1. 생성형 AI 이용에 따른 개인정보 침해

최근 생성형 AI의 활용이 활발해지면서 AI를 기반으로 하는 다양한 서비스가 도입되고 있으며, 이에 따른 과도한 개인정보 수집에 대한 우려도 커지고 있다. 특히, 해외에서 제공하는 생성형 AI에 개인정보를 입력함으로 인해 정보가 국외에서 무단으로 활용될 수 있다는 문제가 제기되고 있다.

그렇다면, 이와 같이 개인정보가 국외로 이전되는 경우에 대한 별도의 규제가 있을까?

개인정보를 수집·이용하는 경우나 제3자에게 제공하는 경우에 동의를 받아야 한다는 점은 누구나 잘 알고 있는 내용이니, 이에 더해서 국내가 아닌 국외로 개인정보가 넘어가기 때문에 준수해야 하는 규제가 있는지가 질문의 핵심이다.

2. 개인정보 국외 이전에 대한 규제

해답은 개인정보보호법 안에 있다. 개인정보보호법에서는 개인정보를 국외로 이전하는 경우 별도의 동의를 받도록 하고 있다. 이는 우리나라와는 개인정보 보호에 대한 법적 체계가 다른 해외 국가로 개인정보가 이전됨으로 인해 개인정보의 침해 위험성이 증가한다고 보아 추가적으로 동의를 받도록 한 것이므로 수집·이용 동의나 제3자 제공 동의와는 다른 새로운 유형의 동의이다.

예를 들어, 고객의 개인정보를 보유하고 있던 A회사가 해외에 있는 B회사로 개인정보를 제공하고자 한다면, 개인정보의 제3자 제공 동의에 더하여 별도의 개인정보 국외 이전 동의를 받아야 한다.

3. 개인정보 국외 이전 중지명령

또한, 개인정보보호위원회는 이전되는 개인정보에 대한 안전성 확보조치가 미흡하거나 개인정보를 이전받는 자가 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 있는 경우에는 개인정보 국외 이전의 중지를 명할 수 있다.

그렇다면 국외에서 운영되는 생성형 AI를 이용해 한국인의 개인정보가 국외에 저장되는 경우에도 개인정보보호법상의 국외 이전 규정의 보호를 받을 수 있 을까?

예를 들어, 딥시크를 사용할 경우 중국에 위치한 서버에 개인정보가 전송될 수 있는데, 이 정보가 무단으로 사용되는 경우를 발견하게 된다면 국외 이전의 중지를 명할 수 있을까?

4. 현행법상 딥시크 이용 규제 곤란

아마도 현행법 아래에서는 어려울 가능성이 크다. 개인정보보호법의 국외 이전 규정을 자세히 살펴보면 개인정보가 국외로 이전(제공, 처리위탁)되는 경우 동의를 받도록 하고 있으며, 해외로 넘어간 정보로 인해 정보주체에게 피해가 발생하는 등의 경우 개인정보처리자에게 정보의 국외 이전 중지를 명령할 수 있다고 규정하고 있다.

즉, 정보주체의 개인정보를 수집하여 보관하고 있던 회사(개인정보처리자)가 해당 정보를 국외로 이전하는 경우 국외 이전 규정이 적용되는 것이지 해외에 있는 개인정보처리자가 직접 한국인의 개인정보를 수집하는 경우에는 ‘이전’이라는 행위자체가 발생하지 않으므로 애초에 국외 이전 규정의 적용대상에 해당하지 않는다. 따라서 국외 이전 중지 규정의 적용대상에도 해당하지 않게 된다.

그런데, 이러한 현재의 법 체계는 일반인의 기준으로는 당황스러울 수 있는 구조이다. 개인정보가 국외로 제공되든 국외에서 수집되든 개인정보가 국외에서 처리된다는 위험성과 이전중지의 필요성에는 차이가 있다고 보기 어렵기 때문이다.

5. 국외 이전 법 규정 재정비 필요

따라서 해외로 이전되는 개인정보를 보다 안전하게 보호하기 위해서는 현재의 국외 이전 규정을 재정비할 필요성이 있다고 생각된다. 개인정보가 국외로 넘어가는 형태의 구분없이 동일한 규제가 적용되도록 하는 것을 고민해볼 필요가 있다.

특히, 국외 이전 중지명령은 국민의 개인정보가 해외에서 무단으로 활용되는 것을 막을 수 있는 최후의 수단이다. 따라서, 개인정보 보호법상에 정보가 넘어가는 형태에 상관없이 국외에서 처리되는 개인정보의 처리를 중지할 수 있다는 점을 명확히 규정하는 것을 고민해봐야 할 것이다.

-출처-

2025. 3. 1. 법률신문, 정세진 변호사(법무법인 율촌)

technology, circuit, board, head, light, burst, artificial intelligence, ai, networking, digital, computer, internet, business, connected, communication, artificial intelligence, artificial intelligence, artificial intelligence, artificial intelligence, artificial intelligence — 생성형인공지능

▶ 개인정보보호법 관련 규정

제28조의8(개인정보의 국외 이전)

① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.

1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우

2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우

3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우

가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우

나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우

4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 시기 및 방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.

④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.

⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

https://blog.naver.com/duckhee29

[2023. 9.시행된 개정법]

Post Views: 70

★★ 딥시크(Deep Seek)가 내 정보 무단사용하면 어떤 문제가 생길까? ★★