2025 - 생성형 AI 개발·활용을 위한 개인정보 처리 안내서

 

feat. Perplexity
개인정보보호위원회가 2025년 8월에 공개한 문서로, 생성형 인공지능(AI) 개발과 활용 전 과정에서 개인정보 보호법 적용의 불확실성을 해소하고, 기업 및 기관이 자율적으로 법을 준수할 수 있도록 구체적인 법적 고려사항과 안전성 확보 기준을 제시합니다.

주요 내용은 다음과 같습니다:

4단계 생애주기별 개인정보 처리 기준

생성형 AI 개발·활용 과정을 △목적 설정 △전략 수립 △학습 및 개발 △시스템 적용 및 관리의 4단계로 구분하고, 각 단계별로 필요한 최소한의 안전조치를 체계적으로 제시합니다.

각 단계에서 법적 근거(주로 개인정보 보호법 제15조 제1항 제6호 '정당한 이익' 조항)를 명확히 해석하고, 개인정보 처리에 수반되는 위험을 관리할 수 있는 구체적인 방안을 안내합니다.

예를 들어, 학습데이터 수집 단계에서는 개인정보 최소 수집 원칙 준수, 익명화 및 가명화 처리, 출처 검증 등의 조치를 권고하며, AI 학습 중에는 개인정보 유출 위험 방지를 위한 차분 프라이버시, 연합학습 적용, 암기화(모델이 개인정보를 '암기'하여 재출력하는 현상) 방지 기술 등을 권장합니다.

AI 서비스 운영 단계에서는 사용자 입력 데이터 목적 외 이용 금지, 보존 기간 준수, 안전성 확보 조치, 특히 민감 정보 보호를 중점적으로 다룹니다.

AI 모델 폐기 단계에서는 개인정보가 완전 삭제되고 복구 불가능하도록 하는 기술적 조치를 요구합니다.

법적 해석과 정책 집행 사례 반영

생성형 AI에 이용자 개인정보를 학습할 수 있는 법적 기준 등 불확실성이 높은 이슈에 대해 개인정보위가 축적한 정책 경험과 집행 사례를 바탕으로 구체적 해결책을 안내서에 포함해 유용성을 높였습니다.

‘정당한 이익’에 기반한 개인정보 처리 근거를 명확히 하여, AI 개발자의 영리적 이익뿐 아니라 사회적 이익도 고려하도록 하고 있습니다.

공개된 개인정보의 수집·이용은 정보주체의 권리와 비교형량하여 명백히 우선할 경우에만 인정하며, 안전성 확보 조치와 권리보장 방안을 통해 정보주체 권리침해를 최소화해야 합니다.

최신 기술 동향과 안전성 확보 조치

AI 에이전트, 지식 증류, 머신 언러닝 등의 최신 기술과 연구 성과를 반영하고 있습니다.

기술적 조치로는 학습 데이터 출처 검증, 개인정보 비식별화 및 암기 리스크 완화, 차분 프라이버시, 안전한 저장·관리, 미세조정(finetuning) 통한 안전장치 추가, 프롬프트 및 출력 필터링, 머신 언러닝을 통한 특정 데이터 삭제 등이 제시됩니다.

관리적 조치로는 학습 데이터 처리 기준 마련과 공개, 개인정보 영향평가 수행, AI 프라이버시 레드팀 구성·운영, 오픈소스 및 API 특성에 따른 안전 정책 마련과 준수 확보 등이 권장됩니다.

정보주체 권리 보장

개인정보 열람, 정정·삭제, 처리정지 요구 등 정보주체의 권리를 합리적 범위 내에서 지원하고, AI 학습 데이터에 개인정보 포함 시 투명성 확보와 권리행사 지원 방안을 마련하도록 안내합니다.

AI 개발자는 개인정보보호책임자(CPO) 중심으로 AI 프라이버시 담당 조직을 구성해 법 준수와 권리 보호의 거버넌스를 운영하도록 권고합니다.

적용 대상과 범위

본 안내서는 공개된 개인정보(누구나 합법적으로 접근 가능한 개인정보)를 AI 학습 및 서비스 제공에 활용하는 AI 개발자 및 서비스 제공자를 주요 대상으로 하며, 해외사업자도 한국 정보주체의 개인정보를 처리하는 경우 적용됩니다.

이용자가 AI에 직접 입력하는 개인정보도 유사한 법적 근거와 권리보장 기준을 충족해야 하며, 이용자와 서비스 제공자 간의 관계, 고지·동의 여부에 따라 적법성이 판단됩니다.

feat. GPT OSS 

구분	주요 내용	법적·제도적 근거
1. 목적 및 적용 범위	- 생성형 AI 모델의 학습, 테스트, 서비스 제공 과정에서 개인정보를 어떻게 취급해야 하는지에 대한 원칙 제시 - 공공·민간 기관, 스타트업, 연구기관 등 모든 AI 개발·활용 주체에 적용	개인정보 보호법(‘개인정보 처리’ 정의)·AI 윤리·거버넌스 가이드라인
2. 용어 정의	- 생성형 AI: 텍스트·이미지·음성 등 새로운 콘텐츠를 자동 생성하는 딥러닝 기반 모델 - 개인정보: 살아 있는 개인에 관한 정보(식별 가능성 포함) - 익명화·가명화: 식별 가능성을 제거하거나 제한하는 기술적·관리적 조치	개인정보 보호법 제2조(‘개인정보’·‘익명정보’ 정의)
3. 법적·윤리적 근거	- 법적 근거: 개인정보 보호법 제15조(처리 목적)·제17조(동의)·제22조(보호조치) 등 - 윤리적 근거: AI 윤리 원칙(공정성, 투명성, 책임성, 신뢰성)	개인정보 보호법·AI 윤리·거버넌스 가이드라인
4. 개인정보 수집·이용 원칙	1. 목적 제한 – 수집·이용 목적을 명확히 규정하고, 목적 외 사용을 금지 2. 최소화 – 모델 학습에 필요한 최소 항목만 수집 3. 투명성 – 수집·이용 사실을 이용자에게 고지(프라이버시 정책·동의서)	개인정보 보호법 제15조·제21조
5. 동의 및 법적 근거 확보	- 명시적 동의: 개인정보를 학습 데이터로 활용하는 경우 구체적·자발적 동의를 받아야 함 - 법정 근거: 공익 목적·법령에 의한 경우 등, 동의 외의 처리 근거를 명시하고 사전 고지	개인정보 보호법 제17조(동의)·제18조(법정 근거)
6. 익명·가명 처리	- 익명화: 식별이 전혀 불가능하도록 변환(예: 통계적 요약, 랜덤화) → 비식별 정보는 개인정보 보호법 적용 제외 - 가명화: 직접 식별은 불가능하나 별도 키(키 관리 체계)로 재식별 가능 → 별도 보안·접근 통제 필요	개인정보 보호법 제28조(익명·가명 처리)
7. 데이터 보안·접근 통제	1. 기술적 조치: 암호화, 접근 로그, 침입 탐지·차단 시스템 등 2. 조직적 조치: 책임자 지정, 교육·훈련, 내부 절차(데이터 수명 주기 관리)	개인정보 보호법 제29조(보안 조치)
8. 데이터 보관·파기	- 보관 기간: 목적 달성 시점까지 최소화하고, 사전 정의된 기간(예: 2년) 후 즉시 파기 - 파기 방법: 복구 불가능한 물리·논리적 삭제(디스크 파쇄, 데이터 소거)	개인정보 보호법 제21조·제30조
9. 제3자 제공·위탁	- 제공·위탁 사전 동의 및 계약서에 ‘목적, 범위, 보안 의무, 재위탁 금지’를 명시 - 위탁 관리: 위탁기관의 개인정보 보호 역량을 사전 평가하고, 정기적인 감사 시행	개인정보 보호법 제17조·제24조
10. 이용자 권리(주체권) 보장	1. 열람·정정·삭제 요구 2. 처리 정지·동의 철회 3. 데이터 이동권(제3자 제공 전송) – AI 시스템 설계 시 API·포맷 표준화를 통해 실현 가능	개인정보 보호법 제35조·제36조·제37조·제38조
11. 개인정보 영향 평가(PIA)	- 대상: 대규모 학습·생성·다중 이용(예: 대형 언어 모델) 시 필수 - 내용: 위험 요인 식별, 완화 방안, 사후 모니터링 계획 포함	개인정보 보호법 제31조(개인정보 영향 평가)
12. 거버넌스·책임 체계	- 책임자 지정(CPO/데이터 보호 책임자) 및 전담팀 구성 - 내부 절차: 개인정보 처리 계획서, 주기적 내부·외부 감사, 사고 대응 매뉴얼 - 외부 보고: 개인정보 침해 시 72시간 이내 감독기관·이용자 통보 의무	개인정보 보호법 제41조·제42조·제44조
13. 국제적·다기관 협력	- 교차국경 전송 시 ‘적합성 판단’(EU‑GDPR 등) 또는 ‘표준 계약조항’ 활용 - 산학·연구기관과의 데이터 공유는 ‘연구 목적 제한’ 및 ‘가명화’ 원칙 적용	개인정보 보호법 제17조·제18조(제3자 제공·국제 이전)
14. 투명성 보고·공개	- 모델 설명서: 학습 데이터 출처·전처리·제거 기준, 익명화 수준 명시 - 알고리즘 감사: 편향·차별 위험 평가 결과 공개(법적 요구가 있는 경우)	행정안전부 ‘AI 윤리·가이드라인’·공정거래위원회 ‘AI 투명성 가이드’
15. 지속 가능한 관리·업데이트	- 주기적 재평가: 법·기술 변화에 따른 정책·절차 업데이트(최소 연 1회) - 신기술 대응: 차등 프라이버시, 연합 학습 등 새 보안·프라이버시 기술 도입 검토	개인정보 보호법 제34조(정책·절차의 정기적 검토)

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11410

[별첨1] 생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서 발표자료_F.pdf

3.51MB

 

[별첨2] 생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서.pdf

1.65MB