[AI 윤리와 법](2) 이루다 사태와 개인정보
AI 윤리와 법 (2)
이루다 사태(?)
2020. 12. 22. 이루다(스캐터랩에서 제작한 페이스북 메신저 기반 채팅 인공지능)는 정식 출시된 후, 2021. 1. 순식간에 사용자 수가 약 40만 명에 달하게 되고, 페이스북 페이지 팔로워 10만 명을 찍는 등 큰 인기를 끌었다가, 몇 가지 심각한 문제를 야기하며 결국 2021. 1. 12. 서비스를 중단하게 되었죠.
공교롭게도 이루다가 출시된 그 다음 날(2021. 12. 23.), 정부에서는 “사람이 중심이 되는 인공지능 윤리기준”을 발표했습니다. ^^;; 이 공교로운 우연의 일치에서도 잘 드러나듯, 과연 ‘윤리’를 정립하는 것이 과연 사회적 문제를 예방하는데 도움이 되는가에 대한 의문이 생기죠. 윤리는 법이 아니니까요.
이에 지난 시간에는 AI 윤리 가이드라인과 관련한 국내외의 논의를 가볍게 살펴보았고요, 지금부터는 도대체 이루다와 관련하여 무슨 일이 벌어졌던 것인지, 법이나 윤리와는 어떤 관계가 있는지 살펴보려 합니다.
이루다와 관련된 문제는 크게 두 가지 카테고리로 나눌 수 있습니다. 첫번째는 개인정보 유출문제, 두번째는 혐오표현 문제입니다. 첫번째 문제는 법의 문제에 가깝고, 두번째 문제는 윤리의 문제에 가깝다고 볼 수 있는데요, 오늘은 첫번째 문제인 개인정보 유출문제만 다뤄보겠습니다.
개인정보보호법 위반
이루다와 관련된 개인정보보호 문제의 결론부터 말씀드리면, 이루다를 제작한 스캐터랩은 2021. 4. 28. 개인정보보호위원회로부터 과징금 및 과태료 처분(총 1억 330만 원)을 받았고, 개인정보가 유출되었던 다수의 피해자들이 스캐터랩을 상대로 2021. 3. 고소장을 접수하여 현재 수사가 진행 중입니다.
개인정보보호위원회는 개인정보 보호에 관한 사무를 독립적으로 수행하기 위해 설립된 국무총리 직속 기관으로서 개인정보보호법의 위임을 받은 법정기구인데요, 개인정보보호위원회에 따르면, 스캐터랩은 앱서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 약 60만 명의 카카오톡 대화문장 94억 여건을 이루다의 개발과 운영에 이용하였고, 여기에는 이름, 휴대전화번호, 주소 등의 개인정보가 담겨있었는데 이를 삭제하거나 암호화하는 등의 조치를 하지 않았습니다.
개인정보보호위원회가 밝힌 스캐터랩의 개인정보보호법 위반 사항은 총 8가지인데, 이를 요약하자면 결국 다음 두 가지 입니다.
① 적절한 방법으로 정보주체들의 동의를 받지 않고 수집 및 이용한 것
② 회원탈퇴 또는 서비스 미사용자의 개인정보를 파기하는 등의 조치를 취하지 않은 것
개인정보보호위원회는, 스캐터랩이 위 ‘텍스트앳’과 ‘연애의 과학’ 개인정보처리방침에 ‘신규 서비스 개발’을 포함시켜 이용자가 로그인함으로써 동의한 것으로 간주하는 것만으로는 이용자가 이루다와 같은 신규 서비스 개발 목적의 이용에 동의하였다고 보기 어렵고, ‘신규 서비스 개발’이라는 기재만으로 이용자가 ‘이루다’ 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기도 어렵다는 이유 등으로 스캐터랩이 이용자의 개인정보를 수집한 목적을 벗어나 이용한 것이라고 판단하였습니다.
특히 사상, 신념, 성생활 등에 관한 정보 등 “민감정보”는 일반적인 개인정보처리에 대한 동의와 별도의 동의를 받아야 하는데 이를 받지 않은 것이 가장 중하게 판단되었는데, 이러한 행위는 형사처벌 대상이기도 해서 향후 검찰과 법원의 판단을 기다려봐야 할 것 같습니다.
민감정보와 관련해서는 이 글을 읽으시는 여러 분들도 반드시 기억해두시기 바랍니다.
가명처리를 하였다면?
여기서 매우 중요한 점을 하나 말씀드리려 하는데요, 스캐터랩이 만일 개인정보를 가명처리하여 ‘가명정보’만을 가지고 이루다를 운영했다면 문제가 없을 수도 있었다는 점입니다.
이른바 ‘데이터3법’이 개정됨에 따라 작년인 2020. 8. 5.부터 개인정보처리자는 특정한 목적을 위해서라면 정보주체의 동의 없이 가명정보를 처리할 수 있게 되었습니다.
즉, 개정된 개인정보보호법은 ‘가명정보’라는 개념을 도입하여, 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 개인정보(가명정보)는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 처리할 수 있도록 하였습니다(법 제28조의2).
이로써 일정한 목적상의 제한과 절차상의 제한, 그리고 이를 제대로 지키지 않았을 때 과태료 등의 위험이 있지만, 개인정보처리자가 개인정보를 적절한 방법으로 가명화하기만 한다면 정보주체의 동의 없이도 개인정보처리가 가능하다는 것입니다.
여기서 중요한 것은 개인정보처리자가 가명처리된 개인정보를 “처리”할 수 있는 범위가 매우 넓다는 점인데요, 법은 “처리”에 개인정보의 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 포함시키고 있습니다(법 제2조 제2호).
법 개정으로 인해 개인정보의 이용 범위가 이전과는 비교할 수 없이 크게 확대된 것입니다.
물론 이루다 사태와 관련하여 “통계작성, 과학적 연구, 공익적 기록보존 등”에 영리적 목적을 포함시킬 수 있을지 여부가 문제되겠지만, 개인적으로 저는 법 개정 취지가 AI 산업의 발전을 위한 것인데 영리적 목적으로 사용되었다는 이유로 위 조항에 의해 보호받지 못하면 이는 법 개정 취지에 완전히 어긋난다고 생각하고, 법원에서도 그렇게 해석될 여지가 높다고 생각합니다.
특히 이루다의 경우 아직 수익모델을 개발하기 전이었기 때문에, 스캐터랩이 가명처리만 잘 했다면 논거를 잘 뒷받침하여 충분히 책임을 피할 수 있었을 것이라고 생각합니다.
나가며
다른 글에서 여러 번 말씀드렸지만 AI는 데이터를 먹고 발전합니다. 따라서 AI개발자들이라면 개인정보문제를 반드시 잘 해결해 놓고 가야 하는데요, 위에서 설명 드렸듯 데이터 3법 개정에 따라 가명처리를 하실 경우 정보주체의 동의 없이도 개인정보를 사용하실 수 있는 길이 열렸습니다. 이 점 꼭 염두에 두시고 적절한 방법으로 조치하셔서 피해를 입지 않도록 하시기 바랍니다.
끝으로 곧 다시 이루다 서비스가 재개된다고 하니, 이루다가 법적인 보완을 마치고 멋지게 부활하길 기대해봅니다.
