▲ 딥시크
개인정보보호위원회가 오늘(24일) 중국 생성형 인공지능(AI) 서비스인 '딥시크'에 대해 개인정보 국외이전 시 합법적 근거 마련과 한국어 처리방침 공개 등의 처분이 담긴 실태 점검을 마무리함에 따라 중국발(發) 개인정보 리스크 대응에도 속도가 붙을 전망입니다.
앞서 개인정보위는 딥시크 서비스 출시 직후 개인정보 침해 우려가 제기됨에 따라 올해 1월 말 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보낸 데 이어 사전 실태점검에 돌입했습니다.
점검 결과 딥시크가 국외 이전에 대해 이용자 동의를 받거나 처리방침을 공개하지 않았고, 중국에 있는 틱톡 모기업인 바이트댄스의 자회사인 볼케이노로 국내 고객이 딥시크 채팅창에 입력한 프롬프트 정보를 넘겼던 것으로 드러났습니다.
이에 개인정보위는 딥시크에 국외 이전 시 합법적인 근거를 충실히 마련하는 것은 물론 프롬프트 정보 즉각 파기와 한국어 처리방침 공개 등을 시정권고했습니다.
염흥열 순천향대 정보보호학과 교수는 "우리 국민의 개인정보 보호를 위한 최선이자 필수적 조치 결과"라며 "소통을 이어가면서 개인정보보호법 준수 여부를 꾸준히 모니터링해 문제점이 신속하게 개선되도록 해야 한다"고 강조했습니다.
이번 처분을 계기로 개인정보위가 향후 개인정보 안전성 확보와 관련해 여타 중국 기업에 대한 대응에도 속도를 낼 것이라는 관측이 나옵니다.
중국발 개인정보 리스크에 대한 우려가 본격적으로 고개를 들기 시작한 것은 재작년 10월 개인정보위 국정감사였습니다.
당시 알리익스프레스 등 중국의 대형쇼핑 사이트에 접속할 경우 국내 개인정보가 중국에 넘어갈 수 있다는 우려가 제기됐습니다.
개인정보위는 알리와 테무 등 C커머스(중국 전자상거래업체)에 대한 개인정보보호법 위반 여부 조사에 착수했고, 작년 7월 국외 이전 절차 위반 등을 근거로 알리에 과징금 19억여 원을 물렸습니다.
지난달에도 개인정보 이슈가 제기된 중국 로봇청소기 업체인 '로보락'과 중국산 스마트자동차인 BYD(비야디) 등에 대한 실태점검을 진행하겠다고 했습니다.
이들 기업 상당수는 최근 들어 국내 처리방침을 개정하는 등 개선에 나서는 모습도 보였습니다.
이처럼 개인정보위가 약 1년 6개월간 중국 개인정보 리스크에 대응해오며 나름의 성과를 냈지만 보완할 부분이 여전하다는 지적입니다.
과징금 산정 기준이 되는 매출액을 제때 제출하지 않거나 회계 감사를 받은 공인 자료를 내지 않아 부과 절차가 지연되는 경우가 대표적입니다.
1년 넘게 처분 결과를 내놓지 못하고 있는 테무가 그렇습니다.
지난달 고학수 개인정보위 위원장은 "테무가 제출한 자료가 더 상세했으면 좋겠다는 것 때문에 딜레이(지연)됐다"고 설명했습니다.
권헌영 고려대 정보보호대학원 교수는 "조사 대상 기업에 자료를 달라고 부탁하는 수준인데, 당사자의 제출에 의존하는 것은 조사 역량의 한계를 드러내는 것"이라며 "개인정보위 뿐만 아니라 외교부와 금융당국이 협업해 기업의 소득과 매출을 직접 추적할 수 있어야 한다"고 강조했습니다.
유명무실하다고 비판받은 국내 대리인 제도도 손봐야 한다는 지적도 있습니다.
국내 대리인은 해외사업자에게 우리 국민의 개인정보 보호책임을 부여하고 정보 주체의 피해 구제를 위해 도입된 제도입니다.
그러나 일부 해외기업이 형식적으로 운영해온 탓에 실효성이 떨어진다는 문제가 있었습니다.
권 교수는 "국내 대리인을 통해 본사에 개선 요구하고, 응하지 않으면 시정 조치나 처분에 나서는 제재가 강화돼야 한다"며 "국가 차원에서 소명을 요구하는 수준으로 제도의 집행력을 상향해야 한다"고 말했습니다.