과도한 개인정보 수집으로 논란이 되면서 국내 서비스를 잠정 중단한 중국 생성형 인공지능(AI) 서비스 딥시크가 중국·미국 소재 해외 기업에 국내 이용자 개인정보를 이전한 것으로 확인됐다. 서비스 당시 개인정보 국외 이전과 관련한 국내 법 규정을 준수하지 않은 것으로 나타났다.
개인정보보호위원회는 24일 정부서울청사에서 브리핑을 통해 전날 전체회의에서 심의·의결한 '딥시크 사전 실태점검 결과'를 발표하면서 이같이 밝혔다.
개인정보위에 따르면 지난 1월 국내 서비스를 시작한 딥시크가 서비스를 중단한 2월 15일까지 약 한달 동안 한국 이용자의 개인정보를 중국 내 회사 3곳과 미국 내 1곳 등 총 4개 해외 업체에 이전한 것으로 확인됐다.
이 과정에서 이용자로부터 국외이전 동의를 받거나 개인정보 처리방침을 공개하지 않는 등 국내 개인정보호호법 규정을 지키지 않았다. 또 중국어와 영어로 된 처리방침만 있고 한국어는 제공하지 않았으며, 개인정보 파기 절차와 방법, 안전조치 등도 명시적으로 밝히지 않았다.
특히 딥시크는 과도한 정보를 수집해 해외 업체에 이전한 것으로 나타났다. 기기·네트워크·앱 정보 등은 물론 AI 프롬프트에 입력한 내용을 중국 내 업체인 볼케이노에 전송했다. 볼케이노는 중국 소셜미디어 '틱톡'의 모회사인 '바이트댄스'의 계열사다.
이에 대해 개인정보위는 이용자가 딥시크 프롬프트에 입력한 내용의 이전은 불필요하다고 지적했고, 딥시크 역시 이달 10일부터 신규 이전을 차단했다.
개인정보위 측은 "볼케이노는 바이트댄스의 계열사지만 별도 법인으로 바이트댄스와 무관하다"면서 "처리 위탁한 정보는 서비스 운영·개선 외 마케팅 등 목적으로는 이용하지 않고 있고 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명했다"고 밝혔다.
또 이용자가 프롬프트에 입력한 내용을 딥시크의 AI 개발·학습에 이용하고 있었으나, 이에 대해 이용자가 거부할 수 있도록 하는 '옵트아웃' 기능이 없었고 처리방침·이용 약관에도 '서비스 제공·개선'으로만 표시하는 등 충분한 설명이 없었던 것으로 나타났다.
아동 개인정보와 관련한 안전조치도 미흡했다. 딥시크가 14세 미만 아동 개인정보를 수집하지 않는다고 했지만 서비스 가입 시 연령 확인 절차가 없었다.
이에 개인정보위는 딥시크에 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기하도록 시정 권고했다. AI 학습에 이용할 경우 입력 데이터의 사용 목적을 알리고, 사용 여부에 대한 선택권을 보장하는 등 강화된 개인정보 보호조치를 준수하도록 했다. 이밖에 아동 개인정보의 수집 여부를 확인하고, 원할한 소통창구 역할인 국내 대리인을 지정하는 등 개선 권고했다.
개인정보위 측은 "개인정보 국외 이전이나 외부에 처리 위탁을 하는 것이 문제가 아니라, 그 과정에서 이용자에게 명시적으로 알리고 처리 목적·항목 등을 분명히 하도록 개선 조치를 취한 것"이라면서 "이후 개인정보위의 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 상시적으로 확인할 수 있도록 국내 대리인을 지정하도록 권고했다"고 밝혔다.
박진영 기자sunlight@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
