데이터 프라이버시 관련 EU의 규제 리스크를 줄이기 위한 OpenAI의 움직임
유럽 대륙의 많은 지역이 지난달 후반에 여전히 홀리데이 테마 초콜릿을 고르는 즐거운 과정에 몰두하고 있을 때, ChatGPT를 개발한 OpenAI는 이 기회를 이용하여 곧 개정될 이용 약관에 대한 관련 정보를 담은 안내문을 배포했습니다. 이러한 개정은 유럽 연합 내에서 회사의 규제 노출을 완화하려는 의도로 설계된 것으로 보입니다.
특정 영역에서 AI 기술의 출현은 개인의 프라이버시에 대한 ChatGPT의 영향력 활용과 관련된 의미로 인해 특정 지역에서 상당한 관심을 불러 일으켰습니다. 이 문제는 현재 여러 규제 당국에서 이 특정 챗봇 시스템을 통해 생성될 수 있는 민감한 정보 처리 및 개인화된 세부 정보 생성과 관련된 결과를 적극적으로 조사하고 있습니다. 실제로 이러한 기관들은 사용자 데이터 프라이버시를 보호하기 위한 적절한 조치가 시행되고 있는지 평가하기 위해 공식적인 조사에 착수했습니다. 한 예로, 이탈리아 당국의 경계로 인해 최종 사용자에게 제공되는 정보 및 제어 메커니즘에 대한 추가 설명이 제공될 때까지 이탈리아에서 ChatGPT의 운영이 잠시 중단된 바 있습니다.
OpenAI는 최근 유럽경제지역(EEA) 및 스위스에 거주하는 개인에 대한 ChatGPT를 포함한 서비스 제공을 아일랜드에 위치한 자회사인 OpenAI Ireland Limited로 이전하기로 결정했습니다. 이러한 전환은 12월 28일에 사용자에게 보낸 메시지를 통해 전달되었습니다.
OpenAI의 유럽 지역 개인정보 처리방침 에 대한 병행 업데이트가 추가로 명시되어 있습니다:
스위스를 포함한 유럽경제지역(EEA) 내에 거주하는 경우, 1층, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland에 위치한 OpenAI Ireland Limited가 컨트롤러 역할을 하며 개인정보처리방침에 명시된 대로 귀하의 개인 데이터를 처리할 책임이 있습니다.
최근 설립된 더블린 소재 자회사를 유럽경제지역(EEA) 및 유럽 일반 개인정보 보호법(GDPR)이 시행 중인 스위스 사용자의 데이터 컨트롤러로 명시한 새 이용약관 은 2024년 2월 15일부터 적용될 예정입니다.
사용자가 OpenAI에서 제공하는 업데이트된 서비스 약관에 문제가 있는 경우, 사용자는 조치의 일환으로 계정을 해지할 수 있습니다.
일반 데이터 보호 규정(GDPR)은 “원스톱 상점”(OSS)으로 알려진 중앙 집중식 규제 프레임워크를 특징으로 하며, 이를 통해 유럽 시민의 개인 정보를 처리하는 기업은 규정의 특정 용어를 통해 표현된 대로 주요 운영 기반이 있는 EU 회원국 내에 위치한 단일 데이터 감독 기관의 감독을 받을 수 있습니다.
이러한 인정을 받으면 유럽연합 내에 위치한 개인정보 보호 옹호 단체의 독립적인 권한이 제한되는데, 이는 모든 불만 사항이 추가 조사 및 평가를 위해 선도 기관을 관리하는 주요 감독 기관에 다시 회부되어야 하기 때문입니다.
GDPR의 적용을 받는 다른 규제 기관은 개인 정보 보호에 대한 긴급한 위협이 감지될 경우 즉각적으로 대응할 수 있는 역량을 계속 보유하고 있습니다. 그러나 이러한 조치는 일반적으로 임시적인 성격이 강하고 규정에서 요구하는 표준화된 접근 방식으로 인해 드물게 이루어집니다. 따라서 거대 기술 기업들이 이 시스템을 선호하는 이유는 규정 준수 복잡성을 최소화하면서 국경을 넘나드는 개인 정보 전송을 효율적으로 감독할 수 있는 수단을 제공하기 때문입니다.
일반 데이터 보호 규정의 오픈 소스 소프트웨어 조항에 따라 더블린 소재 자회사의 주요 설립자 지위를 획득하기 위해 OpenAI가 아일랜드의 데이터 보호 기관과 협력하고 있는지 여부와 관련하여 아일랜드 데이터 보호 위원회 대표는 이 문제에 대해 OpenAI 및 기타 유럽 연합 데이터 보호 기관과 소통하고 있다고 알려주었습니다.
OpenAI에도 연락하여 의견을 구했습니다.
이 AI 회사는 9월에 더블린에 사무실을 개설하여 입지를 다졌으며, 초기에는 정책, 법률, 개인정보 보호 및 다양한 지원 기능의 직책에 필요한 인력을 채용하는 데 중점을 두었습니다.
이 글을 쓰는 시점에서 채용 정보 페이지 에 등록된 총 100개의 채용 공고 중 더블린에 소재한 공석은 5개에 불과하므로 현지 채용은 여전히 제한적인 것으로 보입니다. 브뤼셀에 본사를 둔 EU 회원국 정책 및 파트너십 책임자 직책도 현재 채용 중인데, 지원자에게 주 3일 더블린 사무실에서 근무할 수 있는지 여부를 명시하도록 요구하고 있습니다. 하지만 이 AI 대기업의 채용공고 대부분은 샌프란시스코/미국 기반으로 되어 있습니다.
OpenAI는 최근 더블린 사무소에서 개인정보 보호 소프트웨어 엔지니어, 계정 책임자, 플랫폼, 국제 급여 전문가, 미디어 관계, 유럽 책임자, 영업 엔지니어 등의 직책을 포함한 여러 개의 채용 공고를 발표했습니다.
OpenAI가 더블린에서 일반 데이터 보호 규정(GDPR)에 따라 주요 사업장 지위를 획득할 수 있는지는 조직에 고용된 개인의 수와 신원 등 여러 요인에 따라 달라집니다. 특정 법적 요건을 충족하면 이 과정을 쉽게 진행할 수 있지만, 지정된 법인이 관할권 내에서 처리 활동을 충분히 통제할 수 있음을 유럽 연합 개인정보 보호 규제 기관에 입증하는 것이 중요합니다. 따라서 데이터 보호 정책에 관한 결정을 내리는 데 필요한 권한을 가진 인력을 임명하는 것이 EU 당국으로부터 이러한 인정을 받는 데 필수적인 역할을 할 수 있습니다.
미국에 기반을 둔 모회사와의 관계를 효과적으로 관리하기 위해서는 강력한 데이터 보호 조치를 부과할 수 있는 기술적 숙련도와 법적 구속력이 있는 장치를 갖추는 것이 필수적입니다.
본질적으로 이전에 캘리포니아에서 결정된 선택 사항에 대한 고무 도장만을 담당하는 아일랜드 기반 프런트 오피스를 설립하는 것만으로는 충분하지 않습니다.
이에 비추어 볼 때, OpenAI는 2022년 가을 소유권 변경 후 상당한 혼란을 일으킨 과거 트위터로 불렸던 X의 사례를 검토하고 있다고 생각할 수 있습니다. 이 괴짜 억만장자가 특정 지역의 직원 수를 대폭 줄이고 조직에서 귀중한 전문 지식을 없애고 독단적으로 보이는 제품 선택을 실행하기로 한 논란의 여지가 있는 결정을 포함하여 엘론 머스크가 경영권을 인수한 이후 주가가 크게 변동했지만 오픈소스 소프트웨어 부문에서 안정성을 유지해 왔습니다. 따라서 이러한 회복탄력성의 배경에는 어떤 이유가 있는지 추측할 수 있을 뿐입니다.
아일랜드 데이터 보호 위원(DPC)의 권한 하에 아일랜드 내에서 일반 데이터 보호 규정(GDPR)의 1차 감독 지위를 획득한 OpenAI는 더블린에 유럽 지사를 설립하기로 결정한 Apple, Google, Meta, TikTok 등의 유명 기술 대기업들과 어깨를 나란히 하게 될 것입니다.
일반개인정보보호법(GDPR)에 따라 국내 거대 기술 기업을 감독하는 데이터보호위원회(DPC)의 성과는 그 템포와 리듬에 대해 여러 곳에서 상당한 비난을 받고 있습니다. 최근 아일랜드 당국이 주요 디지털 기업에 부과한 몇 가지 주목할 만한 벌금이 있었지만, 비평가들은 다른 규제 기관에 비해 감시 기관이 더 적은 제재를 권고하는 경우가 많다고 주장합니다. 또한, DPC의 조사가 느리게 진행되거나 비정상적인 궤적을 보인다는 불만도 여러 차례 제기된 바 있습니다.또한
과 관련된 사례에서 볼 수 있듯이 위원회가 특정 불만 사항을 처리하지 않기로 결정하거나 핵심 쟁점을 회피하는 방식으로 불만 사항을 재구성하는 경우 우려가 제기되었습니다. 이탈리아와 폴란드의 규제 기관에서 ChatGPT와 관련된 일반 데이터 보호 규정(GDPR) 준수와 관련하여 진행 중인 조사가 OpenAI의 생성형 AI 챗봇에 대한 지역 규제에 어느 정도 영향을 미칠지는 불확실합니다. 이러한 조사는 해당 AI 기업이 본인가를 받기 전에 발생한 데이터 처리와 관련된 것이어서 전반적인 영향을 예측하기 어렵기 때문입니다.
참고로, 이탈리아 데이터 보호 당국은 OpenAI가 인공지능 모델을 개발하기 위해 개인 데이터를 처리하는 법적 기반을 포함하여 ChatGPT와 관련된 다양한 문제를 검토하고 있습니다. 반대로 폴란드 규제 기관은 인공지능 챗봇이 생성한 개인 정보에 대한 포괄적인 불만 사항을 접수한 후 조사를 시작했으며, 여기에는 인공지능 챗봇이 생성한 개인 정보가 포함된 사례가 포함됩니다.
OpenAI는 개정된 유럽 개인정보 보호정책에서 개인 데이터를 처리하는 법적 근거에 관한 추가 정보를 제공했습니다. 특히, AI 모델 학습을 위한 데이터 처리를 정당화하기 위해 합법적인 이해관계에 의존하는 것이 자사의 이익뿐만 아니라 제3자의 이익과 사회의 더 큰 이익을 위해서도 필요하다는 점을 암시하는 표현을 사용하고 있습니다.
“오용, 사기성 활동 및 보안에 대한 잠재적 위협으로부터 서비스를 보호하려는 당사의 이익은 귀하의 데이터를 처리하는 타당한 이유라고 생각합니다.
이 제안은 OpenAI가 상업적 동기와 함께 공익이라는 논리를 통해 유럽 개인정보 보호 당국에 인터넷 사용자의 동의 없이 광범위한 개인 데이터 수집을 정당화하려고 시도할 수 있음을 암시하는 것으로 보입니다. 그러나 일반개인정보보호법(GDPR)에 따라 법적으로 허용되는 개인 데이터 처리 근거는 6가지에 불과하며, 기업은 이러한 기준을 선택적으로 해석하여 맞춤형 합리화를 만들 수 없다는 점에 유의해야 합니다.
일반 개인정보 보호법(GDPR) 집행을 담당하는 규제 기관이 최근 유럽 데이터 보호 위원회 내에 태스크포스를 구성하여 대규모 데이터 세트에 기반한 데이터 보호법과 인공지능 시스템 간의 복잡한 상호 작용을 해결하기 위한 해결책을 모색하고 있다는 사실을 인지하는 것이 중요합니다. 하지만 이 과정을 통해 합의에 도달할 수 있을지는 아직 불확실합니다.또한, 아일랜드 법인을 유럽의 사용자 데이터 관리자로 지정하기로 한 OpenAI의 결정은 잠재적으로 아일랜드가 향후 생성형 AI 및 개인정보 보호 문제와 관련된 개발에 상당한 영향력을 행사할 수 있습니다.
디지털 정책 위원회(DPC)가 OpenAI의 수석 감독관 역할을 맡게 되면 회사의 기술 발전에 대한 일반 데이터 보호 규정(GDPR) 관련 조치의 이행 속도를 조절하여 규제 절차에 영향력을 행사할 수 있습니다.
이미 지난 4월 이탈리아의 ChatGPT 개입 이후 DPC의 현 위원인 헬렌 딕슨은 개인정보 보호 감시단체가 데이터 문제를 이유로 서둘러 기술을 금지하는 것에 대해 경고하면서 규제 당국이 AI에 대한 블록의 데이터 보호법을 시행하는 방법을 알아내는 데 시간을 가져야 한다고 말했죠.
브렉시트에 따라 영국 거주자는 델라웨어에 본사를 둔 미국 법인 자회사의 관할권에 속하기 때문에 OpenAI의 아일랜드 사업장 이전으로 인한 관할권의 적용을 받지 않습니다. 과거에는 영국이 유럽연합 회원국이었기 때문에 일반 데이터 보호 규정(GDPR)이 적용되었지만, 영국이 유럽연합을 탈퇴한 이후에는 더 이상 적용되지 않습니다. 그럼에도 불구하고 영국은 자체 국내법, 즉 기존 유럽 데이터 보호 프레임워크에 뿌리를 두고 있지만 현재 의회에서 검토 중인 ‘데이터 개혁’ 법안에 의해 수정될 수 있는 영국 GDPR을 계속 시행하고 있습니다.