이루다 개발·서비스 과정에서 정보 주체의 동의 없이 개인정보를 수집하고 수집목적 외에 정보를 활용했다고 본 것이다. 다만 형사고발 조치는 하지 않았다.
이는 정부가 AI 기술을 활용하는 기업의 무분별한 개인정보 처리를 제재한 첫 사례다.
개인정보위는 스캐터랩이 자사 앱서비스인 '텍스트앳'과 '연애의 과학'에서 개인정보에 해당하는 카카오톡 대화(이용자 60만명의 대화 문장 94억건)를 수집해 챗봇 서비스 이루다의 개발·운영에 이용하는 과정에서 다수의 법 위반사항이 있었다고 결론지었다.
우선 카카오톡 대화를 이루다 개발과 서비스 운영에 활용한 것이 당초 개인정보 수집 목적을 벗어난 것으로 판단했다.
또한 이용자로부터 카카오톡 대화를 수집하면서 이를 명확히 인지할 수 있도록 알리고 동의를 받지도 않았다고 봤다.
스캐터랩이 개인정보처리방침에 '신규서비스 개발' 목적을 포함해 이용자 동의를 받기는 했으나 이것만으로는 이루다 같은 AI챗봇 서비스 개발에도 동의했다고 보기 어렵다는 것이다.'
하지만 조사 결과 스캐터랩은 카카오톡 대화에 포함된 이름, 휴대전화 번호, 주소 등 개인정보를 삭제하거나 암호화하는 조치를 전혀 하지 않았다.
스캐터랩은 또한 이루다 서비스 운영 과정에서는 20대 여성의 카카오톡 대화 문장 약 1억건을 응답 데이터베이스(DB)로 구축하고 이루다가 이 가운데 한 문장을 선택해서 발화하도록 했다.
이는 개인정보의 제3자 제공에 해당하는 것으로 이를 위해서는 정보주체의 동의를 받거나 익명정보로 전환해야 한다. 하지만 스캐터랩은 동의도 익명처리도 하지 않았다고 개인정보위는 설명했다.
스캐터랩이 2019년 10월∼올해 1월 IT 개발자들이 오픈소스를 공유하는 플랫폼 '깃허브'(GitHub)에 카카오톡 대화 문장 1천431건과 AI 모델을 게시한 것도 법 위반으로 판단됐다.
가명 정보를 불특정 다수에게 제공하면서 '특정 개인을 알아보기 위해 사용될 수 있는 정보'를 포함했기 때문이다.
다만 이 부분에 대해서는 고의로 가명정보를 재식별할 의도는 없었다고 보고 과태료나 과징금은 부과하지 않았다.
개인정보위는 이와 함께 법정대리인 동의 없이 14세 미만 아동의 개인정보를 수집한 행위, 성생활 등에 관한 정보를 처리하면서 별도 동의를 받지 않은 행위, 회원 탈퇴자나 1년 이상 서비스 미사용자의 개인정보 미파기 등에 대해서도 모두 법 위반으로 인정했다.'
다만 위반 사항과 관련해 별도로 수사기관에 고발은 하지 않았다.
개인정보처리자가 부정한 수단으로 개인정보를 취득하거나 직무상 알게 된 비밀을 누설하는 등 개인정보보호법상의 금지행위에 해당하는 경우, 매우 중대한 위반행위로 과징금을 부과받는 경우 등에는 고발 조치하게 돼 있으나 스캐터랩은 이에 해당하지 않았다고 개인정보위는 설명했다.
윤종인 개인정보위원장은 "이번 사건은 기업이 특정 서비스를 목적으로 수집한 개인정보를 이용자의 명시적 동의 없이 다른 서비스에 무분별하게 이용하는 것이 허용되지 않으며, 개인정보 처리에 대해 정보 주체가 명확하게 인지하도록 알리고 동의를 받아야 한다는 점을 분명히 했다는 의미가 있다"고 말했다.
윤 위원장은 이어 "이번 처분 결과가 AI 기술 기업이 개인정보를 이용할 때 올바른 개인정보 처리 방향을 제시하는 길잡이가 되고, 기업이 스스로 관리·감독을 강화해 나가는 계기가 되기를 바란다"고 덧붙였다. [연합뉴스]
이태준 글로벌이코노믹 기자 tjlee@g-enews.com