데이팅 앱 범블이 AI 대화 기능에서 사용자 동의 없이 개인정보를 활용했다는 이유로 GDPR 위반 혐의를 받고 있다. 유럽 개인정보 단체 noyb가 공식 고소장을 제출했다.
데이팅 앱 범블(Bumble)이 유럽연합 일반개인정보보호법(GDPR) 위반 혐의로 조사를 받을 전망이다. 유럽 개인정보보호 단체 노이브(noyb, None of Your Business)는 범블이 AI 기능을 도입하면서 사용자 동의 없이 민감한 개인정보를 외부 인공지능 시스템에 제공했다고 주장하며, 6월 26일(현지시간) 오스트리아 데이터보호당국(DSB)에 공식 고소를 제기했다.
문제의 기능은 2023년 12월에 출시된 ‘AI 아이스브레이커(AI Icebreakers)’로, 범블 내 ‘범블 포 프렌즈(Bumble for Friends)’ 섹션에서 대화를 자연스럽게 시작할 수 있도록 인공지능이 메시지를 추천해주는 도구다. 이 기능은 오픈에이아이(OpenAI)의 챗GPT(ChatGPT)를 기반으로 작동하며, 사용자 프로필 정보를 바탕으로 첫 메시지를 자동 생성한다.
노이브는 이 기능이 사용자의 동의 없이 작동하며, 범블은 형식적으로 ‘확인(Okay)’ 버튼을 누르도록 유도하는 팝업만을 반복적으로 띄워 사실상 강제적 동의를 유도한다고 지적했다. 데이터보호 전문 변호사 리사 스타인펠트(Lisa Steinfeld)는 “해당 팝업은 사용자에게 통제권이 있다는 착각만 주며, 실제로는 범블이 ‘정당이익’이라는 모호한 법적 근거를 내세워 정보를 처리하고 있다”고 밝혔다.
GDPR 제6조 제1항에 따르면, 개인정보 처리는 원칙적으로 당사자의 명시적 동의를 바탕으로 해야 하며, 특히 성적 지향 등 민감한 정보는 제9조에 따라 더욱 엄격한 동의가 필요하다. 그러나 범블은 AI 기능에 사용자의 프로필, 취향, 성적 지향 등의 정보를 활용하면서도, 수집 대상과 처리 목적에 대한 고지 의무를 제대로 이행하지 않았다는 비판을 받고 있다.
노이브는 범블이 GDPR 제5조 제1항(투명성 원칙)과 제15조(정보 열람권) 등을 위반했으며, 사용자 요청에도 불구하고 구체적인 정보 제공 없이 불완전한 응답만을 반복했다고 밝혔다. 고소장에는 ‘AI 아이스브레이커’ 기능 중단과 적법한 법적 근거 확보, 향후 유사 위반 방지를 위한 행정벌 부과를 요구하는 내용이 포함됐다.
이번 사건은 생성형 AI 기술이 개인정보를 활용하는 방식과 그에 대한 동의 절차가 앞으로의 글로벌 규제 환경에서 핵심 쟁점으로 부상하고 있음을 보여준다. 오스트리아 당국의 최종 판단은 범블뿐만 아니라, 유럽 내 모든 AI 기반 플랫폼에 중대한 선례가 될 전망이다.