개인정보보호위원회(개인정보위)는 항저우딥시크AI(이하 딥시크)가 국외로 무단 이전한 국내 이용자들의 프롬프트 입력 내용 등 개인정보를 즉각 파기할 것을 시정권고했다고 24일 밝혔다. 지난 2월 딥시크가 주요 앱 마켓에서 국내 신규 다운로드를 잠정 중단하기 전까지 이 서비스를 이용한 국내 이용자는 하루 5만명 규모로 추산된다.
전날 개인정보위 전체회의를 통해 심의·의결된 사전실태 점검 결과에 따르면, 딥시크는 국내 이용자들의 개인정보를 중국 기업 3곳과 미국 기업 1곳 등 모두 4곳에 이전했다. 이를 위한 동의를 받거나 처리방침을 공개하지 않았다. 특히 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 인공지능(AI) 프롬프트에 입력한 내용도 베이징볼케이노엔진테크놀로지(이하 볼케이노)에 전송하고 있었다. 이곳은 틱톡 모기업인 바이트댄스 계열사로 클라우드 서비스를 제공한다.
딥시크는 다른 AI사업자들과 유사하게 이용자가 모델에 프롬프트로 입력한 내용을 AI모델 개발·학습에 이용하고 있었다. 이용자가 이를 거부할 수 있는 기능이 없었으나, 회사는 이런 옵트아웃 기능을 마련했다고 지난달 17일 개인정보위에 알렸다. 딥시크 서비스 가입 시 14세 미만 아동인지 여부를 확인하는 절차도 점검 도중에 마련됐다. 다만 함께 문제가 됐던 키 입력 패턴은 실제 수집한 사실이 없는 것으로 확인됐다.
딥시크는 이런 개인정보 국외이전(위탁)에 대해 우리 개인정보보호법에서 규정하는 사항을 비롯해 한국어로 된 처리방침과 별도의 한국 관할조항도 추가해 지난달 28일 제출했다. 볼케이노로 데이터를 전송한 것에 대해서는 보안취약점과 사용자 환경·경험 등 개선을 위해 클라우드 서비스를 이용한 것이라 설명했다. 또 회사는 이용자의 프롬프트 입력 내용에 대한 신규 이전을 이달 10일부터 차단 조치했다.
개인정보위는 딥시크에 이미 볼케이노로 이전한 이용자 프롬프트 입력 내용을 즉각 파기할 것과 한국어 처리방침 공개 등 서비스 투명성을 지속 확보할 것을 시정권고하기로 했다. 또한 △지난해 개인정보위가 AI 관련해 마련한 '강화된 개인정보 보호조치 방안' 준수 △아동 개인정보 수집 여부 확인 및 파기 △개인정보 처리시스템 전반의 안전조치 향상 △국내대리인 지정을 개선권고하기로 했다.
딥시크가 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며, 시정 및 개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고해야 한다. 이와 별개로 딥시크의 국내 서비스는 조만간 재개될 것으로 관측된다. 신규 다운로드 잠정중단은 회사 측이 스스로 취했던 조치이기 때문이다. 개인정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해나갈 계획이다.
이날 브리핑을 맡은 남석 개인정보위 조사조정국장은 "딥시크가 국내 대리인을 지정하도록 해 이번 조치에 대한 이행 여부를 좀 더 철저히 점검해나갈 계획"이라며 "국제적으로 개인정보 감독기구들과 갖춘 공조체계를 통해서도 우리 국민의 국외 이전된 개인정보들이 보호될 수 있도록 할 것"이라 말했다.팽동현기자 dhp@dt.co.kr
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0