딥시크 개인정보 처리, 개인정보위의 엄격한 시정 지침

개인정보위, 딥시크 서비스 사전 실태점검 결과 발표

시정권고 및 개선권고 요약

• 시정권고: 개인정보 국외이전 시 합법 근거 구비, 이미 이전된 개인정보 파기, 한국어 처리방침 공개 및 구체화
• 개선권고: AI 관련 강화된 보호조치 준수, 개인정보 처리시스템 전반 점검 및 안전조치 수준 향상
• 이행관리: 국내대리인 지정 및 사후점검을 통한 관리 계획

실태점검 경과

딥시크 서비스 출시 직후 개인정보 침해 우려가 제기되어 개인정보위는 질의서 발송과 동시에 기술 분석에 착수했습니다. 이후 사전 실태점검을 통해 다양한 문제를 확인하고, 딥시크 측은 신규 다운로드를 잠정 중단하며 협조 의사를 밝혔습니다.

개인정보위의 시정 및 개선권고(안)

사전 실태점검 결과

1. 처리방침 관련

딥시크는 초기 처리방침에 한국어 미제공, 법정 항목 누락, 과도한 정보 수집 명시 등 문제가 있었으나, 한국어 처리방침과 관할조항을 추가로 제출하고 수집 항목을 정비하였습니다.

2. 개인정보 국외이전

국외이전 사실을 이용자에게 알리지 않거나 동의를 받지 않았으며, AI 프롬프트 입력 내용까지 전송하고 있었던 점이 문제되었습니다. 이에 따라 향후 해당 정보의 이전을 차단하고, 법정사항을 처리방침에 포함하였습니다.

AI 학습 거부 기능

3. AI 개발·학습 관련

입력 내용에 대해 거부(opt-out) 기능이 없었으나, 개선을 통해 거부 기능을 마련하고 개인정보위의 보호조치를 준수하기로 하였습니다.

연령 확인 절차

4. 아동 정보 및 보안조치

14세 미만 아동 여부 확인 절차 미비, 개발 서버 보안 취약점 등의 문제가 있었으나 점검 과정에서 개선 완료됨을 확인했습니다.

처분 및 향후 계획

• 시정권고: 합법적 국외이전 근거 구비, 이미 이전된 개인정보의 즉각 파기, 한국어 처리방침 공개
• 개선권고:
  1. 강화된 개인정보 보호조치 준수
  2. 아동 정보 수집 여부 확인
  3. 시스템 안전조치 향상
  4. 국내대리인 지정
• 딥시크는 10일 이내 시정 수락 시 시정명령을 받은 것으로 간주되며, 60일 이내 이행결과를 보고해야 합니다.
• 개인정보위는 2회 이상 후속 점검을 통해 이행 여부를 지속적으로 관리할 예정입니다.

해외사업자 대상 안내서 활용 당부

이번 점검을 계기로 개인정보위는 해외사업자 대상 개인정보보호법 안내서의 핵심 사항을 체크리스트 형태로 제공할 예정입니다. 해외사업자는 이를 통해 한국 정보주체의 권리를 충실히 보장하고 서비스를 안전하게 운영해야 합니다.