제대로 된 동의였습니까? 대화 상대방에게도 동의받았습니까? 인공지능 '이루다' 논란
제대로 된 동의였습니까? 대화 상대방에게도 동의받았습니까? 인공지능 '이루다' 논란
대화 학습 시켜 만들어낸 인공지능 친구 '이루다'⋯개인정보보호법 위반 등 각종 논란
개발사 스캐터랩 "동의해서 수집한 것"이라고 밝혔지만, 결국 운영 잠정 중단
인공지능 챗봇 '이루다'가 각종 구설수에 휩싸이다 20일 만에 운영을 잠정 중단했다. 가장 크게 문제가 된 것은 연인 간의 대화를 동의 없이 활용했다는 개인정보보호법 위반 논란이었다. /스캐터랩⋅이루다 홈페이지 캡처⋅편집=조소혜 디자이너
인공지능 챗봇 '이루다'가 개인정보보호법 위반 논란에 휩싸였다.
①제대로 동의도 받지 않고 연인 간의 내밀한 대화들을 인공지능 학습의 재료로 사용했고, 그 대화에 담긴 ②민감한 개인 정보를 외부에 노출되도록 했다는 논란이 불거졌다.
두 가지 모두 막대한 과징금은 물론 형사처벌까지 이어질 수 있는 위험한 의혹이다. 로톡뉴스가 변호사 세 명의 자문을 토대로, 해당 논란의 법 위반 사실을 정리해봤다.
이루다는 실제 연인들이 나눈 대화 데이터 100억건을 학습한 끝에 만들어졌다. 개발사인 스캐터랩에 따르면, 100억건의 '출처'는 그들이 만든 또 다른 서비스 '연애의 과학'에서 수집된 정보다.
온라인 심리상담 서비스 '연애의 과학'의 일부 서비스를 이용하려면, 카카오톡 대화 내역 전체를 보내야 한다. 그러면 스캐터랩이 그 대화 내역을 분석해 상대방이 의뢰인에게 얼마나 호감이 있는지를 점수로 보여준다.
문제는 '연애의 과학' 사용자들 대부분이 스캐터랩에 제공한 대화 내역이 어떻게 활용될지 몰랐다는 점에 있다. 스캐터랩은 확보한 대화 내용을 이루다의 학습에 사용했는데, '연애의 과학' 사용자들은 "그렇게 사용될지 전혀 몰랐다"고 주장하고 있다.
즉, 스캐터랩이 '제대로 된 동의'를 받지 않고 연인 간 대화 내역을 함부로 사용했다는 논란이다.
논란① '제대로 된 동의'를 받고 수집한 대화인가
이용자들은 자신들의 카톡 대화가 이루다 개발에 사용될 거라고 안내받았다면, 그런 약관에는 동의하지 않았을 것이라 주장하고 있다.
하지만 스캐터랩은 "동의를 제대로 받았다"는 입장이다. '연애의 과학'을 이용하려면 이용약관 및 개인정보취급방침에 동의해야 한다. 이 약관에는 "새로운 서비스에 제공 정보가 활용될 수 있다"는 부분이 포함돼있다. 그렇기 때문에 이루다와 같은 신규 AI 서비스에 대화가 사용된 건 문제 없다는 주장이다.
변호사들은 어떻게 생각할까? 개발사인 스캐터랩의 손을 들어준 변호사가 3명 중 2명이었다.
법률 자문
법무법인(유) 강남의 이필우 변호사는 "누구나 확인할 수 있도록 이용약관 등이 공개돼 있다면, 사용자가 인식하지 못했다는 주장은 받아들여질 가능성이 높지 않다"고 설명했다.
익명을 요구한 행정법 전공의 다른 변호사 역시 "단지 그 동의가 '형식적'이었다는 이유만으로는 동의의 효력 자체를 부정할 수는 없다"며 "최근까지 대법원은 사용자 스스로, 일정한 의사 표시를 했다면 약관 등에 동의한 것으로 봐야 한다고 판단했다"라고 말했다.
반면, 법률사무소 파운더스의 하진규 변호사는 "이용약관에 대한 별도의 페이지 없이 로그인으로 동의를 갈음하는 것이 진정한 동의라 할 수 있을지 의문"이라며 "이는 소비자 보호를 주요한 목적으로 하는 약관규제법의 취지에도 어긋난다"고 밝혔다.
하 변호사가 짚은 '간소한 동의'라는 것은 스캐터랩이 '연애의 과학' 로그인 페이지에서 "로그인함으로써 이용약관 및 개인정보취급방침에 동의합니다"고 명시한 부분이다. 로그인을 위한 화면 하단에 표시된 이 부분을 대부분의 사람들이 제대로 보지 않고 회원가입⋅로그인을 할 테니, 제대로 된 동의가 아니라는 지적이다.
논란② 이루다가 말하는 '민감한' 개인정보는 문제없나
이용자들이 제기하는 두 번째 문제는 '이루다가 실제 대화에서 학습한 개인정보를 여과 없이 내뱉는다'는 점이다. 학습의 재료가 된 대화 데이터에 포함된 실명, 주소, 계좌 번호 등이 대화 도중 나타나는 이슈다.
스캐터랩은 "이름이나 전화번호 같은 개인정보는 알고리즘을 통해 제거했다"고 밝히고 있지만, 실제 인터넷 게시판에 올라온 대화 내역을 보면 이루다는 대화 도중 민감한 개인 정보를 말하고 있다.
이 캡처 증거물이 사실이라면, 스캐터랩의 개인정보보호법 제29조 위반은 명백하다. 개인정보처리자는 개인 정보가 함부로 나가지 않도록 안전조치를 해야 할 의무가 있는데, 이를 어긴 것으로 볼 수밖에 없기 때문이다. 이에 대해서는 세 명의 변호사가 모두 "법 위반 소지가 있다"고 밝혔다.
이 경우 스캐터랩은 과징금(매출액의 최대 3%)과 과태료(최대 3000만원)는 물론 형사처벌까지 받게 된다. 우리 개인정보보호법(제73조)은 안전 조치를 하지 않아 개인정보를 유출한 사업자를 2년 이하의 징역이나 2000만원 이하의 벌금에 처하도록 하고 있다.
논란③ 수집한 대화 당사자 '양측' 모두의 동의를 받았나
사실 사람들이 문제 삼는 부분은 하나 더 있다. 스캐터랩이 확보한 대화 내용은 '두 사람이 나눈 대화'인데, 동의는 그 중 '한 사람'에게서만 받았다는 부분이다. 즉, 대화 당사자 양방의 동의를 받은게 아닌 셈이 된다. 이러한 상황에서 이루다를 통해 해당 서비스(연애의 과학) 미가입자의 이름이나 주소 등 특정한 정보가 유출된다면, 그의 개인정보를 침해한게 된다.
이 경우는 문제가 훨씬 복잡해진다.
개인정보보호법 제15조 제1항 제1호는 정보주체의 동의를 받아야 개인정보를 수집할 수 있다고 규정한다. 이러한 절차 없이 개인정보를 제3자에게 제공하거나, 정보를 받으면 5년 이하의 징역 또는 5000만원 이하의 벌금에 처할 수 있다(제71조). 정보주체로부터 동의를 받지 않고 개인정보를 수집한 것만으로도 5000만원 이하의 과태료가 부과된다(제75조).
본사는 이루다를 개발하는 과정에서 본사가 제공하고 있는 서비스 연애의 과학으로 수집한 메시지를 데이터로 활용한 바 있습니다. 사전에 동의가 이루어진 개인정보취급방침의 범위 내에서 활용한 것이지만, 연애의 과학 사용자분들께서 이 점을 명확히 인지할 수 있도록 충분히 소통하지 못한 점에 대해서 책임을 통감하며 진심으로 사과드립니다.
데이터 활용 시 사용자의 닉네임, 이름, 이메일 등의 구체적인 개인 정보는 이미 제거 돼 있습니다. 전화번호 및 주소 등을 포함한 모든 숫자 정보, 이메일에 포함될 수 있는 영어 등을 삭제해 데이터에 대한 비식별화 및 익명성 조치를 강화해 개인을 특정할 수 있는 정보는 유출되지 않았습니다.
향후로는 데이터 사용 동의 절차를 명확하게 하고 식별이 불가능한 정보라도 민감해 보일 수 있는 내용에 대해서는 지속적인 알고리즘 개선을 통해 보완하겠습니다. (중략)
스캐터랩은 일정 시간 서비스 개선 기간을 가지며 더 나은 이루다로 찾아뵙고자 합니다.
