인공지능(AI) 스피커를 통한 개인정보 수집 전 사용자 동의를 구하도록 강제한 법안이 나왔다.
박선숙 바른미래당 의원은 이 같은 내용을 담은 '정보통신망 이용촉진 및 정보보호에 관한 법률 일부 개정안'을 4일 발의했다. 개인정보 수집을 시작하는 단계에서 관련 사실을 알리고 동의를 받도록 AI스피커를 설계해야 한다는 것이 골자다. 사용자는 자신의 정보가 언제, 어떻게 수집되는지 예측할 수 있다.
현행법은 정보통신서비스 제공자가 이용자 개인정보를 수집하려면 수집 목적과 항목, 보유기간을 알리고 동의받도록 규정했다. 개정안은 이들 조항에 수집 시점을 추가했다.
현재 AI스피커는 사생활 침해 논란에 휩싸였다. 실제 아마존 AI스피커 '에코'가 녹음한 부부간 대화 파일이 무단 유출되는 일이 벌어지기도 했다. 구글도 녹음·수집한 음성정보를 비식별화 조치 없이 무기한 보관하고 있다고 박 의원은 지적했다.
그는 국내외 기업 대상 실태 점검이 필요하다고 정부에 당부했다. 방송통신위원회 조사과정을 지켜본 뒤 국정감사에서 이 문제를 집중 조명할 계획이다.
AI스피커 기술적 한계도 노출됐다. 일부 AI스피커는 오작동으로 인해 이용자 명령 없이도 활성화된다. 이때마다 음성정보를 지속 수집할 수 있다.
정보통신정책연구원에 따르면 AI스피커는 이용자와 상호 작용하기 위해 대기 상태를 유지한다. 프라이버시를 상시 침해받을 수 있는 환경에 놓인 셈이다. AI디바이스에 대한 모호한 개인정보 수집·활용 기준과 맞물려 프라이버시 침해, 보안 위협은 가중되고 있다.
개정안은 개인정보 자기결정권과 최소수집 원칙을 AI스피커 등에도 적용했다. 최소 수집 원칙은 OECD가 제시한 '개인정보보호 가이드라인' 8대 원칙 중 첫 번째 항목이다. 국내 개인정보보호법 기본원칙이기도 하다.
개정안에는 처벌 조항이 담겼다. 위반 행위와 관련한 매출액 중 100분의 3 이하를 과징금으로 부과할 수 있다. 5년 이하 징역 또는 5000만원 이하 벌금을 물리는 것도 가능하다.
최종희기자 choijh@etnews.com