【AI 챗봇 '이루다' 관련 조사 결과】

<송상훈 개인정보보호위원회 조사조정국장>
안녕하십니까? 개인정보보호위원회 조사조정국장 송상훈입니다.

우선 오늘 ㈜스캐터랩 관련된 사항부터 브리핑을 하도록 하겠습니다.

개인정보보호위원회는 4월 28일 제7회 전체회의를 열고 챗봇 '이루다' 개발사 스캐터랩에 대하여 총 1억 330만 원의 과징금과 과태료를 부과했습니다.

이는 AI 기술 기업의 무분별한 개인정보 처리를 제재한 첫 번째 사례로서 기업이 특정 서비스를 목적으로 수집한 개인정보를 이용자의 명시적 동의 없이 다른 서비스를 위하여 이용하는 것을 제한하고, 이를 통해 AI 개발과 서비스 제공 시 올바른 개인정보 처리방향을 제시할 수 있을 것으로 보고 있습니다.

개인정보위원회는 지난 1월 12일 언론 보도를 통해 조사에 착수했고, 본 건이 국민과 산업계에 미치는 영향을 고려하여 AI 개발과 서비스 제공과정에서의 개인정보 처리현황과 법리적·기술적 쟁점에 대하여 산업계, 법·학계, 시민단체 의견을 수렴하고 수차례의 위원회 논의과정을 거쳐 행정처분을 의결하였습니다.

개인정보위원회의 조사 결과 스캐터랩은 자사의 앱 서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 카카오톡 대화를 2020년 2월부터 2021년 1월까지 페이스북 이용자 대상의 챗봇 서비스인 이루다의 AI 개발과 운영에 이용한 것으로 확인되었습니다.

스캐터랩은 이루다 AI 모델의 개발을 위한 알고리즘 학습과정에서 카카오톡 대화에 포함된 이름, 휴대전화번호, 주소 등의 개인정보를 삭제하거나 암호화하는 등의 조치를 전혀 하지 않았고, 약 60만 명에 달하는 이용자의 카카오톡 대화문장 94억여 건을 이용하였습니다.

이루다 서비스 운영과정에서도 20대 여성의 카카오톡 대화문장 약 1억 건을 응답 DB로 구축하고, 이루다가 이 중 한 문장을 선택하여 발화할 수 있도록 운영하였습니다.

개인정보보호위원회는 스캐터랩이 이와 같이 이루다 서비스 개발과 운영에 이용자의 카카오톡 대화를 이용한 것에 대하여 텍스트앳과 연애의 과학 개인정보처리방침에 신규 서비스 개발을 포함시켜 이용자가 로그인함으로써 동의한 것으로 간주하는 것만으로는 이용자가 이루다와 같은 신규 서비스 개발 목적의 이용에 동의하였다고 보기 어렵고, 신규 서비스 개발이라는 기재만으로 이용자가 이루다 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기도 어려웠으며, 이용자의 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있다는 이유로 스캐터랩이 이용자의 개인정보를 수집한 목적을 벗어나 이용한 것으로 판단하였습니다.

개인정보보호위원회는 스캐터랩이 개발자들의 코드 공유 및 협업사이트로 알려진 Github에 2019년 10월부터 2021년 1월까지 이름 22건과 지명정보 34건, 성별, 대화 상대방과의 관계 등이 포함된 카카오톡 대화문장 1,431건과 함께 AI 모델을 게시한 것에 대하여는 가명정보를 불특정 다수에게 제공하면서 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하였다는 이유로 개인정보보호법 제28조의2제2항을 위반한 것이라고 판단하였습니다.

개인정보위원회는 조사과정에서 정보 주체가 명확히 인지할 수 있도록 알리고 동의를 받지 않은 사실 등 추가 위반사실을 확인하였으며, 이루다와 관련된 사항을 포함하여 총 8가지 개인정보보호법 위반행위에 대하여 스캐터랩에 총 1억 330만 원의 과징금과 과태료를 부과하고 시정조치를 명령하였습니다.

이루다 사건은 전문가들조차 의견이 일치되지 않아 그 어느 때보다 격렬한 논쟁이 있었고 매우 신중한 검토를 거쳐서 결정되었습니다. 이번 사건은 기업이 특정 서비스에서 수집한 정보를 다른 서비스에 무분별하게 이용하는 것이 허용되지 않고 개인정보 처리에 대하여 정보 주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 것을 분명히 하였다는 점에 의미가 있습니다.

본 건에 대한 처분 결과가 AI 기술 기업이 개인정보를 이용할 때에 올바른 개인정보 처리방향을 제시하는 길잡이가 되고 기업이 스스로 관리·감독을 강화해 나가는 계기가 되기를 바랍니다.

한편, AI 기술 기업이 스스로 개인정보보호 역량을 높일 수 있도록 AI 개발자나 운영자가 현장에서 활용 가능한 AI 서비스의 개인정보보호 자율점검표를 발표하고 현장 컨설팅을 지원하는 등 AI 기술 기업이 국민의 개인정보를 보호하면서도 AI 데이터 기반 산업을 발전시킬 수 있도록 적극 지원해 나갈 계획입니다.

이상 브리핑을 마치겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 과징금·과태료 산정 1억 330만 원이 됐는데, 이게 원래 개인정보 유출된 것 관련해서 과징금이나 과태료를 산정할 때 관련 매출액의 3%로 지금 현행 규정이 돼 있는 것으로 알고 있는데요. 이것도 제가 알기로는 이루다 관련 매출은 없는 것으로 알고 있고, 아니면 어떤 것을 기준으로 했는지 지금 이 수치만으로는 잘 판단하기가 어려워서, 해당 업체 자체의 매출을 기준으로 하는 쪽으로 개정안이 되고는 있지만 아직 지금 현행 규정은 아니고, 1억 330만 원이라는 수치가 어떤 것을 기반으로 해서 나온 것인지 좀 자세한 설명을 부탁드립니다.

<답변> (배상호 조사2과장) 개인정보보호위원회 조사2과장인 배상호입니다. 연합뉴스 기자분께서 질의하신 이루다 관련 매출액에 대해서 먼저 말씀을 드리도록 하겠습니다.

<질문> 질문을 좀 보충을 하면, 저번에 페이스북 사례 같은 경우 67억 원이 부과가 됐고, 제가 그때 사례를 보면 유출된 개인정보량이 한 최소 330만 명 이렇게 돼 있는데 지금 여기서 언급된 이루다 건 관련돼서 한 것도 60만 명이면 그에 비해서 그렇게 적은 수치는 아니라고 보여지거든요. 그런데 또 그렇게 보면 67억 원과 1억여 원 사이는 좀 갭이 큰 것 같기도 하고, 이게 지금 이런 이 지금 과징금·과태료 수준을 어느 정도로 판단해야 되는지 솔직히 좀 헷갈립니다.

<답변> (배상호 조사2과장) 과징금이 페이스북, 끝부분부터 먼저 말씀을 드린다면, 페이스북 같은 경우가 그다음에 이루다, 스캐터랩 같은 경우에는 일단은 관련되는 매출액 자체가, 매출액 규모 자체가 굉장히 차이나기 때문에 부과된 과징금이 차이가 날 수밖에 없었다는 것을 말씀드리겠습니다.

그리고 조금 전에 말씀하신 이루다에는 직접적인 매출액이 없는데 이 부분은 이루다가 텍스트앳하고 연애의 과학 서비스에서 수집된 카카오톡 대화문장을 이루다에서 발화를 갖다가 한 그러한 점과, 그다음에 이루다와 텍스트앳, 연애의 과학의 관리·운영하는 서비스 간의 관리조직·인력 운영이 같기 때문에, 그래서 텍스트앳과 연애의 과학의 1년간 매출액을 갖다가 이루다의 관련 매출액으로서 저희가 판정해서 과징금을 부과하게 되었습니다.

그리고 1억 330만 원의 총과징금과 과태료를 부과한 부분은 텍스트앳과 연애의 과학 내 개인정보 처리와 관련해서 텍스트앳과 연애의 과학이 개인정보를 수집하면서 정보주체에게 명확하게 인지할 수 있도록 알리고 동의받지 않은 행위에 대해서 과태료를 부과를 하였고, 그다음에 법정대리인 동의 없이 만 14세 미만의 아동의 개인정보를 수집한 행위에 대해서 과징금과 과태료를 부과하게 되었습니다.

더불어서 연애의 과학의 성생활 등에 관한 정보를 갖다가 처리하면서 별도 동의를 받지 않은 그런 부분이 있습니다. 심리, 연애의 과학 서비스 중에 심리분석 서비스의 하나인 '내 대화 상대방의 섹스판타지는?' 하는 그런 서비스가 하나 있습니다. 거기에서 수집되는 부분은 민감정보였기 때문에 이 부분에 대해서는 과징금을 부과를 하였습니다.

그리고 회원탈퇴를 한 자에 대한 개인정보를 파기하지 않은 행위와 1년 이상 서비스 미사용자의 개인정보를 파기하지 않거나 분리·보관하지 않은 행위에 대해서 과태료를 부과를 하였습니다.

더불어서 조금 전에 말씀드린 이루다에서 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집한 행위에 대해서 과징금과 과태료를 부과하였고, 그다음에 이루다에서 수집목적 외로 학습·운영에 카카오톡 대화문장을 이용한 부분에 대해서 과징금을 부과하게 됐습니다.

그래서 총과징금은 합쳐서 5,550만 원을 부과하였고, 과태료는 4,780만 원을 부과하였습니다.

<질문> 그러면 그 텍스트앳과 연애의 과학 관련 1년 매출액이, 총매출액이 얼마죠? 그것 관련... 그것을 베이스로 산출하셨다 그러셔서.

<답변> (배상호 조사2과장) 평균 매출액은, 텍스트앳과 연애의 과학의 평균 매출액은 전체적으로 봤었을 때 약 한 10억 8,000만 원 정도 되고요. 2020년의 텍스트앳하고 연애의 과학의 매출액은 약 8억 2,900만 원 정도 됩니다.

<질문> 방금 것의 추가 질문인데요. 과징금을 매기는 과정에서 감경이 되거나 한 것은 없는 건가요, 이번 사례에서?

<답변> (배상호 조사2과장) 저희들 과징금 부과를 하면서 과징금 부과 기준에 따라서 추가적인 가중·감경을 갖다가 다 거친 금액입니다.

<질문> 그러면 어떤 부분이 감경 요인으로 작용한 거예요?

<답변> (배상호 조사2과장) 과징금의 감경 요인으로서는, 잠깐만요. 스캐터랩이 최근 3년간 과징금 부과 처분을 받은 적이 없어서, 없었던 부분으로 해서 가중을... 아, 감경을 했었고요. 그다음에 조사에 의해 스캐터랩이 저희 위원회 조사에서 최대한 적극적으로 협력해 준 점에 따라서 약 한 10% 감경을 처분하였습니다.

<질문> 스캐터랩이 적극적으로 조사에 협조를 하셨다, 라고 말씀을 하셨는데 아까 전체회의에서 보면 학습 데이터와 응답 데이터베이스 관련해서 가명화 처리 수준에 대해서 위원회의 판단과 스캐터랩의 판단이 다른 것 같더라고요. 스캐터랩은 상당 수준으로 가명정보 처리를 했다고 하는데 개인정보보호위원회에서는 다른 의견을 갖고 계신 것 같아서, 그런 점을 감안하면 감경 요인이 될 수 있는지도 궁금하고요.

또 이번 과태료·과징금 처분이 가명정보에 적절하지 않은 처분... 아니, 그 활용에 대한 처벌적인 성격 이런 것도 띠고 있는지 궁금합니다.

<답변> (배상호 조사2과장) 먼저, 스캐터랩에서 생각하고 있는, 또 표현을 하고 있는 학습 DB, 응답 DB의 가명 처리에 대한 어떤 그런 의견과 저희 위원회에서의 의견 부분에 대해서는 다를 수 있습니다. 왜냐하면 각자의 상대방 개입... 자기 측면에서 생각하는 부분이 있기 때문에 다를 수 있는데, 이 부분을 가지고 저희가 의견이 다르다고 해서 감경 부분에서 감경을 안 해 준다든지 이런 부분은 아닙니다.

저희는 부과기준에 따라서 전체적인 조사과정에 적극적으로 협력을 한 부분인지 아니면 자료를 갖다가 제출하지 않고 또는 거짓으로 제출한다든지 이렇게 조사에 협조를 하지 않는 그런 부분에 대해서는 감경을 해 주지 않지만, 그 부분에서 의견이 다르다고 해서 그렇지 않다는 그것을 먼저 말씀드리고요.

두 번째, 과징금·과태료 부분은 일종의 행정적인 처벌에 해당된다고 말씀드리겠습니다.

<질문> 감경 요인이 아니더라도 스캐터랩에서는 회원 식별자만 삭제 암호화 조치를... 개인정보보호위원회에서는 이 회원 식별자에 대해서만 삭제 암호화 조치를 했고, 스캐터랩 측에서는 700만 건 중에서 3~4건 이 정도만 문제가 됐다고 주장을 하고 있는데, 감경 요인이 아니더라도 이 10억 차가 상당한 게 아닌지 그런 게 궁금합니다.

<답변> (배상호 조사2과장) 저희가 학습 DB 같은 경우에는 스캐터랩이 이루다의 학습 DB 부분에 있어서는 식별자... 지금 기자님께서 말씀하신 식별자, 즉 식별성이 있는 정보에 대해서는, 회원의 식별성이 있는 정보에 대해서는 가명 처리, 일종의 비식별 조치를 처리한, 가명 처리를 갖다가 했었습니다.

그렇지만 대화 내용, 카카오톡 대화 내용에 대해서는 일절 가명 처리를 갖다가 하지 않았기 때문에 저희로 봐서는 이 부분에 대해서는 가명정보에 해당이 되지 않는다, 하는 걸 위원회에서 판단을 내렸던 부분입니다.

그리고 응답 DB 같은 경우는 실제 발화된 부분은 약 한 700건 정도가 있는데, 그 부분이 꼭 발화 여부를 떠나서 응답 DB 자체가 일단은 카카오톡 대화 내용을 갖다가 변형 없이 그대로 발화를 갖다가 시킨 부분이 개인정보에 해당이 되기 때문에 그 부분은 그대로 원천 DB인 연애의 과학이라든지 텍스트앳에 있는 DB와 비교를 하게 되면 어떤 누가 이 발화를 갖다가 했는지에 대한 회원 정보를 갖다가 분석해 낼 수 있기 때문에 개인정보로 판단한 부분입니다.

<질문> 위반 내용 중에 14세 미만 아동의 개인정보를 수집한 행위가 이번에 발견이 됐다고 했는데, 이것은 구체적으로 몇 명의 피해가 발생을 했는지 이런 게 궁금하고요.

이것과 더불어서 현장... 그러니까 기존에 언론에서 뭔가 보도가 됐던 내용 외에 현장조사 과정에서 발견된 법 위반사항들에 대해서 조금 세부적인 설명이 추가될 수 있으면 해 주시면 감사하겠습니다.

<답변> (배상호 조사2과장) 잠시만요. 제가 숫자를 정확하게 파악을, 기억을 못 하고 있어서요. 스캐터랩에서 저희가 지금 14세 미만 아동을 갖다가 수집한 부분으로 본다면, 텍스트앳 같은 경우는 약 한 31만 3,000여 명... 아, 4만 8,000명을 갖다가 수집을 갖다가 했었고요. 연애의 과학 같은 경우는 한 12만 명 정도를 갖다가 했었습니다. 그리고 이루다 같은 경우에는 약 한 3만 9,000명 정도를 갖다가 수집한 것으로 저희들이 판단을 했었습니다.

그리고 현장조사 시에 법 위반 부분에서는 당초 저 부분이 조사를 하다 보니까는 민감정보 부분이 언론에서 민감정보를 갖다가 활용을 했다는 이런 부분이 있었는데 저희가 조사를 하면서 특별하게 그런 부분을 발견... 확인하지 못했었지만 그 와중에, 조금 전에 제가 첫 번째 말씀드렸던 심리분석 서비스 중에서 대화 상대방의 섹스판타지라는 그 부분에 있어서는 이게 민감성 부분으로서 추가적으로 저희가 확인한 부분입니다.

<질문> 14세 미만 아동에 있어서 개인정보 수집은 그러면 텍스트앳이나 연애의 과학, 이루다 가입하는 과정에서 14세 미만이 걸러지지 않은 건가요? 어떻게 이게 수집이 가능했는지 그 부분이 좀 의아하고, 그 부분에 대해서 스캐터랩 측에서는 나름 이의를 제기한 부분이 있는 것으로 아는데, 그것을 인정하지 않으신 건지, 만약에 그렇다면 왜 그런 건지 좀 궁금합니다.

<답변> (배상호 조사2과장) 14세 미만 부분은 일단은 스캐터랩에서는 이루다 같은 경우만 예를 들어 한다면, 페이스북 메신저를 갖다가 이루다가 운영이 됐었지 않습니까? 그러다 보니까 페이스북 같은 경우에는 14세 이상자에 한정해서 이 부분을 갖다가 한다고 표명을 하고 있었고, 한 부분이었었는데, 그 페이스북 회원을 대상으로 메신저 서비스를 한 부분이기 때문에 이 부분으로서는 14세 미만 아동을 수집한 것으로 보기는 어렵다 한 게 스캐터랩의 입장이었습니다.

그렇지만 저희가 판단한 부분은 페이스북 메신저를 통해서 이루다 회원을 가입할 때 각 가입하는 이루다 회원의 성별, 연령 이런 부분을 갖다가 추가적으로 스캐터랩이 수집을 했었습니다. 그래서 그 수집을 했기 때문에 이것은 14세 미만의 아동 부분을 갖다가 수집한 것으로 저희는 인정을 하였습니다.

<질문> ***

<답변> (배상호 조사2과장) 네, 그렇습니다. 그래서 지금 이 부분은 시정을 하고 있는 중으로 알고 있습니다.

<질문> 연애의 과학을 통해서 개인정보를 유출당했다고 주장하는 피해자들이 있잖아요? 그분들은 데이터 파기를 스캐터랩 측에 요구하고 있는 것으로 아는데, 이게 사실 그리고 '데이터를 수집할 때 불법적인 과정이었다.'라고 주장을 또 그쪽에서 하고 있는데, 혹시 이것에 대해서 어떤 개인정보위 측의 입장이 있으신지 궁금하고요. 그다음에 경찰 이런 쪽에 추가 수사의뢰를 안 하시는지도 궁금합니다.

<답변> (배상호 조사2과장) 조금 전의 질문을 명확하게 제가 지금 이해를 못 했는데, 이런 부분인가요? 피해자의 파기하지 말아달라는 요구에 대해서 우리 위원회의 입장 말씀인가요?

<답변> (관계자) 해 달라는.

<답변> (배상호 조사2과장) 파기해 달라는 의미입니까? 당연히 저희 위원회에서는 지금 의결을 판단한 부분은 법을 위반해서 수집목적 달성을 다한 부분에 대해서, 또 회원탈퇴를 한 사람에 대해서는 당연히 파기를 하라고 판단을 하고 있습니다. 그것은 또 법에 따라서 당연히 파기를 해야 된다고 저희는 판단하고 있습니다.

그리고 수사의뢰 부분에 대해서는 저희가 법령에 따라서 저희 고발기준을 운영하고 있습니다. 그 고발기준에 이번 스캐터랩의 법 위반행위는 해당되지 않기 때문에 이번 스캐터랩 건은 고발하지 않기로 판단하였습니다.

<질문> ***

<답변> (배상호 조사2과장) 고발 부분 같은 경우는 구체적으로 저희가 말씀을 드린다면, 비밀보호법 59조, 60조에 따라서 처리하였던 자나, 개인정보를 처리하거나 처리하였던 자가 비밀, 이 부분을 거짓이라든지 이런 쪽으로 금지행위를 위반했을 경우라든지, 또는 비밀의무를 위반했던 그런 거라든지, 10년 이상 1억 원 이하의 벌금에 처해지는 법 70조에 해당이 되는 그런 부분이 위반을 했을 때에는 고발하도록 돼 있고요.

두 번째로서는 과징금을 부과함에 있어서 매우 중대한 위반행위로 과징금을 부과받을 때에는 고발하도록 돼 있습니다. 그렇지만 스캐터랩 같은 경우에는 조금 전에 말씀드렸던 59조, 60조, 70조에도 해당이 되지 않고, 과징금도 매우 중대한 위반행위가 아닌 중대한 위반행위의 기준에 들어가기 때문에 그래서 구체적으로 고발을 하지 않은 부분입니다.

<질문> 아까 질문에 대한 추가 문의드리는데요. 그 사용자들의 데이터 폐기 부분에서 주장... 탈퇴한 사람들의 데이터만 파기하라고 스캐터랩 측에 요구를 하신 건지, 아니면 불법적으로 계정 수집된 것에 대해서 모든 데이터를 파기하시는 건지, 그게 좀 명확히 말씀 부탁드리고요.

그다음에 데이터를, 기존의 데이터를 가명 수집... 가명 처리하고 이런 과정을 통해서 또 다른 서비스에 활용이 되는 건지, 이게 다 파기시킨 후에 다시 수집과정을 거쳐야 되는 것은 아닌지, 그런 것은 어떻게 보는지 궁금합니다.

<답변> (배상호 조사2과장) 저희가 이번 위원회에서 판단한 부분은 회원탈퇴를 한 부분에 대해서 이루다 학습 DB에서 그 부분을 갖다가 파기하지 않고 갖고 있는 부분이 있기 때문에 그 부분에 대해서는 보호위원회와 협의해서 파기를 하도록 이렇게 판단을 하였습니다.

그리고 이 부분에 대해서는 파기자... 아니, 회원탈퇴자에 대해서 또 다른 어떤 스캐터랩이 서비스에서 이용을 하고자 한다면 새로이 신규 회원으로서 수집을 갖다가, 회원정보를 수집해야만 이용할 수 있지 않겠나 생각이 듭니다.

<질문> 이해가 조금 안 돼서... 이게 스캐터랩이 갖고 있었던 100만 건가량의 데이터가 있고, 이 이루다에 적용하기 위한 1억 건의 데이터가 있고, 학습용 데이터베이스가 있고, 응답용 데이터베이스가 있는데 이번에 폐기를 하게 한 데이터베이스, 혹은 그 데이터가 어떤 것인지 이해가 안 되고요.

그리고 지금 데이터 폐기를 하라고 요구하는 회원들도 있는데 이게 손해배상 소송이 진행되면서 폐기하면 안 된다는 이용자들도 있는 것으로 알고 있습니다. 그리고 개인정보보호위원회에서 이것 관련해서 시정조치를 해야 된다는 요청도 있었던 것으로 아는데 관련해서 어떻게 진행되고 있는지 알고 싶습니다.

<답변> (배상호 조사2과장) 스캐터랩은 이루다에서 두 가지 DB를 갖다가 운영했었습니다. 하나는 조금 전에 기자님이 말씀드렸던 100만 건, 즉 약 한 94만 건의 대화문장이 들어가 있는 학습 DB를 이용해서 이루다를 개발했었고, 그중에서 20대 여성, 94억 건 중에서 20대 여성 부분을 갖다가 추출해서 그 추출된 부분을 가지고 다시 필터링을 여러 차례, 한 일곱 차례에 걸쳐서 필터링, 그 가명 처리를 거쳐서 1억 건의 응답 DB, 실질적으로 이루다가 페이스북 메신저를 통해서 거기서 발화를 한 DB가 되는 거죠. 그 DB를 갖다가 운영을 했었는데요.

저희 이 부분에서는 폐기는 일단은 회원정보 부분에 대해서는 일단 폐기를, 회원탈퇴를 한 부분에 대해서는 폐기를 하고, 또 1년 이상이 지나서 아무런 이용이 없는 이용자는 법상으로 폐기... 파기하거나 아니면 분리, 별도 분리 보관하도록 되어 있습니다. 그래서 그 법에 따라서 저희가 지금 시정조치 명령을 지금 내리고 있습니다.

두 번째는 일부 회원 부분은 폐기를, 내 정보는 폐기해 달라고 얘기하는 부분도 있고, 또 일부 부분은 시민사회단체와 같이해서 이 부분은 소송 부분에 관련돼 있기 때문에 폐기를 하지 않고 계속 소송이 끝날 때까지 피해 부분을 증명할 수 있도록 보존을 해 달라, 하는 부분이 있는데 이 부분에서는 저희 입장에서 조금 전에 법 위반이 된 부분에 대해서는 시정조치 명령을 좀 전에 설명드렸던 부분이고요.

폐기를 하지 않고 보존하는 부분으로서는 지금 소송을 진행을 지금 일부 증거보존 신청을 해서 증거보존이 된 것으로 알고 있고, 또 그렇게 지금 진행이 되는 것으로 알고 있습니다.

추가적으로 실무자가 보충설명을 하도록 하겠습니다.

<답변> (관계자) 지금 설명해 주신 대로 회원탈퇴를 요구한 사람들의 개인정보에 대해서는 저희는 보호법에 따라서 원칙적으로 파기되어야 하는 것이 맞다고 보고는 있는데, 아까 말씀해 주신 것처럼 시민사회단체나 소송에 참여하거나 아니면 소송에 참여할 예정인 사람들의 개인정보가 보존될 필요가 있다는 주장이 있어서 검토는 했지만, 일단 원칙적으로 보호법 규정에 따라서 파기되는 것이 맞다는 판단을 저희는 일반적으로는 하고 있습니다.

다만, 시정조치를 할 때 여러 사정을 고려해서 개인정보보호위원회와 협의해서 파기조치를 이행하도록 하는 절차를 마련했기 때문에 그런 모든 사정들을 협의하에 진행하려고 하고 있습니다.

<질문> (사회자) 그럼 온라인으로 들어온 질문을 두 가지를 드리도록 하겠습니다. 제가 대독을 하겠는데요. MBC 기자님의 질문입니다. 이번 이루다 사건의 카톡 대화 수집 동의와 관련해서 카톡 대화를 제공할 때 제공자와 상대방 대화까지 함께 넘어갔는데, 개인정보위는 이 부분에 대해서 문제가 어떻게 된다고 판단하시는지, 이것이 1번 질문이고요.

두 번째 질문은 이용자의 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있다는 이유로 수집목적을 벗어나 이용하는 게 문제라고 하셨는데, 개인정보보호법 개정안에 따르면 동의만 받으면 다른 서비스 개발에 이용할 수 있는 것은 아닌지, 이렇게 두 가지 질문을 주셨습니다.

<답변> (배상호 조사2과장) 첫 번째 질문에 대해서는 본 건 같은 경우에 지금 카카오톡 대화를 갖다가 스캐터랩에서 연애의 과학이나 텍스트앳을 통해서 수집을 하면서 다른, 그 안에 있는 대화 상대방이나 이쪽 부분에 대해서 동의를 받지 않고 이 부분을 했다는 부분이 있는데, 저희 위원회에서는 대화의 일방 당사자가 입력한 카톡의 대화는 대화 상대방의 회원정보를 함께 수집하지 않는 이상 이를 갖다가 제공한 일방 당사자의 개인정보로서 수집된 것으로 보고 있습니다.

가령, 기자님들도 아시다시피 다수가 포함된 사진 이런 부분을 갖다가 제공을 갖다가 할 때, 처리자에게 제공을 할 때도 보면 일방 당사자에만 그 책임하에서 이 부분을 갖다가 동의를 받고 수집하고 있는 뿐이지, 그 사진 안에 있는 모든 사람을 다 동의를 받아서 수집하는 부분은 아니지 않느냐, 하는 부분으로서 판단하고 있습니다.

이와 같이 대화 상대방 부분에 대해서는 동의 부분을 그렇게 지금 저희가 판단하고 있고, 이루다 같은 경우에는 응답 DB에서 대화 상대방 부분을 갖다가 대화 상대방 대화까지를 그대로 발화를 갖다가 부분이 있기 때문에 그 부분에 있어서는 저희가 가명정보라든지 이런 부분을 보지를 않고 외부로 발화를 할 때는 적어도 동의를 받든지, 또는 익명정보를 갖다가, 익명하에서 익명정보가 됐을 때는 개인정보보호법에서 적용 제외기 때문에 그럴 경우에는 이용을 할 수 있는데 그 부분이 안 됐기 때문에 저희는 위법으로 본 부분입니다.

두 번째 부분에 있어서 개정안에 따르면 동의만 받으면 다른 서비스 개발에 이용할 수 있는 것은 아닌지 이 부분인데, 현행법에서도 목적, 수집목적에 이용을 할 수 있는 부분은 크게는 두 가지가 있다고 봅니다.

첫 번째로서는 현행법에서도 별도 동의를, 수집목적의 이러이러한 부분으로서 수집된 정보를 이용을 하겠다 하는 별도 동의를 받는다면 충분히 이용할 수 있습니다.

더불어서 정보 주체 동의를 받지 못할 그런 상황에서는 이번 통합법에서, 데이터 3법에서 개정된 것처럼 가명 처리를 해서 가명정보가 된다면 통계목적이라든지 또는 과학적인 연구나 공익 기록의 범주 내에서는 활용할 수 있다고 법상 28조2에서 규정하고 있습니다. 이 두 가지로써 이용 가능하다고 규정하고 있습니다.

<질문> 지금 뒤에 보면 과징금 액수와 안건 위반 내용별로 이렇게 정리가 돼 있는데 이 액수가 높을수록 더 과중한 위반행위라고 보면 되는 건가요? 그리고 처분... 시정조치 의결, 논의해서 의결하는 과정에서 가장 쟁점이 됐던 부분이 뭔지 궁금하고요.

하나만 더 말씀드리면, 이번 결정이 혹시 AI 가이드라인을 마련하시는 데 어떤 식으로 반영이 되는 부분이 있는지 좀 궁금합니다.

<답변> (배상호 조사2과장) 잠깐만요. 첫 번째하고 마지막 부분을 제가 이해를 못 했는데요.

<질문> 첫 번째 것이요, 그러니까 뒤에 보면 위반행위별로 과징금과 과태료 정리를 해 주셨거든요, 액수를. 이게 액수가 높은 거면 위중한 것으로 이해를 하면 되는 건지, 그리고 이게 논의, 이번 논의과정에서 가장 쟁점이 됐던 부분이 뭐인지 이게 처음 질문 묶음이고요.

두 번째는 AI 가이드라인에 어떻게 반영되는 부분이 있는지요?

<답변> (배상호 조사2과장) AI 가이드라인이죠?

<질문> 네.

<답변> (배상호 조사2과장) 첫 번째, 지금 저희가 보도자료 배포해 드린 참고에 있어서 과징금이나 과태료 부분이 높고, 낮다, 이 부분에 따라서 이 부분이 중하다, 나쁘다, 하는 것보다는 과태료 같은 경우에는 이 부분이 저희가 지금 좀 중한 그런 위반 같은 경우에는 과태료 부분이 좀 높게 책정돼 있습니다. 그렇지만 과징금 부분은 매출액의 관련 위반행위의 3% 이하를 하기 때문에 그 부분에 대해서는 어떤 부분이 중하다, 안 중하다, 이런 부분으로서는 얘기하기는 좀 곤란한 부분이 있습니다.

두 번째, 이번 위원회에서 주된 논의의 쟁점이 된 부분으로서는 보도자료에서도 브리핑을 한 부분처럼 AI 기술 기업에 대해서 개인정보 처리에 대해서 첫 사례이기 때문에 이 부분에 대해서 어떻게 AI 기술 개발이라든지 운영에 개인정보를 갖다가 활용하는 것이 또는 보호하는 것이 바람직할 것인가, 또 어느 부분까지를 어떻게 해야 될 것인가에 대한 부분을 갖다가 굉장히 아마 주된 쟁점으로 해서 논의를 많이 한 것으로... 논의를 많이 하였습니다. 두 번째로서는 이것과 더불어서 가명 처리에 대해서도 굉장히 많은 논의가 있었다는 것을 말씀드리겠습니다.

세 번째 질문은 AI 가이드라인에 대해서 말씀을 해 주셨는데, 이번 AI에 대한 첫 번째 위반에 대한 판단 사례에 따라서 저희 위원회는 보호법 취지에 따라서 보호만을 하는 게 아니고 활용도 같이 조화롭게 가는 부분을 갖다가 조명을 하고 그 방향으로서 일을 진행하고 있습니다.

이에 따라서 이번 처분과 함께 조만간에 AI 서비스에 대한 개인정보보호 자율점검표라 해서 AI 기업이 AI의 모델 개발이라든지 운영을 해 나감에 있어서 어떤 때에는 어떻게 개인정보를 갖다가 보호해야 되고, 어떻게 활용해야 되는가 하는 각각의 기준별로 해서, 구분별로 해서 지침점검표를 갖다가 만들어서 발표를 할 계획으로 있습니다.

이와 더불어서, 이 점검표와 더불어서 AI 산업 기술 기업에 대해서 현장 컨설팅이라든지 이런 부분에 대해서 적극적으로 지원할 계획으로 있습니다.

<질문> 스캐터랩에 대해서 투자한 사람... 투자한 기업들 중에 일부 IT 기업들도 포함돼 있던데 해당 기업들이 이번 사태에 대해서 관여한 것은 있는지, 혹시 책임 소재를 물을 수 있는 건은 없는지 궁금합니다.

<답변> (배상호 조사2과장) 스캐터랩에 투자한 기업들이 여럿이 있다고 들어서 알고는 있습니다만, 이 부분에 대해서 스캐터랩이 위반을 한 행위지, 투자한 회사가 또는 투자자가 위반한 행위는 아니기 때문에 이 부분에 대해서는 투자자들한테 책임 소재를 묻기는 어렵다고 봅니다. 물을 수 없습니다.

<질문> ***

<답변> (배상호 조사2과장) 그 부분에 대해서는, 민·형사상이라든지 이런 부분에 대해서는 저희가 그 부분에 대해서 판단하기는 어렵고요. 저희는 행정적으로서 개인정보보호법에 따라서 위반한 행위에 따른 행정처분만을 하는 부분입니다.

<질문> ***

<답변> (배상호 조사2과장) 네, 그렇습니다.

<질문> 하나만 더 여쭤보겠습니다. 말씀해 주신 것처럼 이번 스캐터랩... 이루다 사태에서 가명정보 처리에 대한 고민이 매우 필요하다고 생각이 드는 이유는 개인정보보호위원회에서 말씀하신 것처럼 AI 기업이 데이터를 다룰 때 가명정보 처리를 제대로 하지 않은 경우 이런 경우에 어떻게 대처할지에 대한 대안이 필요할 것 같고요.

스캐터랩에서 주장하는 것처럼 가명정보를 정말 철저하게 처리를 했는데도 이렇게 3~4건의 데이터가 튀어버리는 상황에 대해서 어떻게 대처를 해야 될지 그에 대한 방안도 필요한 것처럼 보이는데, 오늘 나온 발표자료에서는 그런 부분에 대해서 다뤄지지 않은 것 같아서요. 혹시 이에 대해서 어떻게 고민하고 계시는지 궁금합니다.

<답변> (배상호 조사2과장) 저희가 보도자료에 상세하게 이루다 부분에 있어서 가명 처리가 어떻게 됐다 하는 부분을 갖다가 다 언급하기가 굉장히 많은 부분이라서 이 부분을 좀 압축해서 하다 보니까 그 부분이 제대로 안 보인 부분이 있을 수가 있는데요.

AI 서비스 부분 중에서 지금 이루다의 학습 DB를 갖다가 한 부분은 아까도 말씀드린 것처럼 식별성 있는 정보 부분만을 갖다가 한 것을 가지고 지금 스캐터랩 입장에서는 전체 세트를, 데이터세트를 다 가명 처리한 가명정보에 해당이 된다는 의견이 있었지만 저희 위원회에서는 전체 세트 중에서 이렇게 세트가 이게 두 개가 있다면 이것은 식별성을 갖다가 이 부분을 비식별 처리, 가명 처리를 한 부분이고, 대화, 카카오톡 대화 부분은 아무런 조치를 안 했기 때문에 저희는 이 부분, 조치를 하지 않은 이 부분 때문에 가명 처리가 지금... 가명정보로 보지 않았던 그런 부분입니다.

이 부분을 가지고 조금 전에 말씀을 하신 것처럼 어디까지를 봐야만이 가명정보를 갖다가 제대로 된 가명정보를 볼 수 있느냐 하는 부분인데, 이 부분은 개별 사안, 사안별로 그 해당 여건이라든지 모든 부분을 갖다가 다 고려해서 판단하지 않는다 하면 어떤 획일적인 부분으로서 이 부분 여기까지만 하면 가명정보를... 가명 처리를 다 한 거다, 하고 말하기는 굉장히 어렵다 하는 부분을, 그래서 이번 저희도 처음 가명 부분에서 첫 이게 검토를 하고 심의를 진행해 나가면서 하나의 느꼈던 부분입니다.

그래서 모든 가명 처리에 있어서는 조금 전에 말씀드렸던 것처럼 각각 개별, 개별 사안별로 해서 처한 부분을 모든 것을 다 판단해서 볼 수밖에 없다, 하는 부분을 말씀드리겠습니다.

참고로 AI 서비스에서 이루다에서 운영 DB에서 발화를 시켰던 그런 부분으로 간다면 저희가 이 부분에 대해서는 과학적 연구는 서비스 개발까지는, 이루다 개발까지는 과학적 연구는 갖다가 포함될 수 있지만 외부에 발화를 해 나가는, 외부에 공개를 해 나가는 부분은 과학적 연구에 해당되지 않는다고 저희는 심의를, 판단을 하였습니다.

그래서 이루다같이 외부에 발화를 갖다가 하는 이런 경우에 있어서는 이용자의 동의를 받든지, 아니면 익명정보를 갖다가 익명화해서 익명정보를 이용하는 그런 부분으로서 할 수 있다고 판단을 하였습니다.

고맙습니다.


【전자상거래법 전부개정안에 대한 개인정보 침해요인 평가 결과】

<송상훈 개인정보보호위원회 조사조정국장>
그러면 다음은 전자상거래법 전부개정안에 대한 개인정보 침해요인 평가 결과에 대해서 간단하게 브리핑을 하도록 하겠습니다.

오늘 회의에서 개인 간 거래를 규정하고 있는 전자상거래법 전부개정안 제29조1항에 대해서 소비자보호와 판매자 개인정보보호를 동시에 달성할 수 있는 방법으로 개인 간 거래 시의 필수정보인 연락처 및 거래정보를 공적 분쟁조정기구에 대해서만 제공할 수 있도록 권고를 했습니다.

우선 개인판매자정보 확인의무화 관련해서는 개정안에서 온라인 플랫폼 운영사업자가 개인판매자의 성명, 전화번호, 주소 등을 의무적으로 확인토록 하는 것은 현재 비실명 기반 온라인 플랫폼 이용자가 지속적으로 증가하고 있는 상황에서 비실명거래를 하고 있는 2,000만 명의 성명, 주소 등의 개인정보를 추가적으로 확인하여야 하고, 추가 확인하는 개인정보의 유·노출, 오남용 위험도 배제할 수 없음은 물론이고, 앞으로 개인정보의 수집을 최소화하는 사업 모델은 법률상 불가능한 상황이 초래될 것으로 예상됩니다.

작년 5,900만 건의 비실명거래 중 분쟁조정 신청건수가 368건에 불과한 점과 경찰청에 접수된 사기 민원, 2000년 기준으로 약... 2020년 기준으로 약 12만 건 역시 대다수가 중고나라, 번개장터 등 실명확인을 통해 성명과 전화번호를 알고 있는 경우인 점을 고려할 때 소비자보호를 위한 일률적인 개인판매자정보 수집의무화의 근거가 미약하다고 볼 수 있겠습니다.

이에 따라 위원회는 온라인 플랫폼 운영사업자로 하여금 중개서비스라고 하는 본질적인 기능을 수행함에 있어서 필수적이지 않은 정보를 수집하도록 의무화하는 것은 개인정보보호법 제3조 및 제16조가 규정하고 있는 개인정보 최소수집의 원칙과 배치됨으로써 개인판매자의 개인정보 자기결정권을 과도하게 제한한다고 판단하고, 개인 간 거래를 위한 필수정보인 연락처 및 거래정보를 최소화하여 공적 기구에 한해 제공할 수 있도록 개선 권고를 했습니다.

다음은 소비자에게 개인판매자정보 제공하는 건과 관련해서는 위원회는 개정안이 개인판매자와 소비자 간 분쟁이 발생한 경우에 온라인 플랫폼 운영사업자가 개인판매자의 성명, 전화번호, 주소 등의 정보를 소비자에게 제공하도록 의무화한 것에 대해서는 소비자와 개인판매자 간 불미스러운 방식의 사적 해결을 조장할 수 있다고 보아서 삭제 의견을 분명히 했습니다.

위원회는 이번 권고 취지에 따라 소비자보호와 개인정보보호의 조화를 이룰 수 있는 개정안이 마련될 수 있도록 공정거래위원회와 지속적으로 협의해 나갈 예정입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 여기서 말씀해 주신 공적 분쟁조정기구가 어떤 기구인지 궁금하고요. 또 사실 개인정보 제공도 문제인데 제공한 이후에 파기에 대한 문제도 다루어져야 될 것처럼 보이는데 이런 부분은 안 담긴 것 같아서 혹시 논의가 있었는지 궁금합니다.

<답변> (고남현 침해평가과장) 개인정보위 침해평가과장 고남현입니다. 지금 질문 첫 번째 질문에서 공적 기구라 함은 소비자, 이번 법 개정이 되면서 개정안에 소비자보호원 산하 분쟁조정위원회도 있을 수 있고요. 기타 정부 내에서 이런 분쟁을 조정하는 기구들이 많이 있습니다, 지자체까지요. 그런 것들을 다 포괄하는 개념으로 해서 위원회는 대통령령으로 정하는 공적 기구 이런 부분으로 판단을 했고요. 했습니다.

그리고 두 번째 질문은 제가 말씀을 움직이면서 놓쳐서요.

<질문> 이게 사실 개인정보가 이관되는 것도 문제지만 개인정보가 이관되고 확인된 다음에 파기하는 과정도 담겨야 될 것 같은데 오늘 나온 내용에서는 그럼 파기에 대한 내용이 없어서, 혹시 논의과정에서 어떤 이야기가 오갔는지 궁금합니다.

<답변> (고남현 침해평가과장) 아시는 것처럼 파기와 관련해서는 저희 개인정보보호법상 파기의무조항이 있습니다. 그것은 일반법으로서 특별히 규정되지 않은 상황에서는 다 적용되고요. 그래서 목적이 달성되면 당연히 지체 없이 파기하도록 되는 사항입니다.

그런데 다만, 이번 위원회에서 침해평가 대상으로 잡았던 사항은 개인 간 거래에서의 소비자보호 그리고 그 규정 자체가 플랫폼 운영사업자가 개인 간 거래의 판매자의 정보를 개인정보를 의무적으로 확인하는 조항이 하나 있었고, 내용이 있었고요.

또 하나는 그것을 소비자한테 제공하는 의무조항이 있었습니다. 이게 굉장히 중한 사항이고 국민한테 지대한 영향을 미치는 사항이라 그것을 포커스로 내용들을 검토했고 이번에 개선 권고 의견이 나가게 된 겁니다.

<답변> (사회자) 그럼 이것으로 금일 브리핑을 마치도록 하겠습니다.

참석해 주셔서 감사드립니다.

<끝>