개인정보보호위원회는 4월 23일 전체회의에서 중국 AI 기업 딥시크의 개인정보 처리 실태를 점검한 결과, 국외이전 정보의 즉각 파기와 한국어 처리방침 공개 등 시정조치를 권고하고 향후 이행 여부를 지속적으로 점검하기로 했다.

연령 확인 절차

개인정보위는 딥시크의 서비스가 지난 1월 국내 앱 마켓에 출시된 이후 개인정보 보호 관련 우려가 제기되자, 즉시 질의서를 발송하고 한국인터넷진흥원과 함께 기술 분석에 착수해 실태점검을 진행했다. 딥시크는 점검 과정에서 일부 법적 요구사항의 미흡함을 인정하고, 서비스 다운로드를 중단하는 등 협조 의사를 밝혔다.

점검 결과, 딥시크는 초기 서비스에서 처리방침을 중국어와 영어로만 제공하고, 법정 기재사항을 누락한 채 광범위한 정보 수집을 명시한 점이 확인됐다. 이에 따라 한국어 처리방침과 대한민국 관할조항을 포함한 정비안을 제출했고, 실수로 기재됐던 키 입력 정보 수집 항목은 실제 수집 사실이 없다고 해명했다.

또한, 이용자가 AI 프롬프트에 입력한 내용이 동의 없이 중국의 볼케이노사에 전송된 사실도 드러났다. 딥시크는 이와 관련해 정보 전송의 필요성이 없음을 인정하고, 지난 4월 10일부터 해당 전송을 중단했으며, 법정사항을 반영한 처리방침도 한국어로 제출했다.

AI 학습과 관련해서는 이용자의 프롬프트 입력 내용을 학습에 활용하면서 거부 기능이 없었던 점이 문제로 지적됐다. 이에 딥시크는 이용자의 학습 거부 선택권(opt-out)을 지난 3월부터 도입하고, 개인정보위의 권고에 따라 강화된 보호조치를 전면 적용하겠다고 밝혔다.

이 외에도 딥시크는 아동 개인정보 수집 차단을 위해 연령 확인 절차를 도입하고, 보안 취약점으로 지적된 서버 접근 제한 등의 문제를 시정했다.

개인정보위는 딥시크에 대해 국외이전 정보의 즉각 파기와 한국어 처리방침의 지속 공개, 서비스 투명성 강화 등 시정조치를 권고하고, AI 관련 보호조치, 아동 개인정보 보호, 시스템 안전조치 향상 등도 개선을 촉구했다. 특히, 국내 대리인 지정을 통해 이행 여부를 정기적으로 점검할 방침이다.

딥시크는 시정권고 수락 시 시정명령을 받은 것으로 간주되며, 60일 내 이행 결과를 보고해야 한다. 개인정보위는 향후 최소 2회 이상 딥시크의 이행 여부를 점검하고, 해외사업자를 위한 개인정보 보호 체크리스트도 함께 제공할 예정이다. 이는 국내 이용자 보호와 AI 산업의 책임 있는 성장을 위한 조치로 평가된다.