이탈리아가 유럽연합(EU)의 개인 정보 보호 규정을 '챗GPT'가 위반했다고 지적하고 나섰다. 지난해 3월 개인 정보 보호를 이유로 EU 국가 중에서 최초로 챗GPT 접속 차단 조치를 내린 데 이어 두번째다.
로이터는 29일(현지시간) 이탈리아 데이터 보호 당국(DPA)이 오픈AI의 챗GPT가 EU의 개인 정보 보호 규정을 위반했다고 지적한 사실을 보도했다.
이에 따르면 지난해 3월 개인정보 보호를 이유로 자국 내 챗GPT 접속을 차단했던 DPA는 조사를 시작한지 10개월 만에 예비 결론으로 규정 위반 사실을 오픈 AI에 통보한 것이다. 오픈AI는 30일 이내에 조사 결과에 응답해야 한다.
DPA는 AI 플랫폼이 데이터 개인 정보 보호 제도를 준수하는지 평가하는 데 있어 EU에서 가장 적극적으로 활동하는 기관 중 하나다. 이번에는 세부적인 위반 내용을 명시하지 않았으나, 챗GPT가 하나 이상의 잠재적인 데이터 프라이버시 위반을 나타내는 요소가 있다고 결론내린 것으로 알려졌다.
오픈AI의 위반이 확인되면, 2018년 도입된 EU 일반 데이터 보호 규정(GDPR)에 따라 최대 2000만유로(약 288억원) 또는 전 세계 연간 매출의 최대 4%에 해당하는 벌금을 부과할 수 있다.
더불어 DPA는 위반 사항을 바로 잡기 위해 오픈AI에 데이터 처리 방법을 변경하도록 요구하는 명령을 내릴 수도 있다. 이에 응하지 않을 경우 EU에서 서비스를 중단해야 한다.
이탈리아는 지난해 3월 챗GPT 접속을 차단했을 당시에는 오픈AI가 훈련용으로 개인 데이터를 대량 수집하거나 저장하는 것을 정당화할 법적 근거가 없다는 것을 문제삼았다. 또 챗GPT가 제공하는 부정확한 답변이 제대로 관리되고 있지 않다는 점도 지적했다.
당국은 오픈AI에 챗GPT의 데이터 처리 방법 등 정보를 웹사이트에 게시하고, 챗GPT가 부정확하게 생성한 개인 정보를 수정·삭제할 수 있도록 하는 도구를 추가할 것을 서비스 재개 조건으로 내걸었다. 또 미성년자 보호를 위해 이용자 연령 확인 시스템 도입도 요구했다.
오픈AI는 이탈리아 당국의 이런 조건을 반영한 뒤 서비스를 재개할 수 있었다.
그러나 당시 이탈리아는 위반 혐의에 대해 계속 조사할 것이라고 밝혔으며, 이번에 챗GPT가 EU 규정을 위반하고 있다는 예비 결론에 도달한 것이다.
특히 이번 위반에 대해서는 오픈AI가 챗GPT를 훈련하기 위해 EU 사람들의 개인 데이터를 사용해도 된다는 법적인 근거 제시가 관건이 될 것으로 보인다. 오픈AI가 챗GPT 구축을 위해 정보를 수집하고 처리한 수많은 웹 사용자의 동의를 얻으려고 한 적이 없으며 동의를 받는 것도 사실상 불가능하다는 점이 문제다.
따라서 이탈리아가 이를 요구할 경우 원칙적으로는 모델을 철회 또는 파괴하고, 학습 허락을 받은 데이터만으로 새로운 모델을 훈련해야 할 수도 있다.
다만 DPA는 "모델 훈련용 데이터 문제는 문제 사항 중 일부"라고 밝혔다. 정확하게 어떤 조항을 위반한 것인지에 대해서는 확인하지 않았다.
이번 이탈리아의 발표는 최종 결정이 아니다. 오픈AI의 응답을 들은 뒤 최종 결정을 내리는 것이 순서다.
박찬 기자 cpark@aitimes.com
