본문 바로가기 메인메뉴 바로가기

태극기이 누리집은 대한민국 공식 전자정부 누리집입니다.

콘텐츠 영역

개인정보위 제10회 전체회의결과

2024.06.13 윤여진 자율보호정책과장, 강대현 조사1과장
글자크기 설정
인쇄하기 목록
<윤여진 개인정보보호위원회 자율보호정책과장>
안녕하십니까? 개인정보보호위원회 자율보호정책과장 윤여진입니다.

개인정보위는 2024년도 개인정보 처리방침 평가계획을 수립하였으며 이에 따라 올해 개인정보 처리방침 평가를 본격적으로 추진합니다.

개인정보 처리방침이란 개인정보 수집·이용, 제공, 위탁, 국외이전 등의 개인정보 처리와 관련하여 그 목적·절차·방법 등의 처리 기준과 개인정보보호 조치, 정보주체의 권리행사 방법 등에 관한 사항을 개인정보처리자가 스스로 정한 문서입니다.

처리방침은 개인정보처리자가 정보주체의 개인정보를 어떤 목적으로 어떻게 처리하는지 누구나 확인할 수 있게 하여 정보주체의 권리를 보장하는 가장 기본적인 수단입니다.

개인정보보호법은 개인정보처리자에게 개인정보 처리방침을 수립하고 공개할 의무를 부과하고 있습니다. 그러나 처리방침의 내용이 길고 복잡하여 이해하기 어렵고, 텍스트를 단순 나열하거나 획일적으로 작성되는 경우가 많아 정보주체의 권리 보장에 한계가 있다는 지적이 있어 왔습니다.

이에 따라 지난해 보호법 개정을 통해서 개인정보 처리의 투명성·책임성을 강화하고, 개인정보 처리방침이 본래 제도의 취지대로 정보주체의 알권리 등 실질적인 통제권을 보장할 수 있도록 개인정보 처리방침 평가제를 도입하여 올해 본격적인 첫 평가를 실시하고자 합니다.

올해 평가 분야는 국민생활과 밀접한 7개 분야입니다.

빅테크, 온라인쇼핑, 주문·배달 및 숙박·여행 분야 온라인 플랫폼, 병·의료원, 온라인 동영상 서비스, 게임·웹툰, AI 채용 분야입니다.

평가 대상은 보호법 시행령과 처리방침 평가 고시의 평가 대상 선정 기준인 개인정보처리자의 매출액 규모, 민감·고유식별정보 등의 개인정보 유형·규모, 법 위반행위 발생 여부, 아동·청소년 등 정보주체의 특성 등을 고려하여 49개사를 선정하였습니다.

평가는 보호법 30조의 2에 따라 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지, 처리방침을 알기 쉽게 작성하였는지, 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 등 3개 분야에 대해 이루어집니다.

처리방침 평가는 26개 항목 42개 지표를 통해 법적 의무사항 이행 여부, 개인정보처리자의 노력 등을 평가할 계획입니다.

평가 방식은 개인정보 분야의 외부 전문가를 통해 공개된 자료를 기반으로 하는 기초 평가, 평가 대상 서비스를 실제 이용하는 이용자 관점에서 가독성 및 접근성 등을 평가하는 이용자 평가, 기초 평가 및 이용자 평가 결과를 종합적으로 검토하는 심층 평가로 구성됩니다.

평가 결과 처리방침이 우수한 개인정보처리자를 선정하여 공개하고, 개선이 필요한 경우에는 개선권고 등의 조치를 할 계획입니다.

우수 사례로 선정될 경우 과징금·과태료 부과 시 감경 등의 인센티브를 제공하여 처리자의 자율적인 개선 노력을 유도하는 방향으로 제도를 운용할 계획입니다.

올해 처음으로 시행되는 개인정보 처리방침 평가제도를 통해 기업이나 기관이 스스로 정보주체의 시각에서 개인정보 처리방침을 개선할 수 있는 계기가 되고, 투명하고 신뢰성 높은 처리방침을 통해 정보주체의 권리 보장에 기여할 수 있도록 노력하겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 절차가 구체적으로 언제, 올해 언제 진행돼서 결과는 언제쯤 나오는 건지 알고 싶습니다.

<답변> (윤여진 개인정보위 자율보호정책과장) 저희가 평가 계획은 어제 심의를 했고요. 이것의 평가 계획을 통보하고 7월까지는 처리방침 분석, 사전 분석을 통해서 7~8월경에는 기초 평가, 이용자 평가를 진행하고 9월까지는 심층 평가, 그리고 10월까지는 평가 결과 통보 및 이의신청, 이후에 11월에는 이의신청 검토 및 결과 통보를 통해 12월에 최종 결과를 확정하고 우수 사례를 공개할 예정입니다.


<강대현 개인정보보호위원회 조사1과장>
에이닷 등 인공지능 응용서비스 사전 실태점검 결과에 대해 설명드리겠습니다.

위원회는 어제 에이닷 등 인공지능 응용서비스를 제공하는 4개 사업자에 대한 사전 실태점검 결과를 심의·의결하였습니다.

위원회는 지난해 11월부터 국내외 주요 AI 서비스, 거대언어모형을 제공하는 사업자와 응용서비스 제공사업자로 나누어 점검을 실시한 바 있습니다. 또 지난 3월에는 LLM 관련 사업자에 대한 점검 결과를 우선 발표하였습니다.

먼저, 에이닷에 대해서 설명드리겠습니다.

에이닷은 통화 녹음·요약 및 실시간 통역 등을 제공하는 서비스입니다.

점검 결과, 통화 녹음·요약 서비스의 경우 이용자의 기기에서 통화 녹음이 이루어지면 음성파일이 SKT의 서버에서 텍스트로 변환이 되고, 이를 다시 MS의 클라우드에서 챗GPT를 이용해서 요약되어서 이용자에게 전달하는 방식으로 서비스가 진행되고 있습니다.

그 과정에서 텍스트 파일을 보관하는 개인정보처리시스템에 대한 법정 접속기록이 보관되지 않은 사실이 확인되었고, 시스템상 접속기록의 보관·점검 등 안전조치 의무를 준수하도록 시정권고하기로 하였습니다.

아울러, 개인정보보호 원칙 등에 비추어 텍스트 파일 보관 기간이 현재 1년으로 되어 있는데요. 1년 기간을 최소화하고 또 학습 서버로 이관되는 개인정보의 비식별 처리 수준을 강화하는 한편, 서비스 내용에 대해 정보주체들이 보다 명확하게 이해할 수 있도록 하는 조치를 마련·시행할 것을 개선권고하였습니다.

그 밖의 해당 사업자는 점검 기간 동안에 국외이전 관련 고지를 보다 구체화하고 학습데이터의 보관되는 기간을 서비스 이용 기간, 즉 무제한에서 2년으로 단축하는 등의 조치를 취한 바가 있습니다.

스노우에 대해서 설명드리겠습니다.

스노우는 생성형 AI 기술을 기반으로 AI 프로필 등을 생성해 주는 서비스입니다. 공개된 모델을 활용함에 따라서 학습데이터를 별도로 수집하지는 않고, 관련하여서 처리 과정에서 다른 목적으로 이용하지 않는 등 특이사항은 발견되지 않았습니다.

다만, 스노우가 제공하는 특정 기능과 관련하여서 개인정보 처리방침에 보다 명확하게 설명하여 이용자가 이를 쉽게 인지할 수 있도록 하고, 특히 외부 개발도구 SDK를 사용하여 개인정보를 처리하는 경우에는 의도하지 않은 개인정보처리 전송 가능성에 대해서 점검할 것을 개선권고한 바 있습니다.

DeepL 및 뷰노입니다.

DeepL은 AI 기반 언어 번역 서비스입니다. 공개된 데이터 및 이용자가 무료 서비스를 이용한 텍스트를 AI 학습데이터로 활용하고 있습니다.

개인정보위원회가 점검한 결과, AI 학습 및 인적 검토를 진행하면서 이를 명확하게 공개하지 않은 사실을 확인한 바 있습니다. 다만, 점검 과정에서 개인정보위가 3월에 발표한 내용을 바탕으로 개인정보를 입력하지 않도록 입력 화면에 안내하고, 인적 검토 사실을 처리방침에 반영함으로써 별도의 개선권고는 하지 않기로 하였습니다.

뷰노는 AI 기반으로 의료영상에 대한 진단 보조 및 질환을 예측하는 프로그램입니다.

뷰노는 AI 학습에 대해서 병원에서 관련 심의위원회의 심의를 통과한 데이터만을 사용하고 있고, 데이터 이용 과정에서 보호조치 등이 잘돼 있는 것으로 확인하였습니다.

이번 사전 실태점검은 각 산업·서비스 분야에서 빠르게 AI를 도입하고 있는 가운데 개인정보 처리 과정의 취약점을 선제적으로 점검하고 개선을 유도하였다는 데 의의가 있습니다. 개인정보위는 앞으로도 정보주체가 안심하고 AI 서비스를 활용할 수 있도록 AI 서비스를 도입하는 응용서비스에 대해서 지속적으로 모니터링하고 AI 시대의 개인정보 보호대책 및 안전한 개인정보 활용 방안을 마련해 나갈 계획입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 에이닷 관련돼서요. 그러니까 이런 각 특정 회사의 어떤 노하우나 개발, 이런 창의성이자 독창성이자 그런 게 달린 서비스의 어떤 여러 가지 기술적 부분 같은 거는 어떤 방식으로 조사나 확인이 이루어지는지 궁금하거든요. 예를 들면 특허 원문 같은 것도 확인을 하시는지, 그다음에 자료를 그쪽에서만 그냥 다 일방적으로 제출을 받아서 이루어지는 건지, 그게 하나 궁금하고요.

두 번째는 여기 보면 '이용자 기기에서 통화 녹음이 이루어지면'이라고 되어 있는데 아이폰 같은 경우 어떻게 되는지가 궁금하고요.

세 번째는 이 에이닷 서비스가 통비법 위반 소지는 없는 건지, 혹은 이게 개보위 판단 사안이 아닌 건지 그게 궁금합니다.

<답변> (강대현 개인정보위 조사1과장) 사전 실태점검에 조금 생경해 하시는 경향이 있는 것 같습니다. 저희가 매월 두 번 정도 전체회의를 열어서 하는 대부분의 처분들은 유출 사고나 또는 침해 신고 등에 대해서 조사가 이루어져서 법 위반이 확인되면 그에 따라서 과징금·과태료 등이 이루어지는 케이스들이고요.

그래서 사전 실태점검은 위법성이 있는 위반 혐의가 인지되지 않은 상태로 개인정보 침해 소지에 대한 가능성, 그러니까 위험성이 있거나 이런 분야에 대해서 선제적으로 예방적으로 펼치는 점검 내용이 되겠습니다.

그래서 따라서 사업자들의 불이익을 방지하기 위해서 사전 실태점검에 따른 법 위반이 확인되더라도 과징금·과태료가 나가지 않고 시정의 기회를 부여하는 시정권고를 부여하고 시정권고를 10일 내에 수락 여부를 밝히게 되어 있습니다. 그래서 수락하면 시정명령을 받은 것으로 간주가 되고요. 다만, 시정 요구에 대해서, 시정권고에 대해서 수락하지 않으면 다시 조사로 정식으로 전환이 됩니다. 그러면 위반, 위법, 법 위반행위에 대해서는 저희가 일률적으로 하는 그런 조사에 따라서 과징금·과태료 같은 후속조치가 나가게 되는 과정이고요.

그래서 에이닷에 대해서도 조금 기습적인, 당연히 에이닷, 인공지능으로 개인정보를 처리하는 과정을 저희가 들여다보기 위해서 사전 실태점검을 실시했던 거고요. 저희가 통상적으로 기본적인 확인이 필요한 사항들은 조사 절차는 똑같습니다. 자료를 받기도 하고 시스템적인 사항들은 나가서 확인하기도 하고요. 저희가 위반사항으로 확인한 개인정보처리시스템에는 저희 법 29조에 따라서 안전조치 의무를 하게 돼 있는데 그중의 하나가 접속기록을 보관하고 점검하게 돼 있는 사항입니다.

접속기록 같은 경우는 개인정보처리시스템에 무단으로 누가 접속하거나 이런 것들을 방지하기 위해서 접속기록을 1년 이상 보관하게 돼 있고, 그 접속기록 여부에 대해서 월 1회 이상 점검하도록 되어 있습니다.

SKT 같은 경우는 아까 말씀드린 대로 통화를, 안드로이드폰 같은 경우는 사용자가 스스로 기기에서 통화를 녹음할 순 있고요. 아이폰은 어제, 최근에 아이폰도 그 기능을 제공하겠다 발표한 바 있지만 현재까지는 그 녹음 기능을 제공하지 않기 때문에 에이닷 서비스를 통해서 통화를 녹음할 수 있는 그 기능을 제공한 것이고요.

에이닷 서비스에서 녹음이, 통화 녹음이 종료가 되면 SKT 서버로 넘어가서 SKT에서 음성, 음성이죠. 이런 통화 음성을 텍스트로 변환하게 되는 과정을 거치게 됩니다. 그럼 텍스트 자체가 나오면 이걸 요약을 해줘야 되는데 요약 기능하는 AI가 SKT에서 아직 개발 중에 있기 때문에 여기 제가 말씀드린 것은 MS 클라우드 통해서 챗GPT를 이용해서 요약시켜주는 그 과정을 거치게 돼서 다시 개인 단말로 보관되는 프로세스입니다.

아까 말씀드린 것처럼 이런 인공지능을 접목시켜서 음성을 텍스트로 바꾼 내용을 요약해 주는 서비스가 기술적인 내용이 되겠고요. 특허 관련 사항은 저희가 점검하는 내용은 아니기 때문에 개인정보 처리와 관련된 기술적 처리 과정에서 개인정보보호 조치가 법을 위반하고 있는지, 또 법 위반이 아니라 하더라도 정책적으로 개선할 여지가 없는지, 이 두 가지의 초점을 봤던 것이고요.

법 위반사항이라고 확인된 거는 시스템상 개인정보처리시스템에 접속기록을 남기지 않았던 사실이 확인이 되어서 시정권고 조치를 하게 된 것입니다. 시정권고 조치에 수용하지 않으면 정식 조사로 전환되어서 안전조치 위반에 대한 법적 제재조치가 부과될 수는 있습니다.

다만, 어제 피심인이 출석을 해서 저희 위원회가 제시한 내용에 대해서 전향적으로 수용하고 적극적으로 조치를 했다는 의사를 밝혔기 때문에 아마 정식 의결서가 나가면 공식적 입장은 오겠지만 SKT 입장은 저희 조사 결과에 대해서 수용적 입장으로 어제 확인된 바 있습니다.

<질문> 통비법.

<답변> (강대현 개인정보위 조사1과장) 통비법 위반 소지는 저희가 개인정보법에서 확인할 사항은 아니고요. 아무튼 결론적으로 말씀드리면 아마 AI, 에이닷 관련된 논쟁이 크게 두 가지인 것 같습니다. 개인정보위원회가 이런 거를 조사함으로써 신기술 활용을 혹시 억제하는 거 아니냐, 라는 우려가 하나 나온 적 있었고요. 또 하나는 정보주체 관점에서 통화 상대방의 프라이버시 보호에 대한 논란, 이 두 가지가 에이닷 관련된 큰 이슈인 거로 알고 있는데요.

첫 번째 신기술과 처리와 관련해서는 조사 결과 내용에서 알 수 있듯이 저희가 신기술을 활용한 거에 대해서 막연하게 어떤 제안이나 제재를 하는 그런 내용이 전혀 들어가 있지는 않고, 오히려 신기술을 활용함에 따라서 일반적인 개인정보 보호조치, 여기에 대해서 문제점이 없는지를 선제적으로 점검함으로써 신기술 활용이 보다 투명하고 신뢰성 있게 해 주는 이런 측면이 있고요.

두 번째로 통화 상대방에 관련된 사항에 대해서는 개인정보위원회에서 판단한 사항은 이용자가 스스로 통화 녹음 기능을 활용해서 자신의 녹음을, 통화를 녹음하고 이를 SKT가 제공한 서비스 이용한 것 자체는 개인정보법 규율 대상이 아니라고 판단하였습니다.

통비법 위반 소지 여부는 과기부에서 판단할 사항입니다.

<질문> 시정권고 내용을 보면 접속기록이 보관되지 않은 사실에 대한 조치라고 여기에 명시가 돼 있는데, 음성 등 개인정보가 SKT 서버나 MS 클라우드에 일시적으로 보관되는 것에 대한 문제는 없다고 판단하신 건지 궁금합니다.

<답변> (강대현 개인정보위 조사1과장) MS 클라우드로 남지는 않고요. 그러니까 음성 파일이 어쨌든 간에 전달이 돼서 SKT에서 텍스트로 변환되고, 그러니까 통화 음성하고 텍스트가 거기에서 시스템에서 보관 처리가 되고 그다음에 일부 선택동의를 한 사용자들의 경우에는 학습서버로 넘어가게 됩니다.

품질 개선 등을 위한 선택동의 사항이 별도로 있고 선택동의를 하게 되면 쌍방이 동의하는 경우는 음성도 넘어가게 되기는 하지만 일방이 동의하는 경우는, 이용자가 직접 동의하는 경우는 학습서버로 넘어가는 과정이 있는데, 그걸 개인정보 처리하는 시스템, 통화 음성과 녹음파일을, 텍스트를 처리하는 시스템과 학습서버에 대해서 접속기록 점검이 이루어지지 않았기 때문에 그 사항을 시정하도록 저희가 시정권고한 사항이고요.

법 29조에 보시면 접속기록을 유지하도록 명시가 돼 있기 때문에 그것을 안 한 사항에 대해서는 법 위반을 확인을 했고 시정하도록 권고하는 사항입니다.

다만, SKT 측에서는 저희가 조사 과정이 이루어지면서 그 내용에 대해서는 적극적으로 시정을 하고 했다, 라는 의사는 표명한 바 있습니다. 다만, 저희가 시정권고를 정확히 한 이후에 실제로 그것이 개선됐는지 여부는 정밀하게 확인을 하고 그 이행 여부는 확정할 계획입니다.

그러니까 표현이 '시정권고'라고 표현한 이유는 말씀드린 대로 시정권고를 받아서 10일 내에 수용 여부를 밝혀야 됐기 때문에 수용을 하면 시정명령을 받은 것으로 간주가 돼서 사실은 시정명령이라고 보시면 되고요. 수용하지 않는 경우는 정식 사전 실태점검이 아닌 일반 조사로 전환이 돼서 법 위반사항에 대해서는 제재 처분이 나가게 됩니다.

그러면 또 하나의 질문이 시정권고를 수용해서 시정명령을 받았는데, 시정명령을 이행하지 않으면 어떻게 되냐? 이렇게 질문하시는 분도 계신데 시정명령을 이행하지 않으면 3,000만 원 이하의 과태료가 부과됩니다.

<질문> 안녕하세요? 그러면 시정권고와 지금... 질문이 두 가지인데요. 시정권고와 개선권고의 차이가 무엇인지와요. 그리고 어저께 장시간 동안 회의가 진행된 것으로 알고 있는데, 길어진 이유가 무엇인지 혹시 구체적으로 어떤 내용이 오간 건지 말씀해 주실 수 있을까 해서요.

<답변> (강대현 개인정보위 조사1과장) 시정권고는 수용하면 시정명령으로 전환되기 때문에 시정명령은 법 위반행위에 대해서만 가능합니다. 법 위반행위가 없으면 시정권고가 나갈 수가 없고요. 시정권고가 나갔다는 얘기는 어쨌든 개인정보보호법상의 법 위반행위가 확인이 되었던, 개선권고는 법 위반행위가 아니고요.

법 위반행위는 아니지만 저희 개인정보보호법의 어떤 원칙 이런 것에 비춰봤을 때 처리에 대한 관행, 행태 이런 걸 개선하는 게 정보주체의 보호나 개인정보보호에 유리한 점이 있기 때문에 그 사항을 개선을 권고하는 것이고요. 거기에 대해서 법적으로 반드시 수용할 의무가 없습니다. 개선권고는 사업자들이 반드시 수용할 의무는 없는 상태입니다. 다만, 그 취지에 따라서 조치를 해야 된다는 권고적 성격입니다.

그리고 두 번째로, 장시간 길어진 이유는 SKT, 에이닷 자체가 말씀드린 것처럼 기술적으로 다단... 여러 가지 처리 과정을 거치게 돼 있고요. 여기에는 에이닷 서비스, 통화 녹음 요약에 대한 주로 설명을 드렸는데 저희는 실시간 통역하는 프로세스도 같이 있기 때문에 그 두 가지 과정이 어떻게 처리가 이루어지고 실제로 동의라든가 실제로 화면에 제공되고 있는 사항까지 다 띄워서 저희가 나눠서 확인, 위원님들께 확인을 거쳐 드리고, 저희가 시정권고하고자 했던 내용이 적정한지에 대해서 논의를 투명하고 조금 명확하게 가감 없이 했습니다.

<질문> ***

<답변> (강대현 개인정보위 조사1과장) 판단한.

<질문> 이거를 과기부에서 판단해 주십시오, 라고 넘기거나 그런 건 아닌가요?

<답변> (강대현 개인정보위 조사1과장) 그렇지는 않습니다.

<질문> ***

<답변> (강대현 개인정보위 조사1과장) 음성은 통상적으로 개인정보 해당은 됩니다.

<질문> 해당?

<답변> (강대현 개인정보위 조사1과장) 음성 자체는. 음성을 주파수 변조해서 완전히 익명 처리하지 않는 이상 음성 자체는 통상적으로 개인정보로 보게 됩니다.

<질문> 그러면 음성을 아무튼 수집하는 과정에서 개보법 위반이나 그렇게는 해당은 안 되는 거죠?

<답변> (강대현 개인정보위 조사1과장) 설명을 정확히 드리면 이 에이닷의 이슈가 됐던 건 쉽게 설명드리면 제가 에이닷 서비스를 기자님과 하면서 제가 통화 녹음을 누르는 경우에 상대방이 이 사항을 인지하지 못하지 않냐, 라는 것에 대해서 이슈가 제기된 측면이 있었는데 거기에 대해서는 저희가 이용자, 이용자가, 특정 개인이 안드로이드폰에서 기기로 할 수 있는 통화 녹음은 유효한 것처럼 이용자의 선택에 의해서 통화 녹음 기능을 이용한 것으로 봤기 때문에 그 이용자 자체는 개인정보법상 처리자가 아니어서 그 이용자가 통화 녹음을 선택한 행위 자체를 개인정보법으로 규율할 수 없다는 의미고요.

다만, 이용자가 SKT와 관련해서 자기 개인정보를 어쨌든 간에 음성 정보를 넘겨서 SKT에서 처리하는, SKT 내에서 처리되는 과정은 개인정보처리자로서 처리가 되는 겁니다. 그 처리 과정에서 개인정보처리시스템에서 안전조치 의무를 위반한 사항이 확인은 된 거고요.

그러니까 두 가지로 나눠서 이해하셔야 됩니다. 이용자가 녹음하는 그 행위에 대해서는 개인정보법을 규율할 수 없지만 나중에 SKT를 통해서 어쨌든 간에 개인정보가, 이용자의 개인정보가 처리되는 음성, 텍스트 변환 처리된 과정은 당연히 개인정보 처리 과정으로 봐서 저희가 점검을 하고 위반사항은 시정권고를 하고 개선이 필요한 사항은 개선권고했던 사항입니다.

<답변> (사회자) 추가 질문 있으신 기자분 계실까요? 그럼 더 이상 질문 없으시면 오늘 브리핑 마치도록 하겠습니다. 브리핑 마치기 전에 몇 가지만 안내 말씀드리겠습니다. 어제 저희가 처리방침 평가 대상... 평가계획에 대해서 보도자료를 배포 드렸는데요. 기관이, 기관에 일부 수정이 있어서 저희가 브리핑 직전에 다시 한번 보도자료 수정해서 배포 드렸습니다. 그 부분 참고해 주시면 감사하겠습니다.

이상입니다.

<끝>

하단 배너 영역