개인정보보호위원회가 23일 제9회 전체회의를 열고, 중국 AI 스타트업 딥시크(DeepSeek)에 대한 사전 실태점검 결과를 심의·의결하고 시정권고를 내렸다. 이번 점검은 한국인터넷진흥원(KISA)과 함께 기술 분석 및 법적 요건 검토를 병행했다.

딥시크는 지난 1월 한국 앱 마켓 출시 당시 중국어와 영어로 된 개인정보 처리방침만을 제공했으며, 개인정보 파기 절차, 보호책임자 정보 등 법정 기재사항을 누락한 채 키 입력 패턴 등 광범위한 정보 수집을 예고한 바 있다.

개인정보위는 즉각 사전 실태점검에 착수했고, 딥시크는 3월 한국어 처리방침을 제출, 키 입력 패턴 수집은 실제 이뤄지지 않았다고 소명했다.

국외 이전 관련 점검에서는, 딥시크가 이용자 동의 없이 AI 프롬프트 입력 데이터를 포함한 개인정보를 중국 및 미국 소재 서버로 전송한 사실이 확인됐다. 특히 해당 데이터는 바이트댄스(Bytedance) 계열사인 볼케이노(Beijing Volcano Engine Technology Co., Ltd.)로 전송되며 보안 및 UI/UX 개선 목적으로 클라우드 서비스를 이용한 것으로 알려졌다. 개인정보위의 지적에 따라 딥시크는 10일부터 해당 데이터의 신규 전송을 차단했다.

AI 학습과 관련해선, 이용자가 AI 입력 데이터를 학습에 제공하지 않도록 거부(opt-out)할 수 있는 기능이 제공되지 않았던 점이 문제로 지적됐다. 이에 딥시크는 3월 17일부터 해당 기능을 도입했고, 지난해 개인정보위가 AI 기업들에 권고한 '강화된 보호조치'(개인정보 차단·삭제, 명확한 고지, 사용자 선택권 보장 등)를 모두 준수하겠다고 밝혔다.

이외에도 딥시크는 아동 개인정보 보호 및 보안 취약점 개선을 위해 연령 확인 절차 도입 및 개발 서버 접근 제한 등 기술적 조치를 완료한 것으로 나타났다.

개인정보위는 딥시크에 ▲한국어 처리방침 공개 ▲국외 이전 합법근거 구비 및 입력 데이터 즉시 파기 ▲AI 보호조치 이행 ▲아동 정보 관리 및 파기 ▲시스템 안전조치 강화 ▲국내 대리인 지정 등 6개 항목을 시정 및 개선 권고했다.

딥시크가 10일 이내에 권고를 수락할 경우, 이는 법적 시정명령으로 간주되며, 60일 이내에 이행 결과를 보고해야 한다. 개인정보위는 이후 최소 2차례 이상 이행 여부를 점검해 지속 관리할 방침이다.