많은 기업들은 고객 개인정보를 AI에 입력하는 것 자체가 위법하다고 생각한다. 그러나 개인정보보호법은 개인정보의 AI 활용 자체를 금지하고 있지 않다. 그렇다면 고객 개인정보를 AI에 입력하는 경우 개인정보보호법상 어떤 의무가 발생할까?
기업이 고객 상담 내용 요약, 문의 응대, 문서 분석 등의 목적으로 AI를 이용하는 경우 대부분은 개인정보 처리위탁에 해당할 가능성이 높다. AI 사업자가 해당 기업의 요청에 따라 개인정보를 처리하고 그 결과를 제공하는 역할을 수행하기 때문이다. 이 경우 개인정보처리자는 개인정보보호법 제26조에 따라 AI 사업자와 위탁 목적 외 개인정보 처리 금지, 안전성 확보조치, 재위탁 제한, 수탁자 관리·감독 등에 관한 사항을 포함한 서면 계약을 체결해야 한다. 또한 수탁자가 개인정보를 안전하게 처리하고 있는지 관리·감독할 의무도 부담한다.
처리위탁에 해당하는 경우 정보주체의 별도 동의가 반드시 필요한 것은 아니다. 문제는 대부분의 AI 서비스가 해외 대규모 사업자에 의해 제공된다는 점이다. 개인정보처리자는 법적으로 수탁자에 대한 관리·감독 책임을 부담하지만, 현실적으로 오픈AI(OpenAI)나 구글(Google)과 같은 글로벌 사업자의 보안체계나 재위탁 현황을 직접 점검하는 것은 쉽지 않다. 또한 이용자가 글로벌 AI 사업자에게 개별적으로 위탁계약 체결을 요구하는 것도 현실적으로 쉽지 않다.
다행인 것은 주요 글로벌 AI 사업자들이 기업용 플랜 이용자를 위한 DPA(Data Processing Agreement)를 제공하고 있다는 점이다. AI를 개인정보 처리 업무에 이용하고자 하는 기업은 AI 답변 품질이나 가격 뿐 아니라 입력 데이터의 이용 목적, 보관 기간, 학습 활용 여부 등을 함께 검토해야 한다.
특히 DPA에 개인정보보호법 제26조 제1항이 요구하는 사항에 부합하는 개인정보 보호 규정이 기재되어 있는지 확인할 필요가 있다. 일부 사업자는 기업용 플랜에서 고객 데이터를 모델 학습에 사용하지 않고 별도의 DPA를 제공하는 반면, 무료 버전이나 개인용 플랜에서는 보다 넓은 범위의 데이터 활용을 허용하기도 한다. 따라서 기업은 AI 모델 뿐 아니라 구독 플랜까지 함께 검토해야 한다.
또한 외부 AI 서비스를 이용하여 개인정보 처리 업무를 수행하는 경우에는 개인정보 처리방침에 위탁 업무의 내용, 수탁자(AI 사업자) 및 재수탁자에 관한 사항을 기재해야 한다. 재수탁자를 모두 기재하기 어려운 경우에는 수탁자가 재수탁자를 기재한 웹페이지 링크를 표시하는 것도 가능하다. 개인정보보호위원회는 기업용(Enterprise) 계약 체결 등을 통해 전송된 데이터가 답변 생성 외의 목적으로 이용되지 않는 경우, 수탁자가 제공받은 데이터를 자체 모델의 학습, 성능개선에 활용하지 않는다는 사실을 개인정보 처리방침에 기재하는 것을 권장하고 있다.
국외이전 문제도 함께 검토해야 한다. 현재 널리 사용하는AI 서비스 상당수는 해외 서버를 통해 제공되고 있다. 이 때문에 해외 AI 서비스는 사용할 수 없다고 생각하는 경우도 있지만 이는 사실과 다르다. 개인정보보호법은 모든 국외이전을 금지하는 것이 아니라 일정한 요건을 충족한 국외이전을 허용하고 있다. 정보주체의 동의를 받거나, 정보주체와의 계약 체결 또는 이행을 위해 필요한 범위에서 처리위탁이 이루어지는 경우 등 개인정보 보호법에서 정한 요건을 충족하면 국외 서버를 이용하는 AI 서비스도 활용할 수 있다.
따라서 AI 서비스 선정에 있어 중요한 점은 서버 위치가 아니라 국외이전의 법적 근거를 확보하였는지 여부다. 또한 국외이전이 발생하는 경우에는 개인정보 처리방침에 개인정보를 이전 받는 자, 이전 국가, 이전 받는 자의 이용 목적, 이전의 법적 근거조항 등 관련 사항이 적절히 반영되어 있는지도 확인할 필요가 있다.
한편 기업이 AI를 이용하여 자동적으로 개인정보를 처리하고 그 결과를 바탕으로 의사결정을 하는 경우에는 개인정보보호법상 자동화된 결정에 관한 규정도 검토해야 한다. 대표적으로 AI가 단순히 개인정보처리자의 업무를 보조하는 수준을 넘어 채용 여부 결정, 복지서비스 부정 수급 탐지와 같이 정보주체의 권리와 의무에 중대한 영향을 미치는 결정을 수행하는 경우에 정보주체는 자동화된 결정을 거부할 수 있다
관련기사
- [디엘지 law 인사이트] '100원 주식' 논란...베스팅과 주식 처분2026.05.27
- [디엘지 law 인사이트] 직장 내 괴롭힘, 회사는 어떻게 대응해야 하나2026.05.08
- [디엘지 law 인사이트] 한국 상장사가 미국에도 직접 상장할 수 있을까?2026.04.16
- "한국형 제조특화 로봇이 美·中 패권 뚫을 무기...피지컬 GPT 선도해야"2026.06.15
. 개인정보처리자는 정당한 사정이 없는 한 자동화된 결정을 거부한 정보주체에 대해 그 적용을 배제하거나, 인간의 개입을 통한 재처리를 해야 한다. 또한 개인정보처리자는 자동화된 결정의 기준과 절차 등을 개인정보 처리방침 등에 공개해야 하고, 정보주체가 자동화된 결정에 대해서 설명을 요구하는 경우 정당한 사유가 없는 한 이에 응해야 한다.
이처럼 고객정보 처리를 위한 AI의 도입에는 다양한 법적 검토가 수반된다. 그러나 기업이 개인정보보호법상 의무를 AI 활용의 장애물로 이해할 필요는 없다. 오히려 개인정보가 어떻게 처리되는지를 정확히 이해하고 필요한 요건을 갖춘다면, 기업은 개인정보보호법을 준수하면서도 AI가 제공하는 다양한 가능성을 업무에 활용할 수 있을 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
