미국에 이어 제재 방안 확정
유럽과도 제재 위한 협력 나설 방침 밝혀
지난해 부과한 잠정 벌금보다는 줄어
안면 인식 기술의 개인정보 보호 위반 논란이 있는 기업 클리어뷰 AI에 대해 영국 정부가 제재를 최종결정했다. 미국 IT 매체 테크크런치 등은 24일 영국의 데이터 보호 규제 당국인 정보위원회(ICO)가 클리어뷰 AI에 개인정보보호법 위반과 관련해 750만 파운드(120억 원)의 벌금을 부과했다고 보도했다.
ICO는 또 클리어뷰가 인터넷에 공개된 영국 거주자의 개인 정보를 입수해 사용하는 것을 금지하고 시스템에서 기존의 영국 거주자 정보를 삭제하도록 확정하는 명령도 내렸다.
이 회사는 소셜미디어 서비스와 같은 공공 인터넷에서 데이터를 수집해 200억 개가 넘는 안면 데이터베이스를 축적하고 AI 기반 ID 매칭 서비스를 지원하는 온라인 데이터베이스를 만들었다. 이 데이터베이스는 경찰과 같은 단체에 판매됐다. 문제는 클리어뷰가 개인들에게 사진을 사용하는 데 대해 동의를 구한 적이 없다는 것이다. 클리어뷰는 많은 국가에서 개인정보보호 법률을 위반하고 있는 것으로 밝혀졌다.
영국의 정보 위원인 존 에드워즈는 이날 발표에서 “클리어뷰 AI가 다양한 웹사이트 및 소셜미디어 플랫폼을 통해 영국을 포함한 전 세계 사람들의 다양한 이미지를 수집하여 200억 개 이상의 이미지로 구성된 데이터베이스를 만들어 왔다”며 “이 회사는 이러한 사람들을 식별할 수 있을 뿐만 아니라 이들의 행동을 효과적으로 모니터링하고 이를 상용 서비스로 제공하는 데, 이는 용납할 수 없는 일이다. 우리가 영국 사람들을 보호하기 위해 회사에 벌금을 부과하고 명령을 내린 것은 이 때문이다”라고 밝혔다.
그는 “사람들은 자신의 데이터가 사용되는 전 세계 어느 곳에서든 개인 정보가 존중되기를 기대한다. 이것이 바로 글로벌 기업들에 대한 국제적인 규제가 필요한 이유로 전 세계 기관들과 협력해 이러한 조치를 취하고 침해 행위로부터 사람들을 보호할 수 있었다”며 “이러한 국제적인 협력은 2022년 사람들의 개인정보 보호를 위해 필수적이며 이는 이 사례의 경우 호주의 기관과 협력한 것처럼 다른 국가의 규제 당국과 협력하는 것을 의미한다. 그리고 이는 유럽의 규제 당국과 협력하는 것을 의미하며 이번 주 브뤼셀에서 이들을 만나 전 세계적으로 발생하는 개인정보 침해 문제를 해결하기 위해 협력할 것”이라고 밝혔다.
앞서 호주는 지난해 11월 클리어뷰사의 생체정보 수집 중단 및 자료 파기 명령을 내린 바 있다. 영국 규제 당국은 보도자료를 통해 “영국 인터넷 및 소셜미디어 이용자의 수가 매우 많은 상황에서 클리어뷰 AI의 데이터베이스가 영국 거주자로부터 수집한 상당한 양의 데이터를 포함할 가능성이 높다”며 “클리어뷰 AI는 영국 기업에 더 이상 서비스를 제공하지 않지만 다른 국가에 고객이 있기 때문에 영국 거주자의 개인 데이터를 계속 사용하고 있다”고 설명했다.
영국 정보위원회(ICO)는 지난해 클리어뷰에 영국 거주민의 데이터 처리를 중단하고 보유한 데이터를 삭제하도록 명령하면서 벌금을 부과하겠다고 경고한 가운데 이날 ICO의 공식 발표를 통해 클리어뷰가 일련의 법적 요구 사항을 위반했다는 예비 조사 결과와 제재 방안이 확정됐다.
특히 ICO는 클리어뷰가 사람들의 정보를 수집할 합법적인 근거를 마련하지 못했다고 밝혔다. 또 개인정보를 공정하고 투명하게 사용하는데 실패하면서 개인 데이터를 클리어뷰가 사용하는 목적으로 활용된다는 사실을 인지하지 못하거나 이를 합리적으로 기대하지 못할 수 있으며, 데이터가 무기한 보존되는 것을 방지하기 위한 프로세스가 수립되지 않았다고 덧붙였다.
클리어뷰는 또 생체 인식 데이터에 요구되는 높은 데이터 보호 표준을 충족하지 못했으며 일반인이 데이터베이스에 있는지 질의하는 경우 사진을 포함한 추가 개인 정보를 요청해 데이터 액세스 권한을 침해하기도 했다고 ICO는 지적했다. ICO는 “이는 데이터 수집 및 사용에 반대하는 개인들에게 저해 요소가 됐을 수 있다”라고 밝혔다.
이번 벌금 수준은 지난해 잠정적으로 발표한 1700만 파운드(270억 원)에 비해 낮아졌다. ICO는 벌금의 축소가 회사의 소명과 벌금 부과 수준을 결정하는 규제 집행 정책에 따른 결과라고 설명했다.
클리어뷰가 벌금 납부를 거부하는 경우 제재의 실효성이 없게 될 수도 있을 전망이다. 국제 규제 당국은 외국 법인이 협조하지 않고 명령이 적용될 수 있는 현지 대리인이 없는 경우 해당 법인에 대해 개인정보 보호 명령을 집행할 수 있는 수단이 제한돼 있다. 그러나 이러한 제재가 클리어뷰의 해외 확장 가능성은 제한할 수 있다는 예상이 나온다. 현지 사무소가 있는 경우 해당 시장의 규제 기관에 직접 대응할 책임이 있기 때문이다.
클리어뷰 대리인인 미 법률 회사 제너 앤 블록의 파트너 리 울로스키는 성명에서 “ICO가 클리어뷰 AI에 대한 벌금을 줄인 것은 높이 평가하지만 벌금을 부과하기로 결정한 것은 법적으로 문제라는 것이 우리의 입장”이라며 “클리어뷰 AI는 ICO의 관할 대상이 아니고 현재 클리어뷰 AI는 영국에서 사업을 수행하지 않고 있다”고 밝혔다.
클리어뷰에 대한 제재는 각국에서 이뤄지고 있다. 프랑스와 캐나다뿐만 아니라 이탈리아의 데이터 보호 규제 기관은 지난 3월 클리어뷰에 2000만 유로(270억원)의 벌금을 부과한 바 있다.
미국에서 클리어뷰는 이달 초 동의 없이 개인 생체인식 데이터를 사용하는 것을 금지하는 일리노이 법을 위반한 혐의로 소송을 제기한 시민단체 미국시민자유주의연대와 민간 기업 및 개인에게 얼굴 인식 데이터베이스를 판매하지 않기로 합의를 하기도 했다.
합의에서 클리어뷰는 또 일리노이주 거주자들이 얼굴 인식 검색 결과에서 자신의 사진을 차단할 수 있도록 하는 시스템을 운영하고 경찰관이 해당 부서에서 소프트웨어 테스트 승인을 받지 못할 경우 경찰에게 무료 평가판을 제공하는 관행을 중단하기로 했다. 클리어뷰는 수집한 셀카 데이터베이스에 대한 액세스를 수익화하는 대신 알고리즘을 미국 내 사기업에 판매해 대응할 계획이다.
AI타임스 이한선 객원 기자 griffin12@gmail.com
무단전재 및 재배포 금지
기사제보 및 보도자료 news@aitimes.com