OpenAI사의 chatGPT 서비스가 세계적으로 인기를 얻으면서 해당 서비스에 대한 개인정보 및 프라이버시에 대한 관심도 높아지고 있습니다. 오늘 브런치글에서는 chatGPT 관련 여러 데이터보호 규제기관들의 대응 현황과 이에 대한 chatGPT 서비스 제공 회사인 OpenAI사의 대응에 대해 살펴보도록 하겠습다.
chatGPT 관련 최근 개인정보 이슈
지난 3월말, 이탈리아 데이터 규제기관(Garante)은 성명서를 통해 chatGPT에서 발생하는 데이터 처리에 대한 이용자 고지가 부족하며, AI 알고리즘 학습을 위해 수집된 방대한 양의 개인정보에 대한 적법한 처리 근거가 부족하다고 지적하면서 국가 차원에서 chatGPT의 사용을 차단하여 논란이 되었습니다. 당시 이탈리아는 OpenAI 서비스에 대한 연령 제한 적용, 데이터 처리 투명성 강화, 이용자에게 데이터 관리 및 거부 권한 부여 등의 조치를 취할 것을 요구하였으며, OpenAI에서 이러한 요구사항을 일부 수용하면서 약 한달만에 사용 규제를 해제하였습니다.
현재 chatGPT를 대상으로 프랑스, 독일, 스페인 등 여러 EU 국가에서 조사가 진행되고 있으며, 전체 EU 국가 규제기관들이 참여하는 EU 데이터보호위원회(Data Protection Board)는 EU GDPR(개인정보보호법)의 chatGPT 적용 관련 국가간 정보 및 의견 교환을 위한 테스크 포스를 구성하기도 했습니다. EU 뿐만 아니라 캐나다 또한 chatGPT의 개인정보 처리 행태에 대한 조사에 착수했으며, 지난 6월 일본 개인정보위원회는 성명을 통해 “일본 개인정보보호법에 의거하여 허가없이 일본인들의 민감한 데이터를 수집하지 말라"고 경고하기도 했습니다.
올해 7월 미국 연방거래위원회(FTC)는 chatGPT의 소비자 보호법 준수 여부 및 지난 3월에 발생한 유저들의 결제 관련 데이터와 채팅 히스토리가 노출된 보안 사고의 위법 여부를 확인하기 위한 조사에 착수했습니다.
해당 사고 관련하여 지난 7월 26일 개인정보보호위원회는 OpenAI에서 유출 인지 후 24시간 내 국내 이용자 정보의 유출 사실을 신고하지 않았다는 이유로 360만원의 과태료를 부과하기로 결정하였습니다.
OpenAI의 대응은?
여러 국가에서 chatGPT의 개인정보 및 프라이버시 관련 우려를 제기하자 지난 4월 25일, OpenAI는 chatGPT 대화내용을 학습에 활용하는 것을 중지하는 기능과 chatGPT에 저장된 유저 관련 정보를 다운로드 받을 수 있는 새로운 프라이버시 기능을 적용했습니다.
chatGPT는 이용자의 데이터를 무단으로 알고리즘 개선 학습에 사용하는 것에 대해 비난을 받아왔는데요. 대화내용 학습 금지 기능을 통해 이용자들은 chatGPT의 설정(Setting)에서 Chat history&training 옵션을 끔으로써 대화 내용이 모델 학습에 활용되지 않도록 조치할 수 있게 되었습니다. 또한 설정 화면 ‘Export data’ 기능을 통해 chatGPT와의 대화이력과 이메일 등의 계정정보를 다운로드 받을 수 있습니다.
또한 OpenAI는 6월 ‘API 데이터 사용 정책' 발표를 통해 API를 통해 수집된 데이터는 기본적으로 OpenAI 서비스의 알고리즘 및 서비스 개선을 위한 학습 용도로 사용하지 않는다고 발표했습니다.
chatGPT의 API를 적용한 비즈니스 파트너사들의 서비스를 통해 OpenAI에 전달되는 ‘API 데이터'의 경우, 1. 데이터 공유에 대한 사전 동의를 받지 않는 한 모델 학습 또는 개선 목적으로 활용하지 않으며 2. 남용 및 부정행위 방지를 목적으로 30일동안만 보관 후 삭제한다는 정책을 발표했습니다.
AI의 개인정보 및 프라이버시 이슈 관련 규제현황
개인정보 및 프라이버시 이슈를 포함하여 AI 기술에 대한 규칙과 표준 마련에 대한 사회적 요구가 높아지고 있습니다.
올해 5월 EU에서는 AI 기술을 포괄적으로 규제하는 첫 번째 법률인 ‘EU AI Act’ 초안이 통과되었으며, 2025년부터 시행될 것으로 예상되고 있습니다. 해당 법률은 EU에서 AI 서비스를 제공하는 사업자들을 대상으로 적용되며, AI 시스템의 리스크 진단을 기반으로 위험성을 평가(허용 불가 / 고위험 / 제한적 위험 / 최소 위험(또는 무위험))하여 리스크에 맞는 보호조치를 적용할 것을 요구하고 있습니다. 고위험 AI 시스템 사용 시 철저한 테스트 수행, 데이터 품질에 대한 문서화 등의 의무를 준수해야 합니다.
chatGPT로 인해 여러 AI 기술 중 ‘생성형 AI’에 대한 규제 요구가 높아지면서 LLM(Large Language Models) 모델이나 생성형 AI 같은 ‘파운데이션 모델’ 개발 시 상업적 공개 전 시스템에 대한 사전 검토 이력을 제출해야 한다는 등의 내용도 최근 추가되었습니다.
영국의 데이터 규제기관(ICO)는 AI 관련 규제 및 표준 개발에 적극적인 의지를 보이면서 ‘AI와 데이터보호 가이드라인'을 발표했습니다. 해당 가이드라인에는 GDPR과 같은 개인정보보호 법률이 적용되는 개인정보 처리가 발생하는 AI 시스템에 대하여 책임성, 투명성, 적법 처리 근거 등 법률 내용을 적용할 수 있는 해석 방법과 우수 사례 등을 소개하고 있습니다.
우리나라에서도 개인정보보호위원회가 올해초 chatGPT의 개인정보 및 저작권 침해 이슈 관련 내부 태스크포스팀을 구성하였으며, 6월에는 AI 데이터 수집과 활용 전 과정에 걸쳐 개인정보의 오남용 부작용을 방지할 수 있는 정부의 종합대책을 마련하겠다고 밝혔습니다.
최근 개인정보보호위원회 인터뷰에 따르면 데이터 정책 등의 과제를 8월초까지 발표할 예정이며, 9월에는 개인정보 관점에서 AI 정책을 최우선 순위로 두고 전담해 움직일 수 있는 “AI 전담팀"을 신설하겠다고 밝혔습니다.
카카오에서는 AI 기술 개발 시 고려가 필요한 윤리 원칙인 '카카오 알고리즘 윤리헌장'을 만들어서 공개하고 있으며, '프라이버시 보호'도 원칙 중 하나로 포함되어 있습니다.
현재 개인정보 및 프라이버시 관련 규제가 불분명한 상황에서 카카오는 내부적으로 안전한 AI 서비스 개발 및 운영을 위해 ‘카카오 AI 서비스 개인정보보호 가이드라인'을 제정하여 시행하고 있습니다. 해당 가이드라인은 카카오에서 AI 서비스 개발 및 운영 시 이용자 개인정보 보호를 위해 카카오 임직원들이 준수해야하는 사항들을 담고 있으며, 향후 발표되는 관련 정부 가이드라인 및 지침 내용에 맞추어 개정해나갈 예정입니다.
카카오에서는 AI 기술을 이용자에게 보다 더 좋은 품질의 서비스를 제공할 수 있는 기회로 삼는 동시에 개인정보 및 프라이버시 문제가 발생하지 않도록 앞으로도 많은 노력을 기울이도록 하겠습니다. 감사합니다.
[관련 기사 및 참고자료]
ChatGPT learns to forget: OpenAI implements data privacy controls
OpenAI improves ChatGPT privacy with new data controls
European data regulators set up ChatGPT task force
Europe takes aim at ChatGPT with what might soon be the West’s first A.I. law. Here’s what it means
FTC investigates OpenAI over data leak and ChatGPT’s inaccuracy
[단독]"챗GPT 개인정보 침해여부 검토, 상반기중 대책마련"
“개인정보 보호 정책 맡을 ‘AI 전담팀’ 9월 만든다”