22.

ChatGPT의 잘못된 정보 생성은 개인정보를 침해하는가

• 새 탭 열기
• 작성 이력 보기

ChatGPT 등의 생성형 AI를 이용하여 특정인을 검색했는데, 생성형 AI가 잘못된 정보를 제공하고 그로 인해서 개인정보자기결정권을 침해했다면, 생성형 AI는 개인정보보호법에 의거한 법적 책임을 지는가? (잘못된 정보의 생성은 허위사실의 공표이므로 형법상 명예훼손가 될 수도 있으나, 여기서는 형법상의 쟁점은 논외로 하기로 한다) 

실제 있었던 사례를 소개하면, ChatGPT에서 노르웨이 사람 ‘Arve Hjalmar Holmen’를 검색했더니, ChatGPT는 Arve Hjalmar Holmen가 두 자녀를 살해하고 세 번째 아들을 살해하려 한 혐의로 유죄 판결을 받았고 21년 징역형을 받았다는 구체적인 정보를 결과값으로 제공하였다. 

이 허위정보가 포함된 결과를 본 Arve Hjalmar Holmen는 심히 놀라지 않을 수 없었고, 이에 개인정보 시민단체인 Noyb에 문의를 했고, Noyb는 ChatGPT의 생성 결과는 EU GDPR 즉 개인정보보호법 위반이라고 주장하였다. 

예컨대 우리 개인정보보호법에 의하더라도, ‘개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다(제3조 제3항).’의 규정이 있는바 개인정보의 정확성 보장 의무가 개인정보처리자인 ChatGPT에게 존재하고, EU의 GDPR 역시 동일한 취지의 조항이 있기 때문에, 이를 근거로 Noyb는 개인정보 정확성 보장 의무 위반 또는 데이터 정확성 원칙을 근거로 ChatGPT를 상대로 관련 기관에 민원을 제기한 것이다. 

생성형 AI가 잘못된 정보를 생성하는 기술적인 이유는 환각(hallucination)에 기인한 것이고, 이 환각 현상은 현재 기술로는 완전히 제거하기는 불가능한 상태이다. 그렇다면 쟁점은 생성형 AI가 잘못된 정보를 생성하지 않아야 한다는 점이 아니고, 생성형 AI의 환각에 기인한 생성결과에 대하여 정보주체의 시정 요청을 받아들여야 하느냐, 나아가 어떻게 시정을 해야 하는지의 문제로 귀결된다. 즉 정보주체의 시정조치에 대하여 ChatGPT가 시정을 하지 못하면 개인정보 정확성 의무를 위반한 것인가의 문제로 귀결된다. 

ChatGPT의 가능한 시정조치로는 특정 프롬프트 입력의 차단을 고려할 수 있다. 그러나 이용자의 프롬프트를 차단했다고 해도 여전히 시스템에서는 허위 정보가 남아 있다는 점에서 위험은 상존하고 따라서 근본적인 해결책이 되지 못한다. 그리고 전체 LLM 모델에 여전히 허위 정보가 남아 있는 한 언제든지 이 정보는 활용되고 출력될 수 있는 문제점도 존재한다. 

또 다른 조치로는 생성형 AI의 한계를 명확하게 고지하는 이른바 면책조항의 표시를 들 수 있다. 그러나 이 면책조항의 표시만으로 개인정보 정확성 원칙을 준수해야 하는 사업자의 의무를 피해갈 수는 없을 것으로 보인다. 

Noyb는 허위정보 삭제와 미세조정을 요구하고 있다. 즉 Noyb는 ChatGPT에서 허위정보 출력을 삭제되고 더 나아가 LLM 모델을 미세조정하여 부정확한 결과를 제거해야 한다고 주장하고 있다. 

반면 ChatGPT 운영사 오픈AI는 단순한 프롬프트 차단을 제시하고 있고, 허위정보 표시는 단순한 오류가 아니라 생성형 AI 시스템의 구조적 문제라는 점을 강조하고 있다. 

생성형 AI에서도 정확한 정보가 표시되어야 한다는 점은 의문이 없고, 오히려 정확한 정보 표시의 필요성이 기존의 검색 엔진보다 더 크다고 보는바, 이번 사건이 AI 발전에 큰 이정표가 될 것으로 보인다.