개인정보 보호위원회

개인정보위, 딥시크 서비스 사전 실태점검 결과 발표

∎(시정권고) 개인정보 국외이전시 합법근거 충실 구비 및 이미 이전한 개인정보 즉각 파기, 한국어 처리방침 공개‧구체화로 서비스 투명성 지속 제고

∎(개선권고) AI(인공지능) 관련 개인정보위가 권고하는 강화된 보호조치 준수, 처리시스템 전반 점검 및 안전조치수준 향상

∎국내대리인 및 사후점검을 통해 이행 여부 관리 계획

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 4월 23일(수) 제9회 전체회의를 열고, Hangzhou DeepSeek Artificial Intelligence Co., Ltd.(이하 ‘딥시크’)에 대한 사전 실태점검 결과를 심의‧의결하였다.

  □ 그간의 경과

  올해 1월 딥시크 서비스 출시 직후 국내‧외의 개인정보 침해 우려가 제기됨에 따라 개인정보위는 곧바로 딥시크에 개인정보 수집·처리 방식에 관한 질의서를 보냄(1.31.)과 동시에, 한국인터넷진흥원(원장 이상중)과 기술 분석 등을 진행하여 다른 사업자와의 통신 기능 및 개인정보 처리방침(이하 ‘처리방침’)상 미흡한 부분을 일부 확인하였다.

  이에 개인정보위는 딥시크에 대한 사전 실태점검*에 착수했으며, 그 과정에서 딥시크는 개인정보 보호법(이하 ‘보호법’)에 대한 고려가 일부 소홀했음을 인정하고 개인정보위에 적극 협력하겠다는 의사를 표명하는 한편, 국내 앱 마켓에서 신규 다운로드를 잠정 중단(2.15.)한 바 있다.

   * 사전 실태점검 : 개인정보보호의 취약점을 선제적으로 점검하여 침해위험을 사전에 예방하기 위해 도입된 제도로 법위반사항 발견시 시정을 권고(보호법 제63조의2) 

  개인정보위는 사전 실태점검 결과 다음과 같은 사항을 확인하였다.

  □ 사전 실태점검 결과

  ① 처리방침 전반 관련

  (당초) 딥시크는 ’25. 1. 15. 한국 앱 마켓에 출시하면서 중국어, 영어로만 처리방침을 공개하였고, 해당 처리방침에서도 개인정보 파기 절차 및 방법, 안전조치, 개인정보 보호책임자의 성명‧연락처 등 우리 보호법이 요구하는 사항을 누락하였으며, 키 입력 패턴‧리듬과 같은 광범위한 정보를 수집한다고 명시하고 있었다.

  (점검과정) 딥시크는 보호법상 법정 사항을 포함해 한국어로 된 처리방침과 별도의 대한민국 관할조항(처리법적 근거, 보유기간, 파기절차 및 방법, 개인정보 보호책임자 등)을 추가해 제출(3.28.)*하였다. 아울러 문제가 된 키 입력 패턴은 서비스 준비 당시 수집할 정보가 확정되지 않은 상태에서 기재한 것으로, 실제 수집한 사실은 없으며 정확한 수집 항목으로 처리방침을 정비했다고 알려와 확인하였다.

   * 한국어 처리방침 및 관할조항 전문은 딥시크 서비스 재개 시점에 웹‧앱을 통해 공개할 예정

  ② 개인정보의 국외 이전 관련

  (당초) 딥시크는 개인정보를 중국 및 미국 소재 다수 회사로 이전하면서도(서비스 개선, 보안, 고객 서비스 대응 등 목적), 서비스 개시 시점에 이용자로부터 국외 이전에 대한 동의를 받거나 처리방침에 공개하지 않고 있었다. 특히 딥시크는 기기 정보, 네트워크 정보, 앱 정보 외 이용자가 AI(인공지능) 프롬프트에 입력한 내용도 Beijing Volcano Engine Technology Co., Ltd.(이하 ‘볼케이노’)에 전송하고 있었다.

  (점검과정) 딥시크는 국외이전(위탁) 관련 법정사항을 한국어 처리방침에 포함하여 제출하였다. 볼케이노로의 전송에 대해서는 보안 취약점 및 이용자 인터페이스(UI, User Interface)와 경험(UX, User Experience) 등의 개선을 위해 클라우드 서비스를 이용한 것이라고 설명*하였고, 이용자가 AI(인공지능) 프롬프트에 입력한 내용의 이전은 불필요하다는 위원회의 지적에 따라 신규 이전을 차단(4.10.~)했다고 알려와 확인하였다.

   * 볼케이노는 Bytedance의 계열사이나, 별도 법인으로 Bytedance와는 무관하고, 처리위탁 정보는 서비스 운영‧개선 외 마케팅 등의 목적으로는 이용하지 않고 있으며, 관련 법령상 요건과 적법절차를 준수해 개인정보를 철저히 보호하겠다고 소명 

  ③ AI(인공지능) 개발‧학습 관련

  (당초) 딥시크는 타 AI(인공지능) 사업자와 유사하게 공개된 데이터(오픈소스 데이터 및 웹 수집 데이터 등)와 이용자가 프롬프트에 입력한 내용을 AI(인공지능) 개발‧학습에 이용하고 있었으나, AI(인공지능) 프롬프트 입력 내용의 경우 이용자가 AI(인공지능) 개발‧학습 활용에 거부할 수 있는 기능이 없었고, 처리방침‧이용약관에도 ‘서비스 제공‧개선’으로만 표시해 충분한 설명 또는 고지가 있었다고 볼 수 없었다.

  (점검과정) 딥시크는 AI(인공지능) 프롬프트 입력 내용의 AI(인공지능) 개발‧학습 활용과 관련해 이용자가 거부할 수 있는 기능(opt-out)을 마련(3.17.~)했다고 알려와 확인하였으며, 특히 개인정보위가 지난해(’24.3월) 주요 AI(인공지능) 서비스 사전 실태점검 후 권고한 ‘강화된 보호조치’*를 모두 준수하기로 하였다.

   * 사전학습시 한국인터넷진흥원에서 제공하는 개인정보(주민등록번호, 휴대전화번호, 계좌번호 등) 노출 페이지(URL)에 대한 삭제‧차단 반영, 이용자 입력 데이터의 사용 목적을 분명히 알리고 사용 여부에 대한 선택권 보장, AI(인공지능) 관련 개인정보 처리 흐름 전반을 구체적 안내 등

  ④ 기타 : 아동 개인정보 및 안전조치 관련

  딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다면서도 서비스 가입시 아동 여부를 확인하는 절차가 없었으나, 점검과정에서 연령 확인 절차 등을 마련하였다. 또 일부 확인된 보안 취약점(개발서버 데이터베이스 접근 제한 소홀, 디렉터리 리스팅 방지 미흡 등)에 대해서는 점검과정에서 조치가 완료된 것을 확인하였다.

  □ 처분 및 향후계획

  (처분) 개인정보위는 이상의 점검 결과를 바탕으로 딥시크에 개인정보 국외 이전시 합법근거를 충실히 구비하고 이미 볼케이노로 이전한 이용자의 프롬프트 입력 내용을 즉각 파기할 것과 한국어 처리방침 공개 등 서비스의 투명성을 지속 확보할 것을 시정권고하기로 하였다.

  또한 ①지난해 주요 AI(인공지능) 서비스 사전 실태점검 결과를 바탕으로 마련된 ‘강화된 개인정보 보호조치 방안’ 준수, ②아동 개인정보의 수집 여부 확인 및 파기, ③개인정보 처리시스템 전반의 안전조치 향상, ④국내대리인 지정을 개선권고하기로 하였다.

  (향후계획) 딥시크가 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되며(보호법 제63조의2), 시정 및 개선 권고에 대한 이행 결과는 60일 이내에 개인정보위에 보고하여야 한다. 향후 개인정보위는 시정 및 개선 권고 사항에 대한 딥시크의 이행 여부를 최소 2회 이상 점검하며 지속 관리해 나갈 계획이다. 

  한편, 개인정보위는 딥시크 실태점검을 계기로 지난해 발간한 ｢해외사업자 대상 개인정보보호법 적용 안내서｣의 핵심사항을 체크리스트 형태로 함께 제공하기로 하였다. 해외사업자는 이를 활용해 기본적 사항을 미리 점검함으로써 한국 정보주체의 권리를 충실히 보장하고 개인정보를 안전하게 보호하며 서비스를 출시‧운영할 것이 요구된다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 고명석(02-2100-3119), 도혜원(02-2100-3117)