개인정보보호법 | 수집한 메시지 데이터를 AI 챗봇 학습에 활용한 것은 실질적 동의 없는 개인정보 처리라는 법원의 판단

법원은 형식적․포괄적 동의 절차만으로는 개인정보보호법이 요구하는 실질적 동의 의무를 충족했다고 볼 수 없다고 판단하였습니다.

법원은 단지 “약관 및 개인정보처리방침에 동의합니다”라는 체크박스를 통해 동의를 받은 뒤 개인정보처리방침 열람을 링크로 제공한 점만으로는 이용자가 자신의 개인정보가 어떠한 방식으로 활용되는지 명확히 인지하고 동의했다고 보기 어렵다고 봤습니다.

동의는 내용과 범위가 명확히 구분되어 고지되어야 하며 이용자가 충분히 인지할 수 있는 방식으로 설명되어야 한다는 기준을 제시한 것입니다.

법원은 피고 기업이 AI 학습 과정에서 사용한 데이터가 개인정보보호법상 익명정보 또는 가명정보 기준에 부합하지 않는다고 판단하였습니다.

대화 문장에는 이름, 연락처, 주소, 비밀번호, 계좌번호 등과 같은 개별 식별 정보 뿐만 아니라 사회 관계 및 신상 정보 추정이 가능한 내용이 포함되어 있었으므로 추가 정보를 결합할 경우 특정 개인을 식별할 위험이 상당하다고 보았습니다.

또한 일부 정보만 암호화하고 상당 부분을 비식별화하지 않은 채 그대로 저장한 조치는 개인정보보호법 제28조의2가 요구하는 가명처리 기준을 충족하지 못한다고 판단하였습니다.

법원은 기존 앱 서비스가 제공하던 기능과 AI 챗봇 서비스는 목적·성격·기능·이용 환경에서 본질적으로 다르므로 동의 없이 학습 데이터로 활용한 행위는 개인정보보호법 제15조와 제18조가 규정하는 수집 목적 범위를 초과한 이용에 해당한다고 보았습니다.

개인정보처리방침에 “신규 서비스 개발”을 명시하였다는 이유만으로 정보주체가 AI 알고리즘 학습을 예상하거나 동의하였다고 평가할 수 없다고 판단한 것입니다.

법원은 피고가 장기간 미이용자 및 탈퇴자의 개인정보를 분리 저장하거나 파기해야 할 법적 의무를 준수하지 않은 점에 대하여도 위반 사실을 인정하였습니다.

이는 개인정보보호법 제21조 및 제39조의6 위반에 해당한다고 판단하였습니다.

대화 문장에는 건강 정보, 성생활 관련 내용, 사상 및 신념 등 개인정보보호법 제23조제1항의 민감정보에 해당하는 내용이 포함되어 있었음에도 불구하고 별도의 명시적 동의를 받지 않았다는 점을 근거로 민감정보 관련 법령 위반 사실을 인정하였습니다.

이에 법원은 손해의 위험성과 침해의 정도를 기준으로 개인정보 유출, 민감정보 유출, 두 항목 모두 유출된 경우로 그룹을 구분하여 위자료 10만 원, 30만 원, 40만 원을 차등 인정하였습니다.

법무법인 대륜은 플랫폼 서비스 기업 및 AI 서비스 사업자를 위해 다음과 같은 대응 서비스를 제공합니다.

첫째, 서비스 기획 및 초기 개발 단계에서 개인정보보호법 준수 여부를 사전 점검하는 컴플라이언스 모델링을 제공합니다.

둘째, 개인정보 수집 및 이용 목적, 보유 기간, 활용 범위에 관한 고지 및 동의 절차를 이용자의 이해 가능성을 기준으로 제시합니다.

셋째, 서비스 운영 중 개인정보보호위원회, 방통위 등 감독 기관의 조사 대응 및 개선 방안 수립을 지원합니다.

넷째, 개인정보 유출 또는 침해 사고 발생 시 형사 대응(고소·수사 대응·무혐의 및 처벌 감경 전략)과 민사 대응(손해배상 청구 방어 전략)을 함께 설계합니다.

다섯째, 기업·기관 내부 임직원 대상 교육, 취약점 관리, 개인정보보호법 위반 사항 발생 시 디지털포렌식으로 증거 분석, 수집 등 리스크 예방 시스템을 제공합니다.

개인정보보호법 관련 법적 자문이 필요하다면 지금 바로 🔗기업변호사 법률상담예약을 진행해보시기 바랍니다.