"인공지능 스피커 등에도 개인정보 최소수집원칙 적용해야"

[일간투데이 권혁미 기자] 박선숙 의원은 2019년 9월 4일 인공지능 스피커 등의 서비스에서 개인정보보호법제의 핵심원칙인 '개인정보 최소수집의 원칙'을 지키기 위해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안'을 발의 했다.

현행법은 정보통신서비스 제공자가 이용자의 개인정보를 수집하려고 하는 경우에는 개인정보 수집의 목적과 항목, 보유기간을 알리고 동의를 받도록 하고 있다.

개정안은 기존 조항 외에 수집하는 개인정보의 수집 시점을 알리고 동의 받도록 해, 이용자로 해금 자신의 정보가 어느 시점에서 수집되는지를 예측할 수 있도록 했다. 이는 인공지능스피커 등이 상시적으로 음성정보 등을 수집하는 경우 사용자가 이를 인지할 수 있도록 하는 것이다.

일부 인공지능 스피커의 경우 오작동으로 인해 이용자의 명령이 없는 상태에서 활성화되기도 하며, 기술적 측면에서는 이용자의 명령 없이도 음성정보를 지속적으로 수집할 수 있다.

이는 심각한 프라이버시 침해의 우려를 낳는다. 실제로 아마존의 인공지능 스피커 '에코'가 부부간의 대화 등 음성정보를 녹음한 파일을 무단 유출하는 일이 발생했고, 이 사건을 계기로 인공지능 스피커가 지속적으로 음성정보를 수집 저장하고 있다는 사실이 확인된 바 있다.

이에 본 개정안은 개인정보 수집시점을 고지함으로써 대중화 되고 있는 인공지능 스피커 등 새로운 유형의 정보통신 서비스와 관련 개인정보를 보호하고자 하는 것이다.

인공지능 스피커를 통해 수집된 음성정보의 '휴먼리뷰' 사례가 전 세계적으로 나타나고 있다. 올 4월 아마존의 '알렉사', 7월 구글의 '구글 어시스턴트', 8월 애플의 '시리'와 페이스북의 '페이스북 메신저 앱' 등이 외부 업체 등을 이용해 '휴먼리뷰'를 해온 것으로 밝혀졌다.

이처럼 전 세계적으로 인공지능 스피커의 프라이버시 침해는 이미 위험 수위를 넘어서고 있다. 이 같은 사례는 인공지능 스피커만이 아니라, 스마트폰 내에 설치된 음성명령 앱이나, 스마트 워치의 음성명령과 태블릿PC 등 광범위한 디바이스 영역에서 발생될 수 있다.

최근 이러한 휴먼리뷰 문제가 국내에서도 확인됐다. 9월 3일자 보도에 따르면, 네이버가 서비스 개선 목적으로 인공지능 스피커를 통해 수집된 음성 정보의 일부를 협력사에 보내 직원이 직접 듣고 문자화하는 작업을 수행해온 것으로 밝혀졌다.

네이버 측은 비식별화를 통해 익명성을 보장했다고 하지만, 전문가들은 음성정보를 제3자에게 전달해 듣게 했다면 사생활 침해에 해당한다고 지적한다.

이와 관련해, 지난 8월 30일 국회에서 열린 한상혁 방송통신위원장 후보자 청문회에서 박선숙 의원은 '인공지능 스피커의 프라이버시 침해 문제'에 대해 다음과 같이 질의한 바 있다.

"국내에 유통되는 인공지능 스피커의 수가 400만대를 넘어서고 있고, 사물인터넷 연결대수는 1865만대에 달한다. 이러한 상황에서 기업들이 인공지능 스피커를 통해 소비자들이 알지 못하는 사이에 녹음·수집한 음성정보를 외부업체 등을 통해 사람이 들여다보게 하고 있다. 이는 명백히 불법 또는 탈법이다. 더불어 기업들의 불투명한 개인정보 처리 절차와 약관 등이 이용자의 프라이버시를 적절하게 보호하고 있는지를 포함해, 방송통신위원회가 이를 철저히 조사해야 한다"

박 의원의 질의에 대해 한상혁 방송통신위원회 위원장 후보자는 "새로운 디바이스들이 생기면서 예상치 못했던 개인정보 침해 문제가 발생하고 있다"며 "취임하게 되면 살펴 조사하겠다"고 답했다.

휴먼리뷰 문제가 전 세계적으로 확산되고 있는 만큼, 국내 이용자들에게 영향을 끼칠 수 있는 국내외 모든 기업들의 실태를 점검할 필요성이 있다. 특히 구글의 경우, 녹음·수집한 음성정보를 비식별화하지 않은 상태로 무기한 보관하고 있어 이용자의 프라이버시 침해 위협이 가장 크다. 박 의원은 방송통신위원회의 조사과정을 지켜보고, 국정감사에서도 이 문제를 점검할 예정이다.

정보통신정책연구원에 따르면('인공지능과 프라이버시의 역설' 2018년 12월) 인공지능 스피커는 이용자와의 상호작용을 위해 상시 대기 상태에 있어야 하는 특성 때문에 이용자의 프라이버시도 상시 침해 받을 수 있는 '프라이버시 로깅' 환경을 생성하고 있으며, 이러한 인공지능 디바이스의 이용과정에서 발생되는 개인정보의 수집과 활용에 대한 모호한 기준 때문에 프라이버시의 경계 또한 모호해지면서 프라이버시 침해와 보안위협이 가중되고 있다. 따라서 이러한 문제에 대한 법적규제 뿐 아니라, 서비스 제공자의 데이터 수집에 대한 명확한 지침이 필요하다고 할 수 있다.

개정안은 개인정보 자기결정권과 최소수집 원칙을 인공지능스피커 등에도 적용하고자 하는 것이다.

개인정보 최소수집의 원칙은 OECD가 제시하는 '개인정보보호 가이드라인(OECD Privacy Guidelines)' 8대 원칙 중 첫 번째 원칙이며, 동시에 국내 개인정보보호법제의 기본원칙이기도 하다.

또한 유럽의 '일반 개인정보보호법(General Data Protection Regulation, GDPR)' 역시 개인정보의 수집은 수집목적과 관련해 적절하고, 타당하며, 필요한 정도로만 제한돼야 한다고 개인정보 최소화를 기본원칙으로 제시하고 있다.

박선숙 의원은 지난해 9월 19일 국회 과학기술정보방송통신위원회 전체회의에서 "사업자의 자율규제를 통한 개인정보 최소 수집 원칙이 지켜지지 않고 있기 때문에 그에 대해 최소 절차를 마련하는 기준이 필요하다"고 강조했다.

이어 "실제로 현재 어떤 수준의 수집 동의를 받고 어떻게 활용하고 있는지에 대해서도 파악해야 할 뿐 아니라 그로 인해 침해되고 있는 개인정보들이 어떤 것이 있는지에 대해서도 충실히 파악해야 한다"고 지적하며 정보통신서비스에 대한 개인정보보호 주무기관인 방송통신위원회 역할의 중요성을 강조한바 있다.

또 박 의원은 "개인정보는 기업의 것이 아닌 이용자 개인의 것으로 정보통신 서비스 이용자들은 적극적으로 개인정보 자기결정권을 지켜나가야 하며 기업은 이용자의 프라이버시를 최대한 존중해야 한다"고 말했다.

개정안에는 개정 조항인 제22조 제1항을 위반할 경우 동법 제64조의3에 따라 위반행위와 관련한 매출액의 100분의 3 이하의 과징금이 부과되거나 제71조에 따라 5년 이하의 징역 또는 5000만원 이하의 벌금에 처할 수 있다는 처벌 조항 적용이 포함된다.
저작권자 © 일간투데이 무단전재 및 재배포 금지