검색 - IT세상을 바꾸는 힘 지디넷코리아

EU, 틱톡에 8400억 과징금…"개인정보 무단 유출"

틱톡이 유럽연합(EU) 일반개인정보보호법(GDPR) 위반 혐의로 거액의 과징금을 부과받았다. 아일랜드 개인정보보호위원회(DPC)가 EU 이용자 개인정보를 중국으로 전송한 혐의로 틱톡에 5억3천만 유로(약 8천400억원) 과징금을 부과했다고 씨넷을 비롯한 주요 외신들이 2일(현지시간) 보도했다. DPC는 틱톡이 6개월 내에 시정하지 않을 경우 중국으로의 데이터 전송을 전면 중단해야 할 것이라고 경고했다. EU가 2018년 5월부터 시행한 GDPR에 따르면 개인정보 유출 사고가 발생할 경우 신속하게 감독기관에 통보하도록 규정하고 있다. 특히 개인정보 유출 정도가 심각할 경우에는 72시간 내에 통보해야만 한다. 이런 규정을 위반할 경우 글로벌 매출의 4%까지 벌금을 부과할 수 있다. DPC는 “틱톡은 중국에 있는 직원들이 EU 지역 이용자들의 개인정보에 원격 접속하지 못하도록 적절한 보호 조치를 취하고 있다는 사실을 입증하지 못했다”고 밝혔다. 또 DPC는 틱톡 측이 U 이용자 정보를 중국 내 서버에 저장했는지 여부에 대해 정확하지 않은 정보를 제공한 사실도 발견했다고 덧붙였다. 그 동안 틱톡은 중국 서버에 EU 이용자 정보를 저장하지 않았다고 주장해 왔다. 하지만 틱톡은 이달 들어 “지난 2월 일부 EU 이용자의 개인 정보가 중국 서버에 저장돼 있었던 사실을 알게 됐다”고 보고했다. 아일랜드 DPC는 틱톡의 이 같은 대응도 심각하게 보고 있다고 밝혔다. 이에 따라 어떤 추가 규제 조치를 취할 지 여부에 대해 검토하고 있다고 덧붙였다.

2025.05.03 07:30김익현

"GDPR 장벽 넘었다"...메타, EU 사용자 공개 콘텐츠로 AI 학습

메타가 유럽 사용자 데이터로 인공지능(AI) 학습을 본격화해 유럽 각국 언어와 문화, 지역 특성을 반영한 AI 고도화를 추진한다. 메타는 유럽연합(EU) 내 성인 사용자가 페이스북, 인스타그램 등에 올린 게시물과 댓글 등 공개 콘텐츠를 활용해 생성형 AI 모델을 학습한다고 15일 공식 블로그에서 밝혔다. EU가 제공 중인 메타 AI 서비스에 대한 질문과 쿼리도 학습 자료로 수집할 방침이다. 이번 조치는 지난달 메타 AI 서비스를 EU에 출시한 후, 지역 맞춤형 AI 성능 향상을 위한 후속 절차다. 메타는 이번 주부터 EU 사용자에게 앱 내 알림과 이메일을 통해 데이터 활용 방침을 알릴 예정이다. 이에 거부할 수 있는 선택권도 제공한다. 학습 대상에서 개인 간 메시지와 18세 미만 미성년자 공개 콘텐츠는 제외다. 메타는 "AI 서비스가 유럽 사용자에게 적합한 방식으로 동작하도록 하기 위해 지역 언어와 방언, 유머, 표현 방식 등 다층적인 문화적 요소를 이해하는 능력을 키우는 것이 중요하다"고 설명했다. 그러면서 "텍스트뿐 아니라 음성, 이미지, 영상 등 다양한 형태의 데이터를 처리할 수 있는 멀티모달 AI의 발전이 목표"라고 덧붙였다. 앞서 EU 규제 당국은 일반개인정보보호법(GDPR)상 '개인정보 처리 정당성'과 '이용자 권리 보호' 요건이 불분명하다는 이유로 메타의 EU 사용자 데이터 수집을 금지했다. 2023년 말 EU 규제 기관의 해석이 나오기 전까지 법적 리스크를 피하기 위해 데이터 수집이 잠정 중단됐다. 지난해 12월 유럽데이터보호이사회(EDPB)가 관련 법적 요건을 충족했다는 의견을 낸 후 아일랜드 데이터보호위원회(IDPC)와 협의를 이어오고 있다. 메타는 "우리는 AI를 유럽에 제공하는 데 그치지 않고, 유럽을 위해 설계된 AI를 만들 책임이 있다"며 "앞으로도 유럽 사용자가 생성형 AI의 혜택을 충분히 누릴 수 있도록 노력하겠다"고 밝혔다.

2025.04.15 09:49김미정

링크드인, AI 훈련에 데이터 무단 수집 '논란'

링크드인이 인공지능(AI) 모델 훈련을 위해 사용자 데이터를 수집하고 활용하면서도 이에 대한 명확한 사전 동의 절차를 거치지 않았다는 의혹이 제기됐다. 19일 테크크런치에 따르면 링크드인은 최근 사용자 데이터를 AI 훈련에 활용하는 정책을 업데이트했다. 하지만 이와 관련한 공지가 충분하지 않아 많은 사용자들이 자신의 데이터가 AI 모델 훈련에 활용된다는 사실을 알지 못한 채 약관에 동의한 것으로 알려졌다. 이번 업데이트로 인해 피해를 본 것은 주로 미국 사용자들이다. 환경설정을 통해 'AI 훈련 사용 안함(Opt-out)'을 고를 선택권이 주어졌지만 약관의 업데이트에 대해 아무런 고지를 받지 못했기 때문이다. 이와 반대로 유럽 지역의 사용자들은 일반정보보호규정(GDPR)의 보호를 받아 피해를 입지 않았다. 현재 링크드인은 수집된 데이터를 서비스 내의 콘텐츠 추천 및 글쓰기 제안 등 다양한 생성 AI를 위해 활용하고 있다. 또 모회사인 마이크로소프트 등 외부 기업의 AI 모델 훈련에도 데이터를 제공하는 것으로 알려졌다. 링크드인은 AI 모델 훈련에 사용되는 데이터가 개인정보 보호 기법을 통해 가명화되거나 삭제된다고 주장하고 있다. 그럼에도 불구하고 구체적인 보호 조치의 범위와 방식에 대해선 명확한 설명이 없어 사용자들의 불안이 계속되고 있다. 영국 디지털 권리 보호 시민단체 오픈 라이츠 그룹(Open Rights Group)의 마리아노 델리 산티 법률정책 책임자는 "사용자가 모든 온라인 회사를 감시하고 추적할 수는 없다"며 "이번 사태는 현재의 데이터 보호 체계가 우리의 데이터 권리를 보호하기에는 불충분하다는 점을 보여준다"고 밝혔다.

2024.09.19 09:23조이환

EU, 구글 AI '개인정보 보호' 규정 준수 여부 조사

유럽연합(EU) 규제당국이 구글 인공지능(AI) 모델 개발 과정에 대한 조사에 착수했다. 구글이 AI 학습 과정에서 EU의 개인정보 보호 규정을 준수했는지 확인이 필요하다는 이유에서다. 13일 해커뉴스 등 외신에 따르면, 아일랜드 데이터 보호 위원회(DPC)는 구글 'PaLM 2' 개발에 대한 법적 조사를 시작한다고 밝혔다. 구글이 PaLM 2를 학습시키며 유럽 이용자의 개인 데이터를 처리할 때, EU 일반개인정보보호법(GDPR)을 준수했는지 확인하겠다는 것이다. GDPR은 기업이 이용자의 데이터를 사용할 때 동의를 얻을 것을 규정하고 있다. 또 데이터 사용으로 이용자의 권리를 침해한 경우 72시간 내에 규제기관에 알릴 의무를 부여하고 있다. GDPR을 위반한 기업은 글로벌 매출액의 4% 혹은 2천만 유로(약 295억 3천260만원) 중 더 높은 금액을 벌금으로 내야 한다. 구글이 지난해 5월 공개한 대형언어모델(LLM) PaLM 2는 기존 모델 'PaLM'의 새로운 버전이다. 상식적인 추론, 수학, 논리 등이 가능하다. 100개 이상의 언어를 학습해 이전 모델보다 다국어 작업에 능하다. 구글의 유럽 본사는 아일랜드에 위치한다. 이에 따라 DPC가 EU 당국을 도와 개인정보 보호 관련 주요 규제기관 역할을 맡고 있다. DPC는 "AI 시스템을 개발할 때 데이터 처리가 높은 위험으로 이어질 수 있다"면서 "개인의 기본적 권리와 자유가 보호되도록 하기 위해서는 조사가 필수적"이라고 밝혔다. 구글 대변인은 "우리는 GDPR에 따른 의무를 진지하게 받아들인다"며 "DPC에 건설적으로 협조해 질의에 답할 것"이라고 답했다. EU 규제당국은 개인정보 처리와 관련해 빅테크 기업에 대한 감시를 강화하고 있다. 앞서 DPC는 지난해 8월 X의 AI 스타트업 xAI가 유럽 사용자로부터 수집한 개인 데이터를 사전 동의 없이 AI 챗봇 'Grok' 개발에 사용했다며 아일랜드 법원에 소송을 제기했다. X는 그 다음날 Grok 학습에 개인 데이터를 무단 사용하지 않기로 합의했다.

2024.09.13 09:35조수민

[현장] "아동·청소년, 정보 자기결정권 필요…연령대 고려한 법 절실"

"아동·청소년은 정보 자기결정권을 가져야 합니다. 정부는 이들이 정보 권리와 보호 원칙을 실현할 수 있도록 적극 지원해야 합니다. 유럽연합(EU) 등 해외처럼 연령대를 고려한 유연한 법 구축이 절실합니다." 서울대 나종연 소비자학과 교수는 21일 개인정보보호위원회가 개최한 '제4차 2024 개인정보 미래포럼'에서 아동과 청소년 개인정보보호를 위한 정부 역할을 이같이 주장했다. 나종연 교수는 이날 포럼에서 정부가 아동과 청소년이 정보 주체 역할을 확립할 수 있도록 지원해야 한다고 강조했다. 이를 위해 개인정보위와 나 교수를 비롯한 산학연 관계자들은 아동 청소년 대상 개인정보보호 정책 마련에 적극 나서고 있다. 나 교수는 "정책을 디테일하게 만드는 것도 중요하다"면서도 "하지만 해당 정책이 아동·청소년 정보 자기결정권 실현을 돕는지 파악하는 게 급선무"라고 말했다. 나 교수는 정책 마련 과정에서 청소년의 특수성을 고려해야 한다고 주장했다. 청소년은 아동과 성인 사이에 위치한 특수성을 갖춘 연령대라서다. 이에 청소년 범위를 새로 설정하고 아동과 청소년, 성인으로 카테고리를 분류해 개인정보보호 정책을 세워야 할 것이라고 말했다. 나 교수는 아동·청소년 정보보호법 투명성도 필요하다고 봤다. 그는 "아동과 청소년은 법 용어에 미숙하다"며 "아무리 유용한 개인정보보호여도 법령이나 용어가 어려우면 소용없다"고 이유를 밝혔다. 이어 "정보를 이해하기 쉽고 투명하게 전달함으로써 아동과 청소년의 정보결정권 역할을 강화해야 한다"고 덧붙였다. 이날 포럼에선 해외에서 아동과 청소년 연령을 유연하게 두는 사례도 소개됐다. 현재 EU는 일반정보보호규정(GDPR)상 회원국 제도에 따라 청소년 연령 범위를 만 14~18세 미만으로 각각 설정한 상태다. 이를 통해 각국 환경에 따라 상황과 연령대에 맞는 법으로 정보 자기결정권을 누릴 수 있는 셈이다. 나 교수는 "정부는 아동과 청소년이 정보 주체로서 권리와 보호 원칙을 확립할 수 있도록 도와야 한다"며 "이를 추진할 수 있는 방향을 산학연이 적극 제시할 것"이라고 말했다.

2024.08.21 16:40김미정

머스크의 'X', AI 훈련에 사용자 데이터 무단 사용

일론 머스크의 소셜미디어 엑스(X)가 사전 동의 없이 사용자 게시물을 인공지능(AI) 훈련에 사용해 유럽 데이터 규제당국의 조사를 받고 있다. 28일 가디언에 따르면 영국·아일랜드 데이터 규제당국은 X 유저 게시물이 AI 챗봇 '그록(Grok)'의 훈련에 자동으로 사용된다고 지적했다. 이 설정은 기본으로 활성화 돼 있으며 웹 사이트에서만 해제할 수 있다. 영국 정보위원회(ICO)는 X가 사용자 데이터를 AI 훈련에 사용하면서도 명확한 동의를 받지 않는 점을 문제 삼고 있다. 위원회는 현재 이와 관련해 X 플랫폼에 문의하는 동시에 독자적으로 조사를 진행 중이다. 또 아일랜드 데이터 보호 위원회(DPC)는 X와 이미 데이터 수집 및 AI 모델에 대해 논의하던 와중에 터진 이번 사안에 대해 놀라움을 표명하며 추가 대응을 준비 중이라고 밝혔다. 영국 일반 데이터 보호 규정(GDPR)에 따르면 '미리 체크된 박스' 또는 '기본 동의' 방식을 통한 데이터 수집은 불법이다. X는 이러한 규정을 위반한 것으로 보인다. 영국 정보위원회 대변인은 "사용자 데이터를 활용해 AI 모델을 훈련하는 플랫폼은 투명성을 유지해야 한다"며 "데이터 사용 전에 관련 사실을 사용자에게 고지하고 이들이 동의여부를 적극적으로 선택하게끔 간단한 절차를 제공해야 한다"고 강조했다.

2024.07.28 11:05조이환

글로벌 진출 확대하는 유니온커뮤니티, GDPR 준수 선언

유니온커뮤니티(대표 신요식)가 글로벌 시장 확대를 위해 개인정보보호를 강화한다. 유니온커뮤니티는 유럽 일반개인정보보호법(GDPR)을 준수할 것이라고 28일 밝혔다. 이번 GDPR 선언은 개인정보보호 보호 요구수준이 높아지는 글로벌 시장의 진출 가능성을 높이기 위한 전략의 일환이다. 신요식 유니온커뮤니티 대표이사는 “ISO 인증 획득과 GDPR 준수를 통해 개인정보를 관리 및 보호하고 있는 안정성과 신뢰성을 입증할 수 있게 되었다”며 “글로벌 시장에서 요구하는 개인정보보호 수준에 부합하는 더욱 안전한 솔루션 제공을 위해 적극적인 투자와 노력을 이어 나가겠다고”고 말했다.

2024.02.28 10:54남혁우