개인정보보호인공지능입장

[논평] 돌아온 ‘챗봇이루다’는 과연 안전할까?

By 2021/12/24 4월 13th, 2022 No Comments

위법 수집 학습데이터 재사용 여부,
사기업의 영리목적 상품· 서비스개발이 ‘과학적 연구’인지 등 여전히 미해결

동의 없는 가명정보 사용은
‘전사회 공익’으로 공유되는 연구결과에 한정하도록 개보법 개정해야

  1. 챗봇 ‘이루다’가 내년 1월 베타테스트를 거쳐 정식 서비스로 돌아온다고 한다. 지난해 12월 23일 서비스 개시 후 성차별⋅혐오 발언, 회원 개인정보 무단 활용 등으로 출시 3주 만에 서비스를 중단하고 개인정보보호법 위반으로 과징금 5,550만 원과 과태료 4,780만 원을 부과받은 지 근 1년 만이다. 그러나 당시 제기된 문제 중 다수는 여전히 해결되지 않고 지금도 논쟁 중이다. 개발사 스캐터랩은 다른 서비스 이용 회원의 대화데이터 1억 건을 동의 없이 수집, 목적 외 이용하여 위법이 확인되었는데, 이를 파기하겠다고 한 적이 없어 이번 재출시 서비스 개발에 사용한 것이 아닌지 의심스럽다. 이 부분에 대해 개발사 스캐터랩은 명확히 밝여야 할 것이다. 만약 우려가 사실이라면, 이 또한 확인된 법위반 상태를 교정한 것이 아니라 ‘재범’이라고 할 수 있을 것이다. 최근 미국, 영국, 호주, 프랑스 등 각국 개인정보보호 감독기관들은 위법한 인공지능 학습데이터의 수집 및 사용의 중단을 요구하는 데서 더 나아가 해당 데이터의 삭제를 명령하였다는 사실을 참고할 필요가 있다.
  2. 개인정보보호위가 지난 4월 챗봇 이루다 개발사 스캐터랩에 대하여 인정한 법위반 사실은 △스캐터랩이 ‘연애의 과학’과 ‘텍스트앳’이라는 서비스 이용 회원들의 대화내용을 수집하면서 챗봇 이루다의 학습용데이터로 사용한다는 사실을 명시하지 않고 정보주체의 명시적 동의를 받지 않은 점, △성관련 심리테스트 서비스하면서 응답결과를 불법 보관하여 민감정보에 대해 고지 및 별도 동의 받지 않은 점, △60만명의 회원정보 일부, 카카오톡 대화문장 94억여 건을 회원탈퇴 후에도 별도 학습용 DB로 저장하고 이루다 개발에 사용한 점, △1년 이상 서비스 미이용자들의 개인정보를 파기하거나 분리 보관하지 않은 점, △미성년자의 대화내용 수집, △개발자들의 마켓 Github에 테스트샘플 100건의 카카오톡 대화 포함 공개한 점이었다. 그러나 이 외에도 중요한 법적 쟁점을 던져주었다. 카카오톡 대화를 수집하면서 상대방의 동의를 얻지 않아도 되는지, Github 등 개발자들의 공개 플랫폼에 가명정보를 올리는 것을 과학적 연구의 일환으로 볼 수 있는지, 기업 내부의 영리목적의 챗봇 개발을 과학적 연구로 볼 수 있는지 등은 여전히 해결되지 않은 과제이다. 그럼에도 사건을 조사했던 개인정보보호위, 당사자인 개발사도 그 어떤 명확한 대답을 내놓지 않은 상태에서 사실상 동일한 서비스의 인공지능 제품을 내놓는 것에 우려를 표하지 않을 수 없다.
  3. 특히 지난 4월 심의에서 개인정보보호위가 사기업 내부의 영리목적의 상품서비스 개발을 ‘과학적 연구’라는 범위로 판단한 것은 향후 기업의 다양한 AI상품, 서비스 개발을 애초 정보주체로부터 동의받은 수집목적과 무관하게 양립가능한 것으로 해석될 수 있다는 점에서 시민사회의 우려 의견이 컸다. 방대한 학습데이터가 중요한 AI산업에서 앞으로 다종다양한 상품과 서비스 개발이 이루어질 것인데, 기업들이 장래 불명의 마케팅이나 상업적 이용을 위해 수집 목적 달성 후에도 개인정보를 무한대로 보관하고 과학적 연구라는 미명하에 마음대로 활용한다면, 제2의, 제3의 챗봇이루다 사태는 반복될 것이 틀림없다. 이는 기업과 소비자, 이용자 간의 신뢰를 깨트릴 뿐 아니라 장기적으로 인공지능 산업 자체에도 부정적 결과를 초래할 것이다. 근본적으로 사기업의 영리목적 AI 제품 서비스 개발조차 ‘과학적 연구’로 해석할 여지가 있는 개인정보보호법의 ‘과학적 연구’ 범위를 제한하는 법개정이 이루어져야 한다. 유럽의 GDPR의 경우 ‘과학적 연구’에 대하여 연구자, 과학적 지식 및 기술적 기반을 강건하도록 하는 목적에 부합하고 연구 결과가 유럽연합 전역에 공유, 환원되는 것을 전제로 함을 전문에서 밝히고 있다. 마찬가지로 방식이 과학적이라고 해서 사적기업의 독점적 상품, 서비스의 연구개발에까지 동의를 면제하는 것은 정보주체의 동의권을 사실상 무력화하는 것이며 목적제한, 최소수집이라는 개인정보보호의 가장 기본적 원칙을 형해화 한다는 점을 인식해야 한다.
  4. 또한 자동화된 의사결정에 이를 수 있는 챗봇이나 인공지능이 등장할 때 정보주체를 보호하기 위한 법제 마련 등 관련 제도 개선이 반드시 이루어져야 한다. 특히 주요 영역에서 사용되는 인공지능 알고리즘이 차별, 편향적인 결과물을 산출하는데 그 시정이 불가능하다면 폐기하는 것이 공익에 부합한다. 인간의 사회적, 역사적 오류와 편향을 담은 학습데이터의 내재적 한계가 혐오와 차별을 용인하는 이유가 될 수는 없다. 이에 이탈리아, 네덜란드 등 각국 개인정보보호 감독기관들은 배달플랫폼 알고리즘의 노동자 차별과 사회복지 급여 알고리즘의 신청자 차별에 대하여 단호한 제재 조치에 나서고 있다. 그러나 한국의 개인정보보호위가 9월 국회에 제출한 개인정보보호법 2차 개정안에는 인공지능 시대, 신기술 환경에서 위협받는 정보주체의 권리 보호 장치가 여전히 부족하다. 더욱이 개인정보보호위는 2022년도 업무 계획에서 “가명정보·마이데이터 양대 축으로 데이터 경제 활성화”를 내세우기도 하였다. 과기부나 산자부 등과 같이 산업육성 부처에서나 제시할 법한 내용을 “인간의 존엄성”과 “개인정보보호”를 소관임무로 부여받은 기본권 보호 부처에서 발표했다는 점이 놀랍다. 개인정보보호 감독기구가 챗봇 이루다 사태를 통해 채비해야 할 업무는 인공지능 등 새로운 신기술의 시대에 취약한 정보주체의 권리 보호 방안을 마련하고, 기업의 자율적 윤리기준을 넘어 의무와 책임이 동반되는 명확한 법규 마련이라는 점을 잊어서는 안될 것이다.

2021년 12월 24일

민변 디지털정보위원회, 정보인권연구소, 진보네트워크센터, 참여연대