​변호사가 직접 작성한 지식글만 게재합니다.

‘이루다’ 사건을 통해 살펴본 AI 스타트업의 개인정보 보호 관련 규제 대응방안

7월 7일 업데이트됨


개인정보보호위원회(이하 개보위)는 지난 4월말 인공지능 챗봇 ‘이루다’ 서비스를 개발한 스타트업인 ㈜스캐터랩에 과징금, 과태료 합산 총 1억330만원의 제재금을 부과하고 시정조치를 명하였다.

‘이루다’ 사건에서 개보위 의결의 취지는 ① ‘카카오톡 대화’는 회원정보와 결합할 경우 해당 대화를 발화한 자연인을 식별할 수 있는 개인정보에 해당한다는 판단을 전제로 하여 ㈜스캐터랩이 ② 일방 당사자의 동의만으로 ‘카카오톡 대화’를 수집한 행위는 정보주체가 명확하게 인지할 수 있도록 알리고 개인정보 수집에 관한 동의를 받은 것이라고 볼 수 없으며, ③ 개인정보 처리방침에 ‘신규 서비스 개발’을 기재한 것만으로는 정보주체가 ‘이루다’와 같은 AI 서비스 개발을 위해 자신의 카카오톡 대화가 이용될 것이라고 예상할 수 없으므로 개인정보 수집·이용 목적을 벗어난 것이고, 나아가 ④ 이름, 거주지 등의 개인정보가 포함된 카카오톡 대화 문장을 소스코드 공유 사이트인 깃허브에 공유한 행위는 식별가능성 있는 개인정보가 포함된 가명정보를 제3자에게 제공한 행위라는 것이다.

AI 기술의 핵심은 다량의 학습 데이터 수집을 통한 알고리즘을 개발하는 데 있다는 점에서, 개인정보 보호 관련 규제로 인한 법적 리스크가 상당하다.

‘이루다’ 사건은 AI 기술 관련 개인정보 보호법 위반에 대한 첫 제재 처분으로, 해당 분야에서의 적법한 개인정보 처리방식에 대한 명확한 기준이 마련되지 않은 사태에서 지나치게 엄격한 잣대를 들이댄 것이 아니냐는 비판도 있다.

그러나 AI 기술을 활용한 서비스를 개발하는 스타트업에게 가장 큰 리스크로 다가오는 것은 규제에 대한 불확실성이라고 할 수 있다. 이런 측면에서 보면 개보위의 ‘이루다’에 대한 제재 처분은 AI 스타트업이 따라야 할 개인정보 수집·이용 기준을 마련하였다는 점에서 오히려 불확실성을 해소해준 선례라고도 볼 수 있다.

이하에서는 ‘이루다’ 사건에 대한 개보위의 결정을 통해 살펴본 AI 스타트업의 개인정보 보호 관련 규제 대응 방안에 대해 살펴보겠다.

<1> 우선 AI 기술을 개발하기 위해 수집하는 학습 데이터에 개인정보가 포함되어 있는지를 사전에 확인해야 한다. AI 학습 데이터는 사진, 음성, 영상, 대화 등 형태와 구조가 규격화되지 않은 ‘비정형 데이터’의 형태인 경우가 많다. 이때 비정형 데이터가 개인정보를 포함하는 경우는 물론 특정 개인을 알아볼 수 있는 정보와 결합하여 이용되는 경우, 비정형 데이터 자체가 개인정보에 해당하므로, 정보주체로부터 수집·이용에 대한 동의가 확보되었는지를 유념하여야 한다.

<2> 다음으로 정보주체로부터 동의를 구함에 있어 특별히 유의해야 할 점은, 개인정보 수집·이용 목적을 명확하고 구체적으로 특정해야 한다는 점이다. ‘이루다’ 사건에서와 같이, 많은 온라인 서비스 제공자들은 이용자로부터 개인정보 수집·이용 동의를 구할 당시 ‘신규 서비스 개발’과 같은 일반적이고 포괄적인 이용목적을 기재하는 경우가 흔하다.

그러나 금번 ‘이루다’ 사건에서 개보위는 정보주체로부터 동의를 구할 당시 고지된 수집·이용 목적을 통하여 이용자가 자신의 개인정보가 어떤 방식으로 이용될 것인지를 예상하기 어렵다면, 이용자가 예측할 수 없는 방식으로 개인정보를 이용한 행위는 목적 외 활용에 해당한다고 판단하였다. 동의의 대상과 범위가 불명확해 정보주체가 구체적인 내용을 예상하기 어려운 경우에는 적법한 동의로 인정할 수 없다는 것이다.

다시 말해, 여러 가지 서비스를 제공하는 사업자가 특정 서비스 제공을 위해 수집한 정보를 다른 서비스 개발 및 운영에 광범위하게 활용하는 것은 허용되지 않는다. 따라서, AI 스타트업의 입장에서는 개인정보 수집시 수집·이용 목적 고지의 구체성에 대해 세심하게 점검하여야 한다.

<3> 만일 AI 기업이 활용하는 비정형 데이터와 관련하여, 성질상 정보주체로부터 수집·이용 동의를 구하는 것이 여의치 않을 경우, 비정형 데이터 중 개인정보에 해당하는 부분에 대한 적절한 가명처리가 이루어질 수 있도록 해야 한다. 개정 개인정보 보호법에 신설된 가명정보의 처리에 관한 특례눈 적법하게 가명처리된 데이터의 폭넓은 활용을 허용하고 있으므로, 비정형 데이터에 포함된 식별성 정보를 엄격하게 삭제 또는 대체하여 자유롭게 활용하는 방안을 검토할 필요성이 있다.

이상에서 살펴본 바와 같이, AI 기술을 개발하는 스타트업은 학습 데이터 수집 시 개인정보가 포함되는지 여부, 개인정보가 포함될 경우 그 수집·이용 동의가 적법하게 이루어졌는지 여부, 만일 동의를 구하기 어렵다면 가명처리가 적절히 이루어졌는지 여부를 순차로 점검하여, 개인정보 보호법 위반으로 인한 규제에 대한 체계적 대응방안을 마련하는 것이 필수적이다.

* 법무법인 민후 현수진 변호사 작성, 디지털데일리(2021. 5. 21.) 기고.

Today's Pick