생성형 AI의 시대, ‘개인정보 처리방침 작성지침’ 개정안 분석

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

 

최근 생성형 AI와 온디바이스 기술이 급격히 확산되면서, 데이터 처리 환경이 크게 변화함.

보안 컨설팅 관점에서 볼 때, 기술적 방어 체계만큼이나 중요한 것이 투명한 거버넌스와 컴플라이언스 준수라고 할 수 있음.

 

4월 24일,

개인정보보호위원회가 발표한 「개인정보 처리방침 작성지침」 개정안의 주요 사항을 정리해봄.

 

1. 처리방침의 유연성 및 투명성 제고

-  수탁자가 빈번히 변경되는 경우, 개별 명칭 대신 '배달원', '택시기사' 등 직업군으로 유형화하여 기재할 수 있게 됨. 단, 사용자가 실제 수탁자를 확인할 수 있는 앱 내 이용기록 화면 등의 구체적인 경로를  반드시 병행 안내해야함

- 권리에 중대한 영향을 미치는 사항은 즉시 공지해야 하지만, 단순 수탁자 목록 변경처럼 권리 침해 가능성이 낮은 사항은 4주 등 일정 기간을 모아서 안내할 수 있도록 합리적으로 정비

2. 온디바이스(On-device) 데이터 처리 기준 확립

- 보안성이 강조되는 온디바이스 환경이라도 일부 데이터가 서버에 저장된다면 반드시 처리방침을 작성해야 함을 명확히 함

- 데이터가 단말기 내부에서만 처리될 경우, 그 사실과 데이터 삭제 기준을 이용자에게 안내하도록 권장하여 로컬 보안에 대한 신뢰도를 높이도록 유도

3. 수탁자 및 행태정보 작성 기준 구체화

- 개인정보 보호책임자 정보와 재수탁 관련 사항 등 정보주체의 권리 보장과 직결된 내용을 중심으로 기재하도록 기준 강화

- 필수 항목(목적, 보유기간, 제3자 제공 등)을 명확히 제시하고, 다양한 처리 유형별 예시를 통해 기업이 정확한 방침을 수립할 수 있도록 지원

4. 생성형 AI 서비스 별도 부록 신설 << 이게 포인트

- AI 모델의 특수성을 고려한 가이드라인 추가

- AI가 어떤 맥락에서, 누구를 대상으로 사용되는지 의도된 용례를 명확히 기재해야 함

- 사용자가 입력한 프롬프트(텍스트, 음성, 파일)뿐만 아니라 AI가 생성한 결과물이 저장될 경우 이 역시 처리 항목에 포함해야함. 수집 항목을 구체적으로 밝혀야함

- 학습 활용 및 거부권(Opt-out)과 관련해 입력 데이터의 모델 학습 활용 여부를 공개하고, 사용자가 이를 거부할 수 있는 절차와 부적절한 답변에 대한 신고 기능을 반드시 포함해야함.

 

개인정보보호위원회 공식 홈페이지, 개인정보 처리방침 작성지침 개정 관련 전문:

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=12021

 

개인정보 포털, 2026 개인정보 처리방침 작성 지침:

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049

 

기사본문:

https://www.boannews.com/media/view.asp?idx=143333

생성형 AI용 개인정보 처리방침 나와... “맥락과 사용 대상 기재”