법무법인(유) 화우

개인정보보호위원회(이하 “개인정보위”)는 2026년 5월 「생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드」(이하 “본 가이드”)를 발간하였습니다.

본 가이드는 형식상 일반 이용자를 대상으로 한 안내자료이나, 생성형 AI 서비스를 제공하는 기업에게는 학습 거부(옵트 아웃)·대화기록 삭제·국외이전 고지·외부연동 권한 관리 등 규제기관이 기대하는 서비스 설계 방향을 보여주고, 임직원이 생성형 AI를 업무에 활용하는 기업에게는 고객·거래처 정보 및 영업비밀이 적법한 근거 없이 외부로 전달될 수 있는 통제 이슈를 제기합니다. 본 가이드 자체는 법적 구속력이 없으나, 향후 사업자 대상 가이드라인과 개인정보위의 점검·집행에서 해석의 참고기준으로 작용할 수 있어 선제적 점검이 필요합니다.

본 뉴스레터에서는 본 가이드가 생성형 AI 서비스를 제공하는 사업자에게 미치는 영향이 무엇인지 살펴 보겠습니다. 

1. 발간 배경 및 주요 내용

2. 핵심 쟁점

3. 기업 유형별 시사점

1. 발간 배경 및 주요 내용

개인정보위는 생성형 AI 서비스가 문서 작성·정보 검색·일정 관리 등 일상과 업무 전반으로 확산됨에 따라, 이용자가 자신이 입력한 정보의 처리 방식을 스스로 이해하고 통제할 수 있도록 본 가이드를 발간하였습니다. 본 가이드는 한국언론진흥재단 조사에서 생성형 AI를 인지하는 20~60대 성인의 약 89%가 개인정보 침해 위험을 우려한 점을 발간 배경으로 들고 있습니다.

그간 개인정보위의 AI 관련 안내는 「인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서」(2024년 7월)와 같이 사업자·개발자를 주된 수범자로 삼았으나, 본 가이드는 직장인·학생·일반 시민 등 ‘이용자’를 대상으로 합니다.

비록 본 가이드는 법령이나 고시가 아닌 안내자료로서, 그 자체로 직접적인 법적 구속력을 갖지 않지만, 개인정보위는 보도자료를 통해 기업과 개발자가 이용자의 우려 사항을 파악해 서비스 설계의 참고자료로 활용할 수 있다고 명시한 바 있습니다. 따라서 본 가이드는 개인정보위가 사업자에게 기대하는 개인정보 보호 수준을 가늠하는 자료로 볼 수 있습니다.

본 가이드는 민원 사례와 언론 보도 분석을 통해 도출한 8가지 주요 질의에 대한 답변과 함께 관리방법을 제시하고 있습니다. 이하에서는 본 가이드에서 다루고 있는 8가지 주요 이슈에 관한 영향을 생성형 AI 서비스를 제공하는 기업과 임직원이 생성형 AI를 사용하는 기업으로 나누어 검토합니다.

2. 핵심 쟁점

본 가이드는 이용자 행동수칙의 형태로 작성되었으나, 8대 이슈를 기업 관점에서 재구성하면 수범자가 두 갈래로 나뉩니다. (1) 생성형 AI 서비스를 직접 제공하는 기업과, (2) 임직원이 범용 생성형 AI를 업무에 사용하는 기업입니다.

가. 생성형 AI 서비스를 제공하는 기업 - 서비스 설계 점검

이용자에게 권고된 행동수칙을 살펴보면 사업자가 제공해야 할 기능과 고지를 파악할 수 있습니다. 특히 본 가이드의 본문은 외부 서비스 연동과 관련하여, “사업자는 필요한 범위 내에서만 정보를 요청·처리하고 이용자가 이해하기 쉽도록 관련 내용을 명확하게 안내할 필요가 있다”고 사업자의 책무를 직접 언급하고 있습니다.

나. 임직원이 생성형 AI를 사용하는 기업 - 정보 유출 통제

본 가이드 이슈 5는 임직원의 생성형 AI 업무 활용을 주로 다루고 있습니다. 본 가이드는 조직 내부 정보에 개인정보뿐 아니라 미공개 업무 정보, 내부 의사결정 내용, 계약 관련 정보 등이 포함될 수 있으므로 단순히 개인정보가 아니라는 이유만으로 자유롭게 입력해서는 안 된다고 명시합니다. 특히 고객·거래처 정보나 인사 정보 등 제3자의 개인정보가 포함된 자료를 범용 AI 서비스에 입력하면, 적법한 처리근거 없이 해당 정보가 외부로 전달될 위험이 있습니다. 임직원의 무단 이용은 기업에 다음과 같은 법적 리스크로 이어질 수 있습니다.

3. 기업 유형별 시사점

본 가이드는 일반 이용자를 대상으로 발간된 것이지만, 기업 실무자 입장에서도 의미 있는 시사점을 담고 있습니다. 개인정보위가 국민 민원·제안을 토대로 선정한 8대 핵심 이슈는 결국 이용자가 사업자에게 기대하는 통제 기능과 투명성의 수준을 보여주는 것이기도 하기 때문입니다.

생성형 AI 서비스를 직접 제공하는 기업이라면, 본 가이드가 이용자에게 직접 확인·설정하도록 안내한 옵트아웃, 대화기록 삭제, 국외이전 고지, 외부 서비스 연동 권한 설정 등의 기능이 실제로 구현되어 있는지, 그리고 개인정보 처리방침에 충분히 기재되어 있는지를 우선적으로 점검할 필요가 있습니다. 이용자가 기대하는 통제 수준이 명확해진 만큼, 해당 기능의 부재는 민원이나 규제 리스크로 직결될 수 있습니다.

임직원이 ChatGPT 등 범용 생성형 AI를 업무에 활용하고 있는 일반 기업의 경우, 본 가이드가 이슈 5에서 명시적으로 지적하듯 조직 내부 정책 없이 이루어지는 AI 이용은 개인정보뿐 아니라 미공개 업무정보·계약정보의 유출 위험도 수반합니다. 사내 AI 이용지침이 수립되어 있는지 확인하고, 필요하다면 기업용 라이선스 도입 등 제도적 통제 수단 마련을 검토해야 합니다.

AI 도입을 추진 중인 기업은 공급계약 단계부터 입력 데이터의 학습 배제, 보관 조건, 재위탁 구조 등을 계약에 반영해야 하며, 처리하는 개인정보의 규모와 민감도에 따라 개인정보 영향평가 실시 필요성도 사전에 검토해 두는 것이 바람직합니다.

마지막으로 국외이전이 수반되는 글로벌·크로스보더 기업은, 본 가이드 이슈 3이 이용자에게 안내하는 국외이전 관련 고지 항목들(이전 국가, 이전 항목, 이전 목적, 보유기간, 이전받는 자)이 개인정보 처리방침에 빠짐없이 기재되어 있는지 점검하고, EU AI Act 등 해외 규제와의 정합성도 함께 살펴볼 필요가 있습니다.

기업 유형에 따라 우선적으로 살펴봐야 할 사항은 다음과 같이 정리할 수 있습니다.

화우 정보보호센터는 생성형 AI 서비스의 개인정보 처리방침·이용약관 검토, 학습 데이터의 적법성 검토, 국외이전 체계 구축, 임직원 AI 이용지침 및 거버넌스 수립에 이르기까지 서비스 제공 기업과 이용 기업 양측의 수요에 대응합니다. 또한 개인정보보호위원회 등 규제기관의 정책 동향을 지속적으로 분석하여, 가이드라인·법령의 제·개정이 기업에 미치는 영향을 선제적으로 제공하고 있습니다. 생성형 AI 도입·운영 과정에서 발생하는 개인정보·영업비밀·계약 관련 쟁점에 대해 통합적인 자문을 제공하고 있으니 이슈가 있을 경우 언제든 연락주시기 바랍니다.