지난해 11월 공개된 챗GPT의 일일 사용자 수는 출시 4일 만에 100만 명을 돌파했으며 2개월 만에 월간 활성 사용자 수(MAU) 1억 명을 기록했다. 사용자 100만 명을 확보하는 데 넷플릭스는 3.5년, 페이스북은 10개월이 걸렸고, MAU 1억 명에 도달하는 데 인스타그램이 2년6개월, 틱톡이 9개월 걸렸다는 점을 고려할 때 챗GPT의 열풍이 얼마나 대단한지 알 수 있다. 미국 대학생들은 이미 챗GPT가 작성한 리포트나 에세이를 제출하고 있다. 챗GPT는 미국 펜실베이니아대 와튼스쿨 MBA의 필수 교과목인 ‘운영관리’ 기말시험에 응시해 B 학점을 받고 미네소타주립대 로스쿨 4개 과정 시험에 응시해 평균 등급 C+로 모두 통과했다. 또한 미국의사면허시험(USMLE)을 무난히 통과했다는 연구 결과도 나왔다.
이런 파급력과 영향력을 체감한 국내외 기업들은 앞다퉈 챗GPT와 같은 챗봇이나 다른 생성형 AI 등에 관한 성과나 투자 계획을 발표하고 있다. 이렇게 생성형 AI를 적극 개발하거나 도입하려는 기업은 어떤 법·제도적 쟁점을 유념해야 할까?
인공지능 관련 법·제도적 리스크1. 개인정보 침해 문제중국의 동영상 공유 플랫폼 틱톡의 모회사 바이트댄스는 개인의 생체 정보 무단 수집을 이유로 미국에서 집단 소송을 당했다. 1년여간의 법정 공방 끝에 9200만 달러를 지급하기로 합의했다. 메타 역시 2020년 생체 정보 무단 수집을 이유로 집단 소송을 당해 합의금 5억5000만 달러를 지급하는 등 수많은 송사에 휘말린 상태이며 최근에는 개인정보 불법 수집을 이유로 영국에서도 수조 원 규모의 집단 소송을 당한 상태다. 구글이 운영하는 유튜브 역시 부모 동의 없이 아동 관련 데이터를 무단으로 수집해 2019년 9월 미국 연방거래위원회에 1억3600만 달러, 뉴욕주에 3400만 달러를 지급하기로 합의했다. 우리나라 개인정보보호위원회는 지난해 동의 없는 개인정보 수집 등을 이유로 시정 명령과 함께 구글에 692억 원, 메타에는 308억 원의 과징금을 부과하기로 의결했다.
우리나라에서도 개인정보를 해당 주체의 동의를 받지 않고 수집하거나 이용하면 개인정보보호법 제71조 등에 따라 5년 이하의 징역 또는 5000만 원 이하의 벌금 등 형사 처벌을 받을 수 있고 과징금이나 손해배상 청구를 당할 수 있다. 해외에서도 유럽연합(EU)의 개인정보보호규정(GDPR, General Data Protection Regulation)이나 미국 캘리포니아의 소비자 개인정보보호법(CCPA, California Consumer Privacy Act) 등 관련 법안을 도입하며 개인정보 침해 문제에 대응하고 있다.
AI를 개발하려면 매우 방대한 데이터를 학습시키는 과정이 필수적이다. 이 같은 데이터의 대부분은 사람들에 의해 생성된 것으로 결국 개인을 식별할 수 있는 개인정보가 포함될 확률이 높다. 특히 챗GPT나 바드와 같은 초거대 AI일수록 훨씬 방대한 양의 데이터를 학습하고 활용하기 때문에 그 과정에서 해당 데이터에 포함된 개인정보 침해 문제가 발생할 위험이 더욱 크다. 이미 개발된 AI를 도입하는 기업이라고 해도 이런 위험에서 자유롭지 않다. 챗GPT나 바드 등 이미 상용화된 시스템도 고객이나 사용자들이 해당 시스템을 사용할 때 생성하거나 입력한 데이터를 또다시 학습 데이터로 활용해 고도화하는 형태로 운용되는 경우가 대부분이기 때문이다.
따라서 개발된 AI를 도입하거나 이용하는 기업도 개인정보 침해 등의 이슈가 발생하지 않도록 주의를 기울여야 한다. 개인정보보호법이나 개인정보위원회 지침 등에 위반되지 않도록 이용 약관은 물론 개인정보 수집이나 이용에 관한 동의서 등을 잘 마련하고 이용 고객에게 제공해 날인받는 등의 조치를 마련해야 한다. 특히 관련 서비스가 해외로 진출할 경우 해외에 있는 자국민이 해당 서비스를 이용할 때는 EU의 GDPR 등 해당 국가의 법률이 적용될 수 있다는 점을 인지해야 한다. 그렇지 않으면 앞선 사례처럼 개인정보 침해로 막대한 합의금이나 과징금을 물어 회사의 존립까지 위협당할 수 있다.
