안녕하세요. 법무법인 청출 신준선 변호사입니다.

개인정보보호위원회는 2026년 4월 24일, 「개인정보 처리방침 작성지침」 개정본을 공개했습니다. 1년 전인 2025년 4월에도 작성지침이 한 차례 현행화·사례 추가의 개정을 거쳤는데 비교적 짧은 주기에 다시 손을 본 셈인데요.

이번 개정의 가장 큰 변화는 「생성형 인공지능(AI) 서비스 처리방침 부록」이 신설된 것입니다. 2026년 1월 인공지능 기본법 시행, AI 에이전트와 온디바이스 AI의 본격 확산, 그리고 일부 외국 AI 사업자(딥시크 등)에 대한 개인정보보호위원회의 잇따른 제재라는 환경 변화가 작성지침에 누적적으로 반영된 결과입니다.

개인정보 처리방침은 이제 사후 제재의 직접적 단서가 되고 있고, 특히 AI 서비스를 운영하는 기업이라면 작성지침의 기준에 맞추지 않은 처리방침이 그 자체로 규제 리스크가 됩니다.

오늘은 새롭게 신설된 생성형 AI 서비스 처리방침 부록의 9가지 작성 항목을 실무적인 시각에서 정리해 보겠습니다.

[Question] 생성형 AI 서비스를 운영하는 기업은 어떤 점을 개인정보 처리방침에 반영해야 하나요?

[Answer]

1. 「생성형 인공지능(AI) 서비스 처리방침 부록」 신설

「생성형 인공지능(AI) 서비스 처리방침 부록」은 본문 처리방침 작성 기준에 더해 AI 서비스의 특성을 반영해 추가로 기재해야 하거나 권장되는 사항을 9개 항목으로 정리한 것입니다.

가. 적용 대상 ― API 연계만 해도 적용

부록은 "생성형 AI 서비스를 개발·운영하면서 개인정보를 처리하는 기업·기관"을 적용 대상으로 합니다. 자체 모델을 처음부터 개발(from scratch)하는 경우뿐 아니라 공개 모델을 추가 학습(Fine-tuning)하는 경우, 그리고 외부 생성형 AI 서비스(API 연계 등)를 연동하거나 임베딩하여 자사 서비스 기능의 일부로 제공하는 경우도 모두 포함됩니다.

자사 서비스에 OpenAI나 Anthropic 등의 LLM API를 연결하여 챗봇이나 그 이상의 기능을 제공하는 형태는 매우 흔하여, 이 부록의 적용 범위는 매우 넓다고 볼 수 있습니다.

나. 작성 항목 핵심 정리

부록은 ① 처리 목적, ② 처리하는 개인정보 항목, ③ 처리 및 보유기간, ④ 제3자 제공, ⑤ 추가적 이용·제공 판단기준, ⑥ 위탁, ⑦ 국외이전, ⑧ 가명정보 처리, ⑨ 정보주체의 권리·의무 및 행사방법까지 9개 항목별로 작성 시 추가로 고려할 사항을 안내합니다.

(1) 처리 목적 ― '의도된 용례(intended use)'를 명확히

생성형 AI는 범용성이 높아 처리 목적을 사전에 특정하기 어렵다는 특성이 있습니다. 그럼에도 작성지침은 해당 AI가 어떤 맥락에서, 누구를 대상으로, 어떤 목적·범위로 활용되는지 의도된 용례를 명확히 알 수 있도록 작성할 것을 요구합니다. 특히 의료 진단, 법률 상담 등 특정 목적에 특화된 서비스는 그 의도된 목적·용도를 중심으로 처리 목적을 구체적으로 특정해야 합니다. 또한 정보주체가 입력한 정보가 AI 모델 학습에 활용되는 경우 그 사실과 활용 범위를 명확히 인지할 수 있도록 처리 목적에 기재하여야 합니다.

(2) 처리하는 개인정보 항목 ― 입력 정보와 생성 결과물 모두 포함

정보주체가 서비스 이용 과정에서 직접 입력한 정보(텍스트, 문서, 이미지, 첨부파일 등)와 서비스 이용 과정에서 생성된 결과물(검색 결과, 음성, 영상 등)이 수집·저장되는 경우에는 그 사실과 처리의 법적 근거를 함께 기재하여야 합니다. 단순한 회원가입 정보뿐만 아니라 프롬프트와 결과물 자체가 처리 항목으로 잡힌다는 점을 분명히 한 것입니다.

또한 부록은 대화창에 자신 또는 타인의 민감정보·고유식별정보를 입력하지 않도록 주의사항을 안내할 것을 권장하고 있습니다. 다만, 의료 AI처럼 민감정보 처리가 필수적으로 수반되는 서비스라면 해당 항목과 처리의 법적 근거를 구체적으로 기재해야 합니다.

(3) 처리 및 보유기간 ― 일반 보유와 학습 활용 보유의 분리

서비스 제공을 위한 일반적인 보유기간과 인공지능 연구·서비스 품질 개선 등 추가 목적의 보유기간이 서로 다른 경우에는 해당 목적과 기간을 구분하여 명확히 안내하여야 합니다. 부록의 작성 예시를 보면, 일반 대화 내용은 마지막 대화일로부터 30일 보관 후 파기하되, 학습 활용 동의를 받은 데이터는 1년 보관, 가명처리 후 학습 데이터는 최대 5년 보관하는 식으로 분리하여 기재하도록 권장하고 있습니다. 다만 이는 작성예시에 불과하며 실제 처리 현황에 맞도록 작성하여야 합니다.

(4) 제3자 제공 ― 플러그인·제휴 서비스의 처리

식당 예약, 호텔 예약, 항공권 발권 플러그인 등 외부 제휴사 서비스와 연계하여 정보주체가 입력한 정보를 외부 사업자에게 제공하는 경우, 이는 제3자 제공에 해당하므로 처리방침에 기재하여야 합니다. 제공받는 자의 수가 많은 경우에는 별도 화면(팝업창)이나 목록 파일 내려받기 기능 등을 통해 전체 현황을 안내할 수 있습니다.

부록은 위탁(외부 LLM 모델 연동)과 제3자 제공(플러그인 연동)의 차이를 표로 명확히 정리해 두었습니다. 자사 서비스의 답변 생성 기능을 위해 외부 AI 모델을 호출하는 것은 위탁이고, 이용자의 요청을 외부 제휴사에서 직접 처리하는 것(예: 챗봇에서 식당을 예약하는 경우)은 제3자 제공입니다. 다만 실무에서는 두 구조가 동시에 발생하는 등 여전히 혼동가능성이 있으므로 개별 사안에 따라 이를 처리위탁으로 볼지 제3자 제공으로 볼지에 대한 계속적으로 검토가 필요하겠습니다.

(5) 추가적 이용·제공 판단기준 ― AI 학습이라는 실무 쟁점

부록은 「개인정보 보호법」 제15조제3항에 따른 추가적 이용·제공이 AI 학습 맥락에서 자주 문제됨을 인정합니다. 추가적 이용·제공이 지속적으로 발생한다면 ⓐ 당초 수집 목적과의 합리적 관련성, ⓑ 추가 이용·제공에 대한 정보주체의 예측 가능성, ⓒ 정보주체 이익의 부당한 침해 가능성, ⓓ 가명처리·암호화 등 안전성 확보 조치 등 4가지 고려사항을 자율적으로 판단하여 처리방침에 구체적으로 기재해야 합니다.

부록의 작성 예시를 보면 "LLM의 환각(hallucination)·편향(bias) 등 리스크 완화 및 응답 성능 향상을 위해 상호작용 데이터의 학습 활용이 필요하고, 이는 본 서비스 목적과 밀접하게 관련됨"과 같이 매우 구체적으로 판단 근거를 제시할 것을 요구합니다. 단순히 '관련성이 있다'는 추상적 기재로는 부족하다는 의미입니다.

(6) 위탁 ― 외부 LLM 호출은 위탁이다

자사 서비스의 답변 생성 등 기능 구현을 위해 외부 생성형 AI 서비스(예: OpenAI API, Anthropic API)를 활용하는 경우, 그 자체로 개인정보 처리업무 위탁에 해당하며 이를 처리방침에 기재해야 합니다. 정보주체의 입력 정보 또는 결과물이 외부 AI 서비스를 통해 처리된다는 점을 명확히 안내해야 하고, 수탁자가 제공받은 데이터를 자체 모델 학습·성능 개선에 활용하는지 여부도 함께 기재할 것이 권장됩니다.

다만 OpenAI 등 일부 사업자가 제공하는 기업용(Enterprise) 계약을 체결하여 전송된 데이터가 답변 생성 외 목적으로 이용되지 않거나 답변 생성 직후 즉시 파기되도록 한 경우라면 그 사실을 함께 안내함으로써 정보주체의 신뢰를 확보할 수 있습니다. 실무에서 글로벌 LLM과 계약을 체결할 때 전송 개인정보(데이터)의 자체 AI모델 학습에 사용되는지 여부를 확인할 필요가 있습니다.

(7) 국외이전 ― API 연계는 사실상 모두 국외이전

서버가 해외에 소재한 생성형 AI 서비스 또는 모델(API 등)을 활용하거나 해외 제휴사 서비스를 연계하는 경우, 개인정보가 국외로 이전(제공·조회·처리위탁·보관)되므로 국외이전에 관한 사항을 명확히 기재하여야 합니다.

이 부분은 실무에서 자주 누락되는 영역입니다. OpenAI, Anthropic, Google 등 주요 글로벌 LLM 사업자의 서버는 모두 해외에 소재하므로 API를 연계하는 거의 모든 한국 AI 서비스는 국외 처리위탁 또는 국외 보관에 해당하게 됩니다. 이 경우 「개인정보 보호법」 제28조의8제2항에 따른 7가지 고지 사항(법적 근거, 이전 항목, 이전 국가·시기·방법, 이전받는 자의 명칭과 연락처, 이용 목적과 보유·이용 기간, 거부 방법·절차·효과)을 모두 기재해야 합니다. 최근 개인정보보호위원회가 외국 AI·이커머스 사업자에 대해 부과한 고액 과징금 사례 다수가 바로 이 국외이전 처리방침 미공개를 직접적인 처분 사유로 하고 있다는 점을 다시 한번 강조하고 싶습니다.

(8) 가명정보 처리 ― 모델 학습용 가명처리의 기재

AI 모델 성능 향상 또는 신규 서비스 개발을 목적으로 정보주체가 프롬프트에 입력한 정보 등을 가명처리하는 경우, 「개인정보 보호법」 제28조의2에 따라 처리 목적, 항목, 기간(제3자 제공 시 제공받는 자 포함)을 기재하여야 합니다. 가명정보 처리에 따른 안전성 확보조치(관리적·기술적·물리적 조치)도 함께 기재할 것을 권장합니다.

(9) 정보주체의 권리 ― Opt-out과 학습 데이터 통제권의 한계 고지

가장 정보주체 보호 측면이 강화된 부분입니다. 부록은 다음 5가지를 권리보장 기재 사항으로 정리합니다.

가. 수집된 데이터의 AI 모델 학습 활용 여부 명시.

나. 개인정보 필터링 정책

다. 학습에 활용되는 경우 정보주체의 학습 거부(Opt-out) 절차 및 접근 경로

라. 부적절한 답변(민감정보 노출 등)에 대한 피드백 및 신고 방법.

마. 이미 학습된 데이터와 학습 전 데이터 간의 통제권 행사 한계 안내

다섯 번째 항목의 경우 부록은 "AI 모델에 이미 학습이 완료된 데이터의 경우 기술적으로 활용 중단 또는 삭제가 제한될 수 있으며, 학습 이전 단계의 데이터에 대해서만 거부가 가능함을 안내"할 것을 권장합니다. 이용자에게 사후적 삭제·학습 중단 요구에 응할 수 없는 경우가 있음을 사전에 명확히 고지해야 책임의 범위가 특정될 수 있으며, 이를 누락하면 이용자가 이미 기존 모델의 학습에 사용된 자기 데이터의 삭제를 요구하는 등 현실적으로 해결하기 어려운 문제에 직면하게 될 수 있습니다.

2. 실무적으로 챙겨야 할 체크포인트

* AI 부분 활용 사업자도 부록 적용 대상: 외부 LLM API를 단순 연결한 챗봇 정도만 운영하더라도 부록의 적용을 받으며, 위탁·국외이전 기재 의무를 충족해야 합니다.

* '알기 쉬운 처리방침'의 별도 제공 권장: 부록은 정보취약계층을 포함한 정보주체가 쉽게 이해할 수 있도록 알기 쉬운 용어로 작성한 별도의 알기 쉬운 처리방침을 함께 제공할 것을 권장하고, 프롬프트 입력부터 결과 생성·저장·파기·AI 모델 학습 활용까지의 전 과정을 도표·기호·흐름도 등으로 시각화하여 제공하는 것을 좋은 방법으로 제시합니다.

* 글로벌 LLM 사업자와의 계약 조건 재점검 및 반영: 전송 데이터의 학습 활용 차단 또는 즉시 파기 조건 확보여부 확인하고 이를 처리방침에 안내함으로써 정보주체 신뢰와 컴플라이언스를 동시에 확보할 수 있습니다.

* 온디바이스와 서버 처리의 경계를 처리방침에서 명확히 구분: 일부 기능이 단말기 내부에서만 처리된다면 그 사실과 삭제 기준(앱 삭제 시 즉시 삭제 등)을 안내하고, 회원가입 등으로 서버에 저장되는 정보가 일부라도 있다면 처리방침 작성 의무가 발생합니다.

3. 결론

이번 2026년 4월 개정은 처리방침 작성 부담을 합리적으로 줄이는 방향(유형화 허용, 변경사항 차등 안내)과 정보주체 권리 보호를 실질화하는 방향(생성형 AI 부록, 온디바이스 안내, 수탁자 처리방침 의무 명시)을 동시에 담아낸 개정입니다. 그러나 그 두 방향의 균형점을 이해하고 처리방침에 구현하는 일은 결코 단순한 작업이 아닙니다. 특히 생성형 AI 서비스 부록은 9개 항목 각각이 서로 연결되어 있고, 본문 작성지침과의 정합성, 그리고 이용약관과의 정합성도 함께 검토해야 하므로 단순한 템플릿 적용으로는 충분하지 않습니다.

처리방침은 더 이상 형식적인 게시물이 아니며 외국 AI·플랫폼 사업자에 대한 최근 제재 사례에서 확인되듯이, 처리방침의 기재 누락 또는 부정확한 기재가 그 자체로 시정명령 및 과징금의 직접적 근거가 되고 있습니다. 특히 AI 서비스를 새로 출시하거나 기존 서비스에 LLM 기능을 추가하는 단계에서는 출시 이전에 처리방침과 동의화면, 약관, 그리고 글로벌 사업자와의 계약 구조를 함께 점검하여야 사후 분쟁과 제재의 가능성을 최소화할 수 있습니다.

법무법인 청출은 다양한 사업유형 전반의 개인정보 처리방침 정비 자문 실적을 보유하고 있고, 글로벌 AI 서비스의 한국 진출을 위한 자문을 수행하는 등 AI·데이터 규제 영역에서 다수의 자문 경험을 보유하고 있습니다. 생성형 AI 서비스의 개인정보 처리방침 수립 또는 정비를 검토하고 계시다면 언제든 연락주시기 바랍니다.

법무법인 청출은 국내 5대 대형로펌, 검찰, 대기업 법무팀 출신의 변호사들로만 이루어져 있고, 한 명의 변호사가 아닌 사건과 관련된 분야의 전문 변호사들이 팀을 구성하여 대응합니다. 청출은 특정 쟁점만 해결하는 것을 넘어 사업 전반에 대한 종합 솔루션을 제공하여, 궁극적으로 고객이 원하는 바를 이루는 것에 초점을 맞추는 법률 컨설팅을 제공하고 있습니다. 목표 달성에 도움이 필요하시다면, 주저없이 청출에 문의주시기 바랍니다.