EDPB opinion on AI models: GDPR principles support responsible AI
European Data Protection Board

이제는 관심을 더 가지려고 하지만 보던게 있어 보게되는 유럽 규제 사례. 작년 7월 메타는 개인정보보호법 적용이 명확하지 않아 최신 오픈소스 언어모델(Llama) 출시를 하지 않는다고 했으나, EU는 24년 말 지침에 관해 이야기했다. 규제의 문제라고 할 수 있는 것들, 명확하게 설명하는 것이 느리고 규정이 모호한 부분이 많다는 점. 아래는 기계 요약

1. AI 모델이 익명으로 간주될 수 있는 기준
   AI 모델이 익명성(Anonymity)을 갖추려면 개인을 직접 또는 간접적으로 식별할 가능성이 매우 낮아야 한다.
   또한, 사용자의 쿼리를 통해 개인 데이터를 추출할 가능성도 매우 낮아야 한다.
   익명성을 입증하기 위한 방법에 대한 비규범적(non-prescriptive)이고 포괄적이지 않은(non-exhaustive) 예시 목록이 제공됨.
2. AI 모델 개발 및 배포 시 ‘정당한 이익(Legitimate Interest)’을 법적 근거로 사용할 수 있는지
   AI 모델이 개인 데이터를 처리할 때 ‘정당한 이익’을 법적 근거로 인정받을 수 있는지 여부는 사례별로 평가해야 한다.
   평가를 위한 3단계 테스트가 제시되었으며, 대화형 AI 및 사이버 보안 강화 AI 같은 경우 사용자에게 이익이 되는 서비스라면 ‘정당한 이익’을 기반으로 운영될 수도 있음.
   단, 데이터 처리가 ‘엄격히 필요’하다는 점을 입증해야 하며, 개인의 권리와 이익의 균형을 맞춰야 한다.
3. AI 모델이 사용자의 개인 데이터를 처리할 수 있는지에 대한 기준
   사용자가 자신의 데이터가 AI 모델에 의해 사용될 것이라고 ‘합리적으로 예상할 수 있는지’를 평가하는 기준을 제시함.
   개인 데이터가 공개적으로 이용 가능한 정보인지 여부
   데이터가 어떤 맥락에서 수집되었으며, 이후 어떻게 활용될 가능성이 있는지
   개인이 자신의 데이터가 온라인에 공개되어 있다는 사실을 알고 있는지
4. 불법적으로 수집된 데이터로 개발된 AI 모델의 적법성
   AI 모델이 불법적으로 수집된 개인 데이터를 활용해 개발되었다면, 해당 모델의 사용이 적법하지 않을 수 있다.
   단, 모델이 완전히 익명화되었다면 이러한 문제를 회피할 수 있음.