11.42
개인정보보호위원회는 지난 28일 제7회 전체회의를 통해 이 같은 결정을 내렸다고 밝혔다. AI 기술 기업의 무분별한 개인정보 처리를 제재한 첫 사례다.
개인정보위는 지난 1월 언론보도를 통해 조사에 착수했다. 국민과 산업에 미치는 영향을 고려해 AI 관련 법리적·기술적 쟁점에 대해 산업계, 법·학계, 시민단체 의견을 수렴하고 수차례 논의를 거쳤다고 설명했다.
개인정보위는 스캐터랩이 자사 앱 서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 카카오톡 대화를 지난해 2월부터 올해 1월까지 ‘이루다’ AI 개발·운영에 이용한 사실을 확인했다. 알고리즘 학습 과정에서 카카오톡 대화에 포함된 이름·휴대전화번호·주소 등 개인정보를 삭제하거나 암호화하는 등 조치가 전혀 이뤄지지 않았다.
스캐터랩은 약 60만명에 달하는 이용자 카카오톡 대화문장 94억여건을 이용했다. ‘이루다’ 서비스 과정에서는 20대 여성의 카카오톡 대화 문장 약 1억건을 응답 DB(데이터베이스)로 구축했다. ‘이루다’가 이 중 한 문장을 선택해 발화할 수 있도록 운영했다.
개인정보위는 ‘텍스트앳’과 ‘연애의 과학’ 개인정보처리방침에 ’신규 서비스 개발‘이 포함된 것에 대해 이것만으로 이용자가 ’이루다‘ 개발·운영에 자신의 카카오톡 대화가 쓰일 것을 예상하기 어렵다고 봤다. 이 때문에 개인정보처리방침 안내를 거쳐 로그인했다고 해서 이용자가 동의한 것은 아니라고 판단했다. 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있어 스캐터랩이 개인정보 수집 목적을 벗어나 이용했다고 결론지었다.
개인정보위는 스캐터랩이 개발자들의 코드 공유·협업 사이트 깃허브(Github)에 2019년 10월부터 올해 1월까지 카카오톡 대화 문장 1431건과 함께 AI 모델을 게시한 행위에 대해서도 다뤘다. 여기에는 이름 22건(성은 미포함)과 지명정보(구·동 단위) 34건, 성별, 대화 상대방과의 관계(친구 또는 연인) 등이 포함됐다. 이에 가명정보를 불특정 다수에게 제공하면서 ’특정 개인을 알아보기 위하여 사용될 수 있는 정보‘를 포함했다는 이유로 개인정보보호법 제28조의2제2항을 위반한 것으로 판단했다.
개인정보위는 조사 과정에서 정보주체가 명확히 인지할 수 있도록 알리고 동의를 받지 않은 사실 등 추가 위반 사실을 확인했다. 이에 ‘이루다’와 관련 사항을 포함해 총 8가지 개인정보 보호법 위반행위에 대해 스캐터랩에 총 1억330만원 과징금과 과태료를 부과하고 시정조치를 명령했다.
윤종인 개인정보위 위원장은 “‘이루다’ 사건은 전문가들조차 의견이 일치되지 않아 그 어느 때보다도 격렬한 논쟁이 있었고 매우 신중한 검토를 거쳐 결정됐다”며 “기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용하는 게 허용되지 않고, 개인정보 처리에 대해 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것을 분명히 했다는 점에 의미가 있다”고 설명했다.
개발사 스캐터랩 측은 입장을 내고 “이번 일을 거치며 AI 기술 기업으로서 관련 기술과 서비스를 발전시키는 과정에 있어 올바른 개인정보 처리의 필요성에 대한 무거운 사회적 책임을 느꼈다”며 “이번과 같은 일이 되풀이되지 않도록 1월 이루다 서비스 종료 후 바로 내부 TF팀을 구성해 보다 엄격한 기준 하에서 개인정보 처리에 필요한 프로세스 및 기술들을 마련해나가고 있다”고 밝혔다.