[공동 논평]
‘챗봇 이루다’의 개인정보보호법 위반 사실 확인,
AI 제품과 서비스도 개인정보보호법 준수 필요해
-개보위의 형사고발 조치 및 처리정지 미진은 아쉬움으로 남아
-기업의 무책임한 가명정보 이용으로부터 정보주체 권리보호 위한 법제도 개선해야
1. 어제(4/28), 개인정보보호위원회(위원장 윤종인, 이하 개보위)가 ‘챗봇 이루다’ 개발사 스캐터랩에 개인정보보호법 8개 항목 위반을 확인하고 과징금 및 과태료 총 1억 330만원을 부과했다. 앞서 개보위는 지난 1월 ‘챗봇 이루다’가 혐오와 차별적 대화를 사용하고 개발과정에서 불법적으로 이용자의 대화내용을 수집⋅이용했다는 등 논란이 일자 개인정보보호법 위반 가능성이 있다며 조사에 착수한 바 있다. 민변 디정위, 진보네트워크센터, 참여연대 역시 개보위가 언급한 개인정보보호법 제3조 7항 및 제39조의3 2항 위반 혐의 외에도 다수 조항 위반 사실과 혐의가 있으니 철저하게 조사해 달라는 민원(1/20)과 피해자를 대리하여 권리침해를 신고하고 처리정지를 요청(2/18)한 바 있다. 이번 개보위 결정은 당연한 결과로서 AI 제품과 서비스도 개인정보보호법 준수가 필요하다는 사실이 확인되었다. 다만 개보위가 형사고발 조치와 처리정지 부분에서 미진했던 부분은 아쉬움으로 남는다. 기업의 무책임한 가명정보 이용으로부터 정보주체 권리보호를 위한 법제도 개선 역시 필요하다.
2. 개보위의 조사 결과, 스캐터랩의 △대화내용이 서비스 개발에 이용된다는 사항을 정보주체에게 명확하게 인지할 수 있도록 고지, 동의받지 않은 행위, △민감정보를 처리할 때 별도로 동의받지 않은 행위, △6년 전 사용자의 대화내용을 아직도 파기하지 않는 등 서비스미사용자의 개인정보를 파기하지 않은 행위, △회원탈퇴한 이용자의 정보를 파기하지 않은 행위, △14세 미만의 아동의 개인정보를 법정대리인 동의 없이 수집한 행위, △‘챗봇 이루다’를 개발하면서 스캐터랩의 다른 서비스 이용자들의 대화내용을 이용한 행위, △이용자들의 카카오톡 대화를 깃허브라는 개발자 코드공유 및 협업사이트에 충분한 안전장치 없이 공개한 행위가 개인정보보호법 다수 조항을 위반했다는 점이 확인되었다. 이는 우리 시민단체들이 지적한 바와 거의 일치한다.
3. 그러나 서비스에 필요한 최소한의 개인 정보만 수집되어야 하고 수집된 개인 정보가 마케팅 및 광고에 이용되는 것은 정보주체가 선택하도록 한 개인정보보호법 제16조 1항 내지 3항을 적용하지 않은 점, 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 금지하는 개인정보보호법 제59조를 적용하지 않은 것은 납득하기 어렵다. 또한 개보위가 법 위반이라고 확인하고도 형사고발에 이르지 않은 점은 문제다. 개보위는 이용자의 성생활 등의 정보를 처리하면서 별도 동의를 받지 않은 점, 수집 목적 외로 이루다 학습에 이용자의 카카오톡 대화문장을 이용한 것, 깃허브사이트에 이용자의 카카오톡 대화를 공유한 사실을 각각 23조1항, 18조1항, 28조의2의 2항 위반이라고 하면서도, 형사고발 없이 과징금 조치를 하였을 뿐이다. 이렇게까지 법 위반 사실이 명백하다면 고발하여 법 위반에 대한 적절한 책임을 지게 하는 것이 국가 개인정보보호 감독기관으로서 취해야 할 마땅한 조치이다.
4. 나아가 카카오톡 대화가 이용자의 개인정보임에도 그 대화 상대방의 개인정보가 아니라고 본 점 역시 의문이다. 개보위가 발간한 해설서에서는 2인 이상에 관한 정보는 각자의 정보에 해당한다고 명시하고 있다. 무엇보다 개보위가 정보주체인 국민을 보호하기 위하여 보다 적극적인 시정조치를 취했어야 한다는 아쉬움도 남는다. 법 위반이 확인된 스캐터랩의 개인정보 처리에 대하여는 정보주체들이 처리정지를 신청할 수 있도록 하는 시정조치가 필요했다. 정보주체들이 처리정지를 신청하지 않는 데이터셋은 물론 불법 시스템과 소프트웨어는 원칙적으로 폐기하도록 조치할 필요도 있다. 이후 불법적인 AI기술개발을 시도하는 기업들에게 개인정보보호법의 준수는 선택이 아니라 필수이며, 법 위반과 기술개발은 양립할 수 없다는 확실한 메시지가 사회화되어야 재발 방지가 될 것이기 때문이다.
5. 이번 ‘챗봇 이루다’ 사례는 AI상품과 서비스 개발⋅운영 과정에서 언제든 발생할 수 있는 문제의 일면이다. 우리 시민사회단체는 이번 사건을 계기로 개보위가 적극적으로 제도개선에 나설 것을 요구한다. 무엇보다 현재 가명정보를 이용자의 인지나 동의 없이 기업의 상품개발, 마케팅 등 영리목적으로 이용할 수 있게 하여 많은 비판을 받아온 개인정보보호법상 가명정보 특례규정은 전면적인 개정이 필요하다. 또한 자동화된 의사결정에 이를 수 있는 챗봇이나 AI 개발, 서비스 제공 시 정보주체를 보호하기 위한 법제도 구축도 반드시 함께 이루어져야 할 것이다.
6. ‘챗봇 이루다’ 사건은 이번 개보위의 조사결과와 시정조치로 일단락되어서는 안 될 것이다. AI 상품, 서비스의 부작용은 이제 시작에 불과할 수 있기 때문이다. 앞으로 더 다양한 AI활용 상품이나 서비스가 사용, 운영되면 될수록 이용자의 개인정보 자기결정권 뿐만 아니라 평등권, 생명권, 사법접근권 등 다양한 기본권을 침해할 가능성은 더 높아질 것이다. 산업 육성이라는 경제적 이익에 우선하는 이른바 ‘데이터3법’(개인정보3법)을 통과시켜 개인정보를 가명처리한 후 정보주체의 동의 없이 인공지능 제품 등 기업의 상품 개발에 광범위하게 이용할 수 있도록 허용한 필연적 결과이기도 하다. 후퇴시킨 정보주체의 권리 보호를 위해 현재 가명정보에 대하여 배제한 열람권, 삭제권 등을 보장하는 법개정이 시급하다. 또한 이번 ‘챗봇 이루다’ 사건은 AI 산업이 지속가능하게 발전하기 위해서는 기술 지원과 함께 AI로 인하여 발생할 문제에 대한 예방책도 함께 고민하지 않으면 안된다는 점을 명백히 보여주었다. 특히 영리추구가 본질적 속성인 기업의 자율규제는 그 한계를 가질 수밖에 없다. 따라서 정보주체의 기본권 보호를 위한 법적 규제가 반드시 필요하다. 끝.
2021년 4월 29일
민주사회를 위한 변호사모임 디지털정보위원회,
진보네트워크센터, 참여연대