< 생성형 인공지능 AI 개발, 활용, 서비스를 위한 개인정보 처리 안내서 – 2025년 8월 최신 발간본 >

생성형 인공지능(Generative AI)은 대화, 이야기, 이미지, 동영상, 음악 등 새로운 콘텐츠와 아이디어를 만들 수 있는 인공지능의 일종으로, 이용자의 특정 요구에 따라 결과를 생성해 내는 기술입니다.

인공지능 서비스는 수집된 데이터가 부족할 경우 잘못된 결과를 도출하는 오버피팅(Over-fitting) 등의 문제가 발생할 수 있습니다. 이에 따라 AI를 개발하고 활용하기 위해서는 대규모의 데이터를 수집하고 이용해야 하는데, 이 때 발생하는 개인정보 수집과 이용의 문제가 날이 갈수록 중요해지고 있습니다.

오늘은 개인정보보호위원회에서 2025년 8월 최신본으로 개정한 ‘생성형 인공지능 AI 개발, 활용, 서비스를 위한 개인정보 처리 안내서’에 대해 안내하면서 기업에서 꼭 알아두어야 할 개인정보 처리에 대해 알아보도록 하겠습니다.

■ 기업에서 꼭 알아두어야 할 생성형 인공지능 AI 개발 시 개인정보 처리 관련 법적인 주요 쟁점

1. 개인정보 수집 및 이용에 관한 법적인 기준은?

1) 정보주체의 동의 원칙을 잘 확인해야 합니다.

개인정보 보호법에 따라 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하고 이용해야 합니다. 특히 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위는 금지됩니다.

2) 부정한 방법은 도대체 어떤 걸 말하는 걸까?

개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻합니다.

3) 개인정보 수집, 이용을 위한 동의 없이도 수집이나 처리가 가능할까?

이번 안내서(생성형 인공지능 AI 개발, 활용, 서비스를 위한 개인정보 처리 안내서)는 기업에서 LLM 등 기초모델 개발 시 무분별한 스크래핑을 통한 권리침해에 대해 우려하면서도 동의를 받았거나, 계약 또는 정당한 이익 등 적법한 근거에 기초하여 수집된 이용자의 개인정보는 수집한 목적범위 내 이용 시 AI의 서비스 개선 및 고도화 등을 위해 이용할 수 있다고 보고 있습니다.

개인정보 보호법은 정보주체의 동의를 개인정보 수집·이용의 중요한 근거로 규정하고 있지만, 법률에 특별한 규정이 있거나 법령상 의무 준수를 위한 경우, 계약의 체결 및 이행을 위해 필요한 경우, 공공기관의 소관 업무 수행을 위한 경우, 정보주체 또는 제3자의 급박한 이익을 위한 경우, 개인정보처리자의 정당한 이익 달성을 위한 경우, 이미 공개된 개인정보의 수집·이용, 당초 수집 목적과 합리적으로 관련된 범위 내 이용, 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 등 다양한 상황에서 정보주체의 별도 동의 없이도 개인정보를 수집·이용할 수 있도록 허용하고 있습니다.

다만, 이러한 경우에도 개인정보처리자는 개인정보 보호 원칙에 따라 필요한 최소한의 개인정보만을 수집해야 하며, 수집한 개인정보를 안전하게 관리할 의무가 있습니다. 또한, 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 개인정보 처리방침 등을 통해 정보주체에게 알려야 합니다(개인정보 보호법 제22조 제3항).

■ 수집된 개인정보를 이용자의 동의 없이 이용할 때 ‘수집 목적과의 합리적 관련성이 있는 이용’이란 무엇일까?

개인정보보호법 제15조 제3항은 “개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다”고 규정하고 있습니다.

여기서 이야기하는 합리적 관련성이란 당초 수집 목적과 추가적 이용 목적 사이에 상당한 연관성이 있어 정보주체가 예측 가능한 범위 내에서 개인정보가 이용되는 것을 의미합니다. 이는 단순히 형식적인 유사성이 아니라 실질적인 연관성을 의미합니다.

개인정보 보호법 시행령 제14조의2 제1항은 개인정보의 추가적인 이용 시 고려해야 할 사항으로 다음을 규정하고 있습니다.

종합해보면 회사에서 기존 고객과의 계약 이행을 위해 수집한 개인정보를 활용하여 해당 고객에게 새로운 서비스나 상품을 안내하는 경우, 이는 당초 수집 목적과 합리적으로 관련된 범위 내 이용으로 볼 수 있는지 면밀하게 검토해보아야 합니다.

기존에 제공하고 있는 서비스와 유사하거나 관련성이 높은 새로운 서비스라면 정보주체의 예측 가능성이 높다고 볼 여지가 있습니다.

이렇게 온라인 쇼핑몰에서 고객의 구매 이력 정보를 수집한 후 이 개인정보를 활용하여 상품 추천 서비스를 제공하거나, 회사에서 기존 서비스 제공을 위해 고객의 동의를 받아 수집한 고객의 데이터를 익명화/가명화하여 신규 서비스 개발을 위한 통계 분석에 활용하는 등 회사의 다양한 프로젝트에서 정보주체의 동의 없이도 개인정보 데이터 이용을 해야하는 순간이 있습니다.

법률사무소 인평은 개인정보보호법 전문변호사와 회사법, 금융, IT 전문변호사들이 함께 팀을 이뤄 고객사의 전체적인 사업과 프로젝트를 분석하여 가장 최적의 방법으로 사업의 리스크를 사전에 방지하고, 차별화된 솔루션을 제공합니다.

이와 관련하여 문의사항이 있으시면 언제든지 편하게 아래의 상담요청을 통해 문의주시기 바랍니다.

감사합니다.
법률사무소 인평 드림

■ 생성형 인공지능 AI 개발, 활용, 서비스를 위한 개인정보 처리 안내서 – 2025년 8월 최신 발간본 다운로드

2025년 8월 새롭게 개정되어 발간된 ‘생성형 인공지능(AI) 개발·활용 위한 개인정보 처리 안내서’는 아래의 링크 또는 개인정보보호위원회 홈페이지를 통해 안내서를 다운받으실 수 있습니다.

< 생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서(2025.8.) 다운로드 >

<개인정보보호 / 회사법 전문변호사와의 한국어/중국어/영어 상담문의>