개인정보위, 딥시크에 “해외이전 개인정보 파기” 시정·권고명령

개인정보보호위원회(이하 개인정보위)는 23일 제9회 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의·의결했다고 24일 발표했다.

개인정보위는 지난 1월 딥시크 출시 직후 국내외에서 개인정보 침해 우려가 제기됐다며 1월 31일 딥시크에 개인정보 수집·처리 방식에 대한 질의서를 보냈다. 한편으로 한국인터넷진흥원과 기술 분석을 진행했더니 타 사업자와의 통신 기능과 개인정보 처리방침에서 미흡한 부분을 확인해 사전 실태점검에 착수했다고 덧붙였다.

딥시크는 “개인정보 보호법에 소홀했다”며 개인정보위 점검에 협력 의사를 밝히는 한편 2월 15일부로 국내 앱마켓에서 신규 다운로드를 잠정 중단했다.

개인정보위는 사전 실태점검 결과 ▲개인정보 처리방침 ▲개인정보 국외 이전 ▲인공지능(AI) 학습 ▲아동 개인정보 안전조치 등 4개 항목에서 미비한 부분을 확인했다고 알렸다.

딥시크는 국내 앱마켓 출시 당시 개인정보 처리방침을 영어와 중국어로만 제공했다. 개인정보 파기 절차와 방법, 안전조치, 개인정보 보호 책임자 정보 등 국내 보호법이 요구하는 사항도 누락됐다. 개인정보위는 3월 말 딥시크가 한국어로 된 개인정보 처리방침과 요구사항을 추가해 제출했다고 밝혔다. 추가한 내용 전문은 딥시크 국내 서비스 재개 시점에 공개 예정이다.

개인정보위는 딥시크가 사용자 동의 없이 개인정보를 중국과 미국에 있는 여러 회사에 이전했다고 주장했다. 이전한 정보에는 기기, 네트워크, 앱, 사용자가 AI 프롬프트에 입력한 내용이 포함돼 있다. 실태점검 과정에서 딥시크는 개인정보 국외 이전 관련 법정 사항을 추가했으며, 4월 10일부터 사용자가 프롬프트에 입력한 내용을 국외로 이전하지 않기로 결정했다.

한편 딥시크는 사용자가 프롬프트에 입력한 내용을 AI 개발·학습에 이용해 왔으나 사용자가 이를 거부하는 기능을 제공하지 않았다는 사실이 실태점검 과정에서 드러났다. 개인정보나 URL 등 민감 정보가 의도치 않게 유출될 가능성이 있었다. 이에 딥시크는 3월 17일부터 거부 기능(옵트아웃)을 추가했다.

또한 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 언급했으나 가입 과정에 14세 미만 여부를 묻는 절차를 마련하지 않았다. 이는 사전 실태점검 과정에서 연령 확인 절차를 추가하면서 해결됐다.

개인정보위는 딥시크에 ▲개인정보 국외 이전 시 합법적인 근거 구비 ▲이미 국외 이전한 사용자 프롬프트 입력 내용 즉시 파기 ▲한국어로 된 개인정보 처리방침 공개를 시정 권고한다고 밝혔다. 추가로 ▲지난해 개인정보위가 마련한 ‘강화된 개인정보 보호조치 방안’ 준수 ▲아동 개인정보 수집 여부 확인 및 파기 ▲개인정보 처리시스템 안전조치 향상 ▲국내 대리인 지정을 개선 권고한다고 덧붙였다.

딥시크가 시정 권고를 10일 내 수락하면 시정명령을 받은 것으로 간주한다. 회사는 60일 내 시정·개선 권고를 이행해 결과를 개인정보위에 보고해야 한다.

개인정보위는 향후 딥시크의 시정·개선 권고 사항 이행 여부를 2회 이상 점검하겠다고 언급했다. 또한 딥시크 외 해외사업자가 관련 사항을 미리 점검할 수 있도록 해외사업자의 개인정보보호법 적용 안내의 핵심 사항을 체크리스트 형태로 제공하겠다고 알렸다.

글. 바이라인네트워크
<이병찬 기자>bqudcks@byline.network