무슨 일이 있었나
2026년 6월 11일, 캐나다 개인정보보호청(OPC)은 PIPEDA Findings #2026-004를 발표했습니다. OPC는 X Corp.(플랫폼 X 운영자)과 X.AI LLC(Grok 챗봇 개발자)가 Grok의 이미지 생성 서비스를 통해 노골적이고 성적인 딥페이크를 생성하기 위해 수집, 사용 및 공개된 개인정보에 대해 유효한 동의를 얻지 못함으로써 PIPEDA를 위반했다고 판단했습니다. 위원회가 시작한 조사는 2026년 1월 15일에 개시되었습니다. OPC는 성적 딥페이크 생성을 가능하게 하는 목적이 동의 여부와 관계없이 합리적인 사람에 의해 적절하다고 간주되지 않을 것이라고 판단했습니다. 조사 중 X와 xAI는 딥페이크 오용 위험을 줄이기 위한 새로운 보안 조치와 유해 콘텐츠를 탐지/제거하기 위한 사전 조사를 도입했습니다. OPC는 구현 상황을 계속 모니터링할 것입니다.
왜 중요한가
이는 AI 이미지 생성 기능을 직접 대상으로 하는 캐나다 개인정보보호 집행 판결로는 처음입니다. PIPEDA에 따라 다음을 확립합니다: (1) 동의는 성적 딥페이크 생성을 위한 개인정보의 수집/사용을 정당화할 수 없습니다; (2) '합리적인 사람' 적절성 테스트는 동의 메커니즘뿐 아니라 AI 사용 사례 자체에 적용됩니다. 이는 캐나다에서 운영되는 모든 AI 이미지 생성 서비스에 대한 구속력 있는 준수 선례를 설정하며, 전 세계 개인정보보호 위원회가 AI 생성 친밀한 콘텐츠에 어떻게 접근할 수 있는지를 신호합니다.
필요한 조치
캐나다 사용자를 보유한 AI 이미지/비디오 생성 서비스 운영자는 다음을 수행해야 합니다: (1) 자신의 서비스가 친밀하거나 성적인 콘텐츠를 생성할 수 있는지 평가; (2) 이러한 생성을 방지하기 위한 기술적 보안 조치 구현; (3) 동의 프레임워크 검토 — PIPEDA에서 사용이 본질적으로 부적절한 경우 동의만으로는 불충분합니다. 유해한 AI 생성 콘텐츠에 대한 사전 탐지 및 제거 시스템을 구현하세요.