IT
개인정보보호위원회, 딥시크 프롬프트 파기·한국어 방침 공개 권고
개인정보보호위원회가 생성형 인공지능(AI) 서비스 딥시크(Deepseek)에 대해 이용자 개인정보의 과도한 수집과 무단 국외 이전 문제를 지적하며 시정 및 개선 권고를 내렸다.
특히 이용자가 AI에 입력한 프롬프트 데이터를 중국으로 이전한 데 대해 즉각 파기할 것을 요구하고, 한국어 처리방침 공개 등 관련 법령에 따른 투명한 서비스 운영을 주문했다.
24일 개인정보위는 제9회 전체회의에서 딥시크에 대한 사전 실태점검 결과를 공개했다.
딥시크는 서비스 시작 시 개인정보 수집 항목과 목적을 명확히 고지하지 않았고, 이용자의 동의 없이 데이터를 중국·미국 소재 4개사로 이전한 사실이 확인됐다.
특히 이용자의 프롬프트 입력 내용을 바이트댄스 계열 클라우드 서비스 기업인 볼케이노로 전송한 것으로 드러났다.
남석 개인정보위 조사조정국장은 “딥시크는 이용자의 동의 없이 기기·네트워크·애플리케이션 정보 등을 국외로 이전했다”며 “그 항목과 목적을 명확히 밝히지 않고 사전 고지하지 않은 것은 문제”라고 밝혔다.
딥시크는 지적 이후 지난 10일부터 프롬프트 입력 내용의 중국 이전을 차단했다.
또한 이용자가 입력 데이터를 AI 개발·학습에 활용하지 않도록 거부할 수 있는 기능을 마련했다.
또한 한국어 처리방침과 관할조항 전문은 서비스 재개 시 웹과 앱에서 함께 공개할 예정이다.
과도한 개인정보 수집도 논란이 됐다.
딥시크는 키보드 입력 패턴·리듬 등을 수집한다고 명시했으나, 개인정보위가 확인한 결과 실제 수집한 사실은 없으며 “서비스 준비 당시 수집 항목이 확정되지 않아 기재된 것”이라고 해명했다.
이와 관련된 처리방침 역시 수정되었다.
딥시크는 한국에서 서비스를 시작한 지난 1월 15일 당시, 중국어와 영어로만 처리방침을 공개하고 한국 개인정보보호법에서 요구하는 개인정보 파기 절차·보호책임자 정보 등 핵심 항목을 누락해 비판을 받았다.
이후 지난달 28일 이를 보완한 내용이 개인정보위에 제출됐다.
아동 개인정보 보호 조치 역시 미비한 상태였다.
딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 했지만, 확인 절차는 없었다.
개인정보위 점검이 시작된 이후 연령 확인 절차를 마련했다.
이번 점검 결과를 바탕으로 개인정보위는 딥시크에 시정 권고와 개선 권고를 함께 내렸다.
시정 권고에는 프롬프트 입력 내용의 기존 국외 이전 데이터 즉각 파기, 한국어 처리방침 공개, 국내 대리인 지정, AI 개인정보 보호조치 준수가 포함된다.
개선 권고에는, 아동 개인정보 수집 여부 확인 및 파기, 개인정보 처리시스템 전반의 안전조치 강화 등이 포함됐다.
딥시크가 시정 권고를 10일 이내 수락하면 시정명령으로 간주되며, 60일 내에 이행 결과를 보고해야 한다.
남 국장은 “딥시크가 이번 시정·개선 권고를 모두 이행할 경우, 국내법상 개인정보 수준은 어느 정도 확보했다고 보면 된다”고 강조했다.
신혜연 (karung2@sabanamedia.com) 기사제보