韓 사용자가 AI와 나눈 대화, 동의 없이 틱톡 계열사로 넘긴 中 딥시크

개인정보 수집 논란으로 국내 서비스가 중단된 중국 생성형 인공지능(AI) 딥시크(DeepSeek)가 서비스 당시 이용자들의 개인정보를 무단으로 중국과 미국 업체 여러 곳에 이전한 것으로 나타났다. 

여기에는 한국 사용자들이 프롬프트에 입력하는 내용까지 포함된 것으로 알려졌다. 개인정보보호위원회는 23일 제9회 전체회의를 개최하고 이같은 내용을 포함한 '딥시크 사전 실태점검 결과'를 심의·의결했다고 발표했다. 

앞서 딥시크는 지난 1월 국내 서비스 출시 직후 과도한 개인정보 수집 논란에 휩싸였다. 이에 개인정보위는 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보냄과 동시에 개인정보 처리방침상 미흡한 부분을 일부 확인했고, 실태점검에 1월 말 착수했다.

딥시크는 한국 앱 마켓에 앱을 출시하면서 개인정보 처리방침을 중국어와 영어로만 공개했던 것으로 나타났다. 또한 해당 처리방침에는 개인정보보호법이 요구하는 개인정보 파기 절차와 방법, 개인정보 보호책임자의 성명과 연락처 등의 사항도 누락됐던 것으로 드러났다. 

점검 결과 딥시크는 1월 15일부터 2월 15일까지 개인정보를 이용자 동의 없이 해외 기업(중국 3곳·미국 1곳)으로 이전하면서도, 서비스 개시 시점에 이용자들로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않았다. 

특히 딥시크는 기기정보, 네트워크 정보, 앱 정보 외에 이용자가 AI 프롬프트에 입력한 내용도 중국 바이트댄스(틱톡 운영사) 계열사인 클라우드 업체인 볼케이노로 전송했다. 

이에 대해 딥시크 측은 "볼케이노는 바이트댄스와 별도 법인으로, 바이트댄스와 무관하다"라며 "처리위탁 정보는 서비스 운영‧개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다"라고 소명했다. 

또 딥시크는 프롬프트를 AI 개발과 학습에 활용되는 것을 거부할 수 있는 '옵트아웃' 기능도 제공하지 않았다. 더불어 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입 시 아동 여부를 확인하는 절차를 마련하지 않았다. 

개인정보위는 점검 결과를 바탕으로 딥시크에 개인정보 국외 이전 시 합법적인 근거를 충실히 갖추고, 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것과 한국어로 된 처리방침을 공개하는 등 투명성을 지속적으로 확보할 것을 시정권고하기로 했다.

딥시크는 점검 과정에서 국외 이전 관련 법정사항 등 개인정보보호법을 준수한 한국어 처리방침을 마련해 개인정보위에 제출했으며, 이용자들의 대화 내용을 이전하는 것을 차단했다고 전해졌다. 아울러 옵트 아웃 기능과 연령 확인 절차도 마련했다고 한다. 

한편, 개인정보위는 딥시크 실태점검을 계기로 지난해 발간한 '해외사업자 대상 개인정보보호법 적용 안내서'의 핵심사항을 체크리스트 형태로 함께 제공하기로 했다. 해외사업자는 이를 활용해 기본적 사항을 미리 점검함으로써 한국 정보주체의 권리를 충실히 보장하고 개인정보를 안전하게 보호하며 서비스를 출시‧운영할 것이 요구된다.