- 개인정보위, 중국 AI 기업 딥시크에 시정·개선 권고…“국외이전 동의 누락, 키 입력 전송 등 위법 소지 확인”
- AI 학습 활용 정보 선택권 미제공·아동 개인정보 보호 미흡…“국내 이용자 대상 서비스 기준 충족해야”
개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 4월 23일 제9회 전체회의를 열고, 중국 인공지능(AI) 기업 Hangzhou DeepSeek Artificial Intelligence Co., Ltd.(이하 ‘딥시크’)에 대한 사전 실태점검 결과를 공개했다. 이번 점검은 딥시크의 개인정보 처리방침과 국외이전 절차가 국내 법령에 부합하지 않는다는 의혹 제기에 따른 조치였다.
딥시크는 지난 1월 한국 앱 마켓에 서비스를 출시한 직후, 개인정보 침해 가능성에 대한 논란에 휘말렸다. 이에 따라 개인정보위는 곧바로 질의서를 발송(1월 31일)하고 한국인터넷진흥원과 함께 기술 분석에 착수했다. 분석 결과, 딥시크가 국내법상 요구되는 항목들을 처리방침에서 누락하고, 키 입력 패턴과 같은 민감한 데이터를 수집할 수 있음을 명시한 사실이 드러났다.
점검 결과 딥시크는 개인정보 파기 절차, 보호책임자 정보, 안전조치 등의 핵심 정보를 누락한 채, 중국어와 영어로만 처리방침을 제공하고 있었다. 이에 개인정보위는 한국어 처리방침을 마련하고, 관할조항 등 국내법상 필수 항목을 포함하도록 시정권고했다. 현재 딥시크는 앱 다운로드를 잠정 중단하고(2월 15일), 한국어 처리방침 초안을 3월 28일 제출한 상태다.
또한 딥시크는 이용자의 기기 및 네트워크 정보뿐 아니라, AI 프롬프트에 입력된 내용을 중국 및 미국 소재 회사로 전송했으나, 이 과정에서 이용자의 사전 동의를 받지 않았던 것으로 확인됐다. 특히 딥시크는 AI 개선과 보안을 이유로 해당 데이터를 Bytedance 계열사인 Beijing Volcano Engine Technology Co., Ltd.(볼케이노)에 위탁해 처리했으나, 마케팅 목적 사용은 없었다고 해명했다. 개인정보위는 이에 대해 “프롬프트 입력 내용의 전송은 불필요하다”고 판단하고, 딥시크는 4월 10일부터 해당 전송을 차단했다고 보고했다.
AI 학습 관련 항목에서도 위반 사항이 드러났다. 딥시크는 이용자 입력 데이터를 AI 모델 학습에 활용하면서도 이를 거부할 수 있는 기능(opt-out)을 제공하지 않았고, 처리방침에도 관련 고지가 명확히 이루어지지 않았다. 이후 딥시크는 3월 17일부터 옵트아웃 기능을 도입하고, 개인정보위가 권고한 강화된 보호조치도 수용하기로 결정했다.
이 외에도, 딥시크는 아동 개인정보를 수집하지 않는다고 명시하면서도 실제로는 연령 확인 절차가 부재했으며, 개발서버의 보안설정 미흡 등 기술적 보호조치에서도 허점이 드러났다. 이에 대한 기술적 수정은 점검 과정에서 완료되었다고 개인정보위는 밝혔다.
개인정보위는 이번 실태점검을 통해 딥시크에 ▲이미 국외 이전된 개인정보의 즉각 파기 ▲한국어 처리방침의 공개 및 구체화 ▲AI 학습 데이터에 대한 이용자 거부권 보장 ▲아동 개인정보 보호 강화 등을 시정·개선 권고했다.
딥시크가 해당 권고를 10일 내 수용할 경우 시정명령이 적용되며, 이행 결과는 60일 이내에 보고해야 한다. 개인정보위는 이후 최소 2차례 이상의 후속 점검을 통해 실제 개선 여부를 확인할 방침이다.
한편 개인정보위는 이번 점검을 계기로, 지난해 발간한 「해외사업자 대상 개인정보보호법 적용 안내서」의 핵심사항을 체크리스트 형태로 정리해 제공할 계획이다. 이를 통해 해외사업자들도 한국 이용자 보호를 위한 법적 기준을 사전에 점검하고 서비스에 반영할 수 있도록 유도한다는 방침이다.
