개인정보보호위원회(위원장 고학수)는 23일 제9회 전체회의를 열고 딥시크(정식 명칭 Hangzhou DeepSeek Artificial Intelligence Co., Ltd)에 대한 사전 실태점검 결과를 심의, 의결했다.

이에 따르면 개인정보위는 점검 결과를 바탕으로 딥시크에게 7가지 시정권고를 했다. 첫째, 개인정보 국외 이전시 합법근거를 충실히 구비할 것 둘째, 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것 셋째, 한국어 처리방침 공개 등 서비스 투명성을 지속 확보할 것, 넷째, 지난해 주요 AI(인공지능) 서비스 사전 실태점검 결과를 바탕으로 마련한 ‘강화된 개인정보 보호조치 방안’을 준수할 것, 다섯째, 아동 개인정보 수집 여부를 확인하고 파기할 것 여섯째, 개인정보 처리시스템 전반의 안전조치을 향상할 것 일곱째, 국내대리인 지정 등이다.

만일 딥시크가 개인정보위 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며(보호법 제63조의2), 시정 및 개선 권고에 대한 이행 결과를 60일 이내에 개인정보위에 보고해야 한다. 수락하지 않으면 위원회가 조사에 들어가는데, 위원회는 딥시크가 한국 시장을 고려해 수락할 것으로 예상했다.

개인정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획이다. 한편 이번 실태조사에서 한국 소비자 정보의 볼케이노로의 전송과 관련, 위원회 지적을 받아들여 이번달 10일부터 볼케이노로 한국 소비자 정보를 이전하는 것을 차단한 것으로 밝혀졌다. 그간 딥시크의 한국 사용자 데이터가 중국 기업 바이트댄스(ByteDance)가 운영하는 클라우드 컴퓨팅 및 스토리지 플랫폼 볼케이노(Volcano)로 전송, 보안 문제 논란을 일으켰다.

볼케이노는 바이트댄스(Bytedance) 계열사지만 별도 법인으로 Bytedance와는 무관하고, 처리위탁 정보는 서비스 운영과개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명했다고 개인정보위는 전했다.

■ 그간의 경과

올 1월 딥시크 서비스 출시 직후 국내‧외의 개인정보 침해 우려가 제기됨에 따라 개인정보위는 곧바로 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보냄(1.31.)과 동시에, 한국인터넷진흥원(원장 이상중)과 기술 분석 등을 진행해 다른 사업자와의 통신 기능 및 개인정보 처리방침상 미흡한 부분을 일부 확인했다.

이에 개인정보위는 딥시크에 대한 사전 실태점검에 착수했으며, 그 과정에서 딥시크는 개인정보 보호법에 대한 고려가 일부 소홀했음을 인정하고 개인정보위에 적극 협력하겠다는 의사를 표명하는 한편, 국내 앱 마켓에서 신규 다운로드를 잠정 중단(2.15.)한 바 있다.

개인정보위는 사전 실태점검 결과 다음과 같은 사항을 확인했다고 밝혔다.

① 처리방침 전반 관련

(당초) 딥시크는 ’25. 1. 15. 한국 앱 마켓에 출시하면서 중국어, 영어로만 처리방침을 공개했고, 해당 처리방침에서도 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명‧연락처 등 우리 보호법이 요구하는 사항을 누락했고, 키 입력 패턴‧리듬과 같은 광범위한 정보를 수집한다고 명시하고 있었다.

(점검과정) 딥시크는 보호법상 법정 사항을 포함해 한국어로 된 처리방침과 별도의 대한민국 관할조항(처리법적 근거, 보유기간, 파기절차 및 방법, 개인정보 보호책임자 등)을 추가해 제출(3.28.)했다. 아울러 문제가 된 키 입력 패턴은 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로, 실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다고 알려와 확인했다.

② 개인정보의 국외 이전 관련

(당초) 딥시크는 개인정보를 중국 및 미국 소재 다수 회사로 이전하면서도(서비스 개선, 보안, 고객 서비스 대응 등 목적), 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었다. 특히 딥시크는 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 AI(인공지능) 프롬프트에 입력한 내용도 Beijing Volcano Engine Technology Co., Ltd.(이하 ‘볼케이노’)에 전송하고 있었다.

(점검과정) 딥시크는 국외이전(위탁) 관련 법정사항을 한국어 처리방침에 포함해 제출했다. 볼케이노로의 전송에 대해서는 보안 취약점 및 이용자 인터페이스(UI, User Interface)와 경험(UX, User Experience) 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명했고, 이용자가 AI(인공지능) 프롬프트에 입력한 내용의 이전은 불필요하다는 위원회의 지적에 따라 신규 이전을 차단(4.10.~)했다고 알려와 확인했다.

볼케이노는 바이트댄스(Bytedance) 계열사지만 별도 법인으로 Bytedance와는 무관하고, 처리위탁 정보는 서비스 운영‧개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명했다.

③ AI(인공지능) 개발·학습 관련

(당초) 딥시크는 타 AI(인공지능) 사업자와 유사하게 공개된 데이터(오픈소스 데이터 및 웹 수집 데이터 등)와 이용자가 프롬프트에 입력한 내용을 AI(인공지능) 개발‧학습에 이용하고 있었으나, AI(인공지능) 프롬프트 입력 내용의 경우 이용자가 AI(인공지능) 개발‧학습 활용에 거부할 수 있는 기능이 없었고, 처리방침‧이용약관에도 ‘서비스 제공‧개선’으로만 표시해 충분한 설명 또는 고지가 있었다고 볼 수 없었다.

(점검과정) 딥시크는 AI(인공지능) 프롬프트 입력 내용의 AI(인공지능) 개발‧학습 활용과 관련해 이용자가 거부할 수 있는 기능(opt-out)을 마련(3.17.~)했다고 알려와 확인했고, 특히 개인정보위가 지난해(’24.3월) 주요 AI(인공지능) 서비스 사전 실태점검 후 권고한 ‘강화된 보호조치’를 모두 준수하기로 했다.

강화된 보호조치는 사전학습시 한국인터넷진흥원에서 제공하는 개인정보(주민등록번호, 휴대전화번호, 계좌번호 등) 노출 페이지(URL)에 대한 삭제‧차단 반영과 이용자 입력 데이터의 사용 목적을 분명히 알리고, 또 사용 여부에 대한 선택권 보장과 AI 관련 개인정보 처리 흐름 전반을 구체적 안내 등이다.

④ 기타 : 아동 개인정보 및 안전조치 관련

딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었으나, 점검과정에서 연령 확인 절차 등을 마련했다. 또 일부 확인된 보안 취약점(개발서버 데이터베이스 접근 제한 소홀, 디렉터리 리스팅 방지 미흡 등)에 대해서는 점검과정에서 조치가 완료된 것을 확인했다.

한편, 개인정보위는 딥시크 실태점검을 계기로 지난해 발간한 '해외사업자 대상 개인정보보호법 적용 안내서'의 핵심사항을 체크리스트 형태로 함께 제공하기로 했다. 해외사업자는 이를 활용해 기본적 사항을 미리 점검함으로써 한국 정보주체의 권리를 충실히 보장하고 개인정보를 안전하게 보호하며 서비스를 출시, 운영할 것이 요구된다.