일론 머스크가 소유한 소셜 미디어 플랫폼 X가 사용자 동의 없이 유럽연합(EU) 거주자의 데이터를 수집하여 AI 모델 훈련에 활용했다는 논란으로 인해 일련의 사생활 침해 불만을 제기하고 있습니다.
지난달 말, 한 소셜 미디어 사용자가 X가 지역 사용자들의 게시물 데이터를 처리하여 Grok AI 챗봇을 훈련시키기 시작했다는 설정 항목을 발견했습니다. 이 사실이 알려지자, X의 EU 일반 데이터 보호 규정(GDPR) 준수 감독을 주도하는 감시 기관인 아일랜드 데이터 보호 위원회(DPC)는 "놀라움"을 표했습니다.
GDPR은 확정된 위반 사례에 대해 전 세계 연간 매출의 최대 4%에 달하는 벌금을 부과할 수 있으며, 모든 개인 데이터 사용에는 유효한 법적 근거가 필수입니다. 오스트리아, 벨기에, 프랑스, 그리스, 아일랜드, 이탈리아, 네덜란드, 폴란드, 스페인 등 아홉 개국 데이터 보호 당국에 제기된 X에 대한 불만들 역시, X가 사용자 동의 없이 유럽인의 게시물을 처리하여 AI를 훈련시키는 방식으로 이 법적 절차를 위반했다고 주장합니다.
이 불만 제기를 지원하는 사생활권 비영리 단체 noyb의 회장인 맥스 슈렘스는 성명을 통해 "우리는 지난 몇 년간 DPC가 규제를 집행하는 과정에서 비효율적이고 불완전한 사례를 셀 수 없이 많이 목격했다"며 "우리는 트위터가 EU 법을 완전히 준수하도록 보장하고자 한다. 이는 최소한 이 경우 사용자에게 동의를 요청해야 함을 의미한다"고 밝혔습니다.
DPC는 이미 AI 모델 훈련을 위한 X의 데이터 처리에 대해 일부 조치를 취하며, 해당 데이터 사용 중단을 강제하는 금지 명령(injunction)을 구하는 아일랜드 고등법원(Irish High Court) 소송을 제기했습니다. 그러나 noyb는 DPC의 조치만으로는 불충분하다고 지적하며, X 사용자가 이미 수집된 데이터("already ingested data")를 삭제하도록 회사를 강제할 방법이 없음을 강조했습니다. 이에 대응하여 noyb는 아일랜드와 다른 7개 국가에 GDPR 위반 불만을 제기했습니다.
이 불만들은 X가 사용자 동의 없이 EU 거주자 약 6천만 명의 데이터를 AI 훈련에 사용하는 데 유효한 법적 근거가 없다고 주장합니다. 해당 플랫폼은 AI 관련 처리를 위해 "정당한 이익(legitimate interest)"이라는 법적 근거에 의존하는 것으로 보이지만, 사생활 전문가들은 반드시 사용자 동의를 받아야 한다고 지적합니다.
슈렘스는 "사용자와 직접적으로 상호작용하는 기업이라면, 데이터를 사용하기 전에 단순히 예/아니오(yes/no) 프롬프트를 보여주기만 하면 된다. 그들은 다른 많은 목적으로도 정기적으로 그렇게 하기 때문에, AI 훈련에도 충분히 가능한 일"이라고 제안했습니다.
한편, Meta는 noyb가 일부 GDPR 불만 제기를 펼치고 규제 당국의 개입이 이루어진 후, AI 훈련을 위한 사용자 데이터 처리와 유사한 계획을 중단한 바 있습니다.
하지만 X가 사용자에게 통보하는 절차 없이 조용히 사용자 데이터를 확보하여 AI 훈련에 활용하는 방식은 몇 주 동안 감시망을 피해나가는 것을 가능하게 한 것으로 보입니다.
DPC에 따르면, X는 5월 7일부터 8월 1일까지 유럽인들의 데이터를 AI 모델 훈련에 처리해 왔습니다.
X 사용자들은 웹 버전 플랫폼에 추가된 설정을 통해 처리에서 '거부(opt out)'할 수 있는 권한을 얻었으나, 이는 늦어도 7월경 이후의 일입니다. 이보다 앞선 시점에는 처리를 차단할 방법이 없었습니다. 게다가, 애초에 데이터가 AI 훈련에 사용되고 있다는 사실조차 모르는 상태에서 거부를 하는 것은 매우 어렵습니다.
이 점은 GDPR이 유럽인의 권리와 자유에 영향을 줄 수 있는 정보의 예기치 않은 사용으로부터 그들을 명시적으로 보호하기 위해 만들어진 목적이라는 점에서 매우 중요합니다.
X의 법적 근거 선택에 반박하는 noyb는 유럽 최고 법원의 과거 판결을 근거로 제시했습니다. 이 판결은 메타가 광고 타겟팅을 위해 개인 데이터를 사용한 것과 관련되었던 것으로, 재판부는 해당 사용 사례에는 '정당한 이익에 근거한 법적 근거'가 유효하지 않으며 사용자 동의를 받아야 한다고 판결한 바 있습니다.
noyb는 또한 생성형 AI 시스템 제공업체들이 '잊힐 권리'나 '개인 데이터 사본을 받을 권리'와 같은 다른 핵심 GDPR 요건을 준수하는 것이 어렵다고 주장하는 경우가 많다는 점을 지적합니다. 이러한 우려는 OpenAI의 ChatGPT에 대한 다른 미해결 GDPR 민원에서도 확인할 수 있습니다.