AI와 개인정보보호법 — GDPR·개인정보보호법 실무 체크리스트 — AI 보안·프라이버시 실전 가이드 — AI 시대, 내 정보를 지키는 법

AI 시대, 법은 우리 편입니다

"AI 회사가 내 데이터를 학습에 쓴다고요? 그거 불법 아닌가요?"

이 질문에 대한 답은 **"상황에 따라 다르다"**입니다. AI 서비스 제공자가 여러분의 데이터를 어떻게 수집하고, 처리하고, 활용하는지에 따라 적법할 수도 있고, 위법할 수도 있습니다. 중요한 것은 여러분에게 이 과정을 통제할 수 있는 법적 권리가 있다는 사실입니다.

한국의 개인정보보호법은 2023년 전면 개정을 거쳐 AI 시대에 맞는 보호 체계를 강화했으며, EU의 GDPR(일반데이터보호규정)은 AI 시스템에 대한 구체적인 규제를 포함하고 있습니다. 이 챕터에서는 AI 서비스 이용자로서 알아야 할 법적 권리와 기업이 준수해야 할 의무를 실무 중심으로 안내하겠습니다.

[AI 개인정보 법적 권리 인식 체크리스트] 아래 항목 중 알고 있는 것에 체크하세요:

AI 서비스에 입력한 내 데이터의 열람을 요청할 수 있다

AI 서비스에 저장된 내 데이터의 삭제를 요청할 수 있다

AI 모델 학습에 내 데이터가 사용되는 것을 거부할 수 있다

AI가 내 데이터를 기반으로 자동 의사결정을 하는 것을 거부할 수 있다

AI 서비스가 내 데이터를 제3자에게 제공하는 것에 동의 철회가 가능하다

개인정보 유출 시 손해배상을 청구할 수 있다

3개 미만 체크: 이 챕터에서 여러분의 권리를 확인하세요.

한국 개인정보보호법 — AI 관련 핵심 조항

한국의 개인정보보호법은 AI 서비스에도 전면 적용됩니다. AI 서비스 제공자는 일반적인 온라인 서비스와 동일한 수준의 개인정보 보호 의무를 집니다.

개인정보 수집·이용 동의 (제15조)

AI 서비스가 개인정보를 수집하려면 정보주체(이용자)의 동의를 받아야 합니다.

AI 서비스에서 수집되는 개인정보 유형:

수집 단계	수집 정보 예시	법적 근거 요건
회원 가입	이메일, 이름, 전화번호	명시적 동의 필요
서비스 이용	대화 내용, 입력 데이터	목적 고지 + 동의
자동 수집	IP, 쿠키, 접속 기록	개인정보처리방침 고지
모델 학습	대화 데이터 활용	별도 동의 또는 옵트아웃
제3자 제공	파트너사 데이터 공유	별도 동의 필요

핵심 원칙: AI 서비스가 여러분의 대화 내용을 모델 학습에 사용하려면, 수집 목적에 '모델 학습'이 명시되어 있어야 하며, 이에 대한 동의를 별도로 받거나 쉬운 옵트아웃 수단을 제공해야 합니다.

개인정보 처리 제한 (제16조, 제17조)

최소 수집 원칙: AI 서비스는 서비스 제공에 필요한 최소한의 개인정보만 수집해야 합니다. 예를 들어, AI 번역 서비스가 사용자의 위치 정보나 연락처를 수집하는 것은 최소 수집 원칙에 위배될 수 있습니다.

목적 제한 원칙: 수집된 개인정보는 고지된 목적 범위 내에서만 이용해야 합니다. "서비스 품질 개선"이라는 포괄적 동의로 모델 학습에 활용하는 것은 논란의 여지가 있습니다.

자동화된 의사결정에 대한 정보주체 권리 (제37조의2)

2023년 개정법에서 추가된 핵심 조항으로, AI 기반 자동 의사결정에 대한 권리를 명시하고 있습니다.

정보주체의 권리:

자동화된 의사결정의 존재 여부와 기본 논리 설명을 요구할 권리
자동화된 의사결정의 결과에 대해 이의를 제기할 권리
**인간의 개입(human review)**을 요구할 권리
자동화된 의사결정을 거부할 권리 (정당한 사유가 있는 경우)

적용 예시:

AI 기반 채용 시스템에서 서류 탈락 → 탈락 이유 설명 및 인간 재검토 요구 가능
AI 기반 대출 심사에서 거절 → 거절 근거와 판단 로직 설명 요구 가능
AI 기반 보험료 산정 → 산정 기준과 사용된 데이터 설명 요구 가능

[자동화된 의사결정 이의 제기 프롬프트] AI 기반 의사결정에 이의를 제기할 때 아래 프롬프트로 이의서 초안을 작성하세요:

"다음 상황에서 자동화된 의사결정에 대한 이의서 초안을 작성해 주세요.

서비스/기관명: [회사명] 의사결정 내용: [예: 대출 거절, 채용 탈락, 보험료 할증] 통보 받은 이유: [설명 받은 내용 또는 '설명 없음'] 요구 사항: [설명 요구 / 인간 재검토 요구 / 결정 철회 요구]

개인정보보호법 제37조의2에 근거하여, 정중하지만 명확하게 법적 권리를 주장하는 형식으로 작성해 주세요. 발송 가능한 이메일 형태로 만들어 주세요."

GDPR은 EU 시민의 데이터를 처리하는 모든 기업에 적용됩니다. 한국 기업이라도 EU 사용자에게 서비스를 제공하거나, EU 기반 AI 서비스를 이용한다면 GDPR을 이해해야 합니다.

GDPR의 AI 관련 핵심 원칙

원칙	내용	AI 적용
적법성·공정성·투명성	데이터 처리의 법적 근거와 투명성 확보	AI 학습 데이터 수집의 법적 근거 명시
목적 제한	특정 목적으로만 데이터 처리	'서비스 개선'의 범위를 명확히
데이터 최소화	필요한 최소한의 데이터만 처리	학습에 필수적인 데이터만 수집
정확성	부정확한 데이터 수정·삭제	AI 학습 데이터의 정확성 보장
보관 제한	필요한 기간만 보관	대화 기록 자동 삭제 정책
무결성·기밀성	적절한 보안 조치	학습 데이터 암호화 및 접근 통제

GDPR 제22조는 AI 기반 자동 의사결정에 대해 한국법보다 더 강력한 규제를 적용합니다.

핵심 내용:

정보주체는 오직 자동화된 처리에만 기반한 의사결정의 적용을 받지 않을 권리가 있습니다
특히 프로파일링을 포함하여 법적 효과 또는 이와 유사하게 중대한 영향을 미치는 경우
예외 적용 시에도 인간의 개입을 요구할 권리, 이의를 제기할 권리 보장 필수

잊힐 권리 (Right to Erasure, 제17조)

GDPR의 핵심 권리 중 하나로, AI 시대에 특히 중요합니다.

삭제 요청이 가능한 경우:

수집 목적이 달성되어 더 이상 필요하지 않은 경우
동의를 철회한 경우
처리에 반대하고, 정당한 우선 사유가 없는 경우
불법적으로 처리된 경우

AI 학습 데이터에 대한 쟁점: 이미 모델 학습에 사용된 데이터의 삭제는 기술적으로 복잡합니다. 모델에서 특정 데이터의 영향을 완전히 제거하는 것(machine unlearning)은 아직 연구 중인 분야입니다.

AI 서비스 이용자의 법적 권리 — 실전 행사 방법

법적 권리를 알고 있어도, 실제로 행사하는 방법을 모르면 무용지물입니다. 주요 AI 서비스별 권리 행사 방법을 안내합니다.

열람권 행사 — 내 데이터 확인하기

[AI 서비스 데이터 열람 요청 이메일 템플릿]

제목: 개인정보 열람 요청 (개인정보보호법 제35조)

수신: [서비스 개인정보 담당 이메일]

안녕하세요, [서비스명]을 이용하고 있는 [이름]입니다.

개인정보보호법 제35조에 근거하여, 귀사가 보유하고 있는 본인의 개인정보에 대한 열람을 요청합니다.

요청 사항:

수집된 개인정보 항목 전체 목록

개인정보의 수집 및 이용 목적

개인정보 보유 및 이용 기간

개인정보의 제3자 제공 현황 (있는 경우)

개인정보 처리 위탁 현황

본인의 대화/입력 데이터가 모델 학습에 사용되었는지 여부

계정 정보: [가입 이메일 / 사용자 ID]

개인정보보호법 제35조 제3항에 따라 10일 이내에 회신해 주시기 바랍니다.

[이름] / [연락처] / [날짜]

삭제권 행사 — 내 데이터 지우기

각 주요 AI 서비스별 데이터 삭제 방법입니다.

ChatGPT (OpenAI):

설정 → 데이터 제어 → "모든 대화 삭제"로 대화 기록 삭제
privacy.openai.com에서 개인 데이터 다운로드 및 삭제 요청 가능
계정 삭제 시 30일 후 모든 데이터 영구 삭제 (OpenAI 고지 기준)

Claude (Anthropic):

대화 목록에서 개별 대화 삭제 가능
support.anthropic.com에서 개인 데이터 삭제 요청
계정 삭제 요청 시 관련 데이터 삭제 처리

Gemini (Google):

myactivity.google.com → Gemini 앱 활동 → 삭제
Google 계정 → 데이터 및 개인정보보호 → 삭제 옵션
자동 삭제 기간 설정 가능 (3개월/18개월/36개월)

Microsoft Copilot (Microsoft):

account.microsoft.com → 개인정보 → 활동 기록 삭제
설정에서 대화 기록 자동 삭제 설정

뤼튼:

설정 → 계정 → 회원 탈퇴로 전체 데이터 삭제
고객센터를 통해 개별 데이터 삭제 요청

[AI 서비스 데이터 삭제 요청 이메일 템플릿]

제목: 개인정보 삭제(파기) 요청 (개인정보보호법 제36조)

수신: [서비스 개인정보 담당 이메일]

안녕하세요, [서비스명] 이용자 [이름]입니다.

개인정보보호법 제36조에 근거하여, 귀사가 보유하고 있는 본인의 개인정보 삭제(파기)를 요청합니다.

삭제 요청 범위:

계정 정보 (이름, 이메일 등 가입 정보)

전체 대화/입력 데이터 기록

업로드한 파일 및 첨부 자료

서비스 이용 로그 및 행동 데이터

모델 학습에 사용된 본인 데이터 (해당되는 경우)

계정 정보: [가입 이메일 / 사용자 ID]

개인정보보호법 제36조 제2항에 따라 10일 이내에 삭제 후 회신해 주시기 바랍니다. 삭제가 불가능한 항목이 있다면, 그 사유와 법적 근거를 명시해 주세요.

[이름] / [연락처] / [날짜]

처리 거부권 — AI 학습에 내 데이터 쓰지 마세요

[AI 학습 데이터 처리 거부 요청 이메일 템플릿]

제목: 개인정보 처리 정지 요청 — AI 모델 학습 목적 (개인정보보호법 제37조)

수신: [서비스 개인정보 담당 이메일]

안녕하세요, [서비스명] 이용자 [이름]입니다.

개인정보보호법 제37조에 근거하여, 본인의 개인정보가 AI 모델 학습 목적으로 처리되는 것의 정지를 요청합니다.

처리 정지 요청 내용:

본인이 입력한 대화/텍스트 데이터의 AI 모델 학습 활용 정지

본인이 업로드한 파일/이미지의 AI 모델 학습 활용 정지

본인의 서비스 이용 패턴 데이터의 AI 모델 개선 활용 정지

서비스 이용 자체는 계속하되, 본인의 데이터가 모델 학습에 사용되지 않기를 요청합니다. 귀사의 개인정보처리방침에 옵트아웃 설정이 있다면 해당 방법도 안내해 주세요.

[이름] / [연락처] / [날짜]

기업의 AI 개인정보 영향평가(PIA) 가이드

AI 서비스를 도입하거나 운영하는 기업은 **개인정보 영향평가(Privacy Impact Assessment, PIA)**를 실시하여 개인정보 침해 위험을 사전에 평가하고 대응 방안을 마련해야 합니다.

PIA가 필요한 경우

상황	PIA 필요 여부	근거
AI 챗봇으로 고객 상담 자동화	필수	고객 개인정보 처리
AI로 직원 성과 평가	필수	자동화된 의사결정 + 직원 정보
AI로 채용 서류 심사	필수	자동화된 의사결정 + 민감 정보
AI 번역 도구 사내 도입	권고	입력 데이터의 외부 전송
AI 코딩 도구 개발팀 도입	권고	소스코드(영업비밀) 외부 전송
AI 마케팅 자동화	필수	고객 행동 데이터 프로파일링

PIA 실시 체크리스트

[AI 개인정보 영향평가 체크리스트]

1단계: 대상 AI 시스템 식별

AI 도구/서비스명: ____________

도입 목적: ____________

처리되는 개인정보 유형: □ 일반 □ 민감 □ 고유식별정보

정보주체 유형: □ 고객 □ 직원 □ 회원 □ 일반 공중

처리 건수 (예상): ____________건/월

2단계: 데이터 흐름 분석

개인정보 수집 경로: ____________

AI 서비스로의 데이터 전송 방식: □ API □ 직접 입력 □ 파일 업로드

데이터 저장 위치: □ 국내 □ 해외 (국가: ____)

제3자 제공 여부: □ 없음 □ 있음 (제공처: ____)

AI 모델 학습 활용 여부: □ 활용 □ 미활용 □ 확인 필요

3단계: 위험 평가

개인정보 유출 위험: □ 높음 □ 중간 □ 낮음

목적 외 이용 위험: □ 높음 □ 중간 □ 낮음

자동화된 의사결정 관련 위험: □ 해당 □ 미해당

해외 이전 관련 위험: □ 해당 □ 미해당

AI 편향(bias) 관련 위험: □ 해당 □ 미해당

4단계: 대응 방안 수립

기술적 보호조치: 암호화, 접근 통제, 비식별화

관리적 보호조치: 접근 권한 관리, 교육, 모니터링

정보주체 권리 보장 방안: 동의, 고지, 열람/삭제 절차

잔여 위험 수용 기준 및 경영진 승인

5단계: 이행 및 모니터링

PIA 결과 보고서 작성 및 보관

대응 방안 이행 일정 수립

정기 재평가 일정 설정 (최소 연 1회)

개인정보보호 책임자(CPO) 승인

[AI 개인정보 영향평가 초안 생성 프롬프트] 아래 프롬프트를 ChatGPT 또는 Claude에 입력하세요:

"우리 기업이 [AI 서비스명]을 [목적]으로 도입하려고 합니다. 한국 개인정보보호법에 근거한 개인정보 영향평가(PIA) 보고서 초안을 작성해 주세요.

기업 정보: [업종], [규모] AI 서비스: [서비스명], [제공사] 처리 데이터: [개인정보 유형] 정보주체: [고객/직원/회원] 데이터 흐름: [수집→전송→처리→저장 경로]

다음 항목을 포함해 주세요:

대상 시스템 개요

개인정보 흐름도

위험 요소 식별 (최소 10개)

각 위험 요소별 위험도 평가 (영향×가능성)

위험 완화 방안

잔여 위험 분석

권고 사항"

동의서 및 고지문 작성 가이드

AI 서비스를 운영하는 기업이 법적으로 요구되는 동의서와 고지문을 작성하는 방법을 안내합니다.

AI 데이터 처리 동의서 필수 항목

[AI 서비스 개인정보 동의서 필수 항목 체크리스트]

개인정보보호법 제15조, 제17조에 따른 필수 고지 항목:

수집 항목: AI 서비스에서 수집하는 개인정보 항목 구체 명시

수집 목적: '서비스 제공', 'AI 모델 학습', '서비스 개선' 각각 분리 고지

보유 기간: 개인정보 보유 및 이용 기간 명시

AI 학습 활용: 입력 데이터의 AI 모델 학습 활용 여부 및 범위 명시

제3자 제공: 데이터가 제3자(하위 처리자 포함)에 제공되는 경우 명시

해외 이전: 데이터가 해외 서버에 저장·처리되는 경우 국가 및 수탁자 명시

자동화된 의사결정: AI 기반 자동 판단이 포함되는 경우 그 사실과 로직 설명

권리 행사 방법: 열람, 정정, 삭제, 처리정지 요청 방법 안내

동의 거부 권리: 동의를 거부할 권리와 거부 시 불이익(서비스 이용 제한 등) 명시

옵트아웃 방법: AI 학습 활용 옵트아웃 설정 방법 구체 안내

[AI 서비스 동의서 초안 생성 프롬프트] 아래 프롬프트를 Claude 또는 ChatGPT에 입력하세요:

"우리 기업이 운영하는 AI 서비스의 개인정보 수집·이용 동의서 초안을 작성해 주세요.

서비스 설명: [서비스 기능 설명] 수집 개인정보: [항목 나열] AI 학습 활용: [예/아니오] 해외 서버 이용: [예/아니오, 국가명] 자동화된 의사결정: [예/아니오, 내용]

한국 개인정보보호법과 GDPR을 모두 고려하여, 법적 요건을 충족하면서도 일반 이용자가 이해하기 쉬운 평이한 한국어로 작성해 주세요. 필수 동의와 선택 동의를 구분해 주세요."

개인정보 유출 사고 법적 대응

AI 서비스를 통해 개인정보가 유출된 경우의 법적 대응 방법입니다.

개인정보 유출 통지 의무 (제34조)

개인정보처리자는 개인정보 유출 사실을 알게 된 때에는 지체 없이 정보주체에게 통지해야 합니다.

통지 필수 항목:

유출된 개인정보 항목
유출 시점과 경위
정보주체가 취할 수 있는 조치
개인정보처리자의 대응 조치
피해 신고 접수 부서 및 연락처

1,000건 이상 유출 시: 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 72시간 이내 신고 의무

손해배상 청구 (제39조)

[AI 개인정보 유출 손해배상 청구 준비 체크리스트]

증거 수집:

개인정보 유출 통지서 (서비스 제공자로부터 받은 것)

해당 AI 서비스 가입 및 이용 내역 (스크린샷)

입력한 개인정보의 구체적 내용 (가능한 범위)

유출로 인한 피해 내역 (스팸, 사기 시도, 정신적 고통 등)

AI 서비스의 개인정보처리방침 (유출 시점 기준)

청구 절차:

서비스 제공자에 직접 손해배상 요구 (내용증명)

개인정보보호위원회 분쟁조정 신청 (무료)

법원 소송 (변호사 상담 후 결정)

참고: 개인정보보호법 제39조 제3항에 따라, 손해액 입증이 어려운 경우에도 법원이 적정 손해액을 인정할 수 있습니다 (법정 손해배상, 최대 300만 원).

국제 AI 규제 동향 — 알아두면 좋은 법률

EU AI Act (AI 법)

2024년 발효된 EU AI Act는 세계 최초의 포괄적 AI 규제법으로, AI 시스템을 위험도에 따라 4단계로 분류합니다.

위험 등급	예시	규제 수준
허용 불가 위험	사회적 점수 매기기, 실시간 원격 생체 인식	전면 금지
고위험	AI 채용, AI 신용 평가, AI 의료 진단	적합성 평가, 인증, 투명성 의무
제한적 위험	챗봇, 감정 인식	AI 사용 사실 고지 의무
최소 위험	AI 번역, AI 추천	자율 규제

주요국 AI 규제 비교

[글로벌 AI 규제 비교 분석 프롬프트] 아래 프롬프트로 최신 규제 동향을 파악하세요:

"한국, EU, 미국, 일본, 중국의 AI 관련 개인정보보호 규제를 비교해 주세요. 각 국가/지역별로:

핵심 법률명과 시행 시기

AI 학습 데이터에 대한 규제 수준

자동화된 의사결정에 대한 규제

위반 시 제재 수준 (벌금, 형사 처벌 등)

한국 기업에 미치는 영향 을 표로 정리해 주세요. 가장 최근 동향을 반영해 주세요."

실무 FAQ — 자주 묻는 법률 질문

Q1: AI 서비스 무료 이용 시에도 개인정보보호법이 적용되나요?

네, 적용됩니다. 무료 서비스라도 개인정보를 수집하는 이상 개인정보보호법의 모든 조항이 동일하게 적용됩니다. "무료이니 개인정보 보호 수준이 낮아도 된다"는 주장은 법적으로 인정되지 않습니다.

Q2: AI에 입력한 텍스트도 '개인정보'인가요?

텍스트 자체가 특정 개인을 식별할 수 있는 정보를 포함하고 있다면 개인정보에 해당합니다. "김철수 부장의 연봉은 8천만 원이다"라는 텍스트는 개인정보이지만, "효율적인 마케팅 전략을 제안해 줘"라는 일반적 질문은 개인정보에 해당하지 않습니다.

Q3: 해외 AI 서비스에 한국 개인정보보호법이 적용되나요?

국내에서 서비스를 제공하며 국내 이용자의 개인정보를 처리하는 경우, 해외 사업자에게도 한국 개인정보보호법이 적용됩니다 (제39조의14). OpenAI, Google, Anthropic 등 주요 AI 서비스 제공자는 이에 따라 한국 내 대리인을 지정하고 있습니다.

Q4: AI 서비스가 데이터 삭제 요청을 거부하면 어떻게 하나요?

서비스 제공자가 삭제를 거부할 경우, 거부 사유와 법적 근거를 서면으로 요구하세요. 거부 사유가 부당하다고 판단되면 개인정보보호위원회에 신고하거나, 개인정보 분쟁조정위원회에 조정을 신청할 수 있습니다.

[AI 개인정보 침해 신고 안내 프롬프트] 개인정보 침해가 의심될 때 신고 방법을 확인하세요:

"다음 상황에서 적절한 신고/구제 절차를 안내해 주세요.

상황: [AI 서비스에서 개인정보 유출 / 삭제 요청 거부 / 무단 학습 활용 / 자동 의사결정 이의] 서비스: [서비스명] 피해 내용: [구체적 피해]

신고 가능한 기관과 접수 방법

필요한 증거 자료 목록

예상 처리 기간

추가로 취할 수 있는 법적 조치 를 단계별로 안내해 주세요."

마무리

AI 시대의 개인정보보호는 **"법을 알고, 권리를 행사하는 것"**에서 시작됩니다. 한국 개인정보보호법과 GDPR은 AI 환경에서도 여러분의 데이터를 보호할 수 있는 강력한 도구입니다.

핵심 메시지를 정리하겠습니다:

열람권, 삭제권, 처리 거부권은 법으로 보장된 권리입니다 — 주저하지 말고 행사하세요
AI 학습에 내 데이터가 사용되는 것을 거부할 수 있습니다 — 옵트아웃 설정을 반드시 확인하세요
기업은 AI 도입 전 개인정보 영향평가(PIA)를 실시하세요 — 사전 예방이 사후 대응보다 훨씬 경제적입니다
개인정보 유출 시 법적 구제 수단이 있습니다 — 분쟁조정, 손해배상 청구까지 단계별로 대응 가능합니다
글로벌 AI 규제는 강화되는 추세입니다 — 지금 대비하는 것이 나중에 비용을 아끼는 길입니다

다음 챕터에서는 AI가 만들어내는 새로운 형태의 피싱과 소셜 엔지니어링 공격, 그리고 이에 대한 방어법을 다루겠습니다.

다음 챕터 예고: AI 피싱·소셜 엔지니어링 대응 — 새로운 공격 패턴과 방어법 — AI로 개인화된 피싱 이메일, 음성 피싱, 영상 피싱의 실체와 조직·개인 차원의 방어 전략을 안내합니다.