[파이낸셜뉴스] 과도한 개인정보 수집과 이용자 동의 없는 개인정보 국외 이전 등으로 논란이 된 중국 생성형AI '딥시크'가 개인정보보호위원회의 시정권고를 받았다. 딥시크는 문제가 된 데이터의 국외 이전을 차단하고 AI 학습 활용 거부 기능을 도입하는 등 개선에 나서기로 했다.
개인정보보호위원회는 지난 23일 전체회의를 열고, 딥시크에 대한 사전 실태점검 결과를 심의·의결했다고 24일 밝혔다.
개인정보위는 지난 1월 한국에 출시된 딥시크가 개인정보 국외 이전, AI 학습 활용 정보 미고지, 과도한 개인정보 수집 등으로 논란이 커지자 조사에 착수한 바 있다.
이번 조사 결과, 딥시크가 앱에서 수집된 개인정보를 국외이전할 때 이용자 동의를 받지 않았고 AI 학습 목적 정보 수집의 고지 부족 등 다수의 개인정보 보호 위반 소지가 확인됐다.
딥시크는 출시 당시 중국어, 영어로만 처리방침을 공개했고, 처리방침에도 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명·연락처 등 우리 보호법이 요구하는 사항을 누락했다. 특히 민감한 개인정보인 '키 입력 패턴·리듬'과 같은 광범위한 정보를 수집했다.
또 개인정보를 중국, 미국으로 이전하면서 이를 이용자에게 동의를 받지 않았고, 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 AI 프롬프트에 입력한 내용도 바이트댄스 계열사인 '베이징 볼케이노 엔진 테크놀로지'에 전송했다.
특히 딥시크는 공개된 데이터와 이용자가 프롬프트에 입력한 내용을 AI 개발·학습에 활용했지만, AI 프롬프트 입력 내용의 경우 이용자가 이를 거부할 수 있는 기능이 없었다.
이같은 개인정보위의 지적에 대해 딥시크는 한국어로 된 개인정보 처리방침과 별도의 대한민국 관할조항(처리법적 근거, 보유기간, 파기절차 및 방법, 개인정보 보호책임자 등)을 추가해 지난 3월 말 제출했다. 특히 문제가 됐던 키 입력 패턴은 "서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것"이라며 실제 수집한 사실은 없고 정확한 수집 항목으로 처리방침을 정비했음을 개인정보에 고지했다. 한국어 처리방침과 관할조항 전문은 딥시크 서비스 재개 시점에 웹과 앱을 통해 공개될 예정이다.
또 국외이전과 관련해, 볼케이노로의 전송은 이용자 UI, UX 등의 개선을 위해 클라우드 서비스를 이용한 것으로 설명하며, 개인정보위의 지적을 수용해 AI 프롬프트 입력 내용의 이전은 이달 10일자로 차단했다. 특히 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기하라는 요청도 수용했다고 개인정보위는 전했다.
아울러 AI 프롬프트 입력 내용을 AI 개발·학습 활용을 이용자가 거부할 수 있는 '옵트 아웃' 기능을 마련하는 등 개인정보위의 강화된 보호조치를 모두 준수하기로 했다.
아동 개인정보 보호 부문에서도 미비점이 드러났다. 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 주장했으나, 가입 절차에 연령 확인 기능이 없었고 개발 서버 접근 제한 등 일부 보안 취약점도 확인됐다. 이에 대해 딥시크는 연령 확인 절차를 도입하고 보안 조치를 완료했다는 입장을 전했다.
개인정보위는 딥시크에 개인정보 국외 이전시 합법근거를 충실히 구비하고, 한국어 처리방침 공개 등 서비스의 투명성을 지속 확보할 것을 시정권고하기로 했다.
남석 개인정보위 조사조정국장은 “딥시크가 10일 이내 시정권고를 수락하면 시정명령이 된 것으로 간주되며, 60일 내 이행 결과를 보고해야 한다”며 “실제 조치 이행 여부는 최소 2회 이상 후속 점검을 통해 지속적으로 관리할 것”이라고 말했다.
한편, 개인정보위는 이번 사례를 계기로 해외 사업자를 위한 ‘개인정보 보호법 적용 안내서’의 핵심 내용을 체크리스트로 제작해 배포할 예정이다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지