요약생성
바쁠 때는 리얼라이즈가 내용을 요약해 드려요.
유럽 연합의 데이터 보호 규칙이 OpenAI의 바이럴 챗봇인 ChatGPT에 어떻게 적용되는지 1년 넘게 검토해 온 데이터 보호 태스크포스가 예비 결론을 금요일에 발표했습니다. 가장 중요한 결론은 개인정보 보호 집행 기관으로 구성된 이 작업 그룹이 OpenAI의 처리 방식의 법적 근거와 공정성과 같은 핵심적인 법적 문제에 대해 아직 결론을 내리지 못했다는 것입니다.
이 문제는 중요합니다. 블록의 개인정보 보호 체제를 위반한 혐의가 확인되면 최대 매출액의 4%까지의 벌금이 부과될 수 있기 때문입니다. 감독 기관은 또한 비준수 처리를 중단하도록 명령할 수 있습니다. 따라서 이론적으로 OpenAI는 AI 전용 법률이 부족한 상황에서 (그리고 EU의 경우에도 완전히 시행되기까지는 몇 년이 걸릴 것으로 예상됩니다) 이 지역에서 상당한 규제 위험에 직면해 있습니다.
하지만 EU 데이터 보호 집행 기관이 ChatGPT에 대한 현행 데이터 보호법 적용 방식에 대해 명확한 해석을 내놓지 않으면, OpenAI는 이 기술이 블록의 일반 데이터 보호 규정(GDPR)의 여러 측면을 위반한다는 점에 대한 불만이 점점 증가하고 있음에도 불구하고 기존 방식대로 운영을 계속할 수 있다고 생각할 것입니다.
예를 들어, 폴란드 데이터 보호 당국(DPA)의 이 조사는 챗봇이 개인에 대한 정보를 허위로 만들고 오류를 수정하기를 거부했다는 불만에 따라 시작되었습니다. 오스트리아에서도 유사한 불만이 최근 제기되었습니다.
많은 GDPR 불만, 적은 집행
이론적으로 GDPR은 개인 데이터가 수집되고 처리될 때마다 적용됩니다. OpenAI의 ChatGPT의 기반이 되는 AI 모델인 GPT와 같은 대규모 언어 모델(LLM)은 공개 인터넷에서 데이터를 스크랩하여 모델을 학습하는 과정에서, 사회 미디어 플랫폼에서 사람들의 게시물을 빼내는 등 방대한 규모로 개인 데이터를 처리하고 있습니다.
EU 규정은 또한 DPA에 비준수 처리를 중단하도록 명령할 수 있는 권한을 부여합니다. GDPR 집행 기관이 이 권한을 행사하기로 결정한다면, 이는 ChatGPT를 개발한 AI 대기업이 이 지역에서 운영되는 방식을 형성하는 데 매우 강력한 수단이 될 수 있습니다.
실제로 우리는 작년에 이탈리아의 개인정보 보호 감독 기관이 OpenAI에 대해 ChatGPT의 이탈리아 사용자 데이터 처리를 일시적으로 금지한 것을 보았습니다. GDPR에 포함된 긴급 권한을 사용하여 취해진 이 조치는 AI 대기업이 이탈리아에서 해당 서비스를 일시적으로 중단하도록 이끌었습니다.
ChatGPT는 OpenAI가 DPA의 요구 사항 목록에 대한 응답으로 사용자에게 제공하는 정보와 제어 기능을 변경한 후 이탈리아에서 다시 서비스를 시작했습니다. 하지만 이탈리아에서 진행되고 있는 챗봇에 대한 조사, 특히 OpenAI가 AI 모델을 학습하기 위해 사람들의 데이터를 처리하는 데 대한 법적 근거 주장과 같은 핵심적인 문제는 계속되고 있습니다. 따라서 해당 도구는 EU에서 여전히 법적 혼란 속에 있습니다.
GDPR에 따르면 사람에 대한 데이터를 처리하려는 모든 기관은 해당 작업에 대한 법적 근거를 갖춰야 합니다. 이 규정은 6가지 가능한 근거를 제시하지만, 대부분은 OpenAI의 상황에 적용되지 않습니다. 그리고 이탈리아 DPA는 이미 AI 대기업에 대해 지시했습니다. OpenAI는 AI를 학습하기 위해 사람들의 데이터를 처리하는 데 대한 계약상 필요성을 주장할 수 없습니다. 따라서 OpenAI는 동의 (즉, 사용자에게 데이터 사용 허가를 요청) 또는 광범위한 근거인 정당한 이익(LI)이라는 두 가지 가능한 법적 근거 중 하나만을 선택할 수 있습니다. LI는 균형 테스트를 요구하며, 처리 담당자는 사용자가 처리에 반대할 수 있도록 허용해야 합니다.
이탈리아의 개입 이후 OpenAI는 모델 학습에 사용되는 개인 데이터를 처리하기 위해 LI를 가지고 있다고 주장하는 것으로 보입니다. 그러나 1월에 DPA의 조사에 대한 초안 결정에서 OpenAI가 GDPR을 위반한 것으로 나타났습니다. 초안 결과에 대한 자세한 내용은 공개되지 않았으므로, 당국의 법적 근거에 대한 전체 평가를 아직 확인할 수 없습니다. 불만에 대한 최종 결정은 아직 미결입니다.
ChatGPT의 법적 근거를 위한 정밀한 ‘수정'?
태스크포스 보고서는 이러한 복잡한 법적 근거 문제를 논의하며, ChatGPT는 학습 데이터 수집, 데이터 전처리(필터링 등), 학습 자체, 프롬프트 및 ChatGPT 출력, ChatGPT 프롬프트에 대한 모든 학습을 포함하여 개인 데이터 처리의 모든 단계에 대한 유효한 법적 근거가 필요하다고 지적했습니다.
태스크포스는 나열된 단계 중 처음 세 가지가 사람들의 기본권에 대한 “특별한 위험“을 안고 있다고 주장하며, 웹 스크래핑의 규모와 자동화로 인해 사람들의 삶의 여러 측면을 포괄하는 방대한 양의 개인 데이터가 수집될 수 있다고 강조했습니다. 또한 스크랩된 데이터에는 건강 정보, 성적 취향, 정치적 견해 등 GDPR에서 “특수 범주 데이터“라고 지칭하는 가장 민감한 유형의 개인 데이터가 포함될 수 있으며, 이는 일반 개인 데이터보다 처리를 위한 법적 기준이 더 높다고 언급했습니다.
특수 범주 데이터에 대해 태스크포스는 공개된 데이터라고 해서 “명백하게“ 공개된 것으로 간주할 수 없다고 주장했습니다. 이는 이러한 유형의 데이터를 처리하기 위해 명시적인 동의를 얻어야 한다는 GDPR 요구 사항에서 벗어나는 예외 조항을 적용하기 위한 것입니다. (보고서는 “GDPR 제9조(2)(e)에 명시된 예외 조항에 의존하려면, 데이터 주체가 해당 개인 데이터를 대중에게 공개할 의도가 있었는지, 명시적이고 명확한 긍정적 조치를 통해 확인해야 합니다“라고 적고 있습니다.)
OpenAI가 일반적으로 LI를 법적 근거로 삼으려면, OpenAI는 데이터 처리가 필요하다는 것을 입증해야 합니다. 또한 처리 범위는 이러한 필요에 필요한 최소한으로 제한되어야 하며, 균형 테스트를 통해 처리에 대한 합법적인 이익과 데이터 주체(즉, 데이터가 관련된 사람들)의 권리와 자유를 비교해야 합니다.
이와 관련하여 태스크포스는 “적절한 보호 조치“ (예: “기술적 조치“, “정확한 수집 기준“ 정의 또는 특정 데이터 범주 또는 출처(예: 소셜 미디어 프로필) 차단)를 통해 개인에 대한 영향을 줄이기 위해 수집되는 데이터 양을 줄이면 “처리 담당자에게 유리하게 균형 테스트를 바꿀 수 있다“고 제안했습니다.
이러한 접근 방식은 AI 기업이 개인정보 보호 위험을 줄이기 위해 데이터를 수집하는 방식과 내용에 대해 더욱 신중을 기하도록 강요할 수 있습니다.
“또한, 웹 스크래핑을 통해 수집된 개인 데이터는 학습 단계 전에 삭제하거나 익명화해야 합니다.”라고 태스크포스는 제안했습니다.
OpenAI는 또한 모델 학습을 위해 ChatGPT 사용자의 프롬프트 데이터를 처리하는 데 LI를 적용하려고 합니다. 이와 관련하여 보고서는 사용자가 해당 콘텐츠가 학습 목적으로 사용될 수 있다는 사실을 “명확하고 입증 가능하게 알려야 한다“고 강조하며, 이는 LI에 대한 균형 테스트에서 고려될 요소 중 하나라고 언급했습니다.
AI 대기업이 LI를 실제로 적용할 수 있는 요구 사항을 충족했는지 여부는 불만을 평가하는 개별 DPA가 결정할 것입니다. OpenAI가 LI를 적용할 수 없다면 EU에서 OpenAI는 한 가지 법적 선택지밖에 남지 않습니다. 시민들에게 동의를 구하는 것입니다. 그리고 학습 데이터 세트에 얼마나 많은 사람들의 데이터가 포함되어 있는지 고려할 때, 이러한 방식이 얼마나 실현 가능할지는 불분명합니다. (한편, AI 대기업이 뉴스 출판사와 저널리즘 라이선스 계약을 급속하게 체결하고 있지만, 이는 유럽인의 개인 데이터를 라이선스하는 템플릿으로 이어지지 않을 것입니다. 법률은 사람들이 동의를 판매할 수 있도록 허용하지 않기 때문입니다. 동의는 자발적으로 제공되어야 합니다.)
공정성과 투명성은 선택 사항이 아닙니다
GDPR의 공정성 원칙과 관련하여 태스크포스 보고서는 개인정보 보호 위험을 사용자에게 전가할 수 없다고 강조했습니다. 예를 들어, “데이터 주체는 자신의 채팅 입력에 대해 책임을 진다“는 조항을 이용 약관에 포함하는 방식입니다.
“OpenAI는 GDPR을 준수할 책임이 있으며, 특정 개인 데이터의 입력을 처음부터 금지했다고 주장해서는 안 됩니다.”라고 보고서는 덧붙였습니다.
투명성 의무와 관련하여 태스크포스는 OpenAI가 LLM을 학습하기 위한 데이터 세트를 확보하는 데 필요한 웹 스크래핑 규모를 고려할 때, 개인에게 수집된 데이터에 대한 정보를 제공하는 예외 조항(GDPR 제14조(5)(b))을 활용할 수 있다는 점을 인정하는 것으로 보입니다. 하지만 보고서는 사용자에게 자신의 입력이 학습 목적으로 사용될 수 있다는 사실을 알리는 것이 “특히 중요하다“고 다시 한번 강조했습니다.
보고서는 또한 ChatGPT의 ‘환각'(정보를 허위로 만드는 것) 문제를 언급하며, GDPR의 “데이터 정확성 원칙을 준수해야 한다“고 경고하며, OpenAI가 챗봇의 “확률적 출력“과 “제한적인 신뢰도 수준“에 대한 “적절한 정보“를 제공해야 한다고 강조했습니다.
태스크포스는 또한 OpenAI가 사용자에게 생성된 텍스트가 “편향되거나 허위일 수 있다“는 “명시적인 참조“를 제공할 것을 제안했습니다.
개인 데이터 수정 권리와 같은 데이터 주체 권리 (이는 ChatGPT에 대한 여러 GDPR 불만의 초점이 되어 왔습니다)와 관련하여 보고서는 사람들이 권리를 쉽게 행사할 수 있어야 한다고 “절대적으로 중요하다“고 설명했습니다. 또한 보고서는 OpenAI의 현재 접근 방식에 한계가 있다는 점을 언급했습니다. 예를 들어 OpenAI는 사용자가 자신에 대해 생성된 잘못된 개인 정보를 수정할 수 있도록 허용하지 않고, 생성을 차단하는 것만 제공합니다.
하지만 태스크포스는 OpenAI가 사용자가 데이터 권리를 행사할 수 있도록 제공하는 “방식“을 어떻게 개선해야 하는지에 대한 명확한 지침을 제시하지 않습니다. 단지 회사가 “GDPR의 원칙을 효과적으로 구현하도록 설계된 적절한 조치“와 데이터 주체의 권리를 보호하기 위한 “필요한 보호 조치“를 적용할 것을 일반적으로 권고할 뿐입니다. 이는 “우리도 이 문제를 어떻게 해결해야 할지 모르겠다“는 것과 같습니다.
ChatGPT GDPR 집행은 보류?
ChatGPT 태스크포스는 2023년 4월에 이탈리아가 OpenAI에 대한 눈길을 끄는 개입을 한 직후, 블록의 개인정보 보호 규칙을 신흥 기술에 적용하는 집행을 간소화하기 위해 설립되었습니다. 태스크포스는 EU 데이터 보호 위원회(EDPB)라는 규제 기관 내에서 운영되며, 이 기관은 이 분야에서 EU 법률의 적용을 주도합니다. 하지만 DPA는 독립적인 기관이며, GDPR 집행이 분산화되어 있는 곳에서는 자체적으로 법률을 집행할 수 있다는 점에 유의해야 합니다.
DPA가 독립적으로 집행할 수 있는 권한이 있음에도 불구하고, 감독 기관은 ChatGPT와 같은 신흥 기술에 어떻게 대응해야 할지에 대해 분명히 불안감이나 위험 회피가 존재합니다.
올해 초 이탈리아 DPA가 초안 결정을 발표했을 때, EDPB 태스크포스의 작업을 “고려할 것“이라고 명시했습니다. 그리고 감독 기관이 작업 그룹이 최종 보고서를 발표할 때까지 (아마도 1년 후에) 기다리는 경향이 더 강하다는 징후가 있습니다. 따라서 태스크포스의 존재 자체가 이미 결정을 지연시키고 불만에 대한 조사를 느린 속도로 진행시킴으로써 OpenAI의 챗봇에 대한 GDPR 집행에 영향을 미치고 있을 수 있습니다.
예를 들어, 최근 현지 언론과의 인터뷰에서 폴란드 데이터 보호 당국은 OpenAI에 대한 조사가 태스크포스가 작업을 완료할 때까지 기다려야 한다고 시사했습니다.
감독 기관은 ChatGPT 태스크포스의 병행 작업으로 인해 집행을 지연시키고 있는지에 대한 질문에 답변하지 않았습니다. EDPB 대변인은 태스크포스의 작업은 “각 DPA가 각자 진행 중인 조사에서 수행하는 분석을 선입견 없이 진행한다는 것을 의미하지 않는다“고 말했습니다. 하지만 대변인은 “DPA는 집행할 수 있는 권한이 있지만, EDPB는 집행에 있어 DPA 간 협력을 촉진하는 데 중요한 역할을 합니다.”라고 덧붙였습니다.
현재로서는 ChatGPT에 대한 우려 사항에 대해 얼마나 긴급하게 조치를 취해야 하는지에 대한 DPA 간 견해가 상당히 다릅니다. 따라서 이탈리아 감독 기관이 지난해 신속한 개입으로 주목을 받은 반면, 아일랜드의 (현재는 전직) 데이터 보호 위원인 헬렌 딕슨은 2023년 블룸버그 컨퍼런스에서 DPA가 ChatGPT를 섣불리 금지해서는 안 된다고 말하며, “적절하게 규제하는 방법“을 파악하기 위해 시간을 들여야 한다고 주장했습니다.
OpenAI가 지난 가을 아일랜드에 EU 운영을 설립한 것은 우연이 아닐 것입니다. 이러한 조치는 12월에 OpenAI의 이용 약관 변경으로 이어졌습니다. OpenAI의 새로운 아일랜드 법인인 OpenAI Ireland Limited를 ChatGPT와 같은 지역 서비스 제공자로 지정하여 AI 대기업이 아일랜드 데이터 보호 위원회(DPC)에 GDPR 감독을 위한 주요 감독 기관이 되도록 신청할 수 있는 구조를 마련했습니다.
이러한 규제 위험 중심의 법적 구조 조정은 OpenAI에 효과를 발휘한 것으로 보입니다. EDPB ChatGPT 태스크포스 보고서는 OpenAI가 올해 2월 15일부터 주요 설립 지위를 부여받았음을 시사합니다. 이를 통해 OpenAI는 GDPR의 원스톱 숍(OSS)이라는 메커니즘을 활용할 수 있습니다. 이는 그 이후 발생하는 모든 국경 간 불만이 주요 설립 국가의 주요 DPA (OpenAI의 경우 아일랜드)를 통해 처리된다는 것을 의미합니다.
이 모든 것이 다소 복잡하게 들릴 수 있지만, 기본적으로 AI 기업은 이탈리아와 폴란드에서 볼 수 있었던 것과 같은 추가적인 분산된 GDPR 집행 위험을 피할 수 있다는 것을 의미합니다. 앞으로 어떤 불만이 조사되고, 어떻게 그리고 언제 조사될지는 아일랜드의 DPC가 결정하게 됩니다.
아일랜드 감독 기관은 빅테크에 대한 GDPR 집행에 있어 사업 친화적인 접근 방식을 취해왔습니다. 다시 말해, ‘거대 AI'는 블록의 데이터 보호 규칙 해석에 있어 더블린의 관대함의 혜택을 받는 다음 대상이 될 수 있습니다.
EDPB 태스크포스의 예비 보고서에 대한 응답을 위해 OpenAI에 연락했지만, 보도 시점까지 응답하지 않았습니다.
EDPB의 보고서에 대한 응답으로, OpenAI가 이제 GDPR의 OSS를 활용할 수 있다는 제안에 대한 질문에 대해 폴란드 ChatGPT GDPR 조사의 불만 제기자를 대리하는 법률 회사 GP Partners의 마체이 가브론스키는 TechCrunch에 “OpenAI의 EU 사무소가 GDPR 제4조 16항 a)의 의미에서 ‘개인 데이터 처리의 목적과 수단에 대한 결정'을 내릴 권한이 있다는 정보를 아무도 제공하지 않았습니다.”라고 말했습니다.
“ChatGPT 서비스의 중앙 집중식 특성을 고려할 때, 미국에 본사를 두고 EU에 개인 데이터 처리 본사를 두는 것은 불가능합니다.”라고 그는 덧붙였습니다. “게다가, 저는 방금 OpenAI에서 ChatGPT 사용에 대한 5월 24일 청구서를 확인했습니다. Open AI LLC, SF, CAL, US에서 발행되었습니다.”
가브론스키는 추가 발언에서 EDPB 보고서를 “수수께끼 같고 피상적“이라고 묘사하며, 마치 “아일랜드 [DPC]에서 작성한 것처럼 읽힌다“고 시사했습니다. “EDPB는 OpenAI가 가능한 한 준수하는 것처럼 보이도록 노력하는 것 같습니다.”라고 그는 덧붙였습니다. “우리는 여전히 UODO [폴란드 DPA]가 우리의 불만을 조사하고 결정할 권한과 의무가 있다고 생각합니다.”
이 보고서는 추가 의견을 포함하여 업데이트되었습니다.