[4차산업행정뉴스=서정용기자]   대통령 후보들은 새로운 AI 시대에 맞게 개헌을 통한 디지털 정보기본권 신설 및 국가의 개인정보보호 의무를 공약하라

최근 중국발 개인정보 국외 유출·침해 사태로 국내 개인정보보호의 구조적 허점으로 들어났다. 지난 2월경 중국계 생성형 AI 모델 딥시크(www.deepseek.com)가 무단으로 국내 개인·공공·통신·포털정보를 수집해 AI 학습 데이터로 활용해 온 정황이 드러났다. 

특히 딥시크의 국내 정보유통 경로조차 파악되지 않은 상황에서 국내 이용자의 이름, 전화번호, 위치정보 등 개인정보를 수집해 저장하고, 이를 LLM(대규모 언어 모델) 개발에 활용하고 상업화까지 하려던 것으로 보인다. 

이어 5월경에는 중국의 해외직구 온라인쇼핑몰 테무(www.temu.com) 역시 국내 이용자의 구매내역, 접속기록, 연락처 등 개인정보를 중국 본사에 전송해온 사실이 드러났다. 즉, 국내 이용자에게 아무런 고지도 없이 개인정보보호법상 동의를 받지 않은 채 이러한 민감정보가 국외 유출됐다.

이에 대한 정부의 사전 대처는 미흡했다. 이러한 개인정보의 유출·침해는 명백한 위법이다. 현행 개인정보보호법 제4조, 제15조, 제28조의8, 제37조의2 등에 따르면 개인정보의 수집·이용·국외 이전 시 정보주체의 동의는 물론 별도의 고지와 보호조치까지 선행돼야 하기 때문이다. 

생성형 AI의 경우 개인정보 처리 방식과 자동화된 결정에 대한 설명을 요구하거나 이에 대해 거부할 수 있다. 특히 동법 제63조의2(사전 실태점검)에 따라 개인정보보호위원회가 취약점을 선제적으로 점검하여 침해위험을 사전에 제거할 수 있게 시정권고를 내리도록 규정하고 있다. 

그러나 딥시크 출시와 동시에 국내 개인정보보호 등 서비스를 위한 대리인을 지정했어야 하지만, 10일 이상 지연되면서 정부의 조치까지 보름가량 지체됐다. 2023년 국정감사 직후 테무뿐만 아니라, 알리익스프레스(www.aliexpress.com)의 개인정보 유출 우려가 지속적으로 제기됐음에도, 개인정보보호위원회는 뒤늦게 조사에 착수했고 제재까지 최소 280일에서 최대 574일이 각각 걸렸다. 

정부의 늑장 대처 속에서 국민들의 개인정보는 이미 중국으로 유출돼 AI 학습과 LLM 개발 등 이윤 창출에 이용된 것이다.

이에 경실련은 개인정보 국외 유출 사태를 조직적인 데이터 주권 침해와 민생범죄로 규정하고 정부의 신속한 대응을 촉구한다. 

특히 중국발 개인정보 유출·침해 피해는 조직적인 보이스피싱 등 전자금융사기로도 직결되기 때문이다. 따라서 정부와 국회가 이 사태를 디지털 주권과 정보인권의 문제로 인식하고, 국민의 개인정보보호를 위한 골든타임을 놓치지 않기 위해서는 다음과 같이 즉각 대응할 것을 강력히 촉구한다고 밝혔다.

첫째, 정부는 딥시크, 테무 등 중국발 개인정보 국외 유출·침해 기업에 대해 외교적으로 공식 항의하고 책임을 물어라. 즉, 개인정보를 무단 수집한 국외기업들에 대한 국내 제재뿐만 아니라, 중국 정부 등과의 외교 채널을 통해 사전 실태점검을 위한 국제 공조와 수사 공조를 요구해야 한다.

둘째, 국무총리실과 개인정보보호위원회는 재발 방지책을 마련하고, 개인정보 국외 유출·침해 사업자에 대한 강력한 제재와 시정조치를 강구하라. 즉, 보이스피싱 등 2차 피해를 근절하기 위해 개인정보의 국내외 불법 판매·유통한 사업자에 대한 강력한 형사처벌을 비롯한 단순 중개자인 척하며 법적 책임을 회피하는 글로벌 플랫폼 사업자에 대한 실질적인 제재와 배상책임을 강구해야 한다. 

특히, 상습위반 국외사업자에 대해서는 국내 서비스 차단 조치까지 강행하는 한편, 개인정보 유출·침해를 비롯한 보이스피싱 등 전자금융사기 피해자에 대한 정부 차원의 법률지원을 다해야 한다.

셋째, 국회는 디지털 주권 보호를 위한 「데이터 주권 국외침탈 방지법(개인정보보호법 일부개정법률안)」을 제정하라. 

중국뿐만 아니라, 특히 미국 국가안전보장국(NSA)과 구글의 국내 개인정보 무단 반출과 대량감시 사건(대법원 2023. 4. 13. 선고 2017다219232 판결)에서 보듯, 현지법상 “비공개 의무” 등을 규정한 경우 사실상 국제관계에 의해 국내법과 열람권이 무력화됐기 때문이다. 

따라서 국외 사업자가 국내 이용자의 개인정보를 국외 이전할 경우 수집 단계서부터 이전 단계까지의 관련 절차와 요건들을 보다 엄격하게 규정하고, 특히 미국과 같이 상호주의(동법 제28조의8 내지 제28조의10)의 원칙이 없거나 위배될 경우 국외 이전을 원칙적으로 금지하여 예외적으로만 허용하고, 위반 시 즉시 중지명령을 내려야 한다. 

또한 “미국과 같이” 국외 이전 개인정보에 대한 통합관리시스템을 구축하여 국외 플랫폼의 국내 개인정보 수집과 이전 실태를 실시간으로 대량 감시하는 기술과 제도적 기반을 마련할 필요가 있다.

 AI 시대 개인정보는 사적 전유물이 아니라 공공의 권리이다. EU의 GDPR(일반 개인정보보호 규칙)에서 보듯, 국민의 개인정보가 더 이상 글로벌 빅테크 기업의 플랫폼을 위한 마케팅 상품으로 취급되어서는 안 된다. 

최근 미국 트럼프 행정부의 디지털 무역장벽과 관세전쟁을 빌미로 국가가 현행 헌법상 정보기본권과 법률상 개인정보보호를 지키지 못한다면, 새로운 AI 전쟁시대에 정부는 국민의 선택을 받을 자격이 없다. 그러므로 대통령 후보자들은 새로운 AI 시대에 맞게 개헌을 통한 디지털 정보기본권(▲디지털 접근권, ▲데이터 주권, ▲개인정보자기결정권, ▲개인정보 연람권, ▲알고리즘 감시권) 신설 및 국가의 개인정보보호 의무를 공약하여, “국민의 정보는 국민의 것”이라는 원칙이 선진국과 경쟁에서 이들에 의해 더 이상 훼손되는 일이 없도록 국민들 앞에서 천명해야 할 것이다.