AI 디지털교과서(AIDT)는 학생 개개인의 학업능력이나 성과에 따라 개인화된 맞춤형 교육을 추구한다는 점에서 교육의 새로운 혁신으로 평가할 수 있다. 반면, 민간 사업자가 AIDT를 개발·운영하면서 학생 정보를 처리할 수 있게 된다는 점에서 개인정보 보호 또는 프라이버시 관점에서 우려를 제기하는 사람들도 있다. AIDT 혁신도 중요하지만, 이 과정에서 미성년자인 초·중등생의 개인정보를 안전하게 보호하고 관리할 수 있도록 하는 것 역시 중요한 과제다.

법에 따른 의무 준수 중요해

우리나라는 그동안 개인정보 보호 및 프라이버시 수준을 증가시키기 위한 노력을 꾸준히 진행해 왔는데, 개인정보보호법이 그중 하나라고 할 수 있다. AIDT를 도입하는 과정에서도 출발점은 법 준수라고 할 수 있다.

개인정보보호법은 개인정보를 합법적으로 처리할 수 있는 근거를 ‘수집·이용’, ‘제3자 제공’, ‘목적 외 이용·제공’으로 구분해 규정하고 있다. 예를 들어, 정보 주체의 동의를 받거나, 계약을 체결하는 등 개인정보 보호법 제15조 제1항 각호의 사유에 해당할 경우에만 개인정보를 수집·이용할 수 있다. 이러한 합법적 처리 근거는 개인정보보호 수준을 확보하기 위한 최소한의 기본적인 요건이다. 개인정보의 합법적 처리 근거가 확보돼도 실제 개인정보를 안전하게 처리하기 위해 개인정보 보호책임자 지정, 안전성 확보에 필요한 기술적·관리적 및 물리적 조치, 개인정보처리방침 공개 등과 같은 다양한 의무 사항들을 준수해야 한다.

AIDT도 마찬가지다. AIDT의 설계·개발에서부터 활용 단계까지 AIDT가 이용되는 과정에서 개인정보를 수집·이용 및 처리하는 자들은 모두 법에 따른 다양한 의무를 준수해야 한다. 이러한 의무에는 개인정보 합법적 처리 근거 확보, 수집한 개인정보의 목적 외 활용 금지 등이 포함되며, 이를 위반하면 벌칙을 받게 되는 등 학생들의 개인정보가 엄격히 보호된다.

교육부도 학습데이터 보호를 위해 엄격한 보안 규정을 적용하고 있다. AIDT 검정 심사에 합격하기 위해서는 클라우드 보안인증(CSAP) 중 등급 이상을 확보해야 한다. 보안인증에 관한 고시에 따라 관리적 보안 사항, 물리적 보안 사항, 기술적 보안 사항 등에 대한 지침을 준수해야 한다.

나아가 AIDT와 관련된 다양한 기관 및 주체도 법에서 규정하는 바에 따라 각자의 역할 및 책임을 수행하며, 유기적으로 연계하려는 노력을 지속해야 한다. 이때 범부처 개인정보 관련 정책의 총괄 부서로서 개인정보보호위원회와의 협력도 가능할 것이다.

정보 처리와 보호 균형 구축해야

AI 시대로 접어들면서 개인정보 보호의 새로운 국면에 직면하고 있다. AIDT와 같은 혁신적인 서비스를 개발·제공할 때 개인정보 처리는 필수적일 수밖에 없다. 혁신을 위한 개인정보 처리와 보호 사이에서 균형 있게 적용될 수 있도록 해야 한다. 학습데이터 안전망을 마련해 더 안전하고 신뢰성 있는 AIDT 활용 기반을 구축할 필요가 있다.