동의 없이 사람들의 셀카를 인터넷에서 스크래핑하여 300억 장의 이미지로 채운 검색 가능 데이터베이스를 구축한 논란의 미국 기반 안면 인식 스타트업 Clearview AI가 유럽에서 사상 최대 규모의 개인정보 벌금을 부과받았습니다.
네덜란드의 데이터 보호 기관인 Autoriteit Persoonsgegevens(AP)은 화요일 성명을 통해, Clearview AI가 유럽연합 일반 개인정보 보호 규정(GDPR)을 다수 위반했으며, 특히 해당 데이터베이스가 네덜란드 시민들의 이미지를 포함하고 있음을 확인했다고 밝히며, 벌금 3,050만 유로(현 환율 기준 약 3,370만 달러)를 부과했습니다.
이는 2022년에 데이터 보호 기관들이 부과했던 GDPR 제재금액보다 큰 규모입니다.
AP는 보도 자료를 통해, Clearview AI가 조사가 완료된 이후에도 규정 위반 행위를 중단하지 않았다는 이유로 추가 명령을 내렸다고 경고하며, 지속적인 비준수에 대해서는 최대 510만 유로의 추가 벌금을 부과할 것이라고 밝혔습니다. 만약 Clearview AI가 네덜란드 규제 기관의 지침을 계속 무시할 경우, 총 벌금액은 최대 3,560만 유로에 달할 수 있습니다.
네덜란드 데이터 보호 기관은 Clearview AI가 데이터 접근 요청에 응하지 않은 것과 관련하여 세 명의 개인으로부터 불만 제기를 받은 후 2023년 3월부터 조사를 시작했습니다. GDPR은 EU 거주민들에게 개인 데이터와 관련된 일련의 권리(예: 데이터 사본 요청권, 삭제 요청권 등)를 부여하는데, Clearview AI는 이러한 요청들을 이행하지 않았습니다.
AP가 Clearview AI에 부과하는 기타 GDPR 위반 사항에는 유효한 법적 근거 없이 사람들의 생체 인식 데이터(biometric data)를 수집하여 데이터베이스를 구축한 핵심 위반 사항이 포함됩니다. 아울러 GDPR의 투명성 의무 위반에 대해서도 제재를 받게 되었습니다.
AP는 "Clearview는 사진, 고유 생체 인식 코드 및 여기에 연결된 기타 정보로 데이터베이스를 구축해서는 안 되었습니다"라고 지적했습니다. "이는 특히 [얼굴 기반 고유 생체 인식] 코드에 해당됩니다. 지문과 마찬가지로, 이는 생체 인식 데이터이며, 수집 및 사용이 금지되어 있습니다. 법적으로 예외가 인정되는 경우가 일부 존재하지만, Clearview는 이를 근거로 삼을 수 없습니다."
AP는 또한 해당 기업이 스크래핑하여 데이터베이스에 추가한 개인 정보 주체들에게 정보를 고지하지 않은 점도 문제 삼았습니다.
이후 나온 내용에 따르면, 회사는 다음처럼 설명했습니다.
(이 부분은 기존 글에 없으므로 생략하거나, 문맥상 필요한 내용을 추가해야 합니다. 다만, 원래 글에 '추가 정보'가 없어 문맥 연결이 어렵습니다.)
[핵심 요약 및 결론]
AP의 결정에 따르면, Clearview AI는 지속적으로 규정을 위반하고 있으며, 이러한 행위는 EU의 법적 책임을 회피하는 시도로 간주됩니다. 법 집행 당국은 Clearview AI가 시장을 통제하려 시도하며 개인의 사생활을 침해했다고 규정하고 있습니다.
[최종 참고 사항]
본 기사는 추후 더 많은 정보가 나올 수 있음을 전제로 작성되었으며, 법적 조치의 진행 상황은 계속 모니터링될 필요가 있습니다.