생성형 인공지능 시대의 개인정보보호

소비자 데이터는 여전히 위협 행위자들의 주요 타겟이며, 조직의 데이터 소비는 이를 보호하기 위해 조정되어야 한다. 새로운 권리법은 일부 이러한 조치를 목표로 하지만, 여전히 수정이 필요하다.

 

Credit: Needpix.com

 

 

2024년 미국 프라이버시 권리법(APRA)은 지금까지 미국인들을 위한 프라이버시를 정의하는 가장 포괄적인 제안된 국가 법안으로, 이는 역사적으로 연방 승인에 어려움을 의미해왔다. 우리는 조직을 지금까지 보지 못한 수준으로 책임지게 하는 법안을 보고 있다. APRA와 함께, 이러한 회사들은 다음을 필요로 할 것이다:

 

• 연간 CEO 서명 인증서
• 프라이버시 및 보안 책임자에 대한 의무 보고 라인(보고서나 예산이 없는 명목상의 프라이버시 책임자를 둘 수 없다)
• 2년마다의 감사와 프라이버시 영향 평가(PIA)
• 지난 10년 동안의 프라이버시 정책을 게시하고 프라이버시와 관련된 소비자 요청에 대한 연례 보고서 제공

 

미국이 최근에 포괄적인 데이터 프라이버시 법안을 통과시키지 않은 이유는 명확하다: 회사들은 주로 소비자 데이터를 통해 수익을 창출한다. 데이터는 수익성이 있으며, 이 현금 흐름을 제한하면 경제적 파급 효과가 발생할 수 있다. 그러나 선의의 APRA는 일부 검토가 필요하다. 특히, 시민권 및 알고리즘 섹션은 투명성과 윤리에 대한 관심이 부족하다.

 

"해당 기관"과 "서비스 제공자" 간의 동적 관계는 소매업체와 같은 기관이 준수 유지를 위한 잘 정의된 프로세스, 프로그램 및 절차를 갖추도록 책임을 부과하는 방식으로 상세히 기술되어 있다. 백라벨 로열티 프로그램과 같은 서비스 제공자에게는 책임이 부과되지 않는다. 이는 우리가 모두 경험한 문제를 제기한다: 제3자 플랫폼에 올려진 창피한 사진을 삭제하려고 하면 항상 다시 나타나는 것 같다.

 

또 다른 예로, APRA는 "정의된 그룹이나 결과에 대한 중대한 피해 위험"이 있는 경우 연례 알고리즘 영향 평가를 요구한다. 영향을 측정하고 중대한 피해 위험을 정의하는 방법은 명확하지 않다. 보호된 계층의 구성원이 알고리즘을 사용하는 제공자로부터 대출을 거부당해 차를 잃는 경우, 이는 중대한 피해인가? 한 제공자로부터 거부당했지만 다른 제공자로부터 대출을 받은 경우는 어떨까? 첫 번째 제공자가 편향이나 차별적 영향을 책임질 수 있을까?

 

분명히, 미국은 광범위하고 포괄적인 데이터 프라이버시 규제가 필요하다. 모든 소비자는 소셜 미디어 거대 기업과 같은 조직에 의해 자신의 개인 식별 정보(PII)와 온라인 활동이 수집되고 있다 — 심지어 소비자가 계정을 가지고 있지 않더라도. 이러한 회사들은 사용자 활동이나 이 방식으로 수집된 데이터를 민감한 데이터로 정의하거나 데이터 수집 사실을 개인에게 알릴 의무가 없다. 그들의 주장은 데이터를 실제로 판매하지 않고, 대신 타겟팅을 위해 제3자에게 데이터에 대한 접근을 판매한다는 것이다.

 

오늘날의 기술과 우리의 집행 능력이 요구 사항을 따라잡기 위해서는 개선이 필요할 수 있다는 점에서, 이 문제에는 회색 지대가 많다.

 

생성형 인공지능에 대한 신뢰가 지나친가?

ChatGPT와 같은 독점 생성형 인공지능(GenAI) 모델의 확산은 이러한 모델이 구축되는 데이터와 그 반응에 미치는 영향을 고려할 때 새로운 문제를 야기한다.

 

우리는 사회에서 가장 밝은 사람들이 GenAI가 정확하고 증거 기반의 반응을 생성할 것이라는 잘못된 인식에 빠지는 사례를 보았다. 2023년 6월, 뉴욕의 변호사들이 ChatGPT를 사용하여 소송 개요를 작성한 후, GenAI가 응답에서 가짜 사례를 만들어낸 것이 드러났다.

기업과 개인에게 복잡성을 더하는 것은 편견을 감지할 수 없는 능력이다. 다른 모델은 다른 결과를 생성할 가능성이 높아 투명성과 윤리에 대한 문제를 야기하며, APRA 내에서 서비스 제공자가 어떻게 GenAI 모델이 고객 간 공정하고 공평한 결과를 제공하도록 보장할 수 있는지에 대한 문제를 제기한다.

예를 들어, 고객이 대출을 받기 위해 물리적 은행에 방문했지만 거절당한 경우, 명확한 정책이 마련되어 있으며 이는 거절과 함께 전달될 가능성이 크다.

 

이 시나리오에서는 명확한 정책 기반 해결책이 있지만, 은행 직원을 GenAI 모델로 대체하면, 구축된 데이터나 정책을 볼 수 없다. GenAI가 잘못된 데이터나 편향된 데이터로 구축되지 않았다는 것을 어떻게 알 수 있을까?

 

APRA가 궁극적으로 원하는 결과를 달성하려면, GenAI가 공정하게 해석하고 해석할 수 있는 명확히 정의되고 확립된 정책이 필요하다. 우리는 이 현실에서 여러 혁신 주기만큼 멀리 떨어져 있을 가능성이 크다. 이러한 이유로 인간 운영자가 이러한 정책을 책임지고 모델이 이를 준수하도록 해야 한다.

 

아직 해결책이 없다

APRA는 GenAI 사용을 위한 기초를 마련하는 데 좋은 출발점이지만, 우리는 여전히 적절한 인간 감독과 개입 없이 작동할 수 있는 인공지능 일반 지능에서 멀리 떨어져 있다. 우리는 여전히 AI를 효과적으로 사용하기 위해 인간 운영자가 필요하며, 이러한 도구를 인간이 이미 하고 있는 일의 보완적 확장으로 고려해야 한다.

일부 회사는 여전히 AI를 프로세스에 통합하는 빠르고 격렬한 접근 방식을 채택하고 있지만, 어디서든 높은 가치의 고객 데이터를 이러한 GenAI 모델에 넣어야 한다. 결국, 높은 가치의 데이터는 이러한 도구와 함께 높은 가치의 결과를 가져온다. 문제는 민감한 데이터를 보호하면서 조직의 이점을 활용하는 것이다.

소비자의 개인 데이터는 여전히 위협 행위자들의 주요 목표이며, 조직의 데이터 소비는 이를 무단 접근으로부터 보호하기 위해 조정되어야 한다. APRA는 이를 일부 해결하려고 하지만, 미국인들에게 포괄적인 보호를 제공하기 위해 여전히 수정이 필요할 수 있다.

 

 

출처: Nathan Vega | Dark Reading (2024년 5월 31일)