1. 사실관계

•  ‘이루다’ 서비스 개발과 운영에 이용자의 카카오톡 대화를 이용함

⇒ ㈜스캐터랩은 자사의 앱 서비스인 ‘텍스트앳’과 ‘연애의 과학’에서 수집한 카카오톡 대화를 2020. 2.부터 2021. 1.까지 페이스북 이용자 대상의 챗봇 서비스인 ‘이루다’ 의 인공지능(AI) 개발과 운영에 이용함
⇒ ㈜스캐터랩은 ‘이루다’ 인공지능(AI) 모델의 개발을 위한 알고리즘 학습 과정에서, 카카오톡 대화에 포함된 이름, 휴대전화번호, 주소 등의 개인정보를 삭제하거나 암호화하는 등의 조치를 전혀 하지 않고, 약 60만 명에 달하는 이용자의 카카오톡 대화문장 94억여 건을 이용하였고,
⇒ ‘이루다’ 서비스 운영 과정에서는, 20대 여성의 카카오톡 대화문장 약 1억 건을 응답 DB로 구축하고, ‘이루다’가 이 중 한 문장을 선택하여 발화할 수 있도록 운영함

•  Github에 이용자 개인정보를 게시함

⇒ Github에 2019. 10.부터 2021. 1.까지 이름 22건(성은 미포함)과 지명정보(구·동 단위) 34건, 성별, 대화 상대방과의 관계(친구 또는 연인) 등이 포함된 카카오톡 대화문장 1,431건과 함께  AI모델을 게시함


2. 개인정보 보호위원회의 주요 심결 사항

•  ‘이루다’ 서비스 개발과 운영에 이용자의 카카오톡 대화를 이용한 것에 대한 판단

•  결론 : ①㈜스캐터랩이 이용자의 개인정보를 수집한 목적을 벗어나 이용함, ②정보주체가 명확히 인지할 수 있도록 알리고 동의를 받지 않음, ③성생활 등에 관한 정보를 처리하면서 별도의 동의를 받지 않음 등

⇒ 근거(개인정보 수집이용 관련) : ’텍스트앳‘과 ’연애의 과학‘ 개인정보처리방침에 ’신규 서비스 개발‘을 포함시켜 이용자가 로그인함으로써 동의한 것으로 간주하는 것만으로는 이용자가 ’이루다‘와 같은 ’신규 서비스 개발‘ 목적의 이용에 동의하였다고 보기 어려움
   – ‘신규 서비스 개발‘이라는 기재만으로 이용자가 ’이루다‘ 개발과 운영에 카카오톡 대화가 이용될 것에 대해 예상하기 어려움
   –  이용자의 개인정보 자기결정권이 제한되는 등 이용자가 예측할 수 없는 손해를 입을 우려가 있음

⇒ 근거(민감정보 수집이용 관련) : 이용자가 자신의 성생활에 관한 정보 등을 언급한 경우에도 이용자가 자유롭게 작성하는 내용에 따라 민감한 성격을 가질 수 있는 것에 불과하여 카카오톡 대화내용 전체가 민감정보에 해당한다고 보기 어려움. 다만 성적 취향을 알 수 있는 심리테스트 설문 응답 결과를 이용자 별로 저장해 놓은 것은 별도 동의 없이 민감정보를 수집한 것이라고 판단함

•  결론 : 총 8가지 「개인정보 보호법」위반행위에 대하여 ㈜스캐터랩에 총 1억 330만원의 과징금과 과태료를 부과하고 시정조치를 명령


3. 시사점

•  개인정보 수집이용 동의를 받을 때에는 정보주체가 명확히 인지할 수 있도록 알리고 동의를 받아야 함

⇒ 수집하는 개인정보 항목, 개인정보의 이용 목적을 자세히 고지하도록 하는 것이 개인정보 보호법의 취지이고, 이를 위반하여 지나치게 개인정보 수집 항목이나 이용 목적을 지나치게 추상화하여 동의를 받으면 정보주체의 동의 없이 개인정보를 수집·이용한 것으로 해석되어 큰 법적 리스크가 발생할 수 있음

⇒ 민감정보를 수집 및 이용할 때에는 별도의 동의를 받아야 함

•  빅데이터 이용을 위하여, 개인정보보호법 제15조, 제17조의 당초 수집 목적과 합리적으로 관련된 범위 내에 대한 연구 필요성
          
⇒ 개인정보보호법 제15조 제3항과 제17조 제4항은 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용 및 제공할 수 있다라고 규정.

⇒ 향후 빅데이터 활용을 위해서는 서비스 이용약관, 개인정보처리방침, 개인정보 동의서식 등을 정비함에 있어서, 대통령령의 아래 4가지를 고려하여 이를 정비할 필요가 있음
   1)당초 수집 목적과 관련성이 있는지 여부
   2)개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이
     있는지 여부
   3)정보주체의 이익을 부당하게 침해하는지 여부
   4)가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부