개인정보위 제9회 전체회의 결과

안녕하십니까? 개인정보보호위원회 조사조정국장입니다.

지금부터 딥시크 서비스 사전 실태점검 결과에 대해 브리핑하도록 하겠습니다.

개인정보보호위원회는 4월 23일 어제 오후 전체회의를 열고 딥시크에 대한 사전 실태점검 결과를 심의·의결하였습니다.

그간의 경과를 간략히 말씀드리면 개인정보보호위원회는 올해 1월 딥시크 서비스 출시 직후 국내외의 개인정보 침해 우려에 따라 개인정보 처리 방식에 관한 질의서를 송부하고, 한국인터넷진흥원 등과 기술 분석 등을 실시하였습니다.

그 과정에서 다른 사업자와의 통신기능 및 개인정보 처리방침상 일부 미흡한 부분을 확인하였습니다.

이에 따라 개인정보보호위원회는 사전 실태점검에 착수하였으며, 딥시크 측은 우리 보호법에 대한 고려가 일부 소홀했음을 인정하고 개인정보보호위원회에 적극 협력하겠다는 의사와 함께 국내 앱 마켓에서 신규 다운로드를 잠정 중단한 바 있습니다.

다음으로는 사전 실태점검 결과에 대해 구체적으로 말씀드리도록 하겠습니다.

먼저, 개인정보 처리방침 전반과 관련된 내용입니다.

당초 딥시크사는 2025년 1월 한국 앱 마켓에 출시하면서 중국어와 영어로만 처리방침을 공개하고, 개인정보 파기 절차나 방법, 안전조치, 개인정보 보호책임자의 성명·연락처 같은 우리 보호법이 요구하는 일부 사항을 누락하였으며, 키 입력 패턴이나 리듬과 같은 광범위한 정보 수집을 명시하고 있었습니다.

점검 과정에서 딥시크 측은 우리 보호법상의 법정 사항을 포함하여 한국어로 된 개인정보 처리방침과 별도의 대한민국 관할조항을 추가로 제출한 바 있습니다.

아울러, 문제가 된 키 입력 패턴은 서비스 준비 당시에 수집할 정보가 확정되지 않은 상태에서 기재한 것으로 한국을 포함해 전 세계적으로 실제 수집한 사실은 없으며, 정확한 수집 항목으로 처리방침을 정비하였다고 알려왔고 위원회에서 확인한 바 있습니다.

다음, 두 번째로 개인정보의 국외 이전과 관련된 부분입니다.

당초 딥시크는 개인정보를 중국 및 미국 소재의 회사로 이전하면서 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었습니다.

특히, 딥시크는 기기 정보, 네트워크 정보, 앱 정보 외에 이용자가 AI 프롬프트에 입력한 내용을 볼케이노사에 전송하고 있는 것이 확인되었습니다.

점검 과정에서 딥시크 측은 국외이전 관련된 법정 사항을 한국어 처리방침에 포함하여 제출하였으며, 볼케이노사로 전송된 경우 보안 취약점이나 이용자 인터페이스·경험, UI·UX 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명하였고, 이용자 입력정보는 불필요하다는 개인정보보호위원회의 지적에 따라 4월 10일부터 신규 이전을 차단했다고 알려와 위원회에서 확인한 바 있습니다.

다음 세 번째로, AI 개발·학습과 관련된 부분입니다.

딥시크는 타 사업자와 유사하게 공개된 데이터와 이용자가 프롬프트에 입력한 대화를 AI 개발·학습에 이용하고 있었으나, 프롬프트 입력 내용의 경우 이용자가 AI 개발·학습 활용에 거부할 수 있는 기능, 흔히들 말씀하시는 opt-out 기능이 없었고, 처리방침이나 이용약관에도 서비스 제공 개선으로만 표시해 충분한 설명이나 고지가 있었다고 볼 수 없었습니다.

점검 과정에서 딥시크 측은 프롬프트 입력 정보에 AI 개발·학습과 관련하여 이용자가 거부할 수 있는 opt-out 기능을 마련했다고 알려와 위원회에서 확인하였으며, 특히 개인정보보호위원회가 지난해 3월 주요 AI 서비스 대상 사전 실태점검 후에 권고한 강화된 보호조치를 딥시크 측도 모두 준수하기로 한 바 있습니다.

동 강화된 보호조치의 가장 대표적인 내용 가운데 하나는 사전 학습을 할 때 KISA에서 제공하는 한국 개인정보, 주민등록번호라든지 휴대전화번호라든지 계좌번호 등이 노출된 페이지 URL에 대해서는 사전 학습에서 차단하거나 제거하는 내용 등이 포함되어 있습니다.

기타 아동 개인정보 및 안전조치와 관련하여 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 하고 있었으나 서비스 가입 시 아동 여부를 확인하는 절차가 없었습니다. 다만, 점검 과정에서 연령 확인 절차 등을 마련하였고 위원회에서 이를 확인한 바 있습니다.

또 일부 보안 취약점에 대해서 점검 과정에서 조치가 완료된 것을 확인하였습니다.

끝으로, 처분 내용 및 향후계획에 대해 말씀드리겠습니다.

개인정보보호위원회는 이상의 점검 결과를 바탕으로 딥시크 측에 개인정보 국외 이전 시에는 합법근거를 충실히 구비할 것과 불필요하게 기존에 볼케이노사로 이미 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것, 그리고 한국어 처리방침의 공개와 구체화를 통해 서비스의 투명성을 지속적으로 제고할 것을 시정 권고하기로 하였습니다.

또한, 지난해 주요 AI 서비스 대상 사전 실태점검 결과를 바탕으로 개인정보보호위원회가 권고하는 강화된 개인정보 보호조치 방안의 준수, 아동 개인정보의 수집 여부 확인 및 파기, 개인정보 처리시스템 전반의 안전조치 향상과 함께 상시적으로 국내 대리인을 지정할 것을 개선 권고하기로 하였습니다.

딥시크 측이 개인정보보호위원회의 시정 권고를 10일 이내에 수락하면 보호법상 시정명령을 받은 것으로 간주되며 시정 및 개선 권고에 대한 이행 결과를 위원회에 보고하여야 합니다.

향후 위원회는 시정 및 개선 권고 사항에 대해 국내 대리인과 이행 점검을 통해 지속적으로 관리해 나갈 계획입니다.

아울러, 개인정보보호위원회는 이번 실태점검을 계기로 지난해에 발간한 해외사업자 대상 안내서에 핵심적인 사항들을 체크리스트 형태로 함께 제공하기로 하였습니다. 해외사업자의 경우 이를 활용하여 기본적인 사항을 미리 점검함으로써 한국 정보주체의 권리를 충실히 보장하고 개인정보를 안전하게 보호하며 서비스를 출시·운영할 것이 요구됩니다.

이상으로 결과에 대해서 브리핑을 마치고 기자님들 질문 있으시면 답변드릴 수 있도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하십니까? 말씀 주신 내용 중에 개인정보위원회가 이를 확인하였다, 라는 내용들이 있는데 딥시크의 현재 지금 운영 상황, 운영 상황과 그리고 시정 상황을 어떤, 구체적으로 어떤 방식으로 확인하시는지 여쭙고 싶고요.

그 다른 한편으로는 시정명령... 시정 권고가 지금 의결된 상황인데 딥시크사에서 만약에 이것을 받아들이지 않는다면 그 뒤의 수순은 어떻게 되는 것인지 좀 여쭙고 싶습니다.

<답변> 확인, 위원회에서 확인한 방법 관련해서 질문 주신 것 같고, 그리고 저희 쪽에서 시정 권고와 개선 권고를 했는데 그걸 받아들이지 않을 경우에는 다음의 절차나 이게 어떻게 되는지 질문하신 걸로 이해했고요.

저희가 확인 방법 같은 경우에는 수차례 자료 제출 요구를 해서 증적 자료를 딥시크사에서 제출해 왔고 그 자료에 대한 분석, 그리고 그전에 몇 번 브리핑에서 말씀드린 바와 같이 저희가 한국인터넷진흥원에 실제 환경과 똑같은 환경을 만들어놓고 기술 분석을 하고 있습니다. 그 자료 제출한 증적 분석과 저희가 자체적으로 실시하는 기술 분석 등을 통해 확인했다, 라고 그 말씀드릴 수 있겠고요.

그리고 말씀드린 대로 보도자료에도 있지만 보호법상의 사전 실태점검은 시정 권고를 하게 되면 그 사업자 측이 10일 이내에 수락 여부를 위원회에 통보하게 되어 있습니다. 그래서 수락을 통보해 오면 시정명령을 받은 것으로 되고요. 만약에 수락을 하지 않을 경우에는 아직까지 그런 사례는 없었습니다만 저희가 조사에 착수하거나 다른 여러 가지 방법이 있을 수 있을 것 같습니다.

<질문> 사실 가장 큰 우려가 중국, 국내법에 따라서 중국 정부가 요청 시 자료를 제공해야 된다는 점이었는데 이거에 대한 얘기나 조처가 있는지 궁금하고요.

또 서비스 재개, 다운로드 재개 시점은 시정조치를 완료한 뒤로 보면 되는 건지 궁금합니다.

<답변> 국외 이전된 개인정보, 국내 정보주체의 개인정보 관련된 보호의 이행력 담보 방안하고 그걸 질문해 주신 것 같고, 서비스 재개 시점에 대해서 질문해 주신 것 같고요.

말씀드린 대로 저희가 시정 권고나 개선 권고한 사항에 대해서는 통상 이행 점검을 통해서 그 이행 여부를 점검하고 있습니다. 그리고 특히 이번 경우에는 국내 대리인을 지정하도록 해서 국내 대리인을 통해서 이행 여부를 좀 더 철저히 저희가 점검해 나갈 계획이고요.

또 몇 번 브리핑 말씀드린 바와 같이 국제적으로도 개인정보 감독기구와 저희가 협조하고 있습니다. 그런 공조체제를 통해서 국외 이전된 개인정보가 보호될 수 있도록 계속적으로 위원회에서 노력해 나가도록 하겠습니다.

그리고 서비스 개시 시점 관련해서는 많은 분들이 궁금해하시는 것 같은데 기자님도 잘 아시겠지만 위원회에서 어떤 처분을 해서 신규 다운로드가 중단된 게 아니고 피심인 쪽에서 당초 글로벌 서비스를 제공하는 과정에서 우리법상 미흡한 점이 있는 것을 인정하고 보완하겠다, 라고 하면서 스스로 신규 다운로드를 중단한 것이고요.

그래서 그 시정 권고, 시정명령에 대한 수용과 이행 시에는 자체적으로 결정이 가능할 것으로 저희는 보고 있습니다. 그래서 어제 대리인 측에서는 조만간 시정 이행이 되면 서비스를 개시할 것으로 얘기를 했고요.

말씀드리고 싶은 건 이와는 별도로 위원회에서 지적한 시정 권고나 개선 권고 사항에 대해서는 위원회에서 계속적으로 점검해 나갈 계획이라는 점을 말씀드리겠습니다.

<질문> 저는 딥시크 이외에 국내에 지금 제공 중인 해외 다른 생성형 AI 서비스 좀 궁금한데요. 지금 오픈AI 챗GPT나 구글 Gemini 같은 경우도 자국의 클라우드를 이용하는 것으로 알고 있는데 그들의 현황을 파악하고 계신 게 있는지 궁금하고, 예를 들면 자체 처리 방침에 한국 이용자 데이터가 국외 이전된다, 그런 기재되어 있는지 파악된 게 있으신지 그것 좀 말씀 부탁드립니다.

<답변> 이번에 실태 점검한 딥시크 외 다른 생성형 AI의 현황에 대해서 말씀 주셨고요. 저희가 지난해 초에, 지난해 봄에 주요 AI 서비스 대상으로 사전 실태점검을 실시한 바 있습니다. 그때 오픈AI나 구글 등이 포함되어 있었고, 그 시점에서 저희가 파악한 현황을 가지고 있는 상황입니다.

<질문> ***

<답변> 당시에 기본적 사항을 확인하고 당시에도 저희가 개선 권고를 한 바 있습니다. 그리고 개선 권고에 대한 이행 여부까지 저희가 확인을 한 바 있습니다.

<질문> 이미 이용자 동의 없이 국외로 이전된 데이터에 대해서 향후에 추가로 법적 책임을 추궁할 가능성은 없는지 궁금하고요.

또 하나는 딥시크 API나 오픈소스로 활용하는 B2B 기업들에 대해서 별도의 문제는 없는지 조사하고 계신지 궁금합니다.

<답변> 저희가 이번에 시정 권고한 내용 중에 가장 큰 건이 이미 이전한 개인정보를 즉각 파기할 것이 포함돼 있고요. 그리고 이건 저희가 시정 권고했기 때문에 이걸 수용하게 되면 시정명령을, 그러니까 법적 처분을 받은 걸로 보시면 될 것 같습니다.

그리고 또 하나는 딥시크를 오픈소스나 이런 형태로 이용하는 경우에 대한 현황에 대해서 말씀하셨는데 아직 그 부분에 대해서까지 저희가 점검을 하거나 조사에 착수한 사항은 없고, 다만 이용 기업들이나 이용자가 주의해야 될 사항에 대해서는 저희 정책 파트에서 따로 정책적인 사항 관련해서 안내서나 이런 가이드 등을 준비하고 있습니다. 그래서 그거는 조만간 제공될 것으로 그렇게 알고 있습니다.

<질문> 4번에 보면 아동 개인정보 관련 질문 좀 하고 싶은데요. 딥시크 국내 가입자 중에서 그럼 14세 미만의 아동의 수가 얼마나 되는지 파악이 됐는지, 만약 그렇다면 이 아동들로부터 수집된 자료가 어떻게 활용됐는지도 확인이 됐는지 질문드립니다.

<답변> 연령 확인 절차가 그 자체가 없었기 때문에 아동의 수집된 정보가 어느 정도 규모인지는 현재로서는 파악된 바가 없고요. 그래서 저희가 개선 권고 차원에서 이런 지적을 하게 된 거고, 그걸 사후에 서비스 하는 과정에서 연령 확인 절차를 도입하고 이런 것들을 통해서 아동의 학습 정보를 파악을 하게 되면 그 부분은 즉시 파기하는 걸로 이렇게 협의가 된 사항입니다.

<질문> 딥시크에서 바이트댄스 쪽 클라우드를 이용한 어떤 이유가 있는지 확인이 됐을지요? 예를 들어 두 회사 간에 지분 관계나 이런 게 있는지 여쭤봅니다.

<답변> 보도자료에도 조금 나와 있고 딥시크사 쪽에서 저희 쪽에 제공한 자료 등을 확인해 보면 이 바이트댄스의 계열사라고 하고 있고요, 이 볼케이노사가. 그리고 중국에서는 대표적으로 쓰고 있는 클라우드 서비스, SaaS 서비스라고 얘기를 하고 있습니다. 그래서 여기에 국외이전 위탁을 한 이유는 보도자료에도 있듯이 보안 취약점이나 UI·UX 개선 등을 위해서 클라우드 서비스로 이걸 이용하고 있었다고 얘기를 하고 있고요. 그래서 그런 목적이라든지 위탁하는 항목 이런 것들을 다 포함해서 한국어로 된 처리방침과 그 추가 별도 약관에 다 기재할 계획이라고 하고 있고요.

다만, 이용자 입력 정보는 이런 보안 취약점이나 UI·UX 개선을 위해서 수립할 이유가 없다, 라고 위원회에서 판단해서 이 부분 불필요하다고 지적을 했고 그 부분은 4월 초에 이전을 완전히 중단했다, 차단했다, 라고 알려온 상태입니다.

<질문> 아동 개인정보 관련해서 문의드리려고 하는데 이게 예전에, 지난달쯤인가 그때 잠깐 딥시크에서 달력처럼 해서 팝업 떠서 자기 생년월일 입력하는 서비스가 잠깐 떴더라고요. 그래서 그런 식으로 연령을 입력해서 그걸 확인은 하는 것 같은데, 그러면 아동들도 그거를 성인 나이대로 입력을 해서 하는 거면 의미가 없는 것 아닌가 싶어서요.

아니면 또 다른 무슨 자기 개인정보를 교차 확인을 해서 성인 인증을 하면 그건 또 다른 개인정보를 제공을 하게 되는 거잖아요. 그거에 대한 우려는 없을까 싶어서요.

<답변> 저희 법이 요구하는 그 부분은 연령 확인하는 그 절차를 둬야 한다는 것까지 법이 요구하는 사항이고요. 그 외에 추가적으로 실제로 이게 가능한 부분에 대해서는 조금 더 사업자 측에 협의를 하거나 개선을 유도할 수 있도록 그런 방안을 고민해 보겠습니다.

<질문> 나왔던 내용들 중에서 한 가지만 더 확실하게 확인하고자 하는데, 보안 취약점이나 UI·UX 개선 등을 위해서 클라우드를 이용했다, 라는 내용이 있고 그리고 그 이용한 클라우드가 볼케이노 클라우드라고 나와 있습니다. 이게 특정한 UI·UX 개선과 보안 개선을 위해서 그 볼케이노 클라우드를 별도로 이용했다는 것인지, 아니면 그냥 딥시크 서비스 전반이 그냥 볼케이노 클라우드에 의해서 돌아가고 있다, 라는 뜻인지 궁금한데요.

<답변> 보안 취약점이나 UI·UX 개선이 가장 큰 목적이라고 자료를 제출해 왔고요. 그래서 그 처리 위탁한 목적도 그 부분에 초점이 맞춰져 있고 딥시크 쪽에서는 그렇게 위탁한 목적 외에 맞춤형 광고라든지 이런 마케팅에는 이용하지 않고 있다, 라고 저희 쪽에 자료를 제출한 상황입니다.

<질문> 이미 중국, 국외로 이전된 이용자의 데이터 규모를 어느 정도로 파악하신 건지 여쭤보고요. 일례로 당시에 딥시크의 국내 이용자 수 등은 어떻게 됐는지, 파악했는지 여쭤봅니다.

<답변> 신규 서비스 잠정 중단 전에, 직전에 일평균 약 5만 명 정도 이용한 것으로 알고 있습니다.

<질문> ***

<답변> 예, 한국에서.

<질문> ***

<답변> 두 가지로 나눠서 봐주셔야 될 것 같고요. 통상 AI 서비스 사업자가 이용자 입력 정보를 자사의 서비스 개선이라든지 이런 거를 위해서 학습이나 이런 부분에 이용을 하는 부분이 있습니다. 그래서, 그런데 통상 다른 AI 사업자는 그거를 이용자한테 선택권을 주는, 아까 말씀드린 opt-out 기능이 있었는데 딥시크사는 그런 게 없었던 거고요. 이거는 전 세계적으로도 그런 이야기들이 많이 있어서 AI 개발이나 학습에 이용자 입력 데이터가 쓰이는 것과 관련해서 이용자에게 선택권을 준다는 차원에서 opt-out 기능이 3월에 도입된 거로 보시면 될 것 같고요.

볼케이사로... 볼케이노사로 넘어가는 부분에 대해서는 우리 보호법상에 개인정보의 국외이전이 불가능한 것은 아니지만 국외이전을 하는 경우에는 그 이용자로부터 동의를 받거나 처리방침 등에 공개하도록 되어 있습니다. 당초에 그런 내용이 없었다는 거고, 그걸 그 처리방침의 점검 과정에서 새롭게 국내 보호법을 준수해서 처리방침 등에 그러한 내용들을 다 넣었다는 거고요.

그 과정에서 저희가 넘어가는 정보의 형태나 이런 거를 봤을 때, 넘어가는 목적과 정보 형태를 봤을 때 볼케이노사에 넘어가는, 위탁하는 그 이유는 보안 취약점 개선이나 UI·UX 개선이라고 했는데 국외 이전되는 항목 중에 이용자 입력 데이터까지 있어서 그거는 불필요하지 않느냐, 라는 지적이 있었고 그걸 상대 측에서 수용해서 그 부분은 이전되는 항목에서 제외됐다, 라고 봐주시면 될 것 같습니다. 두 개를 나눠서 봐주시면 좋을 것 같습니다.

<질문> 2월 그때 브리핑해 주실 때는 미국에 있는 바이트댄스로 넘어갔었다고 하셨잖아요. 그런데 오늘은 중국에 있는 볼케이노라고 말씀을 하셨는데, 그러니까 정확하게 국외로 이전된 정보가 그거를 받은 업체가 몇 개 정도이고 국가는 어디, 어디인지 알 수 있을까요, 지금까지?

<답변> 국외이전 업체는 5개라고 봐주시면 될 것 같고요. 중국하고 미국 소재의 기업들입니다. 그런 내용들이 다 한국어로 된 처리방침에 포함될 예정입니다.

그리고 조금 전에, 조금만 추가 설명드리면 아까 질문해 주신 거 관련해서 수집 단계하고 처리 단계를 나눠서 봐주시면 좋을 것 같고요. 그래서 수집하는 단계에서 그 이용자한테 선택권을 줬다, 라는 게 AI 개발·학습 관련된 부분, 그리고 처리하는 단계에서 국외로 이전해서 처리를 하고 있는 그 부분에서 저희가 본 게 두 번째, 개인정보 국외이전 관련된 부분으로 봐주시면 될 것 같습니다.

<질문> 시정 권고하고 개선 권고의 차이가 무엇인지, 그리고 이 둘 다 권고이기 때문에 강제성은, 그러니까 의무사항은 아닌 건지 궁금하고요. 그리고 이용자 입장에서 어떤 기준을 두고 이걸 안심하고 사용할 수 있을지에 대해서 좀 의견을 이야기해 주시면 감사하겠습니다.

<답변> 시정 권고나 개선 권고 둘 다 저희가 넓은 의미에서는 시정조치라고 보고 있고요. 다만, 시정 권고 같은 경우에는 이걸 수락하게 되면 시정명령이기 때문에 법 위반이 분명한 사항에 대해서는 저희가 시정 권고를 하고, 법 위반까지는 불분명하지만 개선이 필요하다는 부분에 대해서는 개선 권고를 하고 있습니다.

다만, 시정 권고와 개선 권고 모두 일정 기간 이내에 위원회에 그 이행 결과를 보고하도록 되어 있고요. 어제 올린 안건 중에 하나가 저희가 2024년 하반기에 시정조치한 내용, 시정 권고, 개선 권고 다 포함해서, 그 사항에 대한 이행 점검 결과 내용입니다.

그래서 그것들은 저희가 시정 권고나 개선 권고를 하지만 실제로 이행 계획 받고 이행을 했는지 그 여부에 대해서는 지속적으로 점검·관리하고 있다는 말씀드리겠습니다.

<질문> 이용자 입장에서 딥시크를 좀 안심하고 사용하려면 어떤 기준, 판단을 두고 해야 할지 좀 그 점이 궁금합니다.

<답변> 저희가 시정 권고하고 개선 권고한 내용을 딥시크사에서 수용하는 경우 우리 보호법상의 개인정보 수준은 어느 정도 확보된다, 라고 봐주시면 될 것 같고요. 그래서 그게 실제로 제대로 이행이 되고 있는지를 저희가 계속적으로 확인하겠다, 라는 내용이고 그 이행을 좀 더 확실하게 하기 위해서 상시적인 국내 대리인도 두도록 저희가 같이 개선 권고했다, 라는 말씀을 드리겠습니다.

<질문> 어저께 개인적으로 여쭤봤을 때는 미국 1개, 중국 3개 업체라 그랬는데 아까는 5개라고 말씀하셨는데 4개가 맞는 거예요, 5개가 맞는 거예요?

<답변> (관계자) 간단하게만 설명... 간단하게 설명드리면 당초에 저희한테 설명했던 건 5개 업체가 맞습니다. 그래서 국장님께서는 5개 업체로 알고 계시기도 한데 저희가 검토하는 과정에서 1개 업체는 단순히 도매인 정보를, DNS 서비스라고 해서 도메인을, IP 주소와 도메인을 매칭해 주는 서비스를 하고 있는 미국으로 보낸, 통신이 갔었던 거라서 이 부분은 개인정보 이전으로 보지 않았기 때문에 재배열하게 되면 4개 업체가 맞습니다.

<질문> ***

<답변> (관계자) 클라우드플레어라는 업체입니다.

<질문> 클라우드...

<답변> (관계자) 플레어.

<질문> 한 가지만 더 여쭤보면 아까 서비스 재개 시점에 대해서 말씀을 해 주시긴 했는데 이게 시정명령을 받으면, 받은 걸로 인지가 되면 개인정보위가 자체적으로 재개를 결정할 수 있다, 라고 말씀하신 게 맞는지, 그럼 10일 이내 수락하면 이르면 10일 내에서라도 딥시크가 다시 서비스가 될 수 있다는 말씀이신가요?

<답변> 신규 서비스 중단 자체를 딥시크사에서 자율적으로 그 결정을 한 거고요. 그 재개 여부도 그 서비스를 중단하면서 저쪽에서 밝힌 이유가 국내 보호법의 준수를 좀 더 강화하겠다, 위원회에 협력하겠다, 그래서 준수가 될 때까지는 잠정 중단하겠다, 라고 얘기를 했습니다. 그래서 재개 여부도 그 시정명령을 수용하고 이행이 어느 정도 됐다고 하면 사업자 측에서 자율적으로 결정할 수 있는 사항이라는 걸 말씀드린 거고요.

그와는 별도로 위원회는 저희가 지적한 사항들이 있기 때문에 시정 권고나 개선 권고된 내용들이 제대로 이행이 되는지는 저희가 별도 트랙으로 계속적으로 관리를 해 나가겠다는 말씀입니다.

<질문> ***

<답변> 그렇습니다.

<질문> 두 가지인데요. 먼저, 개선 조치 중에서 학습 및 AI 개발 데이터, 그러니까 딥시크가 오픈 모델이지만 보통 기업들이 어떻게 학습했나는 오픈 안 하잖아요. 여기 보면 어떻게 개인정보가 포함된 학습 데이터에서 제외하라고 돼 있는데 혹시 이거를 개인들이... 그러니까 모니터링할 수 있는지 아니면 할 방법이 있는지 궁금하고요.

그다음에 이렇게 시정 권고를 냈는데 세계적으로 몇 개 나라가 금지하고 그랬는데 이렇게 딥시크한테 권고나 시정조치를 한 게 월드와이드적으로 퍼스트인지 아니면 좀 있는지, 몇 번째인지 그것도 알 수 있을까요?

<답변> 저희가 학습이나 이런 부분 관련해서 실제로 이행이 됐는지, 안 됐는지는 일단은 자료 제출, 증적 자료 받는 게 제일 우선이고요. 그리고 모두에도 말씀드렸듯이 저희가 기술분석 환경을 만들어 놨습니다. 그래서 그걸 통해서 우회적으로 테스트하는 방법이 있을 것 같고요. 사실은 이번에도 그런 방법을 통해서 저쪽에서 이야기한 내용이 맞는지, 아닌지에 대해서 다시 한번 더블 체크를 하는 이런 형태로 진행이 됐습니다. 그래서 학습에 이용하지 말 것을 저희가 개선 권고한 부분들에 대해서는 그런 기술 환경 등을 통해서 더블 체크하는 그런 방법이 있을 것 같고요.

사실 전에 몇 번 브리핑할 때 말씀드렸는데 해외 감독기구들도 딥시크사 쪽에 질의서를 보내고 관련 점검이나 이런 거를 하고 있는 거로 알고 있고요. 다만, 결과가 나온 것까지는 아직 저희 쪽에서는 확인된 바는 없습니다.

<질문> (온라인 질의 대독) 아주경제 기자님, 세계일보 기자님 질의에 대해서는 현장 답변으로 갈음하도록 하겠습니다.

KBS 기자님 질문입니다. 첫 번째, 키 입력 패턴·리듬 항목 같은 경우 보도자료에 정확한 수집 항목으로 처리 방침을 정비했다고 알려왔고 하셨는데 구체적인 설명 부탁드립니다. 이에 대한 답변 부탁드립니다.

<답변> 말씀드린 바와 같이 당초에 많이 지적된 부분이 키 입력 패턴이나 리듬 등을 포함해서 정보가 과다 수집되는 것 같다, 라는 지적들이 많이 있으셨고요. 딥시크사 쪽에서 저희 쪽에 소명한 자료로는 당초에 뭘 수집할지 확정이 안 된 상태에서 조금 더 폭넓은 안내를 위해서 광범위한 수집 항목을 넣었다, 실제 수집 항목으로 바꾸어서 처리 방침을 전반적으로 정비를 해 왔다, 라고 하고 있고, 그래서 저희가 타 사업자와 그 부분에 대해서는 비교 분석을 했고요.

그래서 현재 바뀐 처리 방침상에는 타 AI 사업자와 유사한 수준에서 개인정보를 수집·처리하는 것으로 확인한 바 있습니다. 키 입력 패턴이라든지 리듬 같은 경우에는 세계적으로, 한국을 포함해서 세계적으로 수집한 적은 없다, 라고 알려왔습니다.

<질문> (온라인 질의 대독) KBS 기자님 두 번째 질문드리겠습니다. 실태점검 이후에도 딥시크에서 개인정보를 현재와 동일하게 중국 및 미국 소재 다수 회사로 이전한다고 보면 되는 건지에 대한 궁금증에 대해서 답변 부탁드리겠습니다.

<답변> 지금 보도자료 통해서 설명드린 바와 같이 처리 위탁하는 목적을 분명히 밝혔고요. 그 목적 범위 안에서 수집되거나 처리되는 항목도 굉장히 꼭 필요한 부분에 한해서만 지금 처리방침을 바꿔놓은 상태고요. 이 처리방침대로 실제로 이행이 되는지는 저희가 여러 가지 방법을 통해서 계속적으로 관리하겠다, 라는 말씀을 다시 한번 드리겠습니다.

<질문> (온라인 질의 대독) 국민일보의 기자님 질문입니다. 딥시크가 어떤 개인정보를 국외로 이전했는지 구체적으로 확인된 게 있는지, 확인됐다면 어떠한 개인정보가 구체적으로 넘어갔는지에 대한 답변 부탁드리겠습니다.

<답변> 글로벌 서비스의 경우에 통상적으로 개인정보를 국외 이전해서 처리 위탁하는 경우가 통상적인 경우라고 보시면 될 것 같고요. 저희도 그 개인정보의 국외 이전이나 처리 위탁 자체를 금지하는 것이 아니고 이런 처리 위탁 같은 경우를 할 경우에는 처리방침을 통해서 분명하게 알리고 하라고 하고 있습니다.

그래서 이번에는 그런 점들이 상당히 서비스 초기에는 부족한 점들이 많았기 때문에 처리 목적과 그 처리 항목 이런 것들을 분명히 하도록 이번에 했고 어느 정도는 개선이 된 걸로 지금 보고드리고 있고요.

그리고 다시 한번 말씀드리지만 그 이행 여부에 대해서는 저희가 상시적인 국내 대리인도 두도록 했고, 저희가 통상적으로 몇 차례에 걸쳐서 이행 여부를 확인하게 되어 있습니다. 그리고 중간, 중간에 말씀드린 대로 다른 해외 감독기구도 비슷한 항목, 내용에 대해서 점검하고 있기 때문에 이런 국제 공조 등을 통해서 위원회에서 지적한 사항이 계속적으로 지켜질 수 있도록 저희가 지속적으로 점검·관리해 나가겠습니다.

<질문> 마지막 질문 관련해서 어떤 개인정보를 국외로 이전했는지에 대한 질문이라고 생각했는데 구체적으로 예를 들면 이름이라든지 이런 거 좀 항목들을 다시 한번 구체적으로 질문드리고 싶습니다.

<답변> 그거는 굉장히 다양하고요. 아주 그냥 카테고리적으로 말씀드리면 기기 정보라든지 네트워크 정보라든지 앱 정보 이런 것들이 국외 이전돼서 처리되고 있고 이거는 통상적인, 타 사업자도 그렇게 하고 있는데 저희가 지적한 부분은 국외로 이전하는 목적이라든지 정확한 수집 항목이라든지 이런 게 불분명했고, 사전에 정보주체한테 충분히 고지가 되거나 동의를 안 받았다는 부분을 지적한 사항입니다.

<답변> (사회자) 더 질문이 없으시면 이상으로 오늘 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사합니다.

<답변> 고맙습니다.

<끝>