 |
인공지능(AI) 챗봇이 개인정보 데이터를 학습해도 되는 걸까요? 구체적으로 어디까지 위법일까요?
작년 6월, AI와 개인정보 처리에 관한 국내 첫 분쟁 사례로 평가되는 AI 챗봇 ‘이루다’ 사건의 제1심 판결이 선고되었습니다. 이 사건은 ‘이루다’의 제작사인 스캐터랩이 운영한 ‘연애의 과학’ 및 ‘텍스트앳’ 서비스 이용자들이 자신이 업로드한 개인정보가 ‘이루다’의 AI 학습에 무단으로 사용되었음을 주장하며 손해배상청구 소송을 제기하면서 시작되었는데요. 재판부는 스캐터랩이 이용자들의 카카오톡 대화 등을 AI 모델 개발을 위한 알고리즘 학습 목적으로 이용하면서도, 개인정보의 이용에 관한 실질적인 동의를 받지 않았다며 스캐터랩의 손해배상책임을 인정했습니다.
이 사건은 스캐터랩의 항소로 현재 항소심이 진행 중이어서 아직 판결이 확정되지는 않았습니다. 다만 이 판결은 AI 학습 과정에서 개인정보 처리의 적법성을 어떻게 판단할지에 관한 기준을 제시한다는 점에서 의미가 큽니다. 이번 편에서는 재판부가 스캐터랩의 손해배상책임을 인정한 근거가 무엇인지를 쟁점별로 살펴보고자 합니다.
스캐터랩의 회원가입 절차 및 개인정보처리방침의 내용
스캐터랩이 운영한 ‘연애의 과학’ 및 ‘텍스트앳’은 이용자들이 연애 상대방과의 카카오톡 대화 내역을 업로드하면 이를 기반으로 연애 팁 등을 제공하는 서비스입니다. 이용자들이 스캐터랩 서비스에 회원가입하기 위해서는 이용약관과 개인정보처리방침에 체크하여 동의하거나, ‘로그인함으로써 이용약관 및 개인정보처리방침에 동의합니다’라는 문구를 확인하도록 되어 있었습니다.
스캐터랩의 당시 개인정보처리방침은 개인정보의 수집 및 이용 목적에 서비스 제공 외에도 아래와 같이 신규 서비스 개발 등에의 활용을 포함하고 있었습니다.
라. 신규 서비스 개발 및 마케팅·광고에의 활용개인정보의 수집·이용에 관한 실질적 동의가 있었다고 볼 수 있는지?
신규 서비스 개발 및 맞춤 서비스 제공, 통계학적 특성에 따른 서비스 제공 및 광고 게재, 서비스의 유효성 확인, 이벤트 및 광고성 정보 제공 및 참여기회 제공, 접속빈도 파악, 회원의 서비스이용에 대한 통계
재판부는 스캐터랩이 ‘이용약관과 개인정보처리방침에 동의한다’거나 ‘로그인함으로써 약관이나 개인정보처리방침에 동의한 것으로 본다’는 안내를 하고 체크박스를 두면서, ‘개인정보처리방침’ 문구를 클릭하면 팝업창을 통해 그 내용을 확인할 수 있도록 한 것만으로는 이용자들의 실질적인 동의가 있었다고 볼 수 없다고 판단했습니다.
많은 서비스들이 회원가입 시 이용약관과 개인정보처리방침에 체크하여 동의하도록 하는 방식을 사용하고 있는데, 그렇다면 여태까지 잘못된 방식으로 동의를 받아온 것인지 의문이 들 수 있습니다. 그렇지만 법원은 실질적 동의가 있었는지 여부를 판단함에 있어 ① 이용자가 그 내용을 명확하게 인식할 수 있었는지와 ② 이용자가 자유롭게 동의 여부를 결정할 수 있었는지를 고려합니다. 따라서 체크박스 동의 형식 자체의 문제가 아니라, 이 사건에서는 ① 개인정보처리방침을 별도로 클릭하여야만 팝업창으로 확인할 수 있었던 점, ② 이용자들이 자유롭게 동의 여부를 결정하는 것이 아니라 로그인함으로써 동의한 것으로 본다고 안내한 점, ③ 이용자들이 사용한 서비스가 아니라 전혀 다른 서비스인 ‘이루다’를 위한 이용 목적이라는 점 등을 두루 고려하여 실질적인 동의가 없었다고 판단한 것으로 보입니다.
따라서 개인정보처리방침에 대한 동의를 얻는 과정에서는, 이용자가 그 내용을 명확하고 구체적으로 인식할 수 있도록 표시하고, 그 동의 여부를 자유롭게 선택할 수 있도록 하는 것이 중요합니다. 특히 AI 학습의 경우에는 이용자로서는 이를 예상하기 어려우므로, 개인정보처리방침에서도 별도로 표시하여 이용자가 인식하기 쉽도록 하는 방식 등으로 이를 명확히 표시할 필요가 있습니다.
익명정보나 과학적 연구를 위한 가명정보로 동의 없이도 처리가 가능한지?
개인정보보호법 제58조의2에 따라 익명정보는 정보주체의 동의가 없더라도 처리할 수 있고, 동법 제28조의2에 따라 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 경우에는 동의 없이도 처리할 수 있습니다.
‘이루다’ 사건에서도 이용자들의 개인정보가 익명정보이거나 과학적 연구를 위한 가명정보에 해당하는지 여부가 쟁점이 되었는데, 재판부는 AI 학습 DB에 저장된 정보가 특정 개인의 동일성을 식별하는 데 충분히 사용될 수 있으므로 익명정보에 해당하지 않는다고 판단하였습니다. 또한, 재판부는 스캐터랩이 사용한 정보는 가명처리가 되지 않아 가명정보에도 해당하지 않으며, ‘이루다’ 서비스는 응답 DB에 포함된 문장 중 이용자의 질문에 대한 대답으로 가장 적절한 것을 골라 발화되도록 하는 것으로서 이를 구축하는 데 개인정보를 이용한 것이 과학적 연구를 위한 것이라고 보기 어렵다고 판단하였습니다.
개인정보처리방침에 과학적 연구를 개인정보의 수집·이용 목적에 포함시키는 경우를 자주 찾아볼 수 있는데, 해당 판결의 입장에 따르면 신규 서비스 개발 목적으로 개인정보를 이용하는 것은 과학적 연구 목적으로 인정되기 어렵다는 점을 염두에 둘 필요가 있습니다.
동의를 받은 목적 범위 내인지? 목적 외 이용, 제공이 가능한 경우였는지?
개인정보보호법 제15조 제1항 제1호에 따라 정보주체의 동의를 받은 경우 개인정보를 그 수집 목적의 범위에서 이용할 수 있는데, 동조 제3항에 따라 당초 수집 목적과 합리적으로 관련된 범위 내에서는 정보주체에게 불이익이 발생하는지 등을 두루 고려하여 정보주체의 동의 없이도 개인정보의 이용이 가능합니다.
스캐터랩의 개인정보처리방침에는 위에서 살펴본 바와 같이 ‘신규 서비스 개발’ 목적이 기재되어 있었으나, 재판부는 이용자들로서는 ‘연애의 과학’ 및 ‘텍스트앳’ 서비스와는 성격, 기반 플랫폼, 이용 대상 등이 본질적으로 다른 ‘이루다’의 개발에 카카오톡 대화 내역이 이용될 것이라고 합리적으로 예상할 수 있었다고 보기 어렵다면서 수집·이용 목적 범위를 넘은 개인정보의 이용에 해당하고, 합리적으로 관련된 범위 내에서 추가적인 이용이 허용되는 경우가 아니라고 보았습니다.
판결의 입장에 따르면 AI 학습을 위한 개인정보의 활용은 ‘신규 서비스 제공 목적’에 포함되지 않는다고 판단될 가능성이 높으므로, AI 학습 목적으로 개인정보를 사용하기 위해서는 신규 서비스가 아닌 AI 학습 목적이라는 점이 명확히 표시되어야 합니다.
최앤리 법률사무소 전한슬 변호사
글 : 최앤리 법률사무소(cl@choilee-law.com)
ⓒ '스타트업 전문 미디어 & 중화권 전문 네트워크' 플래텀, 조건부 전재 및 재배포 허용
이 기사의 카테고리는 언론사의 분류를 따릅니다.