개인정보위, 딥시크 서비스 사전 실태점검 결과 발표
딥시크에 개인정보 파기 등 시정권고
“60일 이내 이행 결과 제출해야”
개인정보보호위원회가 중국 AI(인공지능) 서비스 기업 딥시크(DeepSeek)에 대한 사전 실태점검 결과, 개인정보 처리방침 미비와 국외 데이터 전송, 아동 정보 보호 미흡 등 다수의 문제점을 확인했다고 24일 밝혔다.
딥시크는 지난 1월 국내 앱 마켓에 서비스를 출시한 이후, 개인정보 수집과 처리 방식에 대한 우려가 제기돼 개인정보위가 즉각 한국인터넷진흥원과 공동으로 기술 분석 및 질의 절차에 착수했다. 이후 딥시크는 개인정보보호법에 대한 고려 부족을 인정하고, 2월부터 국내 신규 다운로드를 중단한 바 있다.
점검 결과에 따르면, 딥시크는 초기 서비스 당시 중국어와 영어로만 개인정보 처리방침을 제공했으며, 파기 절차, 안전조치, 보호책임자 정보 등 한국 법상 필수 기재 항목들을 다수 누락했다. 또한 키 입력 패턴과 리듬 등 민감한 정보를 수집한다고 명시돼 있었으나, 실제로는 수집되지 않았으며, 관련 항목은 기재 오류였다고 해명했다.
더 큰 문제는 개인정보의 국외 이전에서 나타났다. 딥시크는 이용자의 기기 정보, 네트워크 정보는 물론, AI 프롬프트에 입력한 내용까지도 중국의 ‘볼케이노(Volcano)’라는 클라우드 서비스 제공업체로 전송한 사실이 확인됐다. 이 과정에서 이용자에게 사전 고지나 동의를 받지 않았으며, 처리방침에도 관련 내용은 빠져 있었다. 딥시크는 개인정보위 지적 이후 해당 전송을 지난 10일부터 차단했다고 밝혔다.
AI 학습과 관련해서도 문제는 이어졌다. 프롬프트 입력 내용이 별도의 동의 없이 AI 학습에 활용되고 있었으며, 사용자가 이를 거부할 수 있는 기능(opt-out)도 존재하지 않았다. 이후 딥시크는 개인정보위 권고에 따라 관련 기능을 3월부터 도입하고, AI 관련 처리 절차를 재정비했다.
아동 보호 조치도 부실했다. 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 밝혔지만, 가입 단계에서 연령 확인 절차가 없어, 실질적인 확인이 불가능했다. 개인정보위는 점검 과정에서 연령 확인 절차 마련과 일부 보안 취약점 조치 완료도 확인했다고 설명했다.
개인정보위는 이번 점검 결과를 토대로 딥시크에 프롬프트 입력 내용의 즉각 파기, 국외 이전의 법적 근거 구비, 한국어 처리방침 공개 등을 포함한 시정권고를 내리기로 했다. 또한 아동 정보 보호 강화, 개인정보 처리 시스템 전반의 안전조치 향상, 국내 대리인 지정 개선도 권고했다.
딥시크가 시정권고를 수락하면 정식 시정명령으로 간주되며, 60일 이내에 이행 결과를 제출해야 한다. 개인정보위는 이후 최소 2차례 이상 이행 상황을 점검하며 지속적으로 관리해 나갈 방침이다.
한편 개인정보위는 이번 실태점검을 계기로 해외 사업자 대상 ‘개인정보보호법 적용 안내서’의 핵심 내용을 체크리스트 형태로 제공할 계획이다. 이를 통해 해외 기업들이 한국 이용자의 개인정보를 보다 철저하게 보호할 수 있도록 유도한다는 방침이다.
딥시크에 개인정보 파기 등 시정권고
“60일 이내 이행 결과 제출해야”
일러스트=챗GPT
개인정보보호위원회가 중국 AI(인공지능) 서비스 기업 딥시크(DeepSeek)에 대한 사전 실태점검 결과, 개인정보 처리방침 미비와 국외 데이터 전송, 아동 정보 보호 미흡 등 다수의 문제점을 확인했다고 24일 밝혔다.
딥시크는 지난 1월 국내 앱 마켓에 서비스를 출시한 이후, 개인정보 수집과 처리 방식에 대한 우려가 제기돼 개인정보위가 즉각 한국인터넷진흥원과 공동으로 기술 분석 및 질의 절차에 착수했다. 이후 딥시크는 개인정보보호법에 대한 고려 부족을 인정하고, 2월부터 국내 신규 다운로드를 중단한 바 있다.
점검 결과에 따르면, 딥시크는 초기 서비스 당시 중국어와 영어로만 개인정보 처리방침을 제공했으며, 파기 절차, 안전조치, 보호책임자 정보 등 한국 법상 필수 기재 항목들을 다수 누락했다. 또한 키 입력 패턴과 리듬 등 민감한 정보를 수집한다고 명시돼 있었으나, 실제로는 수집되지 않았으며, 관련 항목은 기재 오류였다고 해명했다.
더 큰 문제는 개인정보의 국외 이전에서 나타났다. 딥시크는 이용자의 기기 정보, 네트워크 정보는 물론, AI 프롬프트에 입력한 내용까지도 중국의 ‘볼케이노(Volcano)’라는 클라우드 서비스 제공업체로 전송한 사실이 확인됐다. 이 과정에서 이용자에게 사전 고지나 동의를 받지 않았으며, 처리방침에도 관련 내용은 빠져 있었다. 딥시크는 개인정보위 지적 이후 해당 전송을 지난 10일부터 차단했다고 밝혔다.
AI 학습과 관련해서도 문제는 이어졌다. 프롬프트 입력 내용이 별도의 동의 없이 AI 학습에 활용되고 있었으며, 사용자가 이를 거부할 수 있는 기능(opt-out)도 존재하지 않았다. 이후 딥시크는 개인정보위 권고에 따라 관련 기능을 3월부터 도입하고, AI 관련 처리 절차를 재정비했다.
아동 보호 조치도 부실했다. 딥시크는 14세 미만 아동의 개인정보를 수집하지 않는다고 밝혔지만, 가입 단계에서 연령 확인 절차가 없어, 실질적인 확인이 불가능했다. 개인정보위는 점검 과정에서 연령 확인 절차 마련과 일부 보안 취약점 조치 완료도 확인했다고 설명했다.
개인정보위는 이번 점검 결과를 토대로 딥시크에 프롬프트 입력 내용의 즉각 파기, 국외 이전의 법적 근거 구비, 한국어 처리방침 공개 등을 포함한 시정권고를 내리기로 했다. 또한 아동 정보 보호 강화, 개인정보 처리 시스템 전반의 안전조치 향상, 국내 대리인 지정 개선도 권고했다.
딥시크가 시정권고를 수락하면 정식 시정명령으로 간주되며, 60일 이내에 이행 결과를 제출해야 한다. 개인정보위는 이후 최소 2차례 이상 이행 상황을 점검하며 지속적으로 관리해 나갈 방침이다.
한편 개인정보위는 이번 실태점검을 계기로 해외 사업자 대상 ‘개인정보보호법 적용 안내서’의 핵심 내용을 체크리스트 형태로 제공할 계획이다. 이를 통해 해외 기업들이 한국 이용자의 개인정보를 보다 철저하게 보호할 수 있도록 유도한다는 방침이다.
