• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    광장

    ‘이루다’ 사건에 대한 개인정보위 결정의 의미와 시사점

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2021.05.11.]



    개인정보보호위원회(개인정보위)는 2021. 4. 28. 인공지능(AI) 챗봇서비스인 ‘이루다’서비스의 개발 및 운영과정에서 카카오톡 대화 내용을 사용한 행위에 개인정보보호법 위반의 점이 있다고 판단하고 과징금 및 과태료 1억 330만원 등을 부과할 것을 의결하였습니다.



    I. 배경

    ㈜스캐터랩은 카카오톡 기반 감정분석 앱 서비스인 ‘텍스트앳’과 연애 상담 앱 서비스인 ‘연애의 과학’ 이용자로부터 카카오톡 대화를 수집하여 ‘이루다’의 AI 개발과 운영에 이용하였습니다. 구체적으로, ㈜스캐터랩은 ‘이루다’ AI 모델 개발을 위한 알고리즘 학습을 목적으로 카카오톡 대화에 포함된 이름, 휴대전화번호, 주소 등 개인정보를 삭제하거나 암호화하는 등의 조치를 하지 않고 약 60만 명 이용자의 카카오톡 대화문장 약 94억 건을 이용하였으며, ‘이루다’ 서비스 운영을 위하여 20대 여성의 카카오톡 대화문장 1억 건을 응답 DB로 구축하여 ‘이루다’가 위 문장 중 한 문장을 선택하여 발화할 수 있도록 운영하였습니다.


    또한 ㈜스캐터랩은 소스코드 공유 및 협업 사이트인 깃허브(Github)에 이름(성 미포함) 22건, 지명 정보(구·동 단위) 34건, 성별, 대화 상대방과의 관계(친구 또는 연인) 등이 포함된 카카오톡 대화문장 1,431건과 함께 AI 모델을 게시하였습니다.



    II. 주요 의결 내용

    1. 카카오톡 대화의 개인정보 해당 여부

    개인정보위는 카카오톡 대화의 경우 실명과 휴대전화번호 등의 개인정보가 포함되어 있을 가능성이 높고 식별정보 외에 인간관계, 소속 등을 추정할 수 있는 대화를 통해 개인을 알아볼 가능성이 있다는 특징이 있으며, ㈜스캐터랩의 경우 소셜 로그인 ID 등의 회원정보와 카카오톡 대화를 함께 수집하여 이용하고 있다는 점에서, 카카오톡 대화는 위 회원정보 및 대화에 포함된 개인정보와 결합하여 특정한 대화문장을 발화한 이용자를 알아볼 수 있는 개인정보에 해당한다고 판단하였습니다.


    2. 카카오톡 대화문장을 수집한 행위

    개인정보위는 대화의 일방 당사자가 입력한 카카오톡 대화는 대화 상대방의 회원정보를 함께 수집하지 않는 이상 이를 입력한 일방 당사자의 개인정보로 수집된 것이므로, ㈜스캐터랩이 카카오톡 대화의 일방 당사자의 동의만으로도 카카오톡 대화를 수집할 수 있다고 판단하였습니다. 다만 개인정보위는 ㈜스캐터랩이 개인정보를 수집하면서 정보주체에게 명확하게 인지할 수 있도록 알리고 동의를 받지 않아 개인정보 보호법 제22조 제1항에 위반된다고 판단하여 시정조치를명하고 각 과태료 160만원을 부과하였습니다.


    3. ‘텍스트앳’과 ‘연애의 과학’에서 동의 받은 수집·이용 목적을 벗어나 ‘이루다’의 개발 및 운영을 위해 개인정보를 이용한 행위 - ‘신규 서비스 개발’ 목적 관련

    개인정보위는 카카오톡 대화와 관련하여 (i) ‘텍스트앳’과 ‘연애의 과학’ 개인정보처리방침에 ‘신규 서비스 개발’을 포함시켜 이용자가 로그인함으로써 동의한 것을 간주하는 것만으로는 이용자가 ‘이루다’와 같은 ‘신규 서비스 개발’ 목적 개인정보 이용에 대하여 동의하였다고 보기 어렵고, (ii) ‘신규 서비스 개발’이라는 기재만으로 ‘이루다’ 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기 어려우며, (iii) 이용자의 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있다는 이유로 위 행위는 개인정보 보호법 제18조 제1항에 위반된다고 판단하여 시정조치를명하고 과징금 780만원 부과를 의결하였습니다.


    4. 과학적 연구 목적의 허용범위

    개인정보위는 카카오톡 대화에 대해 가명처리가 이루어지지 않았을 뿐만 아니라, 카카오톡 대화를 ‘이루다’ 운영에 이용하여 외부에 대화 서비스를 제공하는 것은 개인정보 보호법 제28조의3의 ‘과학적 연구’에도해당하지 않는다는 해석을 하였습니다.


    다만, 개인정보위는 학습DB 내 회원의 식별성이 있는 정보에 대해서는 ㈜스캐터랩이 가명처리를 하였고, 이를 ‘이루다’ 개발에 이용한 것은 개인정보 보호법 제28조의3의 ‘과학적 연구’ 목적에 해당할 수 있다는 입장으로이해됩니다.


    5. 깃허브(Github)에 이용자의 카카오톡 대화문장을 공유한 행위

    개인정보위는 위 행위는 ‘특정 개인을 알아보기 위하여 사용될 수 있는 정보’를 포함하여 가명정보를 불특정 다수에게 제공한 것으로 개인정보 보호법 제28조의2 제2항에 위반된다고 판단하여 시정조치를 명하였습니다.



    III. 시사점

    ‘이루다’서비스의 개발, 운영자인 ㈜스캐터랩에 대한 이번 개인정보위의 결정은 향후 개인정보 처리와 관련하여 몇가지 중요한 시사점을 제시하고 있습니다.


    1. ‘신규 서비스 개발’의 의미와 한계 제시

    국내 많은 사업자들은 개인정보 수집·이용 동의서에 ‘신규 서비스 개발’과 같은 이용목적을 기재하는 경우가 많았습니다. 이와 관련하여 개인정보위는 ‘신규 서비스 개발’이라는 기재만으로 ‘텍스트앳’과 ‘연애의 과학’ 이용자가 ‘이루다’ 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기 어렵다고 판단하였고, 특히 기업이 특정 서비스에서 수집한 정보를 다른 서비스 개발에 무분별하게 이용하는 것이 허용되지 않음을 명확히 하고 있습니다. 따라서 이용목적 고지의 구체성 및 그 범위에 관한 실무적 적용에 좀 더 세심한 고민이 필요하게 되었으며, 특히 ‘신규 서비스 개발’ 목적으로 개인정보를 수집·이용하는 사업자는 이를 통한 개인정보의 이용범위가 이번 결정에서 드러난 기준을 충족할 수 있을 것인지에 대하여 점검해 볼 필요가 있어 보입니다. 나아가, 법적 명확성 차원에서, 그리고 인공지능 산업 발전을 위해서도 이러한 목적 고지의 구체성 기준과 한계에 관한 개인정보위의 구체적인 가이드 제시 등이 더욱 필요해 질 것으로 생각됩니다.


    2. 비정형 데이터에 대한 엄격한 가명처리의 필요성

    카카오톡 대화는 이용자의 성향, 취향 등을 파악하는데 유용하게 사용될 수 있어 맞춤형 서비스를 제공하기 위한 목적으로 수집·이용되는 경우가 빈번하였습니다. 이번 결정은 대표적인 비정형 데이터인 카카오톡 대화 속에 이름, 휴대전화번호, 주소 등의 개인정보가 포함될 가능성이 높다는 점을 중요시한 개인정보위의 판단이 반영된 것으로, 향후 비정형 데이터를 기계학습, AI기반 서비스 개발 등에 활용하고자 하는 사업자들은 비정형 데이터에 대한 적절한 가명처리가 이루어 질 수 있도록 유의할 필요가 있겠습니다. 그리고, 식별성 정보라 하더라도 방대한 자료 또는 데이터 내에서 어느 수준으로 까지 삭제 또는 대체하여야 적절한 가명처리가 된 것으로 볼 수 있을 지에 대한 구체적인 기준이 개인정보위의 ‘AI 서비스의 개인정보보호 자율점검표’에 포함될지 지켜볼 필요가 있을 것입니다. 나아가 개인정보위가 AI기반 서비스 개발과 달리 AI기반 서비스를 운영하며 외부에 대화 서비스를 제공하는 것은 ‘과학적 연구’ 목적에 해당하지 않는다고 판단한 점을 유의하여, 가명정보가 실제 서비스 운영 단계에서 그대로 노출되지 않도록 조치할 필요가 있겠습니다.


    3. 정보주체이외의 자로부터 수집된 개인정보의 이용 한계

    개인정보위는 대화의 일방 당사자가 입력한 카톡의 대화는 대화 상대방의 회원정보를 함께 수집하지 않는 이상 이를 제공한 일방 당사자의 개인정보로 수집된 것으로 판단하였습니다. 정보주체로부터 정보주체이외의 자에 대한 개인정보를 받는 것이 금지되지는 않았지만, 그 경우 수집된 정보주체이외의 자에 대한 개인정보를 어떻게 취급할 것인지에 대한 입장을 밝혔다는데 의미가 있어 보입니다. 나아가, 이렇게 수집된 개인정보를 내부에서 이용하는 경우와 제3자에게 제공하는 경우에 대하여 달리 판단한 점도 주의를 요합니다.


    본 의결에 따라 개인정보를 이용한 새로운 AI 기술 및 모델의 개발이 어려워진다는 견해도 적지 않습니다. ‘이루다’ 개발이 ‘과학적 연구’ 범위에 포함된다는 개인정보위의 판단에 따르면 사업자는 수집한 개인정보를 가명처리함으로써 새로운 AI 기술 및 모델 개발에 이용하는 방안이 가능함을 명확히 하기는 했지만, 이번 결정이 AI서비스를 위한 데이터의 산업적 이용에 여전히 적지 않은 제약이 있다는 점을 확인해 준 면도 존재하기 때문입니다. 따라서, 이번 사건을 계기로 인공지능 기술 및 서비스 개발을 위한 학습데이터 확보와 관련한 개인정보 처리 동의의 적법성 및 가명처리의 적절성을 다시 한 번 점검하여 볼 필요가 있고, 나아가 이에 대한 입법적 또는 제도적 개선 필요성에 관한 논의가 본격화될 것 예상된다는 점도 참고할 필요가 있겠습니다.



    박광배 변호사 (kwangbae.park@leeko.com)

    손경민 변호사 (kyungmin.son@leeko.com)

    고환경 변호사 (hwankyoung.ko@leeko.com)