생성형 인공지능(AI) 개발·활용 위한 개인정보 처리 기준 제시한다

다음은 대한민국 개인정보보호위원회에서 2025년 8월 6일 발표한 보도자료 「생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서」에 대한 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 ‘개인정보위’)는 2025년 8월 6일, 생성형 인공지능(AI) 서비스 개발 및 활용 과정에서 개인정보를 안전하게 처리하기 위한 「생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서」(이하 ‘안내서’)를 공개했습니다. 이 안내서는 생성형 AI의 생애주기 4단계와 거버넌스 구축 방안을 제시하고, 실제 정책 및 집행 사례를 바탕으로 현장의 법적 불확실성을 해소하며, 기업·기관의 자율적인 법 준수 역량을 강화하는 데 중점을 둡니다. 이를 통해 프라이버시 보호와 인공지능 혁신이라는 두 가지 가치가 상호 공존할 수 있는 정책 기반을 마련하는 것을 목표로 합니다.

2. 주요 내용

• 생성형 AI 생애주기 4단계별 안전조치 및 거버넌스 제시: 안내서는 생성형 인공지능의 개발 및 활용 과정을 '목적 설정', '전략 수립', '학습 및 개발', '시스템 적용 및 관리'의 4단계로 분류하고, 각 단계별로 확인해야 할 최소한의 안전조치를 체계적으로 제시합니다. 또한, 전체 과정에서 개인정보 보호 관점을 내재화하기 위한 개인정보보호책임자(CPO) 중심의 거버넌스 구축 방안을 강조합니다.
• 정책 및 집행 사례 기반의 불확실성 해소: 개인정보위는 그간 축적해온 안내자료 마련, 사전실태점검, 규제샌드박스, 사전적정성 검토 등의 정책적 경험을 바탕으로, 이용자 개인정보의 AI 학습 법적 기준 등 생성형 AI 개발·활용 과정에서 불확실성이 높은 이슈들에 대한 구체적인 해결 방안을 제시합니다. 이는 현장의 실질적인 애로사항을 해소하는 데 기여할 것으로 기대됩니다.
• 최신 기술 동향 및 연구 성과 반영: 안내서는 인공지능 에이전트(AI Agent), 지식 증류(Knowledge Distillation), 머신 언러닝(Machine Unlearning) 등 생성형 AI 개발 및 활용과 관련된 최신 기술 동향과 연구 성과를 반영하여 실용성을 높였습니다. 이는 급변하는 AI 기술 환경에 발맞춰 개인정보 보호 기준을 제시하려는 노력의 일환입니다.
• 학습 데이터의 적법 기준 명확화: 생성형 AI 학습에 사용되는 데이터를 '공개 데이터'와 '이용자 데이터'로 구분하여 각각의 적법 기준을 안내합니다. 인터넷 등에 공개된 데이터는 개인정보 보호법 제15조제1항제6호의 '정당한 이익' 조항에 따라 활용될 수 있으며, 기업·기관이 보유한 이용자 정보는 당초 수집 목적과의 관계(목적 내 이용, 추가적 이용, 별개의 목적)에 따라 판단 기준과 구체적 사례를 제시합니다.
• 생성형 AI 개발·활용 유형별 고려사항 안내: 안내서는 생성형 AI 개발·활용 방식을 '서비스형 LLM 활용(예: ChatGPT API 연계)', '기성 LLM 활용(예: Llama 오픈소스 모델 추가학습)', '자체개발(예: 경량모델(SLM) 개발)'의 세 가지 유형으로 구분하고, 각 유형별로 개인정보 처리 시 고려해야 할 사항과 대응 전략을 구체적으로 안내하여 사업자들이 자신의 상황에 맞는 안전 조치를 취할 수 있도록 돕습니다.
• 다층적 리스크 경감 방안 제시: 생성형 인공지능이 학습 데이터를 그대로 발화하는 '암기' 위험, 학습 데이터에 악의적인 데이터를 주입하여 AI 모델의 성능이나 동작을 왜곡시키는 '데이터 오염(data poisoning)', AI 모델의 안전장치를 우회하여 부적절하거나 유해한 답변을 유도하는 '탈옥(jailbreak)' 등 다양한 리스크에 대응하기 위한 다층적인 안전조치(데이터, 모델, 시스템 수준)를 제시하며, 지속적인 평가를 위한 피드백 루프(feedback loop) 내재화를 권장합니다.
• 개인정보보호책임자(CPO) 중심의 거버넌스 강조: 안내서는 프라이버시 리스크 관리가 실효적으로 이루어지기 위해 개인정보보호책임자(CPO)를 중심으로 한 내부 관리체계 구축 및 운영의 중요성을 강조합니다. CPO가 AI 기획·개발 초기 단계부터 적극적으로 개입하여 개인정보 보호 원칙이 서비스에 내재화될 수 있도록 하는 체계를 마련할 것을 권장합니다.

3. 배경 및 목적

대한민국은 의료, 공공, 금융 분야 등에서 세계 최고 수준의 데이터를 축적하고 있으며, 이 데이터는 생성형 인공지능 발전의 핵심 동력으로 활용될 잠재력을 가지고 있습니다. 그러나 생성형 인공지능의 급속한 발전은 동시에 개인정보 침해 위험을 동반할 수 있다는 우려를 낳고 있습니다. 이러한 상황에서 인공지능 기술의 혁신을 저해하지 않으면서도 개인정보를 안전하게 보호할 수 있는 명확한 기준 마련이 필수적이었습니다.

실제로 2025년 3월 산업계 개인정보 정책 간담회와 AI 스타트업 간담회 등 현장에서는 생성형 인공지능 활용과 관련하여 개인정보 보호법 적용의 불확실성으로 인한 애로사항이 지속적으로 제기되어 왔습니다. 기업과 기관들은 "쉽게 이해하고 적용할 수 있는 안내서가 시급하다"는 목소리를 내왔습니다. 이에 개인정보위는 이러한 현장의 요구를 반영하여, 생성형 인공지능 개발과 활용의 전 과정에서 개인정보 보호법 적용의 불확실성을 해소하고, 기업·기관이 자율적으로 법을 준수할 수 있는 역량을 높이는 것을 핵심 목적으로 삼아 이번 안내서를 마련하게 되었습니다. 궁극적으로는 '프라이버시'와 '혁신'이라는 두 가지 가치가 상호 공존하며 시너지를 낼 수 있는 정책 기반을 구축하는 데 기여하고자 합니다.

4. 세부 추진 내용

개인정보위는 이번 안내서 마련을 위해 올 초부터 내부 검토를 시작하고, 학계, 법조계, 산업계, 시민단체 등 인공지능 분야의 차세대 전문가 32명으로 구성된 「AI 프라이버시 민·관 정책협의회」(7월 8일 개최) 및 개인정보보호위원회 제16회 전체회의(7월 23일 개최)를 거쳐 안내서 초안을 마련하고 공개본을 확정했습니다.

안내서는 생성형 인공지능의 개발 및 활용 생애주기를 4단계로 나누어 구체적인 개인정보 처리 기준을 제시합니다.
첫째, 목적 설정 단계에서는 인공지능 개발 목적을 명확히 하고, 개인정보 종류 및 출처별로 인공지능 학습에 필요한 적법 근거를 다룹니다. 특히 인터넷 공개 데이터는 '정당한 이익' 조항(개인정보 보호법 제15조제1항제6호)에 따라 활용 가능하며, 기존 이용자 정보 재이용 시에는 당초 수집 목적과의 관계를 고려한 판단 기준과 사례를 제시합니다.
둘째, 전략 수립 단계에서는 생성형 AI 개발 방식(서비스형 LLM 활용, 기성 LLM 활용, 자체개발)을 유형화하고, 각 유형에 따른 리스크 경감 방안을 안내합니다. 예를 들어, 의료기관이 서비스형 LLM을 활용하여 의료기록 작성 업무를 자동화할 경우, 개인정보 저장 및 재이용을 배제하는 '기업용 라이선스(Enterprise API)' 사용을 권장하는 등 구체적인 사례를 포함합니다.
셋째, 학습 및 개발 단계에서는 데이터 오염, 탈옥 등 다양한 리스크를 고려한 다층적 안전조치(데이터 수준, 모델 수준, 시스템 수준)를 제시하고, 자율적으로 외부 지식을 검색하거나 기억 능력을 갖춘 AI 에이전트의 관리 방안도 포함합니다.
넷째, 시스템 적용 및 관리 단계에서는 학습·개발을 완료한 시스템을 실제 환경에 배포하기 전(정확도, 안전조치 우회 저항성 등 점검)과 배포 후(모니터링, 정보주체 권리 보장)로 나누어 리스크 관리 전략을 제시합니다. 정보주체의 열람, 정정, 삭제 등 전통적인 권리 보장이 제약될 경우에도 해당 사유를 명확히 알리고 출력 필터링 등 대체 수단을 통해 요구에 응할 것을 권장합니다.
마지막으로, 이 모든 과정에서 개인정보 보호 관점을 내재화하기 위한 필수적인 요소로 개인정보보호책임자(CPO) 중심의 거버넌스 구축 방안을 제시하며, 개인정보 영향평가(PIA), 레드티밍(Red Teaming) 등을 활용한 지속적인 리스크 평가를 권장합니다.

5. 기대 효과

이번 안내서 공개를 통해 생성형 인공지능 개발 및 활용 현장의 법적 불확실성이 크게 해소될 것으로 기대됩니다. 기업과 기관들은 명확한 기준에 따라 개인정보를 안전하게 처리하며 인공지능 서비스를 개발하고 제공할 수 있게 되어, 자율적인 법 준수 역량이 강화될 것입니다. 이는 불필요한 규제 부담을 줄이고 혁신적인 AI 서비스 개발을 촉진하는 동시에, 정보주체인 국민의 개인정보가 더욱 체계적으로 보호받을 수 있는 기반을 마련합니다. 궁극적으로는 고학수 개인정보위 위원장이 강조한 바와 같이 '프라이버시'와 '혁신'이라는 두 가지 핵심 가치가 상호 공존하며 시너지를 창출하는 건강한 인공지능 생태계 조성에 기여할 것으로 예상됩니다. 이로 인해 AI 개발 기업, AI 서비스 이용 기업, 그리고 AI 서비스 이용자 모두가 혜택을 받을 것입니다.

6. 향후 계획

개인정보보호위원회는 이번에 공개된 안내서가 생성형 인공지능 기술의 급속한 발전과 국내외 개인정보 보호 정책 변화에 발맞춰 지속적으로 업데이트될 예정임을 밝혔습니다. 이는 안내서가 단순히 일회성 지침으로 그치지 않고, 변화하는 기술 환경과 법적 요구사항을 반영하여 현장에 실질적인 도움을 줄 수 있는 살아있는 지침서가 될 것임을 의미합니다. 개인정보위는 앞으로도 '프라이버시'와 '혁신'이 상호 공존하는 정책 기반을 마련하기 위한 노력을 계속해 나갈 것입니다.