최근 소셜 미디어 플랫폼 X는 사용자 동의 없이 Grok 인공 지능 챗봇을 훈련시키기 위해 EU 사용자 데이터를 사용하여 소란을 일으켰습니다. 아일랜드 데이터 보호 위원회(DPC)는 X의 움직임에 "놀랐다"고 표현하고 조사에 착수했습니다. 이번 사건은 인공지능의 발전과 데이터 프라이버시 보호 사이의 모순을 부각시켰으며, EU의 일반 데이터 보호 규정(GDPR)을 다시 한번 전면에 내세웠습니다. 9개 EU 국가는 X가 GDPR을 위반하고 약 6천만 명의 EU 사용자의 데이터를 동의 없이 처리했다고 비난하면서 X에 대해 불만을 제기했습니다.
최근에는 소셜미디어 플랫폼 지난달 말, 세심한 네티즌들은 X가 AI 훈련을 위해 EU 사용자의 게시물 데이터를 처리하기 시작했음을 나타내는 설정에 조용히 옵션을 추가했다는 사실을 발견했습니다. 이는 아일랜드 데이터보호위원회(DPC)의 관심을 끌었으며 "놀라움"을 표했다.
EU의 일반 데이터 보호 규정(GDPR)에 따르면 기업이 개인 데이터를 사용하려면 법적 근거가 있어야 하며, 그렇지 않으면 전 세계 연간 매출액의 최대 4%에 해당하는 벌금이 부과될 수 있습니다. 오스트리아, 벨기에, 프랑스, 그리스, 아일랜드, 이탈리아, 네덜란드, 폴란드, 스페인에서 X가 AI 모델을 구축하기 위해 동의 없이 약 6천만 명의 EU 사용자 데이터를 처리했다고 주장하는 9건의 불만 사항이 접수되었습니다.
개인 정보 보호 단체인 noyb의 회장인 Max Schrems는 성명을 통해 "지난 몇 년간 DPC의 집행 효율성은 실망스러웠습니다. 우리는 적어도 이 경우에는 사용자들에게 트위터가 EU 법률을 준수하는지 확인하고 싶습니다. 실제로 DPC는 X의 AI 훈련 데이터 처리에 대해 법적 조치를 시작했으며 이러한 행위를 중단하도록 요구하는 강제 명령을 구했습니다. 그러나 noyb는 사용자가 이미 처리된 데이터에 대한 삭제를 요청할 수 없기 때문에 DPC 조치만으로는 충분하지 않다고 생각합니다. 이를 위해 noyb는 아일랜드 및 기타 7개국에서 GDPR 불만 사항을 제기했습니다.
고소장에는 X가 이 사용자 데이터를 처리할 법적 근거가 없다고 명시되어 있습니다. 플랫폼은 AI 관련 데이터 처리의 기반으로 '적법한 이익'을 사용한다고 주장하지만, 개인정보 보호 전문가들은 X가 사용자 동의를 받아야 한다고 말합니다. Schrems는 다음과 같이 말했습니다. "사용자와 직접 상호 작용하는 회사는 데이터를 사용하기 전에 예/아니요 프롬프트만 표시하면 됩니다. 이는 이미 다른 많은 시나리오에서 수행되었으므로 AI 교육에서도 완전히 가능합니다."
이에 앞서 Meta는 noyb의 불만과 규제 기관의 개입으로 인해 유사한 계획을 중단하기도 했습니다. 그러나 X의 접근 방식은 이 사실이 몇 주 동안 눈에 띄지 않게 하는 것처럼 보였습니다. DPC에 따르면 X는 5월 7일부터 8월 1일까지 EU 사용자의 데이터를 처리했습니다. 7월 말 X 온라인 버전에는 사용자가 데이터 처리를 거부할 수 있는 새로운 옵션이 추가되었지만, 그 전에는 사용자가 이 정보의 존재를 알 수 없었습니다.
GDPR의 목표는 정보가 없는 데이터 사용으로부터 EU 사용자를 보호하는 것이기 때문에 이는 중요합니다. 법적 근거에 관한 논쟁에서 또한 noyb는 많은 생성 AI 시스템이 잊혀질 권리나 개인 데이터를 얻을 권리와 같은 GDPR의 다른 핵심 요구 사항을 준수할 수 없다고 주장하는 경우가 많다고 지적했습니다.
X의 행동은 유럽 연합의 데이터 개인 정보 보호에 대한 우려를 불러일으켰고 다른 회사에 경종을 울렸습니다. 인공지능이 빠르게 발전하는 시대에 기술 혁신과 사용자 개인 정보 보호 사이의 균형을 어떻게 맞추는지는 지속적인 과제가 될 것입니다. 앞으로 유사한 사고가 더 자주 발생할 수 있으므로 기업과 규제 기관이 협력하여 보다 완전한 데이터 보호 메커니즘을 구축해야 합니다.