고, 소비자의 안전과 권리를 보호하며, 노동자와 노동권을 보호하는 현행 법률을 준수해야 합니다.

인공지능 챗봇 이루다 사건은 우리에게 많은 충격과 분노를 주었습니다. 인공지능 서비스가 우리 사회의 편견과 혐오를 재생산하였을 뿐 아니라 그 개발 과정에서 개인정보를 소홀하게 취급하여 이용자들의 신뢰를 배반하였습니다. 결국 지난 4월 28일 개인정보보호위원회는 이루다 개발사 ㈜스캐터랩에 총 1억여 원의 과징금과 과태료를 부과하였습니다. ㈜스캐터랩은 과거에 운영했던 서비스를 통해 수집한 약 60만 명에 달하는 이용자의 내밀한 카카오톡 대화문장 94억여 건을 제대로 된 보호조치를 취하지 않고 자사 다른 서비스인 인공지능 챗봇 서비스 ‘이루다’ 의 개발과 운영에 이용한 것으로 확인되었습니다. 특히 만14세 미만 아동의 개인정보를 무단으로 이용한 규모가 20만 명에 달했습니다.

그런데 이루다 조사와 조치 결과를 두고 일부 업계는 인공지능 상품과 서비스 개발에 지장을 초래하고 있다고 볼멘 소리를 내고 있습니다. 이는 일반 소비자와 이용자들의 생각과 현격한 차이가 있습니다. 우리는 오히려 이루다 사건에서 이용자가 믿고 맡긴 민감한 개인정보를 기업이 이용자가 모르는 다른 상품 개발에 무단으로 마구 사용하거나 판매할 수 있는 현실을 보았습니다. 개인정보 추가이용과 가명정보의 이용을 원하는 산업계의 요구에 따라 2020년 이미 개인정보보호법과 그 시행령이 편향적으로 개정되었음에도, 그조차 지키지 못하겠다는 업계의 엄살은 도저히 납득하기 어렵습니다. 이런 논란을 지켜본 소비자와 이용자들은 인공지능 제품과 서비스를 충분히 믿고 안심하며 이용하기가 어렵습니다. 공공기관과 민간기업의 모든 인공지능 제품과 시스템들이 부족하나마 개인정보 보호법을 준수하고 있다는 신뢰가 바탕이 되어야 시민들 또한 그 혜택을 마음 놓고 누릴 수 있을 것입니다.

무엇보다 인공지능이 우리 사회의 편견과 혐오를 재생산하는 것을 이대로 방치할 수 없습니다. 인공지능 제품과 서비스 역시 고용과 서비스 등에서 성별, 장애, 연령, 인종, 지역 등으로부터 차별을 금지하는 현행 법률을 준수하여야 합니다. 인공지능의 도입이 확산될수록 그로 인한 차별에 대한 우려 또한 커지고 있는 만큼, 효과적이고 포괄적인 차별금지법의 제정도 이루어져야 할 것입니다.

더불어 인공지능 제품과 시스템들은 헌법과 관련 법률에서 보호하고 있는 표현의 자유, 집회시위의 권리 등 인권을 침해해서는 안 됩니다. 제품의 안전과 소비자의 권리를 보호하는 현행 법률들과 노동자와 노동권을 보호하는 현행 법률 또한 준수해야 합니다.

인공지능을 규율하는 법과 제도가 시급히 마련되어야 합니다.

이런 상황에서 네덜란드 암스테르담과 핀란드 헬싱키시[18], 프랑스 앙티브시[19] 등 세계 여러나라 지방자치단체들이 인공지능 알고리즘과 관련한 사항을 시민들에게 모범적으로 공개하고 의견을 수렴하고 있다는 사실은 시사하는 바가 매우 큽니다. 나아가 여러나라 정부가 인공지능을 규율하는 법제도를 도입하였거나 도입을 준비 중입니다. 캐나다 정부는 2019년부터 공공기관이 도입·운영하는 인공지능 의사결정 시스템에 대하여 영향평가 후 위험수준별로 정보공개, 인적 개입, 설명, 검사 등의 의무를 부과하는 훈령을 시행 중이며[20], 뉴질랜드 정부는 2020년부터 공공기관이 도입·운영하는 인공지능 알고리즘에 대하여 영향평가 후 위험수준별로 규제하고 있습니다[21]. 유럽연합 집행위원회는 최근 유럽시민이 신뢰할 수 있는 인공지능 규제법안을 유럽의회에 발의하였습니다[22].

인공지능을 이용한 자동화는 제품과 시스템의 효율성과 예측성을 크게 높일 수 있고 인간이 기존에 수행할 수 없었던 업무 영역을 확장시켰습니다. 그러나 인공지능이 사회적으로 적절히 통제되지 않는다면 그 편향성과 위험성이 사람의 인권과 안전에 중대한 영향을 미칠 것입니다. 이용자와 소비자는 그 의사결정 사유를 설명할 수도 없고, 검증할 수도 없고, 참여할 수도 없는 인공지능을 신뢰하지 않게 될 것입니다. 소비자, 노동자, 시민이 신뢰하지 못하는 인공지능에 대해서는 사회적 수용성 및 효용성 또한 감소할 수밖에 없습니다.

최근 인공지능 규범과 관련한 여러 국제문헌들은 인공지능을 규율하는 새로운 법률이 필요하다고 강조하고 있습니다. 인공지능 제품과 시스템을 국가적으로 감독하고, 인공지능 시스템에 대한 정보공개와 참여로써 그 투명성과 민주성을 보장하며, 위험한 인공지능을 제도적으로 통제하는 한편, 피해를 입거나 인권을 침해당한 사람에 대하여 권리구제를 보장해야 한다는 것입니다.

또한 인공지능의 무기화가 빠르게 진행되고 있는 현실에서 “인공지능이 인간의 통제없이 개별 표적을 선별하고, 공격하는 자율살상무기(LAWS)”를 규율 할 수 있는 법적, 제도적 장치가 선제적으로 마련되어야 합니다. 이는 전쟁의 비인간화와 비인간성이 초래하는 인류 존엄성의 훼손을 막기 위해 필요한 조치입니다.

이에 우리 시민사회는 인공지능 규율법의 마련을 촉구하며, 이 법률과 제도로써 ①인공지능 국가 감독 체계 마련 ②정보 공개와 참여 ③인공지능 평가 및 위험성 통제 ④권리구제 절차 보장을 요구합니다. 인공지능 역시 다른 모든 제품 및 기술 시스템과 마찬가지로 법률을 준수하고, 인권을 침해하지 않으며, 안전을 보장하여야 하고, 국가와 지방자치단체, 공공기관은 물론 기업은 이를 위한 조치를 취해야 할 의무가 있습니다. 딥러닝 등 특정한 기술적 특성이나 기업자율적인 윤리가 이런 의무를 회피하는 이유가 될 수는 없습니다.

 

【참고】 유엔 사무총장(2020)[23]

(b) 국가는 민간부문 활동에 관한 조치를 포함한 입법 조치를 취해야 할 의무를 상기하고 이를 준수해야 한다. 이를 통해 신기술은 모든 사람이 경제·사회·문화적 권리를 비롯한 인권을 완전히 향유하고 인권에 미치는 부작용을 방지하는 데 기여할 수 있을 것이다.

(h) 신기술이 사용되는 상황에서 책임을 완전하게 보장하는 적절한 법률체계와 절차방법이 마련되어야 한다. 이를 위해 국내 법제도의 공백을 검토 및 평가하고, 필요한 감독 체제를 수립하고, 신기술로 인한 피해에 대해 사람이 이용할 수 있는 구제 수단이 구비되어야 한다.

 

【참고】 유럽 기본권청(2020)[24]

인공지능에 대해 새로운 정책이나 새로운 입법을 도입할 때 입법자와 국가들은 ... 모든 기본권이 존중될 수 있도록 보장해야 한다. 특정한 기본권 보호조치는 관련 정책과 법률을 수반할 필요가 있다 … 인공지능 개발자와 사용자 모두를 기본권에 대한 자의적인 간섭으로부터 효과적으로 보호하고 법적 확실성을 갖추기 위해서 관련 안전조치가 법으로 규정될 필요가 있다. 인공지능의 개발과 사용에 있어 기본권을 지키고 보호하기 위한 자율적인 제도들도 추가적으로 권리 침해를 완화하는데 도움이 될 수 있다. 입법자가 인공지능 법의 범위를 설정할 때는, 법적 명확성의 최소 요건, 즉 법치주의 원칙 및 기본권 보장의 전제 조건에 충분한 주의를 기울여야 한다.

 

인공지능 제품과 시스템은 국가적으로 감독되어야 합니다.

최근 정부는 과학기술정보통신부/4차산업혁명위원회 등 산업진흥 부처/기구가 인공지능 정책을 주도하고 있으며 관련 입법 또한 빠른 속도로 추진되고 있습니다[25]. 그러나 인공지능으로 사람에 대한 의사결정에까지 이르도록 하면서 그로부터 사람을 보호하기 위한 조건이나 절차에 대한 논의는 충분히 이루어지지 못하였으며, 이는 과학기술정보통신부 등이 주도하는 인공지능 정책이 산업계의 요구로 점철되어 있는 데 따른 결과입니다.

반면 다른 나라의 경우 산업관련 부처가 인공지능 정책에 관여하더라도 부분적이거나 기술과 관련한 역할에 그치고 있습니다. 이들 국가에서 국민을 위해 인공지능을 감독하는 역할은 주로 시장감독기구, 국가인권기구 또는 평등기구, 개인정보보호감독기관에서 수행하고 있습니다. 이 기관들은 인공지능 제품과 시스템으로부터 소비자 보호, 인권 침해 구제, 차별 금지, 개인정보 보호 등을 소관하고 있습니다.

사람의 인권과 안전을 보장하고 권리구제의 책무가 있는 국가는 인공지능 국가 감독 체계를 수립하고, 여기에 공정거래위원회, 국가인권위원회, 개인정보보호위원회가 반드시 참여하도록 해야 합니다.

인공지능 국가 감독 체계는 인공지능에 대하여 사전적으로나 사후적으로 감독 권한을 행사하고, 진정 사건을 조사하고 피해자의 권리를 구제할 수 있는 충분한 권한과 자원을 구비해야 하며, 감독대상이 되는 인공지능 제품과 서비스의 경우 자료와 데이터를 보관하도록 의무화하여 그 설명과 조사가 가능하도록 하여야 합니다.

 

【참고】 유럽평의회 인권위원장(2019)[26]

각국은 공공기관과 민간기업이 개발, 도입, 사용하는 인공지능 시스템의 인권 준수에 대한 독립적이고 효과적인 감독을 위해 입법 체계를 수립해야 한다. 이 입법 체계는 상호협력하는 행정적, 사법적, 준사법적 또는 의회의 감독기구들의 조합으로 구성된 구조를 포함할 수 있다. 각국은 적절한 경우 기존 국가인권기구에 인공지능 시스템의 인권 준수에 대해 독립적이고 효과적인 감독 역할을 수행하는 권한의 부여를 검토해야 한다.

감독기구는 인공지능 시스템을 개발, 도입 및 기타 사용하는 공공기관과 민간기업들로부터 독립적이어야 하며 감독기능을 수행하기에 적절하고 충분한 분야간 전문지식, 역량 및 자원을 구비해야 한다.

독립적인 감독기구는 인공지능 시스템의 인권 준수를 능동적으로 조사 및 모니터링하고 영향을 받은 개인들로부터 진정을 접수, 처리하며 인공지능 시스템의 성능과 기술 개발에 대한 주기적인 검토를 보다 일반적으로 실시해야 한다. 감독기구는 인권 침해 발생의 위험성을 포착한 상황에 개입할 수 있는 권한을 보유해야 한다. 감독기구는 또한 정기적으로 의회에 보고하고 활동에 대한 보고서를 발표해야 한다.

공공기관과 민간기업들은 감독기구가 인공지능 시스템의 효과적인 감독에 필요한 모든 정보를 요청할 때 이를 제공해야 하고 이들에 정기적으로 보고해야 한다. 또한 인공지능 시스템이 인권에 미친 영향과 관련해 감독기구의 권고를 이행 해야 한다. 또한 감독 절차는 투명해야 하며 적절한 공공 조사의 대상이 될 수 있어야 하고 감독기구의 결정은 이의제기 또는 독립 심사의 대상이 될 수 있어야 한다.

 

【참고】 유럽 기본권청(2020)

국가는 인공지능 시스템이 기본권에 미치는 부정적인 영향을 감독하고, 필요한 경우 이를 실질적으로 해결할 수 있는 효과적인 책임 시스템을 구축해야 한다 … 인공지능 시스템이 기본권에 미치는 영향을 평가할 수 있도록 충분한 정보를 제공하도록 요구하는 법적 의무도 포함될 수 있다 … 국가는 인공지능 사용 시 기본권을 보호하기 위해 개인정보 보호 기관, 평등 기구, 국가 인권 기구, 옴부즈 기관 및 소비자 보호기관 등 기존의 감독 전문 조직을 더 잘 활용해야 한다. … 이들 기관들이 충분한 자원, 권한 및 중요한 전문지식을 갖추어 기본권 침해를 예방 및 평가하고 자신의 기본권이 인공지능에 의해 영향을 받는 사람들을 실질적으로 도울 수 있어야 한다.

 

인공지능 정책은 소비자, 노동자, 시민에게 투명하게 공개되고 그 참여가 보장되어야 합니다.

인공지능 제품과 시스템의 사용은 그 소비자, 노동자, 시민에게 위험하거나 중대한 영향을 미칠 수 있습니다. 따라서 이 제품과 시스템을 개발, 도입하고 의사결정에 사용하는 공공기관과 민간기업은 그 소비자나 이용자에게 모든 인공지능 기능과 그 의미에 대하여 이해할 수 있는 형태로 공개하고 가능한 한 당사자의 선택권을 보장해야 합니다.

특히 정보공개의 의무를 지고 있는 공공기관의 경우 그 인공지능 시스템 운영의 담당자와 책임자에 대한 정보뿐 아니라, 훈련 데이터셋과 처리 방법에 대한 정보, 개인정보 보호와 차별 방지를 위한 조치에 대한 정보, 인적 감독에 대한 정보, 그 기능의 영향력과 위험성에 대한 정보를 공개하여야 마땅합니다.

이 권리는 공공기관이 민간에서 조달한 시스템이나 서비스를 사용하는 경우에도 똑같이 보장되어야 합니다. 기업의 영업비밀 보호가 공공기관의 투명성 의무를 회피하는 조건이 되어서는 안되며, 국민 앞에 투명하게 공개할 수 없는 민간 시스템을 공공기관이 도입해서는 안 될 것입니다. 더불어 인공지능 시스템의 공공조달에 대해서는 위험성을 평가하고 통제하는 절차가 마련되어야 하며 그 평가 내용 또한 공개되어야 합니다.

나아가 공공기관의 경우 인공지능 시스템의 운영으로 영향을 받는 소비자, 노동자, 시민 등 모든 이해당사자들이 참여할 수 있고 그 의견을 수렴하는 공청회를 사전에 실시하는 것이 필요합니다.

 

【참고】 유엔 사무총장(2020)

신기술의 개발 및 도입에 관한 의사결정에 모든 관련 이해당사자의 참여를 보장하고, 특히 공공부문에서 인공지능이 지원하는 의사결정에 대하여 적절한 설명가능성이 보장될 필요가 있다.

 

【참고】 캐나다 정부 훈령 <자동화된 의사결정에 대한 지침>(2019)

6.2. 투명성

(의사결정 전 공지)

6.2.1. 해당 의사결정이 부록 C에 규정된 바대로 자동화된 의사결정 시스템에 의해 전체 또는 부분적으로 수행된다는 내용을 관련 웹사이트에 공지한다.

6.2.2. <Canada.ca 컨텐츠 스타일 가이드>에 부합하는 뚜렷하고 쉬운 용어를 이용하여 공지한다.

(의사결정 후 설명)

6.2.3. 부록 C에 규정된 대로 결정이 내려진 방법과 이유에 대해 영향을 받는 개인들에게 이해가능하게 설명한다.

 

인공지능의 위험성이 제도적으로 평가되고 통제되어야 합니다.

대다수 인공지능 제품과 시스템은 소비자, 노동자, 시민에게 위험하지 않을 수 있습니다. 그러나 어떤 인공지능은 개인이나 공동체의 권리나 안전에 영향을 미칠 수 있습니다. 영향이 미치는 범위는 협소하고 미미한 수준에 그칠 수 있지만 때로는 광범위하거나 심각한 데 이를 수 있습니다. 그 빈도 또한 일시적일 수 있지만 준영구적으로 발생할 수도 있습니다.

모든 인공지능 제품과 시스템은 개인정보 보호법, 제조물책임법, 소비자관련법, 노동관련법 등 현행 법률을 준수해야 합니다. 여기에 더하여 위험한 인공지능은 제도적으로 관리되어야 하며, 인공지능의 위험성은 생애주기별로 평가되어 그 위험성을 완화하기 위한 조치가 취해져야 합니다.

의료, 운송, 에너지, 금융 및 공공부문에서 인권에 법적 또는 상당한 영향을 미치는 경우, 사람의 부상·사망이나 상당한 물질적·비물질적 손상을 초래하는 경우, 채용과 업무관리 등 노동권과 입점업체 배정에 영향을 미치는 경우, 소비자권리에 영향을 미치는 경우, 원격으로 생체를 인식하거나 침입적으로 감시하는 인공지능은 고위험으로 보아야 할 것입니다. 이러한 고위험 인공지능에 해당할 경우 그 훈련 데이터셋은 편향성 방지와 안전성을 보장하는 조치를 사전과 사후에 취해야 하고, 감독기관의 조사나 피해자 권리구제시 검증이 가능하도록 인공지능 시스템 생애주기별 데이터와 방법론을 문서화, 기록, 보존해야 하며, 필요한 경우 인적 개입을 의무화해야 합니다. 공공기관의 모든 인공지능 시스템과 민간기업의 고위험 인공지능 시스템은 국가기관에 등록하여 그 의무를 준수하는지 국가적으로 관리해야 합니다.

사람의 안전과 생계, 인권에 대하여 명백한 위험을 야기하는 어떤 인공지능 시스템은 금지되어야 합니다. 실시간으로 거리에서 불특정다수의 얼굴을 인식하여 추적하는 시스템은 원칙적으로 금지되어야 합니다. 경찰 등 국가기관이 전국민의 얼굴을 인식하는 일은 결코 있어서는 안될 것입니다.

 

【참고】 유럽 기본권청(2020)

입법자는 기본권의 모든 범주를 포괄하는 의무적 영향 평가의 실시를 고려해야 한다. 이는 민간부문과 공공부문 모두에 적용되어야 하며, 인공지능 시스템이 사용되기 전에 이루어져야 한다 … 영향 평가는 … 정기적이고 반복적으로 실시되어야 한다. 평가는 투명하게 실시되어야 한다. 그 결과와 권고사항은 가능한 범위까지 공개되어야 한다. 기업과 공공기관들은 기본권에 미치는 영향을 완전하게 평가하는 데 필요한 정보를 수집할 수 있어야 한다.

 

【참고】 유럽 집행위원회(2021)[27]

고위험 인공지능 시스템은 시장에 출시되기 전에 엄격한 의무가 부과된다.

ㅇ 적절한 위험 평가 및 완화 시스템

ㅇ 위험과 차별적 결과를 최소화하기 위해 시스템에 공급하는 데이터 세트의 고품질 보장

ㅇ 결과의 추적성을 보장하기 위한 활동 기록

ㅇ 시스템에 대하여 필요한 모든 정보 및 그 준수 여부를 평가하는 기관의 목적 수행에 필요한 모든 정보를 제공할 수 있는 상세한 문서화

ㅇ 사용자에 대해 명확하고 적절한 정보 제공

ㅇ 리스크를 최소화하기 위해 적절한 인적 감독 조치

ㅇ 높은 수준의 견고성, 보안성 및 정확성

 

인공지능으로 피해를 입거나 인권을 침해당한 사람에 대하여 권리구제가 보장되어야 합니다.

공공기관 또는 민간기업이 개발, 도입, 사용하는 인공지능 시스템으로 인하여 피해를 입거나 인권을 침해당한 사람에게는 국가기관의 구제수단에 대한 접근이 보장되어야 합니다. 피해를 입거나 인권을 침해당한 당사자가 인공지능 제품과 시스템에 대응할 수 있으려면, 인공지능이 언제 어떻게 사용되었는지, 어디서 어떻게 이에 대한 이의를 제기할 수 있는지 알 수 있어야 합니다. 또한 인공지능 제품과 서비스는 우리 헌법과 인권규범이 보호하고 있는 적법절차의 권리를 보장해야 합니다.

따라서 인공지능 사용 기관은 일반적으로 소비자와 이용자에게 인공지능 사용 여부 및 그 기능, 인공지능을 사용한 의사결정에 대한 사항과 이의제기 방법에 대하여 설명하여야 합니다. 특히 공공기관이나 민간기업이 인공지능을 사용하여 당사자에 대해 법적 또는 상당한 영향을 미치는 의사결정을 내리는데 그 결정에 대하여 설명하지 못한다면 이 시스템을 사용해서는 안 될 것입니다.

금융서비스나 채용 등 개인을 평가하거나, 거부하는 등 사람에 대한 중대한 의사결정이 인공지능을 사용하여 자동적으로 내려졌을 경우, 그 대상이 된 정보주체는 그 사실을 통지받고, 인적 개입, 의사 표현, 그 결정의 이유 설명, 이의 제기, 안전조치 등을 보장받을 권리가 있습니다. 국가가 인공지능을 이용하여 국민에게 불이익한 행정 또는 형사상 처분이나 의사결정을 내리는 경우 국민은 그에 대한 사전적인 청문과 의견 진술, 문서 열람, 결정 이유 요구권 등 헌법상 적법절차를 보장받아야 합니다. 이 권리는 공공기관이 민간에서 조달한 시스템이나 서비스를 사용하는 경우에도 똑같이 보장되어야 합니다.

 

【참고】 유엔 의사표현의자유 특별보고관(2018)[28]

개인 이용자들은 인공지능 시스템의 반인권적 영향에 대한 구제 수단에 접근 할 수 있어야 한다. 기업들은 인공지능 처리시스템에 대해 표출되는 모든 이용자들의 불만사항 및 이의제기에 적시에 대응하기 위해 사람에 의한 검사 및 구제 시스템을 두어야 한다. 인공지능 시스템에 불만이 접수되고 구제가 요청된 빈도에 대한 데이터 뿐 아니라, 실제 이용되는 구제수단의 종류와 효과성에 대해서도 주기적으로 공개 되어야 한다.

 

【참고】 유럽평의회 인권위원장(2019)

인공지능 시스템이 머신러닝이나 이와 유사한 기법으로 특정한 인적 개입에서 독자적으로 의사결정을 할 수 있는 환경이라 하더라도, 인공지능 시스템은 항상 인적 통제를 유지해야 한다. 각국은 인공지능 시스템의 다양한 생애주기 단계에서 발생할 수 있는 인권 침해에 대한 명확한 책임의 선을 수립해야 한다. 인권을 침해하는 조치가 인간 책임자 또는 운영자에 의해 직접 지시되지 않은 경우라 하더라도, 인공지능 시스템의 개발, 도입 또는 사용으로 발생하는 인권 침해에 대한 책임과 책무는 항상 자연인 또는 법인 측에 있다.

공공기관 혹은 민간기업 인공지능 시스템의 개발, 도입, 혹은 사용으로부터 인권 침해 피해를 주장하는 누구라도 소관 국가기관에서 효과적인 구제수단을 제공 받을 수 있어야 한다. 나아가 각국은 불투명한 방식으로 당사자의 인지 없이 오로지 혹은 상당히 인공지능 시스템에 의해 산출된 결과물의 대상이 되었다고 의심하는 사람들에게 효과적인 구제수단에 대한 접근을 제공해야 한다.

효과적인 구제수단에는 인공지능 시스템의 개발, 도입 또는 사용으로 인한 피해에 대하여 신속하고 적절한 배상 및 보상이 포함되어 있어야 하며, 민사적, 행정법적 또는 적절한 경우 형사적 조치를 포함할 수 있다. 국가인권기구는 각각의 권한에 따른 자신의 결정을 제시함으로써 이러한 보상의 근거가 될 수 있다.

각국은 충분한 인적 개입 없이 이루어진 자동화된 의사결정에 기반하여 중대한 영향을 미칠 수 있는 의사결정의 대상이 되지 않을 권리를 개인에게 부여해야 한다. 적어도 개인은 이러한 자동화된 의사결정에서 인적 개입을 확보할 수 있어야 하며, 그러한 결정이 실시되기 전에 자신의 의견을 피력할 기회를 부여받아야 한다.

각국은 개인이 인공지능 시스템에 의해 야기된 인권 침해의 피해자라는 자신의 주장을 입증하는 것과 관련된 피고 또는 제3자 소유의 정보에 접근할 수 있도록 보장해야 한다. 여기에는 적절한 경우 훈련 및 테스트 데이터, 인공지능 시스템이 어떻게 사용되었는지에 대한 정보, 인공지능 시스템이 특정 권고, 의사결정 또는 예측에 어떻게 이르렀는지에 대해 유의미하고 이해가능한 정보도 포함되며, 인공지능 시스템의 결과물이 어떻게 해석되고 실행되었는지에 대한 상세정보도 포함된다.

소관 국가기관이 인공지능 시스템의 개발, 도입, 혹은 사용으로 인해 야기된 인권 침해 문제를 검토할 때, 인공지능 시스템이 현출하는 ‘객관성의 유혹(allure of objectivity)’에 적절한 회의적인 태도를 견지해야 하며, 인권 유린으로 난관에 처한 개인이 문제의 조치에 대한 책임자들에 비해 높은 수준의 증거에 구속받지 않도록 보장해야 한다.

 

오늘 선언에 참여한 시민사회, 노동, 인권단체들은 인공지능이 미치는 영향과 위험성으로부터 사람들의 인권과 안전, 민주주의를 보장하기 위하여 정부와 국회가 빠른 시일내 위와 같은 조치를 보장하는 입법 절차에 착수할 것을 다시 한번 촉구합니다. (끝)

 

2021. 5. 24.

가짜뉴스체크센터, 건강권 실현을 위한 보건의료단체연합(건강권 실현을 위한 행동하는 간호사회, 건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 경제정의실천시민연합, 공익변호사와 함께하는 동행, 공익인권법재단 공감, 공익인권변호사모임 희망을만드는법, 군인권센터, 김포장애인야학, 김포장애인자립생활센터, 대구참여연대, 대전참여자치시민연대, 데이터민주주의포럼, 라이더유니온, 매체비평우리스스로, 무상의료운동본부, 미디어기독연대, 민주노총 공공운수노조, 민주사회를 위한 변호사모임 (교육청소년위원회, 노동위원회, 디지털정보위원회, 소수자인권위원회, 아동인권위원회, 여성인권위원회), 민주언론시민연합, 부산참여연대, 빈곤사회연대, 사단법인 경기장애인자립생활센터협의회, 사단법인 두루, 사단법인 여수시민협, 사단법인 정보인권연구소, 사단법인 제주참여환경연대, 사회적협동조합 빠띠, 상록수장애인자립생활센터, 생명안전시민넷, 서울YMCA 시청자시민운동본부, 성남참여자치시민연대, 소비자시민모임, 손잡고, 신대승네트워크, 언론개혁시민연대, 연구공동체 건강과 대안, 울산시민연대, 익산참여연대, 인권운동공간 활, 인천평화복지연대, 장애인권법센터, 장애해방열사_단, 전국교직원노동조합, 전국민주노동조합총연맹, 전쟁없는세상, 정태수열사추모사업회, 진보네트워크센터, 진보3.0, 차별금지법제정연대, 참여연대, 참여와자치를 위한 춘천시민연대, 참여자치21(광주), 충남참여자치지역운동연대, 충북참여자치시민연대, 투명사회를 위한 정보공개센터, 팔레스타인평화연대, 평등과 연대로! 인권운동더하기(거창평화인권예술제위원회, 광주인권지기 활짝, 구속노동자후원회, 국제민주연대, 노동인권실현을위한노무사모임, 다산인권센터, 대학성소수자모임연대 QUV, 대한불교조계종 사회노동위원회, 문화연대, 민족민주열사․희생자추모(기념)단체연대회의, 민주사회를 위한 변호사 모임, 민주주의법학연구회, 민주화실천가족운동협의회, 반도체노동자의 건강과 인권지킴이 반올림, 불교인권위원회, 빈곤과 차별에 저항하는 인권운동연대, 사회진보연대, 삼성노동인권지킴이, 새사회연대, 서교인문사회연구실, 서울인권영화제, 성적소수문화인권연대 연분홍치마, 실천불교전국승가회, 어린이책시민연대, 예수회 인권연대연구센터, 외국인이주.노동운동협의회, 울산인권운동연대, 원불교인권위원회, 인권교육센터 들, 인권교육온다, 인권연극제, 인권운동네트워크 바람, 인권운동사랑방, 장애물없는생활환경시민연대, 장애여성공감, 장애와인권발바닥행동, 전국불안정노동철폐연대, 전국장애인차별철폐연대, 전북평화와인권연대, 제주평화인권연구소 왓, 진보네트워크센터, 청소년인권행동 아수나로, 천주교인권위원회, 한국게이인권운동단체 친구사이, 한국기독교교회협의회(NCCK) 인권센터, 한국비정규노동센터, 한국성적소수자문화인권센터, 한국성폭력상담소, 한국청소년청년감염인커뮤니티 알, 행동하는성소수자인권연대, HIV/AIDS인권연대나누리+), 표현의자유와언론탄압공동대책위원회, 피스모모, 한국방송기술인연합회, 한국여성단체연합, 한국여성민우회, 한국장애인자립생활센터협의회, 형명재단 (총 120개 단체)

※ [내려받기] 선언서 전문

[1] “머신러닝으로 부정수급 탐지, AI로 강력범죄 전자감독”, 과학기술정보통신부 보도자료(2020. 4. 13).

[2] “경찰청, 빅데이터 플랫폼 구축하고 인공지능(AI) 범죄 예방 시범운영”, 경찰청 보도자료(2020. 12. 28) ; "인공지능(AI)으로 범죄예방의 첫걸음 내디딘다", 경찰청 보도자료(2021. 2. 26).

[3] “CCTV 활용 안면인식·동선분석'으로 코로나 감염경로 파악한다”, 뉴스1(2021. 2. 25).

[4] “공공기관 AI 채용은 ‘안알리즘’”, 한겨레21 제1335호(2020. 10. 23).

[5] “AI가 軍 특기병 면접본다…7월부터 시범 운영”, 조선일보(2021. 4. 13).

[6] “인공지능 무기 전쟁”, 한겨레(2021. 4. 10).

[7] “우버 자율주행차 첫 보행자 사망사고…안전성 논란 증폭”, 한국일보(2018. 3. 20). ; “나무 들이받고 불탄 테슬라…운전석에는 아무도 없었다", 경향신문(2021. 4. 19).

[8] “MS 채팅 봇 ‘테이’, 24시간 만에 인종차별주의자로 타락”, 동아사이언스(2016. 3. 27).

[9] “인공지능도 인종차별?…"얼굴인식 소프트에어 백인남성 더 정확"”, 연합뉴스(2018. 2. 12).

[10] “아마존, '여성차별' 논란 인공지능 채용 프로그램 폐기”, BBC(2018. 10. 11). ; 'AI 채용'은 남성을 선호해?…성차별 논란에 '자체 폐기', 중앙일보(2018. 10. 12).

[11] “사는 곳으로 성적을 결정했다 : 가난한 지역 공립학교 학생들에게 낮은 점수 준 알고리즘, 실패한 실험이 남긴 과제”, 한겨레21 제1329호(2020. 9. 11).

[12] “시민단체, 인공지능 채용 공공기관 13곳에 정보공개 청구 및 결과 발표”, 진보네트워크센터 보도자료(2020. 10. 27). ; “‘AI 면접 공정한가’ 온라인 토론회서 쏟아진 쟁점”, 뉴스로드(2021. 2. 17).

[13] “AI가 편집한다지만...포털뉴스 이대로 좋은가?”, MBC 스트레이트(2021. 3. 7).

[14] “무심코 누른 ‘좋아요’가 당신의 투표심리를 조종한다”, 서울경제(2020. 4. 10.)

[15] “Poland: Government to scrap controversial unemployment scoring system”, Algorithm Watch(2019. 4. 16).

[16] “Federal Suit Settlement: End of Value-Added Measures in Houston”, Education News(2017. 10. 10).

[17] “Welfare surveillance system violates human rights, Dutch court rules”, The Guardian(2020. 2. 5).

[18] “Amsterdam and Helsinki launch algorithm registries to bring transparency to public deployments of AI”, VentureBeat(2020. 9. 28).

[19] “Antibes publie l’inventaire de ses algorithmes”, laGazette(2021. 2. 11).

[20] The Government of Canada, “Directive on Automated Decision-Making”.

[21] New Zealand Government, “Algorithm charter for Aotearoa New Zealand”.

[22] European Commission, “Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)”.

[23] “Question of the realization of economic, social and cultural rights in all countries: the role of new technologies for the realization of economic, social and cultural rights”, 유엔문서번호 A/HRC/43/29(2020. 3. 4).

[24] European Union Agency for Fundamental Rights(2020), “Getting the Future Rights : Artificial Intelligence and Fundamental Rights”.

[25] “인공지능 시대를 준비하는 법·제도·규제 정비 로드맵 마련”, 과학기술정보통신부 보도자료(2020. 12. 24). ; “4차산업혁명委 간담회 - AI에 지나친 쏠림 줄이기…자율규제 방식이 바람직”, 한국경제(2021. 3. 30).

[26] Council of Europe Commissioner for Human Rights(2019), “Unboxing artificial intelligence: 10 steps to protect human rights”.

[27] “Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence”, European Commission(2021. 4. 21).

[28] “Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression”. 유엔문서번호 A/73/348(2018. 8. 29).

[시민사회 공동논평] 국민 안전과 기본권 보호하는 AI 규제법 마련해야

인권침해, 차별 위험 등 AI 문제 ‘민간자율’로 해결할 수 없어

산업중심의 4차위⋅과기부 주도 아닌 인권위⋅개보위⋅공정위 참여하는 통합적 거버넌스 필요

지난 3월 30일, 4차산업혁명위원회(이하 4차위)는 산·학·연 민간 전문가가 참여한 가운데 ‘신뢰할 수 있는 인공지능(AI) 활용 방안 모색 간담회’를 개최하였다. 그러나 이번 간담회에서 인공지능 활용이나 인공지능 기술 자체의 속성에서 비롯되는 기본권 침해의 예방책 등 국민의 권리 보장 방안이 다뤄지지 않았다. 결론으로 도출된 ‘민간중심의 자율규제’라는 제언은 기업측의 이익과 입장만을 고려한 일방적 방향에 불과하다. 정부는 기업뿐 아니라 소비자, 노동자 등 실제 AI의 영향을 받는 모든 이해관계자들과 함께 AI의 신뢰성과 책임성을 담보할 수 있는 방법을 모색하는 것이 순서일 것이다. 뿐만 아니라 현실에서 실제로 벌어지는 다양한 AI에 의한 위험성을 예방하고 대비할 수 있는 AI 규제법제를 마련해야 한다.

이미 우리 사회 다양한 영역에서 AI 제품과 서비스가 활용⋅도입되고 있다. 스마트폰의 AI 비서나 AI 스피커, 온라인 쇼핑몰의 상품추천 등은 일상 생활에서 익숙한 AI 서비스이다. 더 나아가 맞춤형 금융상품 추천을 위한 신용평가, 사회복지수급자 선정, 일자리 배치 등 국민의 삶에 중대한 영향을 미치는 영역에 AI가 도입되고 있으며, 최근 여러 민간기업과 공공기관이 AI를 이용한 서류평가와 면접을 채용 절차에 적용하고 있다. 지난 2월에는 행정기본법이 국회를 통과하면서 AI에 의한 행정 처분의 근거가 마련되었고, 앞으로 국가의 행정작용에 이르기까지 AI 활용은 더욱 확대될 것이다. AI 산업이 지속가능하게 발전하기 위해서는 기술 지원과 더불어 AI로 인하여 발생할 문제에 대한 예방책도 함께 마련되어야 한다.

그러나 AI 법제도와 관련하여 4차위를 필두로 한 정부 정책들은 인공지능 산업의 기반이나 기술 개발을 진흥하는 것을 주요 목표로 하고 있다. 일례로 지난 해 12월 24일 과기부가 발표한 ‘인공지능 법⸱제도⸱규제 정비 로드맵’은 인공지능 산업 진흥과 활용 기반을 강화하는 방향 일색이다. 올해 3월 발족한 제2기 ‘인공지능 법제도정비단’이 추진하는 ‘데이터산업 진흥을 위한 기본법 제정’, ‘데이터 관리업에 대한 법적 근거 마련’ 방안 등 역시 산업 진흥에만 초점이 맞춰져 있다. 국민의 안전과 기본권 보호를 위하여 정작 먼저 이루어져야 할 ‘고위험 분야 인공지능 기술기준 마련’, ‘인공지능에 의한 계약의 효력’, ‘인공지능 행위에 대한 손해배상 방안 마련’, ‘인공지능 행정의 투명성 확보’ 등은 중장기 과제로 미뤄져 있다.

인공지능에 대한 깊은 논의가 부족한 채 ‘인공지능은 객관적이고 중립적일 것’이라는 막연하고도 맹목적인 신뢰를 바탕으로 앞다투어 인공지능 시스템을 도입, 홍보하는 것은 위험하다. 검증절차 없이 도입된 인공지능 시스템의 부작용은 오롯이 국민들에게 전가되기 때문이다. 인공지능의 오남용으로 인한 광범위한 인권 침해와 차별의 위험성은 챗봇 이루다 사건, 일부 공공기관 AI 면접에서 알고리즘 공개 거부 사례, 네이버나 다음 등 포털사이트의 뉴스 편집 알고리즘의 편향성에서 이미 드러났다. 이들 사례들은 인공지능 사용자인 시민들의 접근권, 처리절차 및 결과 도출 등에 관한 절차적 권리 등을 보장하지 않을 뿐 아니라 이러한 당연한 권리를 차단하기 위해 비밀주의로 일관하는 기업의 태도가 심각하다는 점을 보여준다. 미국은 공정거래위원회 격인 연방거래위원회(FTC)가 아마존 등 여러 기업에서 널리 사용하는 AI 채용 면접 ‘하이어뷰(Hire Vue)’ 알고리즘의 공정성을 조사 중이다. 그러나 우리 정부가 지금까지 AI면접 등에 대해 공정하고 투명한 채용 시스템인지, 부작용은 없는지에 대해 조사나 감독을 한다는 소식은 들은 바 없다. AI면접이 채용 지원자의 성별이나 연령에 따라 편향적으로 판단하지는 않는지, 표준어와 사투리 사용자 사이에 부당한 편향은 없는지, 어느 누구도 정확히 검증하지 않은 상태로 공공기관마저 무비판적으로 AI 채용을 도입하고 있다. 특히 기업들이 이윤 추구를 위하여 검증되지 않은 인공지능기술을 무차별적으로 도입하고 있다는 현실을 고려할 때, 인공지능기술의 연구, 개발, 상용화 과정에서 준수해야 할 절차나 한계에 대한 기준을 마련하지 않은 채 기업들의 ‘자율규제’에 맡기는 것은 국가가 헌법이 규정하고 있는 기본권 보호 의무를 방기하는 것이다.

국회 입법조사처는 2020년 9월 ‘인공지능의 윤리적 사용을 위한 개선과제’ 보고서에서 체계적이고 표준적인 윤리기준 등 인공지능윤리 거버넌스 마련, 예상치 못한 문제 발생 등에 대응할 수 있는 인공지능 사후감시 감독 시스템 도입, 인공지능 피해에 대한 배상책임 제도 보완 등 인공지능 전반의 논의가 필요하다고 제언한 바 있다. AI 문제는 민간자율의 범위를 뛰어 넘는다고 본 것이다. 이를 위해 우선, 인공지능 기술이 산업·사회 전반에 미치는 파급력이 크므로 전체를 조율할 수 있는 컨트롤 타워가 필요하다. 과기부가 소관부처라는 이유만으로 인공지능기술과 관련된 관련 법령의 제개정을 주도적으로 처리하면 안될 이유다. 신기술의 등장으로 새롭게 추구되는 가치와 기존의 법제도가 보호하고자 하는 가치가 충돌할 수 있는 만큼 국회, 정부 부처, 산업계, 학계, 시민단체 등이 참여하는 범정부적인 협의체가 구성되어야 한다. 또한 이 규제거버넌스 기구에는 공정거래위원회, 개인정보보호위원회, 국가인권위원회 등 국민의 기본권 보호 의무를 수행하는 국가 기관들도 반드시 참여해야 한다.

현재 국회에 발의되어 있는 AI 관련 법안(이상민 의원안, 양향자 의원안, 민형배 의원안)들 역시 모두 AI 산업육성과 진흥에 관한 법안들로, 신기술이 초래하는 위험성에 대한 고려가 전혀 없다. 인공지능의 사용은 ‘지속가능한 발전 목표’를 달성하고, 민주적인 프로세스와 사회적인 권리를 지원하는데 중요한 역할을 수행해야 한다. 이를 위해서는 인공지능 기술의 역기능을 최소화하기 위한 안전규제 및 위험관리 체계가 균형있게 마련되어야 한다.

AI 기술은 이른바 ‘4차 산업혁명’이라고 불리며 장밋빛 미래로 이야기되지만 그 이면에는 기본권과 인권 침해 위험성이 존재하며 피해 사례가 점차 드러나고 있다. 채용과정에서 왜 불합격인지 설명하기 어려운 인공지능의 판단을 당연하게 받아들여야 하는 것인지, 챗봇 이루다 사태에서 보듯 데이터 수집 단계의 개인정보 침해 뿐만 아니라 인간에 대한 혐오, 편견을 조장하는 발언들 역시 초창기 기술이라는 이유로 대책 없이 감내하여야 하는 것인지 질문해야 한다. 민간 자율과 별개로 인공지능의 영향을 받는 국민의 안전과 기본권 보호를 위한 인공지능 규제법을 마련할 것을 촉구한다.

2021년 4월 1일

민주사회를위한변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대

온라인 주민등록번호…연계정보(CI)는 위헌이다

-시민사회단체, 헌법소원 제출 “애초에 존재할 필요 없는 연계정보, 즉각 폐지해야”
-‘고유/불변의 범용 개인식별코드’로서의 연계정보 생성·이용, 헌법상 과잉금지 원칙과 법률유보 원칙 위배

1. 민주사회를 위한 변호사모임 디지털정보위원회, 진보네트워크센터, 사단법인 정보인권연구소 등 3개 시민사회단체는 오늘(3/10) 연계정보(Connecting Information, CI)의 생성·발급·처리 등이 헌법 상 기본권을 침해하고 있으며, 이를 규정하고 있는 정보통신망법 제23조의2 제2항, 제23조의3 제1항 역시 ‘대체수단’에 연계정보가 포함된다고 해석하는 한 헌법에 위반된다는 취지의 헌법소원을 제기했다.

2. 이번에 소를 제기한 청구인들은 국민연금공단, 도로교통공단으로부터 카카오톡을 통해 안내 및 통지 메시지를 수신한 뒤, 해당 공단들에 휴대전화번호를 제공한 적이 없다는 점에 의구심을 느껴 개인정보 열람청구를 진행했다. 그 결과 청구인들은 해당 모바일 전자고지 서비스가 주민등록번호와 같은 고유식별번호인 연계정보(CI)를 이용해 청구인들을 식별하고 메시지를 보냈다는 사실을 알게 되었다. 우리도 모르게 또 다른 주민등록번호가 만들어졌고 기업들 사이에서 공공연하게 공유되어 왔던 것이다.

3. 청구인들에게 알리지 않고 필요한 절차를 거치지도 않은 채 청구인들의 고유식별코드를 생성하고, 그것을 이용해 특정 휴대전화의 명의자를 식별한 뒤 행정업무에 관한 메시지를 보내는 것은 ▲개인정보자기결정권 ▲사생활의 비밀 및 자유 ▲익명 표현의 자유 침해 ▲좋은 행정의 권리 등 기본권을 침해하고, 헌법상 과잉금지 원칙, 법률유보 원칙 등에도 위배되는 일이다.

4. 주민등록번호를 통한 본인확인의 폐해가 심각해지자, 정부는 정보통신망법 개정을 통해 주민등록번호를 사용하지 않고 본인을 확인할 수 있는 대체수단을 제공하도록 하고, 이를 제공하는 본인확인기관을 지정했다(제23조의2 제2항 및 제23조의3 제1항). 본인확인기관은 본인확인정보와 중복가입확인정보를 통해 특정 사이트에서의 본인확인을 수행해왔다. 그런데 피청구인인 방송통신위원회와 한국인터넷진흥원은 2010년 경 연계정보(CI)라는 새로운 식별번호를 도입했으며, 이 연계정보는 주민등록번호와 1:1 매칭되는 고유식별자이다. 피청구인이 연계정보(CI)를 도입한 이유는 바로 ‘사업자들의 온오프라인 서비스 연계를 지원’하기 위한 것이었다. 주민번호와 같은 국민 식별번호가 국민도 모르는 사이 법적 근거도 없이 만들어진 것이다.

5. 연계정보는 개인 식별이 가능한 정보이기에 개인정보이며, 이를 대상으로 한 생성 및 이용 행위는 원칙적으로 개인정보자기결정권의 제한에 해당한다. 또한 연계정보 생성 및 이용은 인터넷 이용자의 신원을 항상 확인하고 식별할 수 있도록 하므로 사생활 비밀 및 자유, 자신의 신원을 누구에게도 밝히지 아니한 채 익명 또는 가명으로 자신의 사상이나 견해를 표명하고 전파할 익명표현의 자유, 적절한 고지 및 절차를 거칠 수 있도록 하는 좋은 행정의 권리 등 국민의 기본권을 침해한다.

6. 연계정보는 주민등록번호를 기반으로 1대1 연계(매칭)되어 생성되었으며, 한 번 부여되면 주민등록번호를 변경하지 않는 한 변경할 수 없다. 즉 연계정보는 주민등록번호와 1대1 매칭되는 또 다른 범용 식별번호이기 때문에 주민등록번호가 야기한 것과 똑같은 문제점을 가질 수밖에 없다. 게다가 이러한 특징을 이용해 현재 연계정보가 공공·민간부문에서 ‘범용 식별정보’로 광범위하게 이용되고 있는 실정이다. 연계정보는 인터넷 기업 사이의 온오프라인 서비스 연계를 넘어, 수사기관에 의해 수사대상자 식별 및 수사 목적으로도 활용되고 있으며, 최근에는 규제 샌드박스 임시허가를 통해 공공기관의 ‘모바일 전자고지 서비스’로 그 활용이 확대되고 있다. 특히 ‘모바일 전자고지 서비스’의 경우, 단순 ‘안내’에 대한 통지에 그치지 않고 교통범칙금, 과태료, 하이패스 통행료 미납통지 등 공공적인 불이익 조치 역시 예정되어 있어 이용 범위가 더욱 광범위한 것으로 보인다.

7. 이런 식으로 연계정보를 ‘범용 개인식별코드’로 사용하는 것은 헌법 상 과잉금지 원칙에 위배된다. 주민등록번호를 사용하지 않고 본인을 확인할 수 있는 대체수단으로 이미 아이핀, 중복가입확인정보(DI) 등이 존재하는 바 연계정보는 주민등록번호 대체수단으로서 필요가 없으며, 입법목적을 달성하기 위한 필요 최소한, 피해 최소성의 수단도 아니다. 따라서 해당 법률조항에서 대체수단에 연계정보가 포함된다고 해석할 경우 이로 인한 기본권 침해가 현저하여 법익 균형성 역시 잃었다고 보아야 할 것이다.

8. 아울러 기본권을 침해하는 행위임에도 연계정보 생성⋅발급⋅처리 행위에 대해 법률에 도입 및 부여 근거 및 목적, 그에 따른 사용범위와 사용방법 및 절차, 법적 한계까지 근거 법률에 명확하게 규정되지 않았다. 이는 법률유보원칙에도 위배되는 사항이다. 따라서 연계정보 수집 및 처리, 이용은 중단되어야 하며, 연계정보를 주민등록번호 대체수단으로 규정하는 한 정보통신망법 제23조의2 제2항, 제23조의3 제1항은 위헌이다.

9. 결론적으로 ‘온라인 주민등록번호’, ‘네트워크 주민등록번호’ 혹은 ‘전산망 주민등록번호’라 할 수 있는 연계정보(CI) 제도는 폐지되어야 한다. 본인확인과 아무런 관계가 없고 단지 기업들의 편의를 위해 만들어진 것일 따름이기 때문이다. 어떻게 제휴 서비스를 제공할 것인지는 기업 스스로가 고민할 일이지, 한국 정부처럼 국민의 범용 개인식별코드를 만들어주는 것은 전 세계에 유례가 없다. 연계정보는 애초에 존재할 필요가 없었고, 지금 폐지해도 아무런 문제가 없다. 끝.

 

<관련 사례> 과태료 전자고지 샘플 (출처: 마포구청 블로그)
<관련 사례> 과태료 전자고지 샘플 (출처: 서울 마포구청 블로그)

신뢰할 수 있는 인공지능, 기업의 자율규제만으로는 못 이룬다

'개발'에만 치중한 AI산업육성, '이루다'는 예정된 참사
- 100억건의 개인정보 침해가 빚어낸 차별과 혐오주의자 챗봇

  1. 지난 12월 23일 출시된 스캐터랩의 대화형 챗봇 ‘이루다’를 둘러싼 논란이 한창입니다. 대화형 챗봇 ‘이루다’는 사용자들의 성희롱과 폭언 등의 남용, 혐오표현에 대한 미온적 대응 등 보호받아야 할 사회적 가치를 훼손하는 알고리즘은 물론이고, 개인의 사적인 대화나 개인정보가 심각하게 수집되고 유출된 것으로 드러나 당혹감을 안겨주고 있습니다.

우리는 마치 이번 논란을 해외시장에서 경쟁하려는 국내 청년 스타트업의 불가피한 시행착오로 포장하려는 일부 언론의 보도에 대해 우려하고 있으며, 엄연히 피해자가 드러난 사안에 대하여 법적 책임을 회피하려는 일체의 시도에 대하여 엄중하게 경고합니다.

챗봇 이루다 논란은 기업의 인공지능 제품이 일으킬 수 있는 문제의 한 단면일 뿐이며 이에 대한 대책을 기업 자율에만 맡겨둘 수 없습니다. 이미 우리 생활 곳곳에 들어와 있는 인공지능 제품에 대한 구체적이고 명료한 법적 규범을 마련할 것을 촉구합니다.

  1. 대화형 챗봇 ‘이루다’를 개발하고 운영하는 스캐터랩은 2013년 텍스트앳, 2016년 연애의 과학 등의 어플리케이션을 운영하며 카카오톡 등 메신저의 대화 내용을 수집해왔고 이를 자사 다른 제품인 대화형 챗봇 ‘이루다’의 학습용 데이터로 이용했습니다. 「개인정보 보호법」에 따르면 해당 대화 내용 데이터 수집과 이용에 다음과 같은 문제가 있습니다.

개인정보의 목적 외 이용과 부적절한 고지

텍스트앳과 연애의 과학 어플리케이션은 사용자들에게 각각 ‘감정분석서비스’, ‘카톡으로 보는 속마음’ 기능을 제공하며 카카오톡 대화 내용 내보내기 기능을 통해 특정 상대방과 나눈 대화를 전부 수집하였습니다. 스캐터랩은 ‘이루다’가 이용한 연애의 과학 사용자 데이터는 사용자의 사전 동의가 이루어진 개인정보취급방침의 범위 내에서 이용하였다고 주장하였습니다. 그러나 연애의 과학 로그인 페이지에서 “로그인함으로써 개인정보 처리방침에 동의합니다”로 간주하는 것은 각각의 사항을 알리고 명시적으로 동의를 받도록 한 개인정보 보호법 위반입니다(제15조 제2항 또는 제39조의3 제1항 및 제22조 위반). 

또 카카오톡 대화 수집에 동의한 사용자들에게 해당 비공개 대화가 챗봇 서비스 학습 데이터로 이용된다고 적정하게 고지되었는지 의문입니다. 각 어플리케이션의 개인정보 취급방침에는 다음과 같은 내용만이 존재합니다.

라. 신규 서비스 개발 및 마케팅·광고에의 활용
신규 서비스 개발 및 맞춤 서비스 제공, 통계학적 특성에 따른 서비스 제공 및 광고 게재, 서비스의 유효성 확인, 이벤트 및 광고성 정보 제공 및 참여기회 제공, 접속빈도 파악, 회원의 서비스이용에 대한 통계

현재 수많은 사용자들이 분노하는 것에서 알 수 있듯, 해당 방침을 읽고 본인이 제공한 대화 내용이 챗봇의 학습 데이터로 이용될 거라고 예상한 사람이 어디 있을지 의문입니다. 적법한 동의에 해당하기 위해서는 이용자가 개인정보에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재해야 합니다. 이처럼 정보주체에게 충분히 설명하지 않고 충분히 인지되지 않은 동의는 제대로 된 동의라고 보기 어렵습니다. 

한편 ‘신규 서비스 개발과 마케팅·광고 활용’이 위 유료 어플리케이션을 이용하는데 ‘필수정보’인지도 의문입니다. 필수정보가 아닌 개인정보 수집·이용에 대해서는 이용자의 선택권을 보장해야 합니다(제16조 제2항과 제3항 또는 제39조의3제3항 위반).

대화 상대방의 동의 부존재

사용자들이 분석을 위해 제공한 카카오톡 대화는 2인 이상의 대화입니다. 개인정보 보호법 제15조 또는 제39조의3제1항에 따라 마땅히 받아야 할 대화 상대방에 대한 동의 절차는 어디에도 없었습니다. 지난 12일 스캐터랩은 논란이 지속되자 서비스를 중지하고 사과의 뜻을 밝혔지만 대화 상대방의 동의 부존재에 대해선 한 마디 언급도 없었습니다(제15조 제1항 또는 제39조의3제1항 위반). 

대화 상대방의 동의를 받아 데이터를 수집하는 것은 얼마든지 가능한 일입니다. 2019년 국립국어원에서 진행한 메신저 대화 자료 수집 및 말뭉치 구축 사업의 경우, 메신저 대화를 수집하며 대화 참여자 전원으로부터 대화 제공에 대한 동의와 저작권 이용 허락 등을 받아 데이터셋을 구축했습니다. 이는 정보주체의 권리를 보호함과 동시에 적법하게 데이터를 수집하는 일이 충분히 가능하다는 사실을 보여주고 있습니다. 

자신의 사적인 대화 내용이 수집되고 분석되며 이후 챗봇의 학습에 이용되었다는 사실을 인지도 못한 피해자가 무수히 존재할 것이며 이러한 데이터는 원본과 가명 정보 모두 폐기 되어야 마땅합니다.

대화 내용에 포함된 민감정보, 고유식별정보

‘텍스트앳’, ‘연애의 과학’ 서비스는 카카오톡 등 메신저를 통한 사적인 대화 내용을 수집하는 바, 이에는 이름과 연락처, 주소 등 개인의 신원이 드러날 수 있는 다양한 개인정보와 더불어 더 민감한 다른 정보도 포함되어 있습니다. 자신의 사상, 신념, 정치적 견해, 건강상태, 성생활에 대한 정보, 인종과 민족에 대한 정보 등은 민감정보입니다. 숫자 뿐 아니라 한글과 이미지 등 다른 형태로 표시된 여권번호, 운전면허번호, 외국인등록번호는 고유식별정보입니다. 민감정보와 고유식별정보는 정보주체의 명시적인 동의나 법령상 허용조항 없이는 누구도 수집하거나 이용할 수 없는데 연애의 과학은 이에 대한 별도 동의를 받지 않았으며 실제로 성생활 등에 대한 정보가 수집 이용된 것으로 보입니다(제23조제1항 및 제24조 제1항 위반). 또 숫자 뿐 아니라 한글이나 이미지로 표시된 주민등록번호는 법령상 근거 없이는 민간에서 수집하는 것 자체가 금지되어 있습니다(제24조의2 제1항 위반). 이러한 내용은 스캐터랩과 어플리케이션의 유료 기능의 개인정보 처리방침 어디에도 고지되지 않았습니다.

개인정보에 대한 이용자의 권리 무시

스캐터랩은 이루다가 학습한 대화내용에서 숫자와 영문, 실명 정보 등은 삭제하였기 때문에 개인정보에 대한 비식별화가 충분히 이루어졌다고 주장하고 있습니다. 그러나 지금 이름, 주소 등이 노출되는 사례가 등장하고 있는 것은 이 회사의 비식별화 또는 가명처리의 수준이 적정하지 않았다는 점을 분명히 드러내고 있으며, 스캐터랩은 얼마 전까지 연애의 과학에서 추출된 일부 대화 내용을 오픈소스 플랫폼에 훈련 데이터셋으로 공개하기도 했습니다. 해당 데이터셋의 경우 이름, 건강상태, 직장 등의 개인정보가 비식별화되지 않은 상태였습니다. 

무엇보다 눈에 두드러지는 숫자, 영문, 이름 등만 개인정보인 것이 아닙니다. 다른 정보와 쉽게 결합하여 알아볼 수 있으면 개인정보로서 똑같은 보호 대상입니다. 성명은 지웠지만 여성이고, 이십대라는 점을 알고 있으며, 숫자와 영문은 삭제되었지만 서울 성북구에 살고, 특정은행에 계좌가 있고, 특정대학교 특정학과 또는 특정 기숙사를 출입한다면 개인을 특정할 수 있습니다. 이처럼 개인정보를 부분적으로 삭제하여 가명처리를 했다 하더라도 더 많이 결합할수록 알아볼 가능성이 더 높아진다는 것이 상식입니다. 이러한 개인정보들을 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리는 우리 헌법에서 보호하고 있는 기본권입니다. 

개인정보 침해를 당했음에도 불구하고 그 사실조차 모르는 정보주체가 다수 존재할 것입니다. 지금이라도 가입자 뿐 아니라 자신의 대화가 수집이용된 모든 정보주체의 열람 및 삭제 권리는 완전하게 행사될 수 있어야 합니다. 또 개인정보 수집과 처리 과정이 불법적인 것으로 드러나면 정보주체의 요청 없이도 해당 개인정보를 바탕으로 만들어진 챗봇 모델과 알고리즘의 폐기가 마땅합니다.

  1. 이번 이루다 논란은 기업을 위한 데이터3법이 자초한 문제이기도 합니다. 시민사회는 데이터3법이 기업들로 하여금 개인정보를 가명처리한 후 정보주체의 동의 없이 인공지능 제품 등 기업의 상품개발에 거의 무한대로 이용할 수 있도록 허용한 데 대하여 비판해 왔습니다. 공익적 학술 연구 등에 정보주체의 동의 없이 가명정보를 사용할 수 있도록 하는 유럽연합 등의 사례가 있지만, 기업의 상업적인 제품 개발을 위해 정보주체의 기본권을 무시하며 가명정보를 무제한적으로 이용하는 것은 위헌적입니다. 정보주체의 권리를 보장하기 위해서는 현 가명정보에 면제한 열람권, 삭제권 등을 보장하는 방향으로 법개정이 있어야 할 것입니다. 무엇보다 새로운 사회적 흐름으로 등장한 인공지능 제품에 대한 명확한 법규범은 필수입니다.

    그런데 최근 정부와 기업이 여기서 더 나아가 데이터 산업의 발전을 명분으로 현재의 사전 동의 조항을 더 완화하는 법 개정을 추진하고 있다는 데 대하여 우리는 깊이 우려합니다.

  1. 스캐터랩은 향후 ‘더 고도화된 데이터 알고리즘’으로 이 문제를 해결하고 향후 재운영하겠다는 방침을 밝혔습니다. 또 자신들이 마음대로 사용한 이용자의 원본 데이터, 가명 데이터를 완전 파기하겠다는 약속은 하지 않는 모습입니다

    그러나 바로 며칠전, 미국 연방거래위원회(FTC)는 불법적으로 사진을 수집해 얼굴인식 알고리즘 훈련용 데이터로 이용한 기업에게 해당 모델과 알고리즘을 삭제하라는 명령을 내렸다는 사실을 상기할 필요가 있습니다. 지금은 챗봇 문제로 시작했지만 더 위험한 인공지능에서 더 위험한 데이터, 더 위험한 알고리즘을 사용하기 전에 우리 사회가 이런 문제에 대한 대책을 고민해야 할 시점입니다. 

    윤리적 검토와 평가, 사회적 합의와 토론 없이 성급하게 개발되는 인공지능 제품은 국민에게 차별과 오류, 개인정보 침해 등 심각한 악영향을 가져올 수 있으며 동시에 블랙박스 속에 감춰진 알고리즘으로 인해 피해자가 권리 침해 사실조차 깨닫지 못할 수도 있습니다

  1. 기업의 인공지능 제품의 악영향에 대한 대책이 인공지능 윤리로 그쳐서는 안됩니다. 

    지난 12월 발표된 과학기술정보통신부의 ’인공지능(AI)윤리기준’ 에는 인권을 보장하고 프라이버시를 보호하고 다양성을 존중하고 책임성을 보장하는 등 선하고 아름다운 문장들이 가득하지만, 그것을 구체적으로 실현할 수 있는 방안은 없는 것으로 보입니다. 특히 아래와 같은 문장을 명시함으로써 인공지능 윤리 가이드라인이 현실적 규범으로서는 아무런 의미도 없는 선언에 불과하다는 사실을 스스로 입증하였습니다.

“본 윤리기준은 산업·경제 분야의 자율규제 환경을 조성함으로써 인공지능 연구개발과 산업 성장을 제약하지 않고, 정당한 이윤을 추구하는 기업에 부당한 부담을 지우지 않는 것을 목표로 한다.”

온갖 미사여구와 좋은 말이 가득하지만 구속력 있는 ‘법’이나 ‘제도’가 아니라 단순한 자율 규범으로, 아무런 강제성이 존재하지 않는 가이드라인으로 인공지능 제품의 악영향을 막을 수 없을 것입니다. 

  1. 인공지능 제품과 그 학습 데이터의 편향성의 문제는 윤리가 아니라 법률 규범의 문제입니다. 

    세계 각국은 인공지능 제품과 그 학습 데이터에 대하여 제조물 책임법, 소비자 보호법, 정보공개법, 개인정보 보호법, 평등법 등 현행법을 정교하게 적용하기 위해 노력하고 있습니다.

    특히 유럽연합의 경우 인공지능 제품과 서비스에 대해 기존 법률의 준수는 물론이고, 추가적으로 ‘고위험’ 인공지능에 해당할 경우 훈련데이터, 기록보존, 정보공개, 견고성, 인적 감독 등의 법적 의무를 추진하고 있습니다. 이때 공공적으로 법적인 효과를 낳거나 의료, 운수, 에너지 분야에서 중대한 손상을 야기하거나 노동자나 소비자의 권리에 영향을 미치는 인공지능 제품과 서비스는 ‘고위험’에 해당합니다. 이중 훈련 데이터에 대한 법적 의무로는 △충분히 광범위한 데이터셋에 기반해 훈련하는 등 그 안전을 합리적으로 보장할 것 △금지된 차별을 수반하는 결과로 이어지지 않도록 합리적인 조치를 취할 것 △제품과 서비스를 사용하는 동안 사생활과 개인정보를 적절히 보호할 것 등을 요구할 예정입니다. 

    캐나다는 이미 2019년부터 공공기관 자동화된 의사결정에 대한 지침(정부 훈령)을 제정하고 모든 공공기관 인공지능 알고리즘에 대하여 영향평가를 실시하고, 생산 전에 훈련 데이터가 의도하지 않은 데이터 편향을 드러내거나 결과에 부당하게 영향을 미칠 수 있는 요소가 있는지 검사 절차를 거치고 있습니다. 심지어 자율규제의 나라 미국에서도, 법 집행기관의 인공지능 사용과 채용을 위한 인공지능 사용 등 특정 영역을 강하게 규제하는 법이 제정되고 있습니다.

  1. ‘이루다’는 챗봇이고, 고위험 인공지능이나 공공기관 인공지능은 아닐지 모릅니다. 그러나 막연하고 기업 자율적인 인공지능 윤리에서 더 나아가 이제는 국민의 안전과 기본권을 보호할 수 있는 인공지능 규제법을 고민해야 할 때입니다. 

    개인정보를 보호해야 할 대상이 아닌 경제적 관점과 활용 대상으로만 바라보는 기업의 관행은 국민이 신뢰할 수 없는 인공지능 기술로 이어질 것입니다. 개인정보 자기결정권을 침해하고, 의도하지 않은 결과를 도출하고, 혐오를 양산하고, 소수자를 배제하고, 편견을 재생산하는 인공지능 기술의 도입을 방지할 방법이 현실적으로 고려돼야 합니다. 지금 이 순간에도 사회 다양한 영역에서 인공지능 제품과 서비스가 개발되고 활용되고 도입되고 있습니다. 그중 일부는 챗봇 정도가 아니라 채용, 사회 복지 수급자 선정, 일자리 배치 등 국민의 삶에 중대한 영향을 미치는 영역에 자리를 잡았습니다. 이러한 상황에서 기업들의 인공지능 윤리 준수를 선의에만 기댈 수는 없습니다. 국민에게는 인공지능 기술을 사회적으로 통제하기 위한 현실적인 법이 필요합니다.

  1. 이 문제적 인공지능 제품의 이면에서 개인정보에 대한 심각한 권리 침해가 발생한 것으로 보이며, 우리는 이에 대한 개인정보 보호위원회의 철저한 조사와 엄정한 처벌을 촉구합니다. 우리 단체들은 개인정보 보호위원회에 대한 의견, 민원 뿐 아니라 국가인권위원회 등 관련 부처에 대한 민원, 필요하다면 관련 소송 등으로 계속하여 이 사안에 공동으로 대응할 예정입니다. 나아가 정부와 국회의 관련 정책 입안자들에 대하여 소비자와 이용자의 권리를 침해하는 인공지능 제품의 규제를 위해 법률적 대책을 마련할 것을 촉구합니다. 

2021년 1월 13일
민주사회를위한변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대

“행정기본법 제정안 제20조”에 대한 반대의견 국회 제출

인권사회단체, 인공지능 의한 결정을 행정 행위로 인정하는
“행정기본법 제정안 제20조”에 대한 반대의견 국회 제출

  • 행정기본법 제정안, ‘단순 행정자동화’와 ‘인공지능에 의한 결정’ 차이 고려치 않아

  • 인공지능 시스템에 대한 권리구제, 검증 및 사후관리 규정 마련 선행돼야

  1. 오늘(11/5) 민주사회를 위한 변호사모임 디지털정보위원회, 진보네트워크센터, 사단법인 정보인권연구소 등 3개 인권사회단체는 정부가 발의하여 현재 국회 법제사법위원회에 상정되어 있는 ‘행정기본법 제정안 제 20조’에 반대하는 의견서를 법사위에 제출했다.
  2. 행정기본법 제정안 제20조는 행정청에서 재량이 있는 처분을 제외한 모든 처분을 ‘자동화된 시스템’에 의해 할 수 있도록 허용하고 있다. 그러면서 명시적으로 ‘인공지능 기술을 적용한 시스템’을 ‘완전히 자동화된 시스템’에 포함시켜 역시 행정 ‘처분’으로 인정한다는 내용이 담겨있다. 단체들은 의견서에서 인공지능 처분에 대한 시민들의 절차적 권리와 구제의 권리를 보장하고 있지 않은 상황에서 그 위험성을 오롯이 시민이 부담하게 하는 위 제20조의 도입을 재고할 것을 요구하고 사회적 의견 수렴을 위한 국회 공청회를 요구하였다.
  3. 이 조항은 단순 행정자동화 시스템과 인공지능 기술 적용 시스템의 차이를 구분하지 않고 있다. 단순 행정자동화 결정은 의사 결정 구조가 단순하고 구조적이기에 결과 예측 및 오류 수정이 비교적 수월하다(예 : 과속 단속 카메라에 의한 단속, 컴퓨터 추첨에 따른 학교 배정 등). 그러나 인공지능 알고리즘에 의한 자동 결정은 비정형적이며 알고리즘에 따라 매우 복잡한 구조적 특성을 지니기 때문에 결과의 예측이 현저히 어렵다. 인공지능을 구성하는 알고리즘의 안전성, 적법성이 확보되지 않은 상태에서 단순 행정자동화와 인공지능에 의한 결정을 동일한 ‘처분’으로 규정한다면 인공지능에 의한 자동화 결정의 타당성을 둘러싼 논란이 계속될 것이다.
  4. 대상조항은 자동화된 시스템에 의한 처분을 원칙적으로 기속행위에만 허용하고 있지만, 오늘날 행정의 다양성, 복잡성으로 인하여 어떤 행정행위가 기속행위인지 재량행위인지 여부를 구분하는 기준 또한 명확하지 않은 상황이다. 공무원의 형식적 개입, 알고리즘에 대한 설명의 불가능성 등 인공지능의 특성을 고려했을 때, 위법한 인공지능에 의한 처분에 당사자가  불복하는 것이 사실상 어려울 수 있다는 점이 매우 우려스럽다.
  5. 헌법상 적법절차의 원칙은 행정절차에도 적용되기 때문에 처분의 당사자인 시민은 자동화된 처분이더라도 그 처분이 어떠한 경위로 이루어진 것인지 설명을 받을 수 있는 권리를 가져야 한다. 또한 자동화된 처분으로 피해를 입은 경우 적절한 구제를 받을 권리를 가진다. 그러나 인공지능에 의한 처분은 시민들의 위 설명을 받을 수 있는 권리와 구제를 받을 권리를 광범위하게 제약할 수 있다. 인공지능에 의한 처분의 경우 현재 행정절차법상에서는 사실상 처분의 사전통지, 이의권 등을 행사하기 어렵기 때문이다.
  6. 인공지능 시스템에서 가장 중요한 알고리즘을 검증하고 평가하도록 규정하는 법체계는 부재한 상태이다. 이러한 상황에서 인공지능에 의한 처분을 전면적으로 허용하는 것은 섣부른 정책의 추진이자 인공지능에 의해 발생할 위험을 과소평가하는 것으로서, 대상조항은 삭제되어야 마땅하다.  끝.

행정기본법안 제20조에 대한 의견

2020년 11월 5일

민주사회를 위한 변호사모임 디지털정보위원회,
진보네트워크센터, 사단법인 정보인권연구소

  1. 의견 제출의 취지

행정기본법안(이하 ‘법안’이라 합니다)은 2020. 7. 7. 국무회의에서 의결된 이후 현재 국회 법제사법위원회에 상정되어 있습니다. 법안은 복잡한 행정원칙의 원칙과 기준을 제시하는 기본법 체계를 구축하고자 한다는 점에서 의의가 있습니다. 그러나 처분을 단순 자동 시스템 뿐만 아니라 인공지능시스템에 의해서도 할 수 있도록 허용한 법안 제20조는 제정대상에서 제외되는 것이 마땅합니다. 인공지능시스템에 의한 처분으로 발생할 수 있는 다양한 문제에 대한 충분한 검토와 논의가 이루어지지 않았기 때문입니다.

  1. 문제가 되는 조항

우리 단체들이 문제가 있다고 판단하고 있는 조항은 법안 제20조(이하 ‘대상조항’이라 합니다)입니다. 대상조항은 행정청이 재량이 있는 처분을 제외한 모든 처분을 ‘자동화된 시스템’에 의해 할 수 있도록 허용하고 있습니다. 그리고 대상조항은 명시적으로 ‘인공지능 기술을 적용한 시스템’을 ‘자동화된 시스템’에 포함시키고 있습니다.

 

제20조(자동적 처분) 행정청은 법령으로 정하는 바에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 처분을 할 수 있다. 다만, 처분에 재량이 있는 경우는 제외한다.

 

  1. 제정안의 문제점

가. 단순 행정자동화 시스템과 인공지능 기술 적용 시스템의 차이를 반영하지 않았음 

대상조항은 완전히 ‘자동화된 시스템’에 ‘인공지능 기술을 적용한 시스템’이 포함된다고 규정하고 있습니다. 즉 대상조항이 규정하는 ‘완전히 자동화된 시스템’은 ‘단순 행정자동화 결정’만을 의미하는 것이 아니라 ‘인공지능에 의한 자동화 결정’까지도 포함하는 자동화 결정을 의미합니다. 그러나 단순 행정자동화 결정과 인공지능에 의한 자동화 결정은 그 구조의 복잡성, 결과예측가능성 등 여러측면에서 본질적 차이가 존재하기 때문에 구분이 필요합니다. 

단순 행정자동화 결정은 의사결정 구조가 정형적이고 단순하며, 그 결과가 비교적 예측 가능합니다(예: 과속단속카메라에 의한 과속단속, 컴퓨터추첨에 따른 학교배정 등). 반면 인공지능에 의한 자동화 결정은 비정형적이고, 구조화된 틀에 들어맞지 않는 사안을 알고리즘을 통해 처리하는 방식으로 이루어집니다. 따라서 인공지능에 의한 자동화 결정은 단순  행정자동화 결정에 비해 결과의 예측이 현저히 어렵다는 차이가 존재합니다. 

인공지능을 이용할 경우 행정의 효율성은 높아질 수 있습니다. 그러나 인공지능을 구성하는 알고리즘의 안전성, 적법성이 확보되지 않는다면 인공지능에 의한 자동화 결정의 타당성은 논란에서 자유로울 수 없습니다. 그리고 무엇보다 우리나라는 인공지능에 의한 행정에 대한 논의가 제대로 이루어지지 않았고, 이를 받아들일 준비가 미비한 상황입니다. 

나. 재량권 행사가 필요한 처분이 기속행위로 변형되어 이루어질 우려가 있음

대상조항은 자동화된 시스템에 의한 처분이 원칙적으로 기속행위에 해당하는 경우에만 허용된다는 한계를 설정하고 있습니다. 그러나 오늘날 행정의 다양성, 복잡성으로 인하여 어떤 행정행위가 기속행위인지 재량행위인지 여부를 구분하는 기준은 명확하지 않습니다. 

대법원 또한 기속행위와 재량행위의 구별기준에 대하여  “처분의 근거 법규정의 형식·체제·문언상 표현을 우선적으로 고려하고, 불분명한 경우 행정분야의 주된 목적·특성, 당해 행위의 성질·유형 등을 고려하여 개별적으로 판단하여야 한다”라고 판시하며(대법원 2018. 10. 4. 선고 2014두37702 판결 등), 특정 행정행위가 재량행위인지 기속행위인지 여부는 사법부의 판단을 통해 최종적으로 확인될 수 있다는 입장을 가지고 있습니다.

이처럼 재량행위와 기속행위의 명확한 구별이 어려운 상황에서 대상조항과 같이 인공지능에 의한 자동결정의 방식으로 이루어지는 자동화된 처분(이하 ‘인공지능에 의한 처분’)을 전면적으로 허용하는 경우, 재량권 행사가 필요한 처분도 인공지능에 의해 기속행위로 변형되어 이루어질 우려가 있습니다. 그리고 재량권 행사가 필요한 처분이 기속행위로 변형되어 이루어지면 이는 원칙적으로 ‘재량권을 불행사한 처분’으로서 위법합니다(대법원 2019. 7. 11. 선고 2017두38874 판결 등 참조). 

즉 인공지능에 의한 처분의 활성화는 결국 처분에 있어 행정청의 재량권 불행사를 조장할 수 있는 것입니다. 그러나 현재로서는 이러한 위법한 인공지능에 의한 처분에 당사자가  불복하는 것은 사실상 어려울 것으로 보입니다. 공무원의 형식적 개입, 알고리즘에 대한 설명의 불가능성 등 인공지능의 특성을 고려했을 때, 재량권의 불행사를 입증하기 어려울 수 있고, 책임의 주체도 불분명하기 때문입니다.

다. 독일 연방행정절차법 제24조 및 제35조의a 규정의 진정한 의미

법제처는 대상조항의 제정과 관련한 참고자료로 독일 연방행정절차법 제24조(직권조사의원칙)와 제35조의a를 제시하고 있습니다. 하지만 위 조항들은 오히려 대상조항이 부당하게 제정되었다는 점을 보여주는 자료입니다. 

독일 연방행정절차법 제24조는 행정 자동화 방식으로 행정행위를 함에 있어 그 행정행위로 인한 침해를 방지하기 위해 조사되지 않은 참여자의 사실 진술을 고려할 의무를 행정청이 부담하도록 규정하고 있습니다.

 

독일 연방행정절차법

제24조(직권조사원칙) ① 행정청은 직권으로 사안(사실관계)를 조사한다. 행정청은 조사의 방법 및 범위를 정한다 ; 행정청은 참여자의 제시와 증거신청에 구속되지 아니한다. 행정청이 행정행위를 발급하기 위하여 자동장치를 설치한 경우에는, 개별 경우를 위하여 행정청은 자동절차에서 조사되지 않은 참여자의 중요한 사실진술을 고려하여야 한다.

행정 자동화 방식에 의한 처분은 일률적으로 이루어지기 때문에, 사안의 개별 특수성이 반영되지 않는 문제가 있습니다. 독일 연방행정절차법 제24조는 위와 같은 문제를 방지하기 위해 행정청에게 참여자의 중요한 사실진술을 고려할 의무를 부담하도록 규정하고 있는 것입니다. 그러나 대상조항은 사안의 개별 특수성을 반영하지 못하는 자동화처분의 문제를 대비하기 위한 내용을 일체 규정하고 있지 않습니다. 법안에서도 위 문제를 대비하기 위한 조항을 별도로 규정하고 있지 않습니다.

 

독일 연방행정절차법

제35조의a 행정행위의 완전히 자동화된 발급 법규정에 의해 허용되고, 재량이나 판단여지가 존재하지 아니하면 행정행위는 자동장치에 의해 완전히 발해질 수 있다.

독일 연방행정절차법 제35조의a 또한 대상조항과 큰 차이를 보입니다. 독일연방법 제35조의a가 규정하는 자동장치에는 인공지능 기반 시스템이 포함되어 있지 않기 때문입니다.

학계에서는 독일 연방행정절차법 제35조의a를 완전 자동적 행정을 합법화하는 규정으로 이해하지 않습니다. 학계는 독일 연방행정절차법 제35조의a를 오히려  자동적 행정을 매우 제한적으로 허용하는 규정으로 이해하며, 인공지능에 기반한 자동행정이 허용되지 않는다는 입장을 가지고 있습니다.

독일 행정절차법에서 규정한 완전 자동적 행정행위에 관한 규정은 행정기본법 제20조 인공지능 알고리즘을 활용한 자동적 행정결정에 적용하기에 한계가 있습니다. 독일의 규정은 완전히 자동화된 시스템에 대하여 단순, 반복적인 ‘기속행위’에 적용될 수 있음을 규정한 것이고, 우리의 행정기본법 제20조는 완전히 자동화된 시스템을 인공지능 시스템까지 포함한 것으로 규정하고 있어 향후 적용될 수 있는 분야의 확장성이 매우 넓어 불확실성이 매우 큽니다.

라. 인공지능에 의한 처분으로 인한 적법절차의 원칙 침해 우려 

인공지능에 의한 자동화 결정의 경우, 알고리즘이 근거 법률의 목적과 내용을 제대로 구현하지 못해 잘못된 처분을 할 가능성을 배제할 수 없습니다. 이 경우 해당 처분은 시민들의 재산권, 신체의 자유 등 기본권을 부당히 제약하고 차별을 야기할 수 있습니다.  

그러나 인공지능에 의한 처분에 있어 공무원의 의사 개입은 사실상 불가능하거나 형식적일 수 밖에 없기 때문에 시민들은 자신에 대한 인공지능에 의한 처분이 부당하다고 생각하여도 공무원으로부터 적절한 설명을 들을 수 없게됩니다. 이에따라  부당한 인공지능에 의한 처분의 책임 소재도 희석될 우려가 있습니다. 

헌법재판소는 “헌법상 적법절차의 원칙은 형사절차뿐만 아니라 입법과 행정 등 국가의 ‘모든’ 공권력 행사에 적용된다”고 보았습니다(헌법재판소 1992. 12. 24 선고 92헌가8 결정 등). 대법원 역시 “헌법상 적법절차의 원칙은 형사소송절차 뿐만아니라 국민에게 부담을 주는 행정작용에서도 준수되어야 한다”고 판시하고 있습니다(대법원 2012. 10. 18 선고  2010두1234 판결). 

이처럼 헌법상 적법절차의 원칙은 행정절차에도 적용되기 때문에 처분의 당사자인 시민은 자동화된 처분이더라도 그 처분이 어떠한 경위로 이루어진 것인지 설명을 받을 수 있는 권리를 가져야 합니다. 또한 자동화된 처분으로 피해를 입은 경우 적절한 구제를 받을 권리를 가집니다. 그러나 인공지능에 의한 처분은 시민들의 위 설명을 받을 수 있는 권리와 구제를 받을 권리를 광범위하게 제약할 수 있습니다. 인공지능에 의한 처분의 경우 현재 행정절차법상에서는 사실상 처분의 사전통지, 이의권 등을 행사하기 어렵기 때문입니다. 

과학기술 발전에 따라 행정의 모든 영역에서 전문성과 복잡성이 커지고 있기 때문에  무엇이 최선의 결정인가 보다는 어떠한 논의과정을 거쳐 해결책을 찾을 것인가에 대한 절차적 보장이 중요합니다. 인공지능 시스템이 개인의 권리에 중대한 영향을 미치는 행정적 의사결정에 사용될 때에도 적법절차의 원칙은 준수되어야 합니다. 마땅히 그 의사결정에 대해서 당사자들이 근거를 밝히도록 요구하고, 설명을 들을 수 있어야 합니다. 

그러나 인공지능을 구성하는 알고리즘을 어떻게 설명할 것인지, 인공지능에 의한 처분으로 발생하는 손해의 책임을 누구에게 귀속시킬 것인지 등에 관한 사회적 논의가 심도있게 이루어지지 않았고 관련 법체계 역시 구축되지 않았습니다. 이러한 상황에서 대상조항에 따라 인공지능에 의한 처분을 전면 허용한다면, 시민들이 행정에 종속되거나 객체적 지위에 머물고, 행정과정에서 자신들의 권익을 보호할 수 없게 되는 등 헌법이 보장하고 있는 적법절차의 원칙이 심각하게 훼손당할 것입니다. 

마. 인공지능 시스템을 검증하고 평가할 수 있는 별도의 법체계 마련이 필요

영국 옥스포드 인사이트(Oxford Insights)가 발표한 2019년 정부 AI 준비지수(2019 Government AI Readiness Index)에서 우리나라는 26위라는 낮은 순위로 평가되었습니다. 위 준비지수는 당사국이 공공 서비스 제공에 인공지능를 사용할 준비가 됐는지를 평가할 수 있는 지표입니다. 영국 옥스포드 인사이트가 위와 같은 평가를 한 이유는 인공지능 시스템이 윤리 및 안전에 대한 충분한 관리 없이 공공분야에 시행되는 것이 매우 위험할 수 있기 때문입니다.

위 지표가 절대적인 것은 아니지만, 우리나라가 상당히 낮은 순위로 평가되었다는 사실을 엄중하게 받아들일 필요가 있습니다. 이는 공공영역에 인공지능 시스템을 도입하는 것에 대한 철저한 점검이 필요하다는 점을 시사합니다.

행정처분의 영역에서 인공지능의 활용은 구체화된 행정입법을 알고리즘에 구현하는 방식으로 이루어집니다. 이때 알고리즘에 행정입법의 취지가 충분하고 정당하게 반영되었는지를 검증하고 사후적으로 관리하는 것이 필요합니다. 뿐만 아니라 알고리즘을 투명하고, 보편적 수준에서 이해가능한 방법으로 공개하여야 하고, 헌법적 가치 또한 충분히 반영되었는지를 평가할 수 있어야 합니다. 따라서 인공지능의 앞서 인공지능 시스템을 포함한 행정자동화 시스템을 주기적으로 점검하고, 점검 결과에 따라 시스템을 개선하는 제도의 구축이 선행되어야 합니다.

현재 인공지능에 대해서는 지능정보사회 윤리 등을 규정한 지능정보화기본법(2020. 12. 10. 시행예정) 뿐이고, 인공지능 시스템에서 가장 중요한 알고리즘을 검증하고 평가하도록 규정하는 법체계는 부재한 상태입니다. 이러한 상황에서 대상조항과 같이 인공지능에 의한 처분을 전면적으로 허용하는 것은 섣부른 정책의 추진이자 인공지능에 의해 발생할 위험을 과소평가하는 것입니다.

인공지능 도입에 앞서 어떠한 시스템이 구축되어야 하는지와 관련하여서는 20대 국회에서 발의되었던 전자정부법 개정안(박선숙 의원 대표발의)을 참고해 볼 수 있습니다. 위 개정안은 행정기관에게 자동화 시스템의 안정성·공정성·정확성 등을 주기적으로 점검하고, 그 결과에 따라 시스템을 개선할 의무를 부담하도록 규정했습니다. 또한, 위 개정안은 행정기관에게 인공지능을 사용한 ‘지능형 시스템’이 도출한 판단·결정·평가·자문 등 내용을 기록·보존하고, 시스템 관리를 위한 주기적 영향평가를 실시하도록 하는 내용도 규정하고 있었습니다. 그러나 위 개정안은  통과되지 못한 채 20대 국회의 임기만료로 폐기되었습니다. 

물론 위 개정안이 공공영역에 인공지능 시스템을 도입하는 것을 정당화할 수 있는 완벽한 법률안이라고는 볼 수는 없습니다. 그러나 위 개정안은 인공지능 기술을 공공영역에 맹목적으로 도입하려는 추세 속에서, 인공지능 시스템을 검증하고 평가할 수 있는 법체계를 구축하려 시도한 법률안이라는 점에서 큰 의미가 있습니다.

4. 결론

인공지능 시스템은 앞으로 여러 분야에 도입되어 활성화 될 것입니다. 인공지능 시스템에 대한 사회적 논의와 안전장치의 구축이 충분히 이루어지지 않았음에도 인공지능에 대한 맹목적 신뢰에 기반한 제도의 도입은 신중해야 합니다. 행정행위는 효율성을 중요하게 생각하는 민간분야와 달리 책임성과 공공성을 본질적 요소로 합니다. 그러나 인공지능에 의한 처분에 대한 시민들의 절차의 권리와 구제의 권리를 보장하기 위한 제도는 제대로 구축되어 있지 않고, 이에 대한 논의도 성숙하지 못한 상황입니다. 

대상조항이 실질적으로는 단순 행정 자동화 결정만을 허용하는 법적 근거로서 의미를 갖기 때문에 그 위험성이 크지 않다는 주장이 있을 수 있습니다. 그러나 대상조항이 ‘인공지능기술을 적용한 시스템’을 명시적으로 ‘자동화된 시스템’의 한 종류로 포함하고 있는 이상, 단순 행정 자동화 결정을 넘어 처분 전반이 인공지능에 의해 이루어질 위험성이 존재할 수밖에 없습니다. 그리고 인공지능에 의한 처분이 야기하는 위험은 오롯이 시민이 부담해야 합니다.

따라서 시민의 기본권에 직접 영향을 미치는 행정처분의 경우에는 공무원 등의 개입이 필수적이며, 안전장치가 마련되어야 하며, 명확한 규정이 필요합니다. 행정의 신속성, 효율성을 강조한다는 취지 아래 논의가 미성숙한 인공지능 시스템에 의한 처분을 허용하는 경우 예측할 수 없는 피해가 발생할 우려가 있다는 점을 간과해서는 안될 것입니다. 이에 우리 단체들은 법안의 제정에 있어 제20조의 도입을  재고해주실 것을 요청하는 취지로 현행 법안에 대해 반대의견을 개진합니다.

나아가 우리 단체들은 위 법안에 대한 공청회가 코로나19 상황으로 지난 3월 매우 제한적으로 이루어졌다는 점을 지적하고자 합니다. 인공지능에 의한 처분을 허용하는 것은 그 자체로 시민의 기본권에 중대한 영향을 미치는 정책을 도입하는 것으로 사회적 논의와 공론화 과정이 더욱 절실히 요구됩니다. 이에 우리 단체들은 법안에 대한 반대의견을 개진함과 동시에 귀 위원회에 대상조항에 관한 추가 공청회 개최 또한 요청합니다. 끝.

[PDF 보기] 20201105법제사법위_행정기본법안 의견서

개정 개인정보보호법 시행에 대한 시민사회 공동성명

데이터 바이러스 주의보, 8월 5일부터 개인정보 도둑법이 시행됩니다

먼저 우리의 개인정보에 애도를 표합니다

8월 5일, 새로운 개인정보 보호법이 시행됩니다. 이름과 달리 개인정보에 대한 약탈을 허용하는 법입니다. 아무리 ‘데이터 3법’이란 미명으로 치장해도 그 데이터가 우리의 개인정보임은 변함이 없습니다. 개인정보 도둑법 입법 과정에서 시민사회는 이 법으로 인해 기업들 사이에 개인정보가 판매, 공유, 결합될 것에 대해 우려한 바 있습니다. 시행령 제정 과정은 이러한 시민사회의 우려가 기우가 아니었음을 확인해주었습니다.

▶ 가명정보를 ‘과학적 연구’ 목적으로 활용한다고 하지만 해당 목적으로 활용하는지 확인할 수 있는 아무런 장치도 마련되지 않았습니다. 해당 분야의 윤리 규범을 준수해야 하고 동료 평가(peer review)를 하며 그 결과물이 한 사회의 지식 기반 확대에 기여하는 학술 연구가 아니라, 연구라고 주장하는 기업의 모든 활동에 가명정보가 활용되어도 통제할 수 없게 되었습니다. ▶ 기업들이 고객정보를 가명처리해서 팔아도 이를 저지할 수 있는 수단 역시 마련되지 않았습니다. 가명정보 판매를 규제하겠다는 행정안전부의 변명은 거짓말이었습니다. ▶ 기업들의 가명정보 결합을 허용하는 것도 모자라, 그나마 결합된 가명정보를 안전 시설 내에서 접근하도록 한 조항을 폐기하고, 결국 결합 정보의 반출을 허용했습니다. 두 기업들이 고객정보를 결합해서 공유할 수 있도록 허용한 것입니다. 이는 지난 박근혜 정부가 제정한 2016년 <개인정보 비식별조치 가이드라인>에서부터 비판받아 온 문제점입니다. 문재인 정부가 박근혜 정부와 다른 점이 도대체 무엇인가요. ▶ 가명정보를 목적 달성 후에 삭제하도록 한 시행령 규정도 기업들의 요구를 받아들여 폐기했습니다. 가명정보를 무한정 보유할 수 있도록 하겠다는 것인가요? ▶ 수집한 개인정보를 목적 외로 활용할 수 있는 범위가 대폭 확대되었습니다. 목적외 활용은 정보주체의 합리적인 기대를 벗어나지 않는 매우 제한적인 범위 내에서 이루어져야 하지만, 정보주체의 동의없는 추가 이용의 범위를 확대해 달라는 기업들의 요구가 전적으로 수용된 것입니다.

통합 개인정보 보호위원회, 기본권의 수호자 역할해야

그나마 기존에 행정안전부, 방송통신위원회가 가지고 있던 개인정보 감독권한을 이관하여, 통합 개인정보보호위원회(이하 보호위원회)를 설립한 것은 바람직한 방향입니다. 보호위원회가 독립적인 감독기구로서 제 역할을 한다면 말입니다. 개인정보처리자인 기업들과 공공기관의 개인정보 처리를 감독하기 위해서는 상업적인 이해관계는 물론 정부 권력으로부터도 독립적이어야 할 것입니다.

그러나 이번 보호위원회의 인사를 보면 과연 보호위원회가 독립적으로 제 역할을 할 수 있을지 우려됩니다. 행정안전부와 방송통신위원회 출신인 현직 고위 관료 두 분이 위원장과 부위원장을 맡았는데 과연 정부로부터 독립적으로 활동할 수 있을까요? 또한 보호위원회 위원장으로 내정된 윤종인 행안부 차관이 지금도 과거 언론 인터뷰에서처럼 개인정보 도둑법을 합리화하고, 이 법이 유럽연합 개인정보보호법(GDPR)과 유사한 수준이라고 생각하고 있다면 큰 일이 아닐 수 없습니다.

보호위원회는 정부의 데이터 정책에 종속되어서는 안됩니다. 오히려 인권을 침해하지 않을 수 있도록 방향을 제시해야 합니다. 개인정보 처리와 활용의 균형은 개인정보의 활용을 위해 기본권을 타협하는 것이 아니기 때문입니다. 변화하는 기술 환경 속에서 보호위원회가 ‘기본권의 수호자’로서 개인정보 보호규범을 제대로 수립하고 이행을 감독한다면, 그 규범에 따라 활용도 제대로 이루어질 수 있을 것입니다.

정보인권을 위한 활동은 계속됩니다

비록 개인정보 도둑법이 시행되지만, 우리 단체들은 정보주체의 권리 보호를 위해 계속 싸워나갈 것입니다.

첫째, 현행 법의 문제를 알리고 정보주체 스스로의 권리 인식을 위한 캠페인을 벌여나갈 것입니다. 정보주체는 기업들이 내 개인정보를 가명처리하는지, 어떤 목적으로 누구에게 제공하는지 알 권리가 있습니다. 또한, 정보주체가 원하지 않을 경우, 개인정보 처리의 정지를 요구할 권리가 있습니다. 우리 단체들은 이용자들이 자신의 정당한 권리를 행사할 수 있도록 돕고, 정보주체의 권리를 제대로 보장하지 않는 정부와 ‘나쁜 기업’들에 맞서 싸울 것입니다.

둘째,의료법상 진료기록을 환자 동의 없이 연구 목적 등으로 가명화하여 활용하는 것에 대한 고발, 정보주체의 정당한 권리를 보장하지 않은 채 무분별하게 개인정보를 처리하는 기업들에 대한 민사소송 및 고발, 개인정보보호법의 독소조항에 대한 헌법소원심판청구 등 모든 사법적 구제수단을 통해 이 법에 대해 문제제기할 예정입니다.

셋째, 결국 개인정보 보호법과 신용정보 보호법이 올바로 개정될 수 있도록 노력할 것입니다. 충분한 논의도 없이 법이 개정되면서, 개인정보 보호법과 기존 정보통신망법 조항의 모순점, 신용정보 보호법과의 적용 범위 충돌의 문제 등이 벌써 불거지고 있습니다. 개인정보 도둑법이 규정하는 독소 조항은 당연히 개정되어야 하고, 개인정보 영향평가나 개인정보 기본설계와 같이 개인정보처리자의 책임성 및 개인정보 보호를 강화하기 위한 조항도 개정 및 도입되어야 합니다. 보호위원회와 국회는 개인정보 보호법을 국제적인 수준으로 개선하기 위한 작업을 즉시 시작해야 합니다.

넷째, 보호위원회가 기본권의 수호자로서, 독립적인 감독기구로서 제 역할을 할 수 있도록 시민사회는 보호위원회의 감시자가 될 것입니다. 정보주체의 권리 보호를 위한 활동에는 적극 협력하겠지만, 자신의 역할을 망각하고 개인정보의 남용을 오히려 합리화하는 역할을 한다면 신랄하게 비판할 것입니다.

우리는 데이터 산업 발전을 명분으로 정보인권을 도외시해온 문재인 정부에 유감을 표합니다. 문재인 정부는 정보주체의 보호를 도외시한 정책의 추진이 결코 평탄하게 갈 수 없고, 오히려 기술과 산업의 발전을 지체시킬 수 있다는 점을 분명히 인식해야할 것입니다.

2020년 8월 4일

건강권실현을 위한 보건의료단체연합 (건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 정보인권연구소, 진보네트워크센터, 참여연대

코로나19 관련 이태원 기지국 접속정보 처리 및 동의 없는 위치추적 법률에 대한 헌법소원청구

“감염병 대응을 명목으로 1만명 휴대전화에 대한 기지국 접속정보 요청, 수집, 처리는 위헌입니다.”

  1. 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 오픈넷, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대는 2020년 7월 29일 보건복지부장관, 질병관리본부장, 서울특별시장, 서울지방경찰청장(이하 “보건복지부장관 등”)이 지난 5월 18일 코로나19 대응을 명목으로 이태원을 방문한 약 1만명의 사람들의 휴대전화 기지국 접속정보를 요청하고 수집 ·처리한 행위(이하 “이 사건 기지국 정보처리 행위”)가 개인정보자기결정권, 사생활의 비밀과 자유, 통신의 비밀과 자유, 일반적 행동자유권을 침해하므로 위헌이라는 결정을 구하는 헌법소원을 청구했습니다. 보건복지부장관 등이 이태원 방문자들의 기지국 정보처리 행위의 법적근거라고 주장하고 있는 “감염병의 예방 및 관리에 관한 법률(이하 “감염병예방법”) “ 제2조 제15의2호, 제76조의2 제1항 및 제2항도 헌법 심판 대상입니다.
  1. 이번 헌법소원의 청구인은 지난 2020년 4월 말 친구들과 함께 이태원 인근 소재 식당을 방문하였는데, 2020년 5월 18일 서울시로부터 코로나19 검사를 받을 것을 권고하는 취지의 문자메시지를 수신하였습니다. 함께 문자를 수신한 청구인과 그 친구들은 5월 2일 새벽 코로나19 확진자가 다녀간 것으로 알려진 클럽 또는 인근 클럽을 방문한 적이 없으며, 청구인이 방문한 식당은 클럽들과 지리적으로도 상당히 떨어진 장소였습니다.

청구인은 확진자와 접촉한 적도 없고 거리상으로도 위험이 있다고 보기 어려운데도 자신의 이태원 방문 정보가 무단으로 보건복지부장관 등에게 제공되어 서울시로부터 검사를 권고받은 이후 고통스러운 시간을 보냈습니다. 청구인은 코로나19 음성판정을 통보받기까지 불안감에 시달려야 했고, 주변 사람들의 질문 등으로 불편한 상황에 놓였습니다. 청구인이 확진자와 접촉을 했던 것인지, 확진으로 판정되면 이태원을 다녀온 후 청구인과 접촉했던 사람들에게 피해를 주는 것은 아닌지, 가족들과 친구들에게는 어떻게할 수 있을지, 끊이지 않는 질문에 밤잠을 이루지 못할 정도였습니다.

청구인은 서울시와 보건복지부에 어떤 근거로 자신의 이태원 방문사실 등 정보를 취득했는지 문의하였습니다. 그러나 해당 기관들은 청구인이 문제되는 시점에 이태원에 머물렀다는 사실만으로도 감염병예방법상의 감염병의심자에 해당한다며 자신들은 같은 법 제76조의2 제1항 또는 제2항에 규정되어 있는 법적절차에 따라 정보를 수집한 것이라 모호하게 답변하였습니다. 

이와 같은 방식으로 기지국 정보가 수집, 처리된 사람은 무려 10,905명에 달합니다. 언론보도에 의하면 서울특별시는 이동통신사 3사에 대하여 “2020. 4. 24.부터 같은 해 5. 6.까지 자정에서 05시 사이에 이태원 클럽 주변의 기지국에 접속한 사람들 가운데 30분 이상 체류한 자”의 통신정보 제공을 요청하였고 해당 정보에는 이태원을 방문한 사람들의 이름과 휴대전화 그리고 주소 정보 등이 포함된 것으로 알려졌습니다. 나아가 보건복지부장관 등은 휴대폰을 가지고 있기만 하면 기지국으로 전송되는 정보인 “접속기록”까지도 수집, 처리한 것으로 보입니다.

  1. 우선 보건복지부장관 등이 2020. 4. 24.부터 같은 해 5. 6.까지, 자정에서 05시 사이 이태원 클럽 주변의 기지국에 접속한 사람들 중 30분 이상 체류한 자 전원을 감염병의심자로 보고, 기지국 정보를 요청, 수집, 처리한 것의 법적 근거가 모호합니다. 감염병예방법, 위치정보의 보호 및 이용 등에 관한 법률, 통신비밀보호법 등에 어디에서도 기지국 정보처리행위를 구체적으로 허용하지 않습니다. 즉 이 사건 기지국 정보처리행위는 법적근거가 없는 행위로서 모든 공권력 행사에 의한 기본권의 제한은 법률로써만 가능하다는 헌법 상의 원리인 법률유보의 원칙에 위배됩니다.

또한 기지국 정보처리 행위는 과잉금지원칙에 반하여 청구인의 개인정보자기결정권 등을 침해합니다. 이 사건 기지국 정보처리 행위의 목적은 이태원에 방문한 불특정 다수를 사회적 위험으로 취급한다는 점에서 그 정당성을 인정하기 어렵습니다. 또한 휴대전화 발신 등의 통신기능을 사용하지 않고 전원만 켜놓고 있더라도 통신사가 자동으로 수집하는 “기지국 접속기록”까지 처리한 것은 그 자체로 과도한 정보를 수집하는 중대한 기본권 침해행위라는 점에서 감염병 전파 차단을 위한 적합한 수단이 될 수 없습니다. 

무엇보다 이태원 인근에 감염병 확진자가 발생했다는 사실만으로 해당 지역에 방문한 1만여 명을 모두 감염병의심자로 간주하고 광범위하게 정보를 수집 등 처리한 것은 불공정하고 불공평한 수단으로서 그 적합성을 인정하기 어렵습니다. 

또한 2주간 이태원 일대를 방문한 불특정 다수의 개인정보를 처리하고 개인의 기지국 접속기록 등 필요 이상의 개인정보를 수집한 것은 침해의 최소성 원칙에도 정면으로 반합니다. 특히 서울시는 클럽 출입자 명단 및 신용카드 내역 등을 검토하여 확진자의 주요 동선에 포함된 이태원 클럽 및 주점에 방문한 5,517명의 명단을 5월 11일 이전에 확보한 상태였습니다. 즉 기지국 정보를 취득하는 대신 확보된 명단과 익명검사의 확대 등 기본권을 덜 제한하는 다른 조치의 도입을 충분히 고려할 수 있었던 것입니다.

그리고 청구인을 비롯한 정보주체들이 입는 불이익에 비해 기지국 정보처리 행위로 달성되는 공익이 더 크다고 단정할 수도 없습니다. 기지국 정보처리 행위가 감염병 전파방지에 기여했는지도 불분명하지만, 1만 905명의 사람들을 사회적 위험으로 취급함으로써 우리 사회가 추구하는 가치 또한 훼손하는 측면이 있기 때문입니다.

  1. 한편, 이 사건의 근거로 주장되는 감염병예방법 제2조 제15의2호, 제76조의2 제1항 및 제2항(이하 “이 사건 법률조항”) 또한 명확성과 과잉금지 원칙을 위반하고 있습니다. 우선 감염병의심자에 관한 감염법예방법 제2조 제15의2호는 어느 정도의 접촉의 의심이 있는 경우에 법이 정한 “접촉이 의심되는 사람”에 속하는 것인지 최소한의 범위도 설정하지 않은 채 포괄적 규정의 형태를 띄고 있습니다. 이는 명확성의 원칙에 위배된다고 보아야할 것입니다. 

또한 위치정보 수집이 감염병의 전파를 효율적으로 방지한 수단임이 입증되지 않는 이상, 이 사건 법률조항은 효율적이고 적절한 수단을 선택한 공권력 행사로 볼 수 없습니다.

또한 위치정보 수집에 대한 법원의 허가 또는 전문가 심의 등 절차를 도입하거나 다른 수단을 먼저 고려하라는 보충성 요건을 규정하는 등 통제장치 도입을 통해 기본권을 덜 제한하는 다른 방법도 고려할 수도 있었습니다. 그럼에도 불구하고 아무런 통제장치를 두고 있지 않은 이 사건 법률조항은 침해의 최소성 원칙에 반하여 기본권을 중대하게 침해합니다.

더불어, 감염병예방법에서 경찰이 위치정보 취득의 매개역할을 하고 자신의 동선에 대해 사실대로 말하지 않는 것을 감염병예방법 상 범죄로 규정하고 있으면서도 영장주의가 적용되고 있지 않습니다. 게다가 감염인과 접촉하지 않은 이태원 지역 방문자까지 광범위하게 개인정보를 수집한 것은 본질적으로 다른 집단에 대해 동일하게 취급하여 개인정보자기결정권 등을 중대하게 침해한 것으로서, 그 비례성을 상실하여 청구인의 평등권을 침해하였습니다.

  1. 유엔 경제적, 사회적 및 문화적 권리에 관한 국제규약 등 국제인권기준은 감염병 위기 상황에도 기본적 권리의 보장을 최우선 가치로 두어야 하고, 공중보건의 위기를 이유로 한 기본적 권리의 제한이 법률에 따라 비례적으로 이루어질 것을 강조하고 있습니다. 이 사건 기지축 정보처리행위 및 관련 법률조항은 위 국제인권기준에도 어긋납니다. 청구인과 단체들은 헌법재판소가 국제인권기준의 원칙과 헌법에 명백히 위반되는 기지국 정보처리행위 및 감염병예방법 조항이 위헌임을 확인함으로써 코로나19 라는 감염병의 공포 아래 희미해지는 우리 헌법의 가치를 바로 세울 수 있기를 기대합니다.  끝.

코로나19 대응, 정보인권을 존중해야 한다

– 확진자별 동선공개, 과도한 신상 노출 제한 필요
– 공중보건 목적으로 수집한 개인정보 향후 폐기해야
– 공중보건 위기시 개인정보의 처리와 보호를 위한 법적 근거 보완 필요

코로나19에 대한 정부의 대응 원칙 중 하나는 투명성이다. 지난 메르스 사태 때 감염경로를 제대로 공개하지 않아 감염을 확산시켰다는 비난을 받은 적이 있었기 때문으로 보인다. 정부는 코로나19 발생 초기부터 확진자의 동선을 비롯하여 질병의 확산 양상 및 대응 관련 정보를 세세하게 공개하고 있다. 그런데 이러한 정보 공개 과정에서 정보인권 침해가 발생할 우려도 있다. 긴급한 공공보건 목적을 위해 개인정보 자기결정권 등 프라이버시권이 일정 정도 제한될 수 있겠지만, 과도한 제한으로 권리의 본질을 침해하지 않도록 세심하게 주의를 기울일 필요가 있다. 또한 긴급 상황에 대한 대응을 명분으로 취해진 조치가 향후 일상 시기의 감시체제로 전환되지 않아야 한다.

확진자 동선공개와 개인정보 보호의 균형

이미 각 지자체가 코로나19 확진자의 동선을 세세히 공개함에 따라 개인의 신상이 노출되고 이로 인한 피해가 발생하고 있다. 제대로 된 근거나 기준 없이 지자체별로 경쟁적인 동선 공개가 이루어지면서 확진자 신상과 동선이 지나치게 세세히 노출돼 특정 확진자에 대한 근거없는 비난과 추측, 혐오발언 등이 양산되고 있는 것이다. 코로나19에 감염되는 것보다 동선이 공개되는 것이 더 무섭다는 이야기가 나올 정도다. 국가인권위원회도 지난 3월 9일 감염병 확산 방지와 예방을 위해 감염환자가 거쳐 간 방문 장소와 시간 등을 일정 부분 공개할 필요성 자체는 부인하기 어렵지만, 필요 이상의 사생활 정보가 구체적으로 공개되며 인권침해 사례가 나타나고 있으니 자제해야 한다는 성명을 발표했다.

이에 따라 중앙방역대책본부(이하 중대본)는 지난 3월 14일 정보공개 안내문을 마련해 접촉자가 있을 때만 방문장소와 이동수단을 공개하도록 하고, 확진자의 거주지 주소나 직장명 등 개인 특정 정보를 공개하지 않도록 기준을 마련했다. 중대본이 비판 여론을 반영해 동선공개 시 개인정보를 보호하는 방향으로 기준을 마련한 것은 바람직하다. 하지만 여전히 확진자별 동선 공개를 전제하고 있어 특정 확진자에 대한 신원 파악과 비난의 가능성은 사라지지 않은 상황이다.

확진자 동선을 공개하는 이유는 확진자와 동선이 겹치지만 신원을 알 수 없는 접촉자가 있을 경우, 개인들이 스스로 접촉 가능성을 인지해 적절한 대책을 세울 수 있도록 하기 위해서인 것으로 보인다. 그래서 중대본도 안내문에서 확진자의 접촉자가 모두 파악 가능한 경우에는 해당 동선을 공개할 필요가 없다고 하였다. 하지만 지자체별 해석에 따라 여전히 동선이 모두 공개되는 경우가 있으며, 중대본 역시 확진자별 동선 공개를 전제하고 있어 신상 노출의 위험이 여전히 존재한다.

확진자별로 구분하지 않고 시간과 장소만을 묶어서 데이터화해 공개한다면 국민들에게 필요한 정보를 제공하면서도 특정 확진자의 신상이 노출되지 않도록 할 수 있다. 물론 이 경우에도 지자체별로 공개한다면 확진자 수가 적어 개인 식별의 가능성이 높아질 수 있다. 따라서 개인 식별의 가능성을 낮추기 위해서는 개별 지자체별로 공개하는 것보다 본부 차원에서 모아서 공개하는 것이 바람직할 것이다.

동선 공개의 목적을 명확히 설명하라

아울러 방역이 이루어졌음에도 동선에 포함된 공간이 여전히 오염구역으로 인식되고 있으며, 이에 따라 확진자 동선에 포함된 식당이나 상점에 대한 피해가 야기되고 있다. 이는 정부가 동선 공개의 목적을 제대로 설명하지 않았기 때문이다. 확진자의 방문 장소를 공개하는 것은 국민들이 그 장소를 방문하지 말라는 것이 아니라 혹시 확진자와 접촉했을 가능성에 대한 정보를 제공하는 것에 불과하다. 해당 장소에 대한 잘못된 인식은 확진자를 오염된 사람으로 인식하는 차별의식으로도 연결된다. 정부가 동선 공개의 목적과 함의를 제대로 국민에게 알려야 해당 사업장이나 확진자에 대한 기피나 차별 등 부당한 피해를 줄일 수 있다.

개인정보의 공개를 최소화하라

동선 정보와 함께 확진자의 성별, 성씨, 직업, 국적, 종교 등 확진자 개인정보의 일부가 공개되고 있는데, 이는 해당 개인의 프라이버시를 침해할 수 있다. 감염병 현황 정보에 대한 일정한 공개는 감염병 대응을 위한 협력을 이끌어내고 각 주체의 대응이 적절했는지에 대한 사회적 평가를 위해 필요하지만, 그 과정에서 인권 침해가 없도록 주의할 필요가 있다. 예를 들어 확진자가 특정 국적의 사람인가보다는 국적과 무관하게 특정 국가 방문 후 입국했는지에 대한 정보가 중요하며, 배우자, 딸, 사위, 처제 등의 확진자들 사이의 관계보다는 함께 식사를 했는지 등이 중요할 수 있다. 즉, 확진자의 관계보다 감염에 영향을 미치는 사건이 중요할 수 있으며, 이 경우 확진자의 개인정보를 과도하게 노출할 필요는 없다. 정부와 언론은 확진자의 관계나 신원에 대한 관심보다는 감염병에 영향을 미치는 요소 자체에 초점을 맞출 필요가 있으며, 공개되는 개인정보가 최소화되도록 노력해야 한다.

감염병 경로 파악을 위한 시스템이 일상적 감시 시스템이 되어서는 안된다

확진자 동선과 접촉자(즉, 잠재적인 감염자) 파악을 위해 사실 엄청난 개인정보 수집이 이루어지고 있다. 감염병의 예방 및 관리에 관한 법률 (감염병예방법)은 카드사용기록, 교통카드사용기록, CCTV 영상기록 뿐만 아니라 위치정보도 수집할 수 있도록 하고 있다. 마치 수사기관이 하는 것처럼 특정 기지국에서 수집한 수만 명의 위치정보가 제공되기도 한다. 최근에는 통신사, 신용카드사 등과 경찰 시스템을 연계해 몇 시간씩 걸리던 동선 파악 작업을 10분으로 단축하는 연계시스템을 개발했다고 한다. 평상시를 기준으로 보면 어마어마한 감시 시스템이 아닐 수 없다.

물론 정확한 감염 경로 파악을 위해 객관적인 정보를 통해 확인할 필요가 있을 수 있다. 보다 효율적인 시스템을 구축한다면 감염병 대응의 효율도 높아질 것이다. 그러나 그에 합당한 안전장치가 수반되어야 한다. 정당한 목적으로 도입되었다고 할지라도 적절한 감독 장치가 없다면 얼마든지 남용될 수 있다. 이미 공공기관이 파악한 확진자의 세세한 개인정보가 무단으로 유출된 사건이 발생한 만큼, 시스템이 제대로 관리되고 있는지 우려하지 않을 수 없다. 해당 시스템이 법률에서 허용하는 목적으로만 사용되도록 관리적·기술적 보호대책을 철저히 마련하는 것은 물론, 열람자 로그 등을 기록하여 시스템이 오남용되지 않도록 관리해야 한다. 지자체 등 수집기관이 필요하다고 판단하면 별다른 요건 제한 없이 위치정보를 수집할 수 있고 이를 경찰이 수행하도록 하는 것도 문제다. 통신사실확인자료에 포함된 위치정보, 실시간 위치추적, 기지국 수사 방식의 개인정보 수집이 어떠한 요건으로 제공되고 어떠한 상황에서 어떤 수단이 사용될 수 있는지 엄격하고 제한적으로 법률에 규정될 필요가 있다. 또한 이러한 정보를 수집하는 주체는 경찰이 아니라 보건당국 등 공공보건 업무를 직접 수행하는 주체여야 마땅하고 그 처리에 대한 책임 또한 이들 기관이 지는 것이 합당하다. 이번에 긴급하게 구축된 경찰-통신사-신용카드사 연계 시스템 등 확진자 동선 추적 시스템 역시 사용목적이 다하면 데이터와 함께 폐기돼야 한다. 지난 3월 16일, 표현의 자유 특별보고관, 프라이버시 특별보고관 등 UN의 인권전문가들도 비상사태를 맞아 만들어진 감시권력은 공중 보건 보호를 위한 최소한의 수단으로 사용되어야 하며, 비상사태가 종결된 후에도 일상적인 기구로 남아있지 않도록 해야 한다고 지적한 바 있다.

공중보건 위기시 개인정보의 처리와 보호를 위한 법적 근거 보완 필요

최근 세계 각국 개인정보 감독기구들은 코로나19와 같은 공중보건 위기시 개인정보 처리에 대한 원칙을 밝히고 있다. 개인정보보호법은 공중보건 위기에 대응하기 위해 필요할 경우 정부가 개인정보를 처리하는 것을 막고 있지 않다. 그러나 이와 관련해서는 명확한 법적 근거가 구비되어 있어야 하며, 정보주체의 권리 제약은 필요한 최소한도에 그칠 수 있도록 비례적이어야 한다. 또한 이러한 개인정보 처리에는 접근 및 처리 권한을 필요 최소한의 범위로 제한하는 것을 포함한 적절한 안전조치가 취해져야 하며, 해당 공중보건 목적으로 수집된 개인정보는 목적 달성 이후 바로 폐기돼야 한다. 아울러 개인정보 처리와 관련한 사항을 정보주체에 고지하거나 동의를 받는 등의 절차를 마련해 정보주체의 권리를 가능한 한 보장해야 한다.

이러한 측면에서 보았을 때 우리나라의 개인정보보호법은 비상사태를 맞이한 지금 개인정보 보호 측면에서 여전히 공백이 많은 상태다. 감염병예방법에서 동선 파악을 위한 정보 수집이나 동선 공개 등에 대해 규정하고 있지만, 개인정보보호법이 어떤 상황에 어떻게 어디까지 적용되는지 명확하지 않다. 또한 개인정보보호법은 제58조 1항 3호에서 ‘공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우’ 개인정보를 ‘일시적으로’ 처리할 수 있도록 허용하면서, 3장부터 7장까지 개인정보보호법의 적용을 배제하고 있다. 따라서 긴급한 공중보건 목적을 위해 개인정보를 처리하더라도, 정보주체의 권리가 어디까지 보호되고 어떤 조건에서 제한되는지 개인정보 보호법 및 감염병예방법 등 관련 법률에 보다 구체적으로 규정할 필요가 있다.

앞으로도 코로나19와 같은 감염병이 수시로 재발할 수 있으며, 코로나19를 극복한 경험은 향후에 소중한 자산이 될 수 있을 것이다. 이는 단지 당장의 감염병을 통제하는 것을 넘어 우리 사회의 구조적인 취약함을 정확히 판단하고 향후 같은 문제가 재발하지 않도록 시스템을 정비하는 과정이 수반돼야 한다. 긴급한 보건의료적 필요성에 대응하면서도 정보인권을 균형있게 보호할 수 있는 시스템을 만들어야 한다.

2020년 3월 26일

경제정의실천시민연합, 광주인권지기활짝, 다산인권센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 빈곤과 차별에 저항하는 인권운동연대, 사단법인 정보인권연구소, 서울YMCA 시청자시민운동본부, 언론개혁시민연대, 연구공동체 건강과대안, 인권운동공간 활, 인권운동네트워크 바람, 인권운동사랑방, 인권중심사람, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 전국장애인차별철폐연대, 전북평화와인권연대, 진보네트워크센터, 참여연대, 한국게이인권운동단체 친구사이, 한국노동안전보건연구소