[법무법인 민후 양진영 변호사] 막상 써보니 생각보다 더 똑똑한 것 같은 chatGPT. 제2의 신입사원, 비서라고 불리는 chatGPT 등 생성AI를 업무에 활용하는 회사가 늘어나고 있다. 그런데 생성AI를 업무에 활용하다보면 부득이 개인정보를 입력해야하는 경우가 있을 수 있다. 생성AI를 업무에 활용하면서 개인정보를 입력하였다면 법적으로 문제가 없는 것일까. 이하에서는 생성AI 활용 과정에서 개인정보를 입력한 경우 주의할 점에 관하여 살펴보도록 하겠다. 참고로 아래의 설명은 누구나 사용할 수 있는 생성AI 공개버전임을 전제로 하였다.

먼저, 생성AI에 개인정보를 입력하였다는 것만으로 곧바로 개인정보의 유출로는 볼 수 없을 것으로 보인다. 개인정보의 유출이란, 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 ▲개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우나, 또는 ▲기타 권한이 없는 자에게 개인정보가 전달된 경우 중 어느 하나에 해당하는 경우를 의미한다(개인정보보호지침 제51조). 대법원 역시 개인정보의 유출이란, 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되는 것을 의미한다고 판시하였다(대법원 2014. 5. 16. 선고, 2011다24555·24562 판결 등 참조).

위와 같이 개인정보의 유출은 해당 개인정보가 개인정보처리자의 관리 범위에 포함되어 있었으나 통제권을 벗어나야 한다. 그런데 회사가 생성AI를 업무에 활용하는 과정에서 개인정보를 입력한 것은 개인정보처리자인 회사의 자유로운 의사에 의한 것이므로, 개인정보 유출로는 보기 어렵다.

만약 회사가 생성AI에 개인정보를 입력한 이후 생성AI 운영사의 서버관리상의 과실로 유출되었거나, 알고리즘 등 기술적인 문제로 인하여 제3자에게 유출되었다면, 이때는 개인정보처리자의 의사에 반한 것이므로 개인정보 유출로 볼 수 있을 것이다.

참고로 chatGPT의 운영사인 openAI는 사용자들에게 가급적 chatGPT에 민감한 정보를 입력하지 않을 것을 경고하고 있으며, 'Privacy policy'에서 개인정보를 보호하기 위하여 기술적, 관리적, 조직적 조치를 하고 있지만 인터넷이나 이메일 전송이 완전히 안전하지 않고 오류가 발생할 수 있음에 관하여 명시하고 있다. 생성AI의 공개버전의 경우 입력되는 내용이 운영사 서버에 일정기간 저장되며, 차후 학습데이터로 활용될 수 있다. 서버에 저장되어 있는 동안 제3자에의 노출의 위험성이 있을 수 있으며, 학습데이터로 활용되는 과정에서도 제3자에게 노출되는 위험이 있을 수 있어, 개인정보의 입력은 가급적 하지 않아야 한다.

위와 같이 생성AI에의 개인정보 입력이 개인정보 유출로 평가되지 않는다면 아무런 문제가 없는 것일까. 그렇지 않다.

회사가 개인정보를 생성AI에 입력하면 개인정보의 이전이 일어나는데, 이때 개인정보 제3자 제공의 문제가 발생할 수 있다.

개인정보를 제공한자와 제공받은자 간에 개인정보의 이전에 관한 의사의 합치가 있다면 제공받은 목적 범위에서만 사용할 의무, 제3자 제공 시 보유기간의 설정 및 준수 등 여러 가지 법적 제한과 의무가 발생하게 된다. 이러한 의사의 합치는 개인정보 제3자 제공 동의서, 개인정보 제3자 계약서 등 관련 서류에 반영된다. 양자간의 의사합치가 있어야 개인정보를 제공받은 제3자로서의 의무 준수를 기대할 수 있다.

그런데 보통의 경우 회사는 생성AI에 개인정보를 일방적으로 입력하는 것으로, 회사와 생성AI 운영사가 구체적으로 개인정보의 취급과 이전에 관하여 협의한 것이 아니라, 단지 회사는 생성AI 운영사의 정책에 일방적으로 따를 수 밖에 없는 구조이다. 즉, 개인정보 제3자 제공에 관한 기본적인 계약사항의 합의 등 개인정보 이전에 관한 의사합치가 없는 상황이므로 회사로서는 생성AI 운영사에 대하여 제3자로서의 여러 의무를 지우기 어려우며, 생성AI 운영사에게 제3자로서의 법령 준수 등을 기대하기도 어렵다.

회사가 개인정보주체로부터 생성AI에의 입력에 대한 동의를 받는다고 하더라도 생성AI 운영사에 대하여 합법적인 제3자로서의 의무준수를 여전히 기대하기는 어려운 상황이므로, 가급적 애초부터 생성AI에 개인정보를 입력하지 않을 것이 권장된다. 최근 국가정보원이 발행한 '챗GPT 생성형AI 활용 보안 가이드라인'에서도 chatGPT와 같은 외부 AI모델 서비스를 이용할 경우 여러 보안 위협에서 벗어나기 위해 개인정보를 입력하지 않을 것을 권고하고 있다.

개인정보주체의 명확한 동의를 받지 않고 개인정보를 제3자에게 제공한 경우로 평가받는 경우, 개인정보보호법에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있으며(개인정보보호법 제71조 제1호, 제17조 제1항). 금년 9월 15일부터 시행되는 개정 개인정보 보호법에 따라 개인정보보호위원회는 위반자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다(개인정보보호법[시행 2023. 9. 15. 법률 제19234호, 2023. 3. 14., 일부개정] 제64조의2 제1항 제1호).

이처럼 회사가 생성AI를 업무에 활용하는 과정에서 개인정보를 입력하는 경우, 회사의 통제범위 밖에서 개인정보 유출의 우려가 있고, 개인정보 주체의 동의 없는 제3자 제공으로 평가되어 개인정보보호법에 따라 형사처벌 또는 과징금 처분을 받을 위험이 있으므로, 생성AI에는 개인정보를 입력하지 않도록 주의해야 할 것이다.

<양진영 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다.>