AI 및 PII 데이터 프라이버시 준수를 위한 새로운 ICO 가이드라인

AI 데이터를 합법적으로 수집하는 방법

ICO의 지침은 AI 활용이 부인할 수 없는 이점이 있지만 데이터 보호가 심각하게 고려되지 않을 때 사람들의 자유와 권리를 위험에 빠뜨릴 수도 있음을 인정합니다. 이를 위해 지침은 기업이 이러한 위험을 평가하고 완화하는 방법에 대한 유용한 프레임워크를 제공합니다.

이 가이드는 기업이 AI 및 개인 데이터를 처리하는 방법을 개선하기 위해 채택할 수 있는 8가지 전략적 요소를 다룹니다.

1. AI 생성 및 구현 시 위험 기반 절차 사용

AI를 사용할 때는 상황에 필요한지 판단해야 합니다. AI는 일반적으로 개인 정보와 상호 작용할 때 고위험 기술로 간주됩니다. 회사는 시스템이 제대로 작동하도록 개선하기 위해 많은 양의 데이터가 필요하며 데이터가 재판매될 수 있으므로 데이터를 받는 사람이나 사용 방법을 알지 못할 수 있습니다.

따라서 보다 효율적이고 프라이버시를 보호하는 대체품이 있을 수 있습니다.

ICO에서 명시한 대로 위험을 평가하고 위험을 줄이기 위해 필요한 조직적 및 기술적 안전 장치를 마련해야 합니다. 현실적으로 모든 위험을 완전히 제거하는 것은 불가능하며 데이터 보호법에서는 그렇게 하도록 의무화하지 않지만 다음을 확인하십시오.

• DPIA(데이터 보호 영향 평가)를 사용하여 AI 사용으로 인해 발생하는 데이터 보호법을 준수하지 않을 위험을 확인 및 줄이고 개인에 대한 피해를 방지합니다.
• 위험을 더 잘 이해하기 위해 AI 사용이 잠재적으로 영향을 미칠 수 있는 많은 그룹의 의견을 구하십시오.

법적으로 DPIA가 필요한 경우 AI 시스템을 배포하기 전에 DPIA를 수행하고 발견한 위험을 줄이거나 관리하는 데 도움이 되는 적절한 조직 및 기술 안전 장치를 도입해야 합니다. 처리가 이루어지기 전에 적절하게 완화할 수 없는 위험을 식별하는 경우 법적으로 ICO와 대화해야 합니다.

2. AI 시스템의 결정을 영향을 받는 사람들에게 설명하는 방법 고려

ICO에 따르면, 특히 기계 학습 및 복잡한 알고리즘과 관련하여 AI가 특정 결정 및 결과를 생성하는 방법을 설명하는 것은 어려울 수 있지만 그렇다고 해서 사람들에게 설명을 제공해서는 안 된다는 의미는 아닙니다.

ICO가 권장하는 내용은 다음과 같습니다.

• 개인 데이터를 수집하고 사용하는 방법과 이유에 대해 명확하고 개방적이며 투명하게 사람들에게 알려야 합니다.
• 귀사의 AI 시스템이 사용될 환경에서 어떤 정당성이 요구되는지 생각해 보십시오.
• 사람들이 당신의 설명을 어떻게 받아들일지 고려하십시오
• AI 시스템의 선택이 미칠 수 있는 영향을 분석하여 정당화가 얼마나 철저해야 하는지 결정합니다.
• 개별 권리 요청을 관리하는 방법 고려

3. AI 시스템을 만드는 데 필요한 정보만 수집합니다.

ICO는 가능할 때마다 데이터 수집을 제한할 것을 권고합니다. 이것은 데이터를 수집할 수 없다는 말이 아니라 GDPR 표준을 충족하는 방식으로 데이터를 관리한다는 의미일 뿐입니다.

다음을 수행해야 합니다.

• 사용하는 개인 정보가 정확하고 적절하며 관련성이 있고 제한적인지 확인하십시오. 이는 AI를 사용하는 상황에 따라 다릅니다.
• 개인 데이터를 처리하기 위해 AI를 사용하는 상황에 어떤 개인 정보 보호 방법이 적합한지 생각해 보십시오.

데이터 보호를 위한 정확성 원칙은 AI 시스템이 100% 정확할 것을 요구하지 않습니다. 대신 조직은 결과의 공정성과 전반적인 정확성을 보장하는 절차가 마련되어 있는지 확인해야 합니다.

4. 초기 단계에서 편견과 차별의 위험을 표시

AI 시스템이 편향되거나 차별로 이어질 수 있는 방법이 있습니다. 이로 인해 부정확하고 불균형한 데이터 세트가 생성될 수 있으며 이 문제를 조기에 해결하는 것이 데이터 개인 정보 보호 규정 준수의 중요한 측면입니다.

ICO는 다음을 권장합니다.

• 수집하는 데이터가 AI 시스템의 영향을 받는 커뮤니티 또는 다양한 그룹의 사람들에게 정확하고, 대표성이 있고, 신뢰할 수 있고, 관련성이 있고, 최신인지 확인합니다.
• 다양한 그룹에 대한 잠재적 영향과 결과를 매핑하여 AI 시스템이 내린 판단이 수용 가능한지 여부를 결정합니다.

5. 적절한 데이터 준비에 시간과 자원 투자

이미 언급했듯이 AI는 수집하는 데이터만큼만 신뢰할 수 있습니다. 따라서 조직은 필요한 데이터를 수집하는 데 충분한 리소스와 시간을 할애해야 합니다.

ICO는 다음을 권장합니다.

• 보호 특성 또는 특수 범주 데이터와 관련된 데이터의 라벨링에 관해서는 정의된 기준과 책임 라인이 있어야 합니다.
• 일관성을 유지하고 비정상적인 상황에 도움을 받으려면 여러 사람의 라벨러를 참여시켜야 합니다.

6. AI 시스템이 안전한지 확인

AI 시스템은 위험을 증가시키거나 새로운 보안 취약점을 도입할 가능성이 있습니다.

보안 조치와 관련하여 만능 접근 방식은 없습니다. 그러나 법을 준수하고 식별된 모든 위험에 비례하는 수준의 보안을 제공할 수 있도록 적절한 조직적 및 기술적 보호 장치를 마련해야 합니다.

ICO는 기업이 다음을 권장합니다.

• 잠재적 인 사고가 발생할 수 있는 위치에 대한 일반적인 개념을 얻을 수 있도록 모든 AI 시스템의 현재 인벤토리를 포함하는 보안 위험 평가를 수행합니다.
• 내부 보안 감사자 또는 외부 보안 감사자가 모델의 결함을 식별하고 해결하는 프로세스인 모델 디버깅을 수행합니다.
• 선제적 모니터링 체계 시행 및 비리점검

7. AI 결정에 대한 인간의 검토는 의미가 있어야 합니다.

AI의 목표에 따라 출력이 인간 의사 결정자를 돕기 위해 활용되고 있는지 또는 의사 결정이 완전히 자율적인지 여부를 초기에 결정해야 합니다.

ICO는 데이터 주체가 자신의 데이터와 관련된 선택이 전적으로 스스로 또는 AI의 도움으로 이루어졌는지 알 권리가 있음을 강조합니다. 가이드라인은 또한 그들이 사람을 돕기 위해 사용될 때 의미 있게 평가되어야 한다고 제안합니다.

이러한 리뷰가 의미가 있는지 확인하려면 리뷰어는 다음과 같아야 합니다.

• AI 시스템 결과를 평가하고 질문할 만큼 충분히 숙련됨
• 자동판단 뒤집기 가능
• 입력 데이터에 반영되지 않은 추가 요소 인지

결정이 법적 또는 기타 실질적인 영향을 미치는 경우 데이터 주체는 GDPR에 따라 적용되지 않을 권리가 있습니다. 그들은 또한 결정 뒤에 있는 추론에 대한 의미 있는 정보를 기대할 권리가 있습니다.

그렇기 때문에 권고사항이라고 명시되어 있어도 AI가 중요한 의사결정을 할 때는 사람의 검토가 필요하다.

8. 귀하의 AI 사용이 적절한지 확인하기 위해 외부 공급업체와 상의하십시오.

제3자로부터 AI 시스템을 구입한다고 해서 데이터 보호법을 준수할 책임이 면제되는 것은 아닙니다. 대부분의 경우 귀하는 AI 시스템을 배포하는 방법을 결정하는 데이터 관리자가 됩니다.