무슨 일이 있었나
이탈리아의 데이터 보호 당국(Garante per la protezione dei dati personali)은 생성형 AI 동반자 플랫폼 Character.AI의 미국 소유사인 Character Technologies Inc.에 GDPR 위반으로 €158,000의 벌금을 부과했습니다. Garante는 개인 데이터 처리에 관한 사용자에 대한 불충분한 정보 제공, 미성년자에 대한 불충분한 연령 확인 보호(차단된 미성년자의 반복 등록 시도를 방지하는 '냉각 기간'의 실패 포함), Data Protection Impact Assessment(DPIA)의 늦은 완료, EU 담당자 임명 지연을 발견했습니다. 이 명령은 Character Technologies이 연령 확인 시스템을 수정하고, 차단된 미성년자에 대한 재등록 방지 메커니즘을 강화하고, 미성년자 사용자 프로필을 기본적으로 비공개로 설정하도록 요구합니다(준수 기한은 120일 이내로 보도됨).
왜 중요한가
이는 생성형 AI 동반자/챗봇 서비스의 아동 안전 및 데이터 처리 관행을 구체적으로 대상으로 하는 GDPR 집행 조치이며, Garante가 유럽에서 가장 활동적인 AI 규제 기관 중 하나라는 점을 계속 보여줍니다(2023년 ChatGPT를 이전에 금지함). 이는 EU AI Act 자체와는 별개인 집행 벡터인 AI 동반자 앱에 대한 연령 확인 및 DPIA 의무를 EU 데이터 보호 당국이 적극적으로 집행하고 있음을 신호하며, 특히 미성년자가 접근할 수 있는 EU 사용자가 있는 생성형 AI 서비스에 직접적인 영향을 미칩니다.
필요한 조치
EU에서 운영 중인 AI 동반자/챗봇 제공자는 연령 확인 효과성을 감시하고, 미성년자와 관련된 처리 전에 DPIA가 완료되었는지 확인하고, GDPR 제27조에 따라 필요한 경우 EU 담당자를 임명하고, 미성년자 사용자를 위해 기본적으로 비공개 프로필을 설정해야 합니다. Character Technologies은 준수 기한 내에 Garante 명령 수정을 구현해야 합니다.