New York Times의 사용자 개인정보 침해에 맞선 대응

신뢰, 보안, 그리고 개인정보 보호는 OpenAI가 만드는 모든 제품과 결정의 기준입니다. 

매주 8억 명이 삶의 가장 개인적인 부분과 관련하여 생각하고 배우고 생성하고 처리하는 데 ChatGPT를 사용합니다. 사람들은 민감한 대화, 파일, 자격 증명, 기억, 검색, 결제 정보, 그리고 자신을 대신하여 행동하는 AI 에이전트를 OpenAI에 믿고 맡깁니다. OpenAI는 이 데이터를 사용자의 디지털 생활에서 가장 민감한 정보 중 하나로 취급하며, 그 책임에 걸맞게 개인정보 보호 및 보안 조치를 구축하고 있습니다.

지금 그 책임이 시험대에 놓여 있습니다. 

New York Times는 당사에 비공개 ChatGPT 대화 2,000만 건을 제출하라고 요구하고 있습니다. New York Times는 사용자가 유료화 장벽을 우회하기 위해 ChatGPT를 사용한 사례를 찾을 수 있다고 주장합니다.

이러한 요구는 오랫동안 지켜온 개인정보 보호를 무시하고 상식적인 보안 관행을 위반하는 것이며, OpenAI를 상대로 한 New York Times의 근거 없는 소송과 아무런 관련이 없음에도 사용자들의 개인적인 대화 수천만 건을 제출하도록 강요하는 것입니다.

New York Times는 이전에도 비슷한 시도를 한 적이 있습니다. 원래 New York Times는 사용자가 비공개 채팅을 삭제할 수 있는 기능을 없애기를 원했습니다. 당사는 그에 맞서 싸웠고 제거할 권리를 되찾았습니다. 이후 New York Times는 비공개 ChatGPT 대화 14억 건을 제출하라고 요구했습니다. 당사는 반대했고, 지금도 다시 반대하고 있습니다. 사용자의 비공개 대화는 사용자의 것이며, 온라인 콘텐츠 액세스를 둘러싼 분쟁의 담보가 되어서는 안 됩니다. 

OpenAI는 강력하고 독립적인 저널리즘을 존중하며 많은 미디어 발행사 및 뉴스룸과 협력합니다. 저널리즘은 역사적으로 전 세계에서 개인의 프라이버시권을 보호하는 데 중요한 역할을 해왔습니다. 그러나 New York Times의 이번 요구는 그러한 전통에 부합하지 않으며, 당사는 법원에 이를 기각해 줄 것을 요청하고 있습니다. 사용자의 개인정보를 보호하기 위해 사용 가능한 모든 수단을 계속해서 탐색할 것입니다. 

당사는 데이터를 보호하기 위해 보안 및 개인정보 보호 로드맵을 가속화하고 있습니다. OpenAI는 세계에서 가장 많이 표적이 되는 조직 중 하나입니다. 당사는 조직범죄 그룹부터 국가가 후원하는 정보기관에 이르기까지 다양한 공격자가 사용자 데이터에 무단으로 액세스하는 것을 방지하는 시스템을 구축하기 위해 상당한 시간과 자원을 투자했습니다. 

그러나 New York Times의 요구가 성공하면, 그동안 보호해 온 바로 그 사용자 데이터를 New York Times의 변호인 및 유료 컨설턴트를 포함한 서드파티에게 넘겨야 합니다.

장기 로드맵에는 데이터를 비공개로 유지하도록 설계된 고급 보안 기능이 포함되어 있으며, ChatGPT를 통한 메시지의 클라이언트 측 암호화가 그중 하나입니다. 이러한 기능은 비공개 대화를 비공개로 유지하고 다른 사람, 심지어 OpenAI도 액세스할 수 없도록 만듭니다. 제품의 안전 문제를 감지하기 위한 완전 자동화 시스템을 구축할 것입니다. 타인의 생명에 대한 위협, 타인을 해치려는 계획, 사이버 보안 위협과 같은 심각한 오용 및 중대한 위험만이 엄격한 심사를 거친 소규모 팀에 에스컬레이션될 수 있습니다. 이러한 보안 기능은 현재 활발히 개발 중이며, 가까운 시일 내에 이에 대한 자세한 내용과 기타 단기적인 완화 조치를 공유할 예정입니다. 

AI가 사람들의 삶에 더욱 깊숙이 통합됨에 따라 개인정보 보호 및 보안 조치는 더욱 강력해져야 합니다. OpenAI는 사용자의 가장 개인적인 AI 대화에서 안전, 보안, 비공개가 유지되는 미래를 위해 최선을 다하고 있습니다.

—Dane Stuckey, OpenAI 최고 정보 보안 책임자 

New York Times와 다른 원고들이 이러한 요구를 하는 이유는 무엇인가요?

• New York Times는 OpenAI를 상대로 소송을 제기했습니다. 근거 없는 이 소송에서 New York Times는 2,000만 건의 사용자 대화 제출을 법원에 요청했습니다. 이 경우 New York Times는 사건과 관련이 없는 수백만 건의 사용자 대화에 액세스할 수 있게 됩니다.
• 당사는 이것이 과도한 조치라고 굳게 믿습니다. 소송을 해결하는 데 실제로 도움이 되지 않으면서 사용자의 개인정보를 위험에 빠뜨리는 것입니다. 그래서 여기에 맞서 싸우고 있습니다.

이 단계에 이르게 된 계기는 무엇인가요?

• New York Times의 변호인들은 이전에 다른 AI 회사가 본 건과 무관한 법정 소송에서 비공개 사용자 채팅 500만 건을 넘겨주기로 합의한 적이 있기 때문에 자신의 요청이 받아들여져야 한다고 법원에 주장했습니다.
• 당사는 이 사례가 본 사안과 관련이 있다는 데 강력히 반대하며 계속 이의를 제기할 것입니다.

New York Times에 다른 해결책을 제안했나요?

• 몇 가지 개인정보 보호 옵션을 New York Times에 제시했습니다. 샘플에 대한 타깃 검색(예: 해당 주장과 관련된 대화만 수신할 수 있도록 New York Times 기사의 텍스트가 포함된 채팅 검색), 샘플에서 ChatGPT가 사용된 방식을 분류한 개괄적 데이터 등이 포함됩니다.
• New York Times는 이를 거부했습니다.

NYT는 이 데이터를 비공개로 유지할 의무가 있나요? 

• 네, New York Times는 현재 법원 절차 외부에서 데이터를 공개하지 않을 법적 의무가 있습니다. 그러나 New York Times가 대화 공개로 이어지는 방식으로 액세스를 계속 시도한다면, 당사는 모든 단계에서 개인정보를 보호하기 위해 싸울 것입니다.
• 또한 이 소송에서 New York Times가 원래 요구한 내용은 훨씬 더 광범위했습니다. 처음에는 14억 건의 비공개 ChatGPT 대화를 요구했지만, 당사는 법적 절차를 통해 이를 성공적으로 거부했습니다. 이는 신중하게 또는 진정으로 필요에 의해 이루어진 요청이 아님을 시사하는 적신호로 해석되었습니다.

2,000만 건의 채팅은 어떻게 선별되나요?

• 2,000만 건의 사용자 대화는 2022년 12월부터 2024년 11월까지 중에서 무작위로 샘플링되었습니다.

내 데이터가 잠재적으로 영향을 받을 수 있나요? 

• 이 데이터에는 2022년 12월부터 2024년 11월까지의 소비자 ChatGPT 대화에 대한 무작위 샘플이 포함되어 있습니다. 
• 이 시간 범위 밖의 대화는 잠재적으로 영향을 받지 않습니다. 

기업 고객도 잠재적으로 영향을 받을 수 있나요? 

• ChatGPT Enterprise, ChatGPT Edu, ChatGPT Business(기존 “Team”) 고객이나 API 고객에게는 영향을 미치지 않습니다.

개인정보와 프라이버시 보호를 위해 어떤 조치를 실행하고 있나요?

• 당사는 해당 대화에서 개인 식별 정보(또는 “PII”) 및 기타 정보(예: 비밀번호 또는 기타 민감한 정보)를 제거하거나 “스크럽”하기 위해 모든 관련 채팅에 비식별화 절차를 실행하고 있습니다. 
• 또한 엄격한 법적 프로토콜에 따라 유지되는 안전한 환경에서만 New York Times가 이 데이터를 볼 수 있도록 할 것입니다.

OpenAI는 이 데이터를 어떻게 저장하나요?

• 법원 명령이 적용되는 콘텐츠는 현재 보안 시스템에 별도로 저장되어 있습니다. 법적 보존 명령에 따라 보호되므로 법적 의무 이행 이외의 목적으로 액세스하거나 사용할 수 없습니다.
• 법적 의무를 준수하는 데 필요한 경우, 감사를 받은 소규모의 OpenAI 법무 및 보안 팀만 이 데이터에 액세스할 수 있습니다.

누가 이 데이터에 액세스할 수 있나요?

• 이 사건을 담당하는 New York Times 공식 외부 변호인 및 고용된 기술 컨설턴트가 대화에 액세스할 수 있습니다. 당사는 엄격한 법적 프로토콜에 따라 유지되는 안전한 환경에서만 New York Times가 이 데이터를 볼 수 있도록 할 것입니다.
• New York Times가 대화 공개로 이어지는 방식으로 액세스를 계속 시도한다면, 당사는 모든 단계에서 개인정보를 보호하기 위해 싸울 것입니다.

이 법원 명령은 GDPR 또는 유럽 및 기타 개인정보 보호법에 따른 권리를 위반하나요?

• 당사는 법률을 준수해야 하므로 현재 이를 따르는 조치를 취하고 있지만, New York Times의 요구는 당사의 개인정보 보호 기준에 부합하지 않습니다. 그래서 당사는 여기에 맞서고 있습니다.
• 앞서 언급했듯이, 당사는 개인정보를 보호하기 위해 데이터 비식별화 및 개인 식별 정보 제거와 같은 추가 조치를 취했습니다.

계속 업데이트된 정보를 제공해 주나요?

• 네, 당사는 투명성을 위해 최선을 다하고 있으며 계속해서 정보를 제공해 드리겠습니다. 명령 변경이나 사용자 데이터에 미치는 영향 등과 관련해 의미 있는 업데이트 사항을 공유해 드리겠습니다.