이탈리아 데이터보호당국 “오픈AI에 GDPR 위반 통지”

이탈리아 개인 데이터보호 당국 DPA가 챗GPT 서비스를 전개하는 오픈AI에 GDPR 위반을 통지했다. 오픈AI에는 최대치로 전 세계 연간 매출 4% 또는 2,000만 유로 제재금이 부과될 가능성이 있다.

DPA는 챗GPT가 사용자 데이터를 불법으로 처리할 우려가 있다고 발표하고 오픈AI에 챗GPT에 대한 이탈리아 액세스를 차단하라는 명령을 내렸다. 이후 오픈AI는 규제 당국 요구에 따라 개인정보 삭제 양식, 사용자 연령 확인을 도입했으며 2023년 4월말에는 다시 이탈리아에서의 챗GPT 서비스 제공을 재개했다.

서비스 제공은 재개됐지만 GDPR 위반 조사는 계속됐으며 2024년 1월 29일 이탈리아 개인 데이터 보호 당국은 오픈AP에 대해 조사 결과에 따라 입수한 증거가 GDPR 위반 존재를 보여주고 있다고 결론내렸다고 통보했다.

구체적인 조사 결과는 공개되지 않았지만 오픈AI는 자사는 GDPR과 기타 개인 정보 보호법을 준수한다고 믿으며 데이터와 개인 정보 보호를 위해 추가 조치를 취하고 있다며 자사는 AI가 개인이 아닌 세계에 대해 배우기를 원하고 적극적으로 노력하고 있으며 개인 정보와 기밀 정보 요구도 거부한다며 개인 데이터 보호 당국과 건설적으로 협력하겠다고 밝혔다.

또 GDPR 어느 항목을 위반하고 있는지에 대해서도 현재는 비공개가 되고 있지만 챗GPT 학습에 사용된 공공 인터넷으로부터 수집된 대량 데이터에 대해 EU 국민 데이터를 처리하는데 필요한 법적 근거가 존재하지 않는다는 점이 문제가 아닐까 분석하고 있다.

이번 GDPR 위반 통지 시점에선 공식 위반이 성립된 건 아니며 오픈AI는 이 신고에 대해 30일 이내에 반소를 제출할 수 있다. 오픈AI 답변 뒤 정식 결정이 이뤄지고 만일 GDPR 위반이 성립한 경우는 최대로 전 세계 연간 매출 4% 또는 2,000만 유로 중 높은 금액이 제재금으로 부과될 수 있다. 관련 내용은 이곳에서 확인할 수 있다.