AI 학습 데이터, 공개 데이터도 GDPR 동의 필요할까? 유럽의 규제 움직임
최근 일론 머스크의 X(구 트위터)가 유럽연합(EU) 사용자의 공개 게시물을 인공지능(AI) 챗봇 Grok 학습에 활용한 혐의로 유럽 규제 당국의 조사를 받고 있습니다. 이는 EU의 개인정보 보호법에 따라 기업이 공개적으로 이용 가능한 데이터를 사용하는 방식에 대한 선례를 만들 수 있는 중요한 사건입니다.
아일랜드 개인정보보호위원회의 조사 착수
아일랜드 개인정보보호위원회(DPC)는 X의 아일랜드 법인인 XIUC가 GDPR(유럽 일반 개인정보 보호법)의 주요 조항을 준수했는지 조사하고 있습니다. 핵심 쟁점은 X가 사용자의 게시물, 프로필, 상호 작용 등 공개 데이터를 자회사 xAI와 공유하여 Grok 챗봇 학습에 사용하는 관행입니다. 명시적인 사용자 동의가 부족하다는 점에서 규제 당국과 개인정보 보호 옹호론자들의 우려가 제기되고 있습니다.
메타의 유사한 움직임, 업계 전반의 감시 강화 예상
경쟁사인 메타 역시 EU 내에서 AI 모델 학습에 공개 게시물, 댓글, 사용자 상호 작용을 활용하겠다고 발표했습니다. 이는 AI 업계 전반의 추세로 이어질 가능성이 있으며, 규제 당국의 감시를 더욱 강화할 수 있습니다. 많은 AI 기업들이 규제 준수를 완전히 고려하기 전에 모델을 먼저 개발하고 출시하는 "선 개발, 후 검토" 전략을 채택하고 있다는 지적도 있습니다.
GDPR 준수, 기업의 AI 도입에 영향
이번 조사는 기업의 AI 모델 도입에도 영향을 미칠 가능성이 큽니다. 공개 데이터를 기반으로 학습된 AI 모델의 법적, 평판 리스크를 기업들이 고려하게 되면서 AI 도입에 신중한 태도를 취할 수 있습니다. 실제로 EU의 많은 기술 리더들은 AI 모델 배포를 승인하기 전에 모델의 데이터 출처를 면밀히 검토하고 있습니다.
데이터 스크래핑, GDPR 위반 가능성 제기
일부 전문가들은 공개 데이터라 하더라도 GDPR에 따라 사용자 동의가 필요할 수 있다고 주장합니다. 만약 규제 당국이 이러한 결론을 내린다면, 유럽뿐만 아니라 전 세계적으로 AI 모델 학습 방식에 대한 재고가 불가피해질 수 있습니다. 데이터 스크래핑은 특히 2018년부터 GDPR이 시행된 EU에서 심각한 문제로 여겨지고 있습니다.
EU 외 다른 국가들의 움직임도 주목
아일랜드의 이번 조사는 AI 시대에 동의의 의미를 재고하는 계기가 될 수 있으며, 다른 국가들의 규제 방향에도 영향을 미칠 수 있습니다. 독일, 네덜란드와 같은 EU 회원국은 물론 싱가포르, 캐나다와 같은 국가들도 EU의 선례를 따를 가능성이 높습니다. AI 벤더에게 데이터 규정 준수 책임에 대한 면책 조항을 요구하는 기업 고객도 늘어날 것으로 예상됩니다.
맺음말
이번 X에 대한 유럽 규제 당국의 조사는 AI 학습 데이터 활용에 대한 중요한 분수령이 될 수 있습니다. 공개 데이터라는 이유로 무분별하게 AI 학습에 활용하는 관행에 제동을 걸고, 사용자 동의의 중요성을 다시 한번 강조하는 계기가 될 것입니다. 기업들은 AI 모델 도입 시 데이터 출처와 GDPR 준수 여부를 더욱 꼼꼼히 확인해야 할 것입니다.
