[Tech & Law] 생성형 AI와 글로벌 프라이버시 보호 규제

이성엽 고려대 기술경영전문대학원 교수

빠르게 확산되고 있는 생성형 AI인 오픈AI의 챗GPT가 세계 각국의 규제당국으로부터 프라이버시 보호 규제에 직면하고 있다. 먼저 포문을 연 것은 이탈리아이다. 지난 3월 31일 이탈리아 데이터보호청은 개인정보 보호를 이유로 챗GPT 접속을 차단했다. 데이터 보호청은 오픈AI가 챗GPT 알고리즘 훈련을 위해 개인정보를 수집하고 저장하는 것을 정당화할 법적 근거가 없다고 지적했고, 또한 이용자 연령과 관련 13세 미만의 어린이에게도 부적절한 응답 내용에 접근하도록 한 것이 적절한지 검토가 필요하다고 했다. 이에 데이터 보호청은 챗GPT의 데이터 처리 방법 등 정보를 자사 웹사이트에 게시할 것, 챗GPT가 부정확하게 생성한 개인정보를 수정·삭제할 수 있도록 하는 도구를 추가할 것, 이용자 연령 확인 시스템을 도입할 것을 오픈AI에 서비스 재개 조건으로 제시했고, 오픈AI는 이 조건을 반영한 뒤 4월 28일 서비스를 재개했다.

미국 연방거래위원회(FTC)도 챗GPT의 소비자보호법 위반 여부를 조사하기 시작했다. FTC는 오픈AI가 소비자의 평판에 피해를 주는 불공정하거나 기만적인 행위를 했는지 조사하고 있는데, 오픈AI가 챗GPT를 교육하는 데 어떤 자료를 사용했으며 그 자료의 출처와 취득 방식도 밝히라고 했다. 또 오픈AI가 지난 3월 공지한 이용자의 개인정보 유출 사고와 관련한 자료도 요구했다고 밝혔다.

한국도 규제대열에 합류했다. 지난 7월 26일 개인정보보호위원회는 최근 개인정보 유출이 발생한 오픈AI에 대해 개인정보보호법상 신고 의무 위반으로 과태료 360만 원을 부과하고, “재발 방지대책 수립, 국내 개인정보보호법 준수, 개인정보위의 사전 실태점검에 적극 협력” 등을 내용으로 하는 개선권고를 했다고 밝혔다.

법 위반 등 이슈가 된 사항은 다음 세 가지이다. 첫째, 개인정보 유출 건이다. ‘23. 3. 20. 17시부터 3. 21. 2시 사이 챗GPT 플러스에 접속한 전 세계 이용자 일부의 성명, 이메일, 결제지, 신용카드 번호 4자리와 만료일이 다른 이용자에게 노출되었는데, 여기에는 한국 이용자 687명이 포함된 것으로 확인되었다. 이 유출이 개인정보 안전조치의무 위반으로 보기는 어려우나, 유출 인지 후 24시간 내 신고하도록 되어 있는 의무를 위반한 것에 대해 과태료를 부과했고, 개인정보처리시스템을 자체적으로 점검 후 재발 방지대책을 수립할 것을 권고했다. 둘째, 개인정보보호법 위반 건이다. 개인정보처리방침과 실제 가입 절차 등을 검토한 결과, 처리방침을 영문으로만 제공하고 있고, 별도 동의 절차가 없으며, 내용상 위·수탁 관계, 구체적 파기 절차 및 방법, 국내 대리인이 명확하지 않은 등 보호법상 의무 미흡 사항 등이 발견되었다. 또한, 13세 미만에 대해 가입을 제한하고 있어 국내 보호법상 법정대리인 동의 적용 연령 기준인 14세 미만과 불일치하는 문제도 있었다. 셋째, 최신 기술로서 프라이버시 침해요인을 점검하기 위해, 개인정보 등 데이터 수집 및 활용, 한국어 학습데이터의 출처, 윤리 문제 예방 노력, 수집거부 방법 등에 대해서도 자료를 요구하였으나, 오픈AI 측의 설명은 일반적‧포괄적 수준에 그쳐 명확한 분석이 곤란하였다.

사실상 한국의 개인정보위는 세계 최초로 글로벌 신규서비스인 챗GPT에 대해 자국 국민의 데이터 보호를 위해 규제 권한을 행사했다. 특히, 개인정보위는 오픈AI가 서비스 국가(Supported countries and territories)에 대한민국(South Korea)을 포함하고 있는 점, 기술보고서상 한국어 정확도가 77%에 이른다고 명시한 점, 한국 이용자가 있는 점 등을 종합적으로 고려해 한국 개인정보보호법 적용대상으로 판단했다.

이 사례들에서 알 수 있는 바와 같이 글로벌 플랫폼 기업은 서비스 대상 국가별로 요구되는 프라이버시 규제를 준수하여야 한다. 그렇다면 이런 컴플라이언스 의무는 규범의 파편화 현상으로 봐야 하는 것인지 아니면 국가의 데이터 주권 차원으로 봐야 할 것인지 문제가 될 수 있다. 국가 이익 관점에서 보면 양자는 매우 상대적 개념이다. 디지털 선진국 입장에서는 후진국의 데이터 규제가 규범의 파편화로 인식될 수 있음에 비해, 후진국 입장에서는 데이터 주권의 문제로 인식된다. 미국기업인 오픈AI의 입장에서 보면 EU, 한국 등의 상대적으로 강한 프라이버시 규제는 생성형 AI 서비스 제공에 큰 장벽이 된다. 이미 글로벌 기업인 한국의 현대자동차가 자율주행을 위해 데이터를 처리하는 경우나 삼성전자가 디지털 기기를 판매하면서 개인정보를 처리하는 경우 각국의 다양한 데이터 규제는 장벽이 된다.

그러나 규제가 가지는 속지주의적 특성으로 인해 글로벌 기업들은 엄청난 비용이 수반됨에도 불구하고 서비스 제공 국가의 규제를 준수하지 않을 수 없다. 결국 디지털 기술이 가진 초국경성, 초연결성이라는 특성으로 인해 전 세계는 인터넷을 통해 하나로 연결되어 있지만, 각국은 자국 이익을 고려해 각기 다른 데이터 정책을 규범화 하면서 국가 간 갈등이 일어나고 있는 것이다. 이런 상황에서 중요한 역할을 하는 것이 디지털 통상협정 내 데이터 규범이다, 이는 각국의 데이터의 상호 운용성과 공통된 표준을 촉진하여 글로벌 디지털 시장에 통일된 데이터 거버넌스 도입을 촉진하는 역할을 하고 있다.

개방과 혁신을 통해 성장한 한국 입장에서 데이터 규범은 산업의 경쟁력을 결정짓는 중요한 요소이다. 글로벌 데이터 규범 정립에 한국의 이익을 적극적으로 반영하고, 데이터 규범 논의와 연계해 국내 제도개선에도 노력해야 할 것이다. 특히, 한국의 경우 글로벌 진출을 원하는 플랫폼, 데이터 기업들이 국내 데이터 규제로 인해 글로벌 사업자와 국내 사업자 간 차별이 생기지 않도록 국내 데이터 규제를 개선하여 국내 사업자의 해외 진출을 촉진할 수 있도록 해야 할 것이다.

이성엽 고려대 기술경영전문대학원 교수·기술법정책센터 센터장

- Copyright ⓒ 조선비즈 & Chosun.com -