데이터는 팩트가 아니다 下 - 이루다 논란으로 보는 개인정보 활용 및 보호

이루다 인공지능 윤리에 대한 이전 글은 아래에서 볼 수 있다.

데이터는 팩트가 아니다 上 - 이루다 논란으로 보는 인공지능 윤리

---

스캐터랩의 개인정보 오남용

※ 법률 전문가가 아닌 개인의 사견으로 문제시 삭제합니다

[이슈1] 정보주체의 동의가 이루어졌는가?
스캐터랩은 이루다 서비스 개발에 학습 데이터를 제공한 '연애의 과학' 서비스가 정보주체의 동의를 받았기 때문에 개인정보 취급방침의 범위 내에서 활용했다는 입장이다.

본사는 이루다를 개발하는 과정에서 본사가 제공하고 있는 서비스 연애의 과학으로 수집한 메시지를 데이터로 활용한 바 있습니다. 사전에 동의가 이루어진 개인정보취급방침의 범위 내에서 활용한 것이지만, 연애의 과학 사용자분들께서 이 점을 명확히 인지할 수 있도록 충분히 소통하지 못한 점에 대해서 책임을 통감하며 진심으로 사과드립니다.

출처:  2021년 1월 11일: '이루다' 공식 입장문

하지만 연애의 과학 서비스 이용약관에는 수집된 개인정보의 이용목적에 대해 '인공지능 챗봇 서비스 개발'이라는 명확한 용도가 아닌 '신규 서비스 개발 및 마케팅·광고에의 활용'이라는 광범위한 용도가 명시되었다. 이는 개인정보보호법 제15조("동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. ➀수집·이용 목적, ➁수집 항목, ③보유·이용 기간, ➃동의 거부 권리 및 동의거부 시 불이익 내용")에 의거하여, 이용목적을 충분히 설명하지 않아 사용자가 활용 용도와 범위를 예상할 수 없는 상황에서의 동의를 진정한 동의로 간주할 수 있는지에 대한 논의가 필요하다.

또한 '연애의 과학' 서비스의 포괄동의 방식(“로그인함으로써 개인정보 처리방침에 동의합니다”)은 서비스에 반드시 필요한 정보와 그렇지 않은 정보를 필수와 선택으로 구별하지 않아 개인정보보호법 제22조("동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.")에 의거하여 논의가 필요하다.

한편 ‘신규 서비스 개발과 마케팅·광고 활용’과 같은 항목이 '연애의 과학' 서비스를 위한 필수 정보인지에 대해서도 제16조("개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.")에 의거하여 검토가 필요하다.

그 밖에도 대화 상대방에 대한 동의와 고지없이 수집된 대화 내용에 대한 개인정보 침해 문제가 제기될 수 있다. 가령 과학기술정보통신부와 한국정보화진흥원(NIA)의 경우 지난해 9월 'AI 학습용 데이터 구축 2차 사업' 당시, 카카오톡 이용자를 대상으로 'AI 학습용 한국어 대화 데이터'를 수집하였고 해당 사업 참여자는 데이터를 제출하는 신청자뿐 아니라 신청자와 대화를 나누는 상대방도 모두 신청서 및 저작권 계약서를 쓰도록 했다.

반면 '연애의 과학' 서비스의 경우 상대방과의 대화 내용이 수집되고 이후 인공지능 챗봇 개발에 사용되었다는 사실을 인지하지 못하는 대화 참여자들에 대한 정보주체의 권리가 보호받지 못하는 상황이 발생했다. 이 경우 개인정보보호법 제15조("개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우")에 의거하여 논의가 필요하다.

[이슈2] 비식별화된 개인정보는 누구의 소유인가?
스캐터랩은 이루다가 학습한 대화 데이터에서 숫자와 영문, 구체적인 개인 정보 등은 제거했기 때문에 개인정보에 대한 비식별화가 충분히 이루어졌다고 주장한다.

데이터 활용 시 사용자의 닉네임, 이름, 이메일 등의 구체적인 개인 정보는 이미 제거돼 있습니다. 전화번호 및 주소 등을 포함한 모든 숫자 정보, 이메일에 포함될 수 있는 영어 등을 삭제해 데이터에 대한 비식별화 및 익명성 조치를 강화해 개인을 특정할 수 있는 정보는 유출되지 않았습니다.

출처:  2021년 1월 11일: '이루다' 공식 입장문

그러나 스캐터랩이 깃허브에 올린 'KG-CVAE-인공지능 한국어 자연어처리(NLP) 연구모델'에 이름, 직장명, 지하철역 이름, 도로명 등이 일부 포함되어 있었고 이루다와의 대화 내에서도 이름, 주소 등이 노출된 바 있어 비식별화 조치 자체에 대한 불신과 개인정보 유출의 논란이 제기되었다.

한편 비식별화된 개인정보는 지난해 5월 시행된 ‘데이터 3법’(개정 개인정보보호법, 신용정보법, 정보통신망법) 중 개인정보보호법에 새로 도입된 가명정보 개념에 의거, 통계작성·과학적 연구·공익적 기록 보존 등 특정 목적에는 정보주체의 동의 없이 처리할 수 있고 그 정보 결합도 허용된다.

그러나 개인정보보호법 제2조에 의하면 ‘살아있는 개인을 알아볼 수 있는 정보(주민등록번호, 영상정보, 지문 등)’와 ‘다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보(이름+전화번호, 이름+주소, 이름+주소+전화번호 등)'를 개인정보로 정의한다.

따라서 다른 정보와 결합하여 개인을 특정할 수 있다면 비식별화된 개인정보로써 똑같은 보호 대상이라고 할 수 있다. 현재 개인정보보호법 제28조 7, 제28조 2에 의하면 정보처리자가 개인정보를 가명 처리할 경우 정보주체자의 파기권, 통지권, 삭제권, 열람권, 정정권, 처리거부권 등이 제한된다.

이 경우 정보주체자는 이미 가명 처리된 정보가 법의 취지(공적 목적)에 따라 이용되고 있는지 확인할 수 없다는 문제가 있다. 따라서 공적인 목적하에 가명처리된 정보에 한해서만 정보주체자의 권리를 제한할 수 있음을 분명히 하고, 정보주체자가 본인의 개인정보를 언제, 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 스스로 결정할 수 있도록 정보주체의 기본권을 강화해야 한다.

4차 산업혁명을 통해 일어나는 물리적, 경제적 변화가 그 자체로 선하거나 악한지 묻는 것은 의미가 없다. 그것을 통해 인간의 자유와 존엄이 제한되는지가 중요하다. 따라서 물어야 할 것은 '내게(또는 우리에게) 어떤 변화가 닥칠 것인지'가 아니라 '나(우리)는 어떤 미래를 원하는지'다. 우리는 어떤 세상에서 살기를 원하는가? 어떤 세상이 나와 내 이웃, 그리고 우리 자손의 자유와 존엄을 지속 가능하게 하는가? 그 세상에서 인간 노동의 자리는 어디며, 오늘 개발되는 이 기술은 그 좋은 세상을 만드는 데 어떻게 기여하는가? - 『4차산업혁명이라는 거짓말』(34p) -

---

참고자료

‘이루다’ 개인정보 논란에…시민사회 “법 위반” 지적

[이슈칼럼] 개인정보 보호법이 AI 챗봇 ‘이루다’를 내린 이유

개인정보 보호위원회에 챗봇 '이루다' 개발사 스캐터랩에 대한 철저한 조사와 조치 요구 - 공익

제대로 된 동의였습니까? 대화 상대방에게도 동의받았습니까? 인공지능 '이루다' 논란

[인터뷰] “가명정보가 위험하다” - Byline Network