개인정보보호인공지능

시민단체, 이루다 개발사 주식회사 스캐터랩의 개인정보 보호법 위반에 대한 민원 제출

By 2021/01/20 2월 2nd, 2021 No Comments

시민단체, 개인정보 보호위원회에 ‘이루다’ 개발사 스캐터랩에 대한 철저한 조사와 조치 요구

개인정보 보호법 제3조, 제39조의3 외 다수 조항 위반 혐의
정보주체 삭제권 보장하되 권리구제 증거 보전을 위한 열람 및 처리정지권도 보장해야

  1. 오늘(1/20) 민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터, 참여연대는 개인정보 보호위원회에 공동으로 개인정보보호법을 다수 위반한 주식회사 스캐터랩에 대한 철저한 조사와 조치를 요구하는 민원을 제기하였다.
  2. 주식회사 스캐터랩은 비공개 카카오톡 대화내용을 이용하는 <연애의 과학> <챗봇 ‘이루다’> 등 인공지능 애플리케이션의 개발 및 서비스 과정에서 개인정보 보호법을 위반하고 정보주체의 권리를 침해한 사실이 알려져 최근 큰 사회적 충격을 안겨주었다. 또 스캐터랩이 개발한 <챗봇 빌더 ‘핑퐁’> 등 다른 제품에서도 개인정보 침해 사실이 추가로 발견되는 등 민감한 정보를 처리하는 개인정보 처리자로서 개인정보 보호법에 대한 숙지와 준수가 매우 미흡한 것으로 드러났다.
  3. 이에 개인정보 보호위원회는 한국인터넷진흥원(KISA)과 스캐터랩의 위법 행위에 대하여 조사를 진행 중이다. 시민단체들은 위원회가 <텍스트앳> <진저> <연애의 과학> <핑퐁> <이루다>를 비롯하여 스캐터랩이 출시한 모든 제품의 개발과 서비스 과정에서 이루어진 개인정보 처리에 대하여 철저히 조사하고 위법한 행위나 정보주체의 권리침해가 발견될 경우 시정조치 명령, 과태료 및 과징금 부과, 형사고발 등 법에 따라 적정한 처분을 취해줄 것을 요청하였다.
  4. 특히 시민단체들은 위원회가 언론을 통해 이 사안에 적용을 검토 중이라고 밝힌 개인정보 보호법 제3조 제7항 및 제39조의3 제2항 위반 혐의 외에도 개인정보 보호법 다수 조항 위반 사실과 혐의가 발견되었다고 짚었다.
    스캐터랩이 △대화상대방에 대한 동의와 고지 없는 수집 (법 제15조 제1항, 법 제20조 제2항 및 시행령 제15조의2, 법 제39조의3 제1항) △ 명시적 동의 위반 (법 제15조 제2항, 법 제39조의3 제1항) △ 최소 수집 위반 (법 제16조 제1항 내지 제3항, 법 제39조의3 제3항) △ 포괄 동의 위반 (법 제22조 제1항) △ 중요한 내용의 표시 위반 (법 제22조 제2항) △ 민감정보의 처리 위반 (법 제23조 제1항 및 시행령 제18조) △ 민감정보의 안전성 조치 위반 (법 제23조 제2항) △ 고유식별정보 및 주민등록번호의 처리 위반 (법 제24조 제1항 및 제3항, 시행령 제19조, 법 제24조의2 제1항 및 제2항) △ 개인정보 안전성 조치 미흡 (법 제73조 제1호, 제75조 제2항) 등으로 개인정보 보호법을 전방위적으로 위반하였다는 지적이다.
  5. 스캐터랩은 자사 애플리케이션의 개인정보 처리방침에 따라 정보주체의 동의를 받고 개인정보를 처리하였다는 입장을 고수하고 있다. 그러나 정보주체들은 자신의 비공개 사적 대화 내용이 분석되어 이후 챗봇 등 이 회사 타제품의 학습에 이용되었다는 사실에 대하여 명확히 인지하지 못했다고 호소하고 있다. 이 회사 제품들이 전반적으로 정보주체가 자유로운 의사에 기반하여 개인정보 처리에 동의하도록 한 개인정보 보호법을 준수했다고 보기 어려운 이유이다.
  6. <연애의 과학> 뿐 아니라 <텍스트앳> 등 스캐터랩의 제품과 서비스는 정보주체로부터 명시적으로 동의를 받지 않고 막연하게 표현된 ‘신규 서비스 개발’까지 포괄적으로 동의를 받았다. 특히 서비스에 필요한 최소한의 개인정보만 수집되어야 하고 수집된 개인정보가 마케팅 및 광고에 이용되는 것은 정보주체가 선택하도록 한 개인정보 보호법을 위반하였다. 또한 민감정보, 고유식별정보 등 중요한 내용에 대한 처리를 별도로 표시하거나 동의를 받지 않았고 안전성 조치에도 전반적으로 소홀한 사실이 드러났다.
  7. 무엇보다 스캐터랩의 제품과 서비스를 이용한 정보주체의 수가 방대한 규모이고 수집된 개인정보의 대다수가 비공개 사적 대화내용이라는 점에서 심각한 기본권 침해를 야기하였고, 그 피해 정도도 매우 심각하다.
    스캐터랩은 2016년 출시한 애플리케이션 <연애의 과학>의 유료 및 무료 정보주체로부터 카카오톡 비공개 대화내용 약 100억건을 수집하고 이용하였으며, 이를 가명처리 후 2020년 12월 23일 출시한 인공지능 챗봇 <이루다> 등 자사 타제품 개발에 이용하였다. 그 전에는 10만 명으로부터 카카오톡 비공개 대화내용 6억 건을 수집하고 이용하여 2013년 애플리케이션 <텍스트앳>을 출시한 바 있으며 2015년 이를 업데이트한 제품 <진저>를 출시하였다. 2018년 1월 시점에 <연애의 과학>의 이용자수는 매월 한국과 일본에서 500만 명으로 집계되었으며 <텍스트앳> 다운로드수는 106만 건으로 집계되었다. 따라서 현재까지 이 회사가 직접 수집한 개인정보와 그 정보주체의 규모 및 정보주체 이외로부터 수집한 개인정보와 그 정보주체의 규모는 더 클 것으로 추정된다.
  8. 현 정부는 ‘개발’에만 초점을 맞추어 ‘빅데이터 산업’ 육성을 강조하며 법률 개정을 밀어부쳤고, 그 과정에서 정보주체의 권리는 철저히 ‘부수적인 피해’로 취급하였다. 지금이라도 관련 법제를 정비하여 추가 피해가 발생하는 것을 막아야 한다. 정보주체의 권리구제를 위해서는 직접 개인정보를 제공한 이용자 정보주체 뿐 아니라 그 대화상대방인 정보주체 역시 제공된 자신의 개인정보와 대화에 대하여 열람하고 삭제를 원하는 경우 그 권리를 개별적으로 완전하게 행사할 수 있어야 한다. 또한 피신고인의 개인정보 수집과 처리 과정이 불법적인 것으로 드러나면 정보주체의 요청 없이도 이루다 외 해당 개인정보를 바탕으로 만들어진 모든 챗봇 모델과 알고리즘, 그리고 해당 데이터셋의 원본 및 가명 데이터셋의 폐기가 마땅하다. 다만, 현재 정보주체들의 대규모 민사소송이 예고된 상태에서 회사의 대상 데이터셋 폐기는 피해자들의 열람권 행사와 피해사실 입증에 곤란을 야기할 우려가 있다. 따라서 이루다에 사용된 개인정보들에 대해서 정보주체의 신청에 따른 개별적인 삭제권 행사를 보장하되, 회사의 일방적인 폐기 처리는 위원회의 조사와 민사소송 등 관련 분쟁이 끝날 때까지 정지하고 피해자들의 열람권과 처리정지권 행사 등 피해사실 입증을 보장할 필요가 있다.
  9. 마지막으로 시민단체들은 개인정보 보호법의 개선을 강력히 촉구한다. 스캐터랩 사태는 기업들이 현행 법(데이터3법)에 대하여 개인정보를 가명처리한 후에는 정보주체의 동의 없이 인공지능 제품 등 기업의 상품개발에 거의 무한대로 이용할 수 있다고 인식하고 있는 데서 기인한 참사다. 기업들이 장래 불명의 상업적 이용을 위하여 수집 목적 달성 후에도 개인정보를 무한대로 보관한다면 이번 사건처럼 이용자와 국민의 신뢰를 잃는 사태가 반복될 수 밖에 없다. 따라서 데이터3법에서 정보주체의 동의 없는 가명정보 이용에 대한 제한이 필요하다. 또한 자동화된 의사결정에 이를 수 있는 챗봇이나 인공지능이 등장할 때 정보주체를 보호하기 위하여 법제 마련 등 관련 제도 개선이 반드시 함께 이루어져야 할 것이다. 끝.

2021.1.20
민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터, 참여연대