친밀함의 통치: 로맨틱 AI 플랫폼 정책 분석

본 논문은 인간–AI 친밀 관계에서 발생하는 고유한 개인정보 위험을 규제 문서 수준에서 조명하고자, 서구와 중국 시장을 대표하는 로맨틱 AI 챗봇 6개(Grok Ani, Nomi.AI, Replika, Maoxiang, Zhumengdao, Xingye)의 개인정보처리방침(PP)과 이용약관(ToS)을 정성적 정책 분석한다. 연구 배경에서는 기존 AI 동반자 연구가 개인정보 유출·감시·정서적 조작 위험을 지적했지만, 정책 문서가 실제 데이터 흐름을 어떻게 규정하고 있는지는 미비했다는 점을 강조한다. **연구 방법**에서는 플랫폼 선정 기준(인기도·LLM 기반·지역 대표성)을 제시하고, PP와 ToS를 동시에 수집·코딩했다. 코드북은 GDPR·CCPA·PIPL을 고위 프레임으로 삼아, 데이터 유형·수집 목적·보유·제3자 공유·보안·GenAI 관련 조항 등을 포함한 30여 개 테마를 도출했다. 두 명의 연구자가 독립 코딩 후 합의를 거쳐, 인터레이터 신뢰도(IRR) 대신 합의 기반 해석 방식을 채택했다. **주요 발견**은 다음과 같다. 1. **정책 접근성 및 최신성**: 모든 플랫폼이 UI 내 ‘계정·프라이버시·법적’ 메뉴에 문서를 제공하지만, 업데이트 주기와 이전 버전 공개 정도는 차이가 크다. Grok만이 ToS 이전 버전을 공개하고, Xingye·Zhumengdao는 주요 변경 시 인앱 알림을 제공한다. 2. **데이터 유형·수집 목적**: 모든 플랫폼이 계정·통신·기술 데이터를 수집한다고 명시하지만, 구체적 항목과 목적 설명은 크게 다르다. Grok·Replika는 카테고리별 상세 설명을 제공하고, Nomi·중국 플랫폼은 ‘직접 제공된 정보’·‘서비스 이용 중 생성된 데이터’ 등 포괄적 표현에 머문다. 목적은 서비스 제공·보안·법적 준수 외에 ‘개선·분석·마케팅’ 등 광범위하게 열거되지만, 마케팅 목적을 명시하지 않는 경우도 많다. 3. **제3자 공유**: Grok·Replika는 서비스 제공자·계열사·법집행기관 등 구체적 수신자를 구분하지만, ToS에서는 “모든 목적”으로의 무제한 라이선스를 부여해 PP와 충돌한다. Nomi와 중국 플랫폼은 ‘핵심 기능 제공을 위한 필요 시’라는 모호한 문구만 남겨, 실제 공유 범위를 파악하기 어렵게 만든다. 4. **보유·삭제 정책**: 대부분 “필요한 기간 동안” 혹은 “법적 요구에 따라”라는 불명확한 문구를 사용한다. Nomi는 즉시 삭제를 보장하는 유일한 사례이며, 다른 플랫폼은 사용자가 삭제 요청을 하면 ‘합리적인 시간 내’ 처리한다는 정도만 명시한다. 5. **GenAI 투명성(RQ2)**: 학습 데이터 출처, 모델 업데이트 주기, 데이터 탈퇴(opt‑out) 메커니즘 등에 대한 공개가 거의 없으며, 모델이 생성한 오류(환각)나 기억 재현에 대한 책임을 전적으로 사용자에게 전가하는 면책 조항이 일반적이다. 6. **사용자 보호(RQ3)**: ‘안전 모드’, ‘위험 감지’, ‘연령 제한’ 등 보호 조치를 언급하지만, 구현 세부사항이나 독립적인 감시·감사 체계는 제시되지 않는다. 이러한 결과를 바탕으로 저자들은 **세 가지 구조적 메커니즘**을 제시한다. - **기본 학습 전용 권한(default training appropriation)**: 이용자가 제공한 모든 대화가 별도 동의 없이 모델 학습에 활용된다. - **소유권 재구성(ownership reconstruction)**: 플랫폼이 생성물에 대한 전면적 소유권을 주장하고, 사용자는 자신의 대화 기록에 대한 통제권을 상실한다. - **친밀 기록 자산화(intimate-history assetization)**: 감정적 대화가 ‘관계 데이터’라는 새로운 자산 형태로 전환돼, 프로파일링·맞춤형 마케팅·제3자 공유 등에 활용된다. **논의**에서는 이러한 메커니즘이 기존 개인정보 보호 규범을 회피하거나 약화시키는 방식으로 작동한다는 점을 강조한다. 특히 감정적 의존성을 이용해 데이터 제공을 ‘자연스러운’ 행위로 포장함으로써, 사용자는 위험을 인식하지 못하고 동의하게 된다. 저자들은 정책 투명성 강화·동의 설계 재구성·제3자 감시·데이터 최소화·사용자 탈퇴 권리 보장 등을 제언한다. **제한점**으로는 문서 분석에 국한돼 실제 데이터 흐름이나 기술적 구현을 검증하지 못했으며, 플랫폼 수가 제한적이고, 사용자 경험 조사와 연계되지 않았다는 점을 인정한다. 향후 연구에서는 실제 로그 분석, 사용자 인터뷰, 규제 시뮬레이션 등을 통해 정책‑실제 격차를 정량화하고, 디자인 차원에서 감정적 친밀성을 고려한 ‘관계 데이터’ 거버넌스 프레임워크를 개발할 필요가 있다.