회사 안에 AI 기능이 하나씩 붙고 있습니다. 상담 요약, 문의 분류, 채용 서류 정리, 고객 메모 자동화, 사내 검색처럼 시작은 작습니다. 문제는 기능은 빠르게 붙는데 개인정보 처리방침은 예전 문장 그대로 남아 있는 경우가 많다는 점입니다.
개인정보보호위원회는 2026년 4월 「개인정보 처리방침 작성지침」 개정 내용을 공개하며 생성형 AI 서비스, 온디바이스 처리, 대규모 수탁자·제공자 기재처럼 현장에서 자주 부딪히는 기준을 다뤘습니다. 처리방침은 더 이상 “수집 항목과 보유기간을 적어두는 문서”만으로 보기 어렵습니다. 실제 데이터가 어디에서 처리되고, AI 학습이나 외부 전송과 연결되는지 설명할 수 있어야 합니다.
이 글은 법률 자문이 아니라, AI 기능을 도입했거나 도입하려는 개인정보 담당자가 처리방침과 내부 운영을 함께 점검할 때 쓸 수 있는 실무 체크리스트입니다.
먼저 5가지만 확인하세요
- AI 기능에 입력되는 개인정보가 무엇인지
- 입력값이 외부 서버로 전송되는지, 단말기 안에서만 처리되는지
- 입력값이나 결과값이 모델 학습에 활용되는지
- AI 도구 제공사가 수탁자인지, 별도 제공 관계인지
- 삭제·열람·처리정지 요청이 들어오면 어느 시스템에서 처리하는지
AI 기능은 개인정보 흐름을 바꿉니다
기존 업무에서는 개인정보가 비교적 명확한 시스템 안에 있었습니다. 고객 DB, 상담툴, 채용 솔루션, 결제 시스템처럼 저장 위치와 담당 부서를 찾기 쉬웠습니다.
AI 기능이 들어오면 흐름이 달라집니다. 상담원이 고객 문의를 AI 요약기에 넣을 수 있고, 마케팅팀이 이벤트 신청자 메모를 자동 분류할 수 있으며, 채용 담당자가 지원서를 요약 도구로 검토할 수 있습니다. 이 과정에서 이름, 연락처, 회사명, 민원 내용, 지원 이력처럼 개인정보가 프롬프트나 첨부 파일에 포함될 수 있습니다.
담당자가 확인해야 할 핵심은 “AI를 쓴다”가 아닙니다. 어떤 개인정보가 어떤 목적으로, 어떤 환경에서, 누구에게 전달되어 처리되는지입니다. 처리방침도 이 흐름을 따라가야 합니다.
1. AI 입력값을 개인정보 항목으로 볼 수 있나요?
AI 기능에서 가장 먼저 봐야 할 것은 입력값입니다. 사용자가 직접 입력하는 프롬프트, 상담원이 붙여 넣는 고객 대화, 파일로 올리는 신청서, 내부 담당자가 작성한 메모가 모두 검토 대상이 될 수 있습니다.
처리방침에는 일반적으로 수집 항목, 이용 목적, 보유기간이 정리됩니다. 그런데 AI 기능에 들어가는 정보가 기존 항목에 포함되지 않거나, 원래 수집 목적과 다른 방식으로 쓰이고 있다면 설명이 부족해질 수 있습니다.
실무적으로는 아래 질문을 먼저 던지는 편이 좋습니다.
- AI 기능에 사람이 직접 입력하는 정보가 있는가?
- 첨부 파일이나 상담 기록이 AI 처리에 사용되는가?
- 민감한 정보, 고유식별정보, 채용·민원 정보가 섞일 가능성이 있는가?
- AI 결과값이 다시 고객 관리나 평가 업무에 반영되는가?
이 질문에 답하지 못하면 처리방침 문구보다 내부 사용 기준을 먼저 정리해야 합니다.
2. 온디바이스 처리인지 외부 서버 처리인지 구분했나요?
최근에는 “온디바이스 AI”라는 표현도 자주 쓰입니다. 단말기 안에서만 처리된다면 외부 서버 전송이 줄어들 수 있지만, 모든 AI 기능이 그런 것은 아닙니다. 일부 기능은 단말기에서 처리되는 것처럼 보이더라도 품질 개선, 동기화, 로그 분석, 모델 호출 때문에 서버와 연결될 수 있습니다.
따라서 처리방침 점검에서는 마케팅 문구보다 실제 기술 흐름을 확인해야 합니다.
- 개인정보가 외부 서버로 전송되는가?
- 전송된다면 어떤 업체의 어떤 서비스로 가는가?
- 서버에 저장되는 정보와 저장되지 않는 정보가 구분되는가?
- 단말기 내부 처리라면 삭제 기준과 이용자 안내가 정리되어 있는가?
“온디바이스라서 괜찮다”는 식의 단정은 위험합니다. 실제로 어떤 데이터가 어디에서 처리되는지를 확인한 뒤 설명해야 합니다.
3. 모델 학습 활용 여부와 거부 방법이 정리되어 있나요?
생성형 AI 서비스를 사용할 때 이용자나 직원이 가장 궁금해하는 부분은 입력한 정보가 학습에 쓰이는지입니다. 회사가 직접 AI 모델을 운영하지 않더라도, 외부 AI 도구의 설정이나 계약 조건에 따라 입력값 보관·학습 활용 여부가 달라질 수 있습니다.
처리방침이나 별도 안내에서는 다음 내용을 확인해야 합니다.
- 입력값이 AI 학습에 사용되는가?
- 사용된다면 어떤 목적과 범위에서 사용되는가?
- 학습 활용을 원하지 않는 경우 거부 또는 설정 변경 방법이 있는가?
- 업무 담당자가 학습 차단 설정을 실제로 적용했는가?
외부 AI 도구를 쓰는 경우에는 “우리는 학습에 쓰지 않는다”는 문장만으로 충분하지 않을 수 있습니다. 공급자 설정, 계약, 관리자 콘솔, 로그 보관 기준까지 같이 봐야 합니다.
4. AI 도구 제공사는 수탁자인가요, 제공받는 자인가요?
AI 도구를 붙이면 외부 업체가 개인정보 처리에 관여하는 경우가 많습니다. 이때 업체를 수탁자로 볼지, 제3자 제공으로 볼지, 또는 단순 도구 제공자로 볼지는 실제 역할에 따라 달라질 수 있습니다.
처리방침에는 수탁자나 제공받는 자를 기재해야 하는 경우가 있습니다. 2026년 작성지침 흐름에서는 수탁자나 제공받는 사람이 대규모이거나 자주 바뀌는 경우 유형화 기재가 가능한 방식도 논의되었습니다. 하지만 유형화가 가능하다는 말은 목록 관리를 하지 않아도 된다는 뜻이 아닙니다.
내부적으로는 최소한 아래 표를 갖고 있어야 합니다.
- AI 도구명과 제공사
- 처리하는 개인정보 항목
- 처리 목적
- 저장 위치와 보관기간
- 학습 활용 여부
- 위탁·제공·내부 이용 중 어떤 구조인지
처리방침 문구는 이 표를 바탕으로 작성해야 실제 운영과 맞습니다.
5. 이용자 권리 요청을 어느 시스템에서 처리하나요?
AI 기능을 도입하면 삭제와 열람 요청도 복잡해질 수 있습니다. 원본 DB에서는 삭제했지만 AI 처리 로그, 요약 결과, 외부 도구의 기록, 다운로드 파일에는 정보가 남을 수 있습니다.
개인정보 담당자는 권리 요청이 들어왔을 때 다음 흐름을 설명할 수 있어야 합니다.
- 요청을 접수하는 담당 부서
- 원본 데이터가 있는 시스템
- AI 처리 과정에서 생성된 결과값 위치
- 외부 도구에 남은 로그나 파일의 삭제 가능 여부
- 처리 결과를 기록하는 방식
AI 기능은 편의를 높이지만, 권리 요청 대응 흐름이 정리되어 있지 않으면 담당자의 설명 부담이 커집니다.
캐치시큐가 도울 수 있는 부분
AI 기능을 도입할 때 처리방침을 업데이트하려면 문장만 고치는 것으로는 부족합니다. 수집 항목, 이용 목적, 보관기간, 수탁사, 파기 기준, 권리 요청 절차가 실제 개인정보 흐름과 연결되어야 합니다.
캐치시큐는 개인정보 처리 현황을 항목별로 정리하고, 외부 도구와 수탁사 정보를 함께 점검할 수 있도록 돕습니다. 담당자는 어떤 폼과 업무에서 개인정보가 수집되고, 어떤 시스템이나 외부 도구로 이동하며, 처리방침에 어떤 항목이 빠져 있는지 확인할 수 있습니다.
다음 상황이라면 AI 기능 도입 전 처리방침 점검이 필요합니다.
- 상담, 채용, 마케팅 업무에 AI 요약·분류 기능을 붙인 경우
- 직원이 외부 생성형 AI 도구에 업무 데이터를 입력할 가능성이 있는 경우
- AI 도구 제공사의 보관·학습 설정을 아직 확인하지 않은 경우
- 처리방침의 수탁사 목록이 실제 SaaS 사용 현황과 맞지 않는 경우
- 삭제 요청이 들어왔을 때 AI 처리 결과까지 확인할 절차가 없는 경우
마치며
AI 기능은 업무 속도를 높이지만 개인정보 처리방침과 내부 운영 기준도 함께 업데이트해야 합니다. 특히 입력값, 서버 전송, 학습 활용, 외부 업체 역할, 권리 요청 대응은 담당자가 먼저 확인해야 할 핵심 항목입니다.
처리방침은 회사가 개인정보를 어떻게 다루는지 이용자에게 설명하는 창구입니다. AI 기능을 붙였다면, 그 기능이 개인정보 흐름을 어떻게 바꾸는지 지금 한 번 점검해 보세요.
참고한 공개 자료
- 개인정보보호위원회, 「개인정보 처리방침 작성지침」 개정내용 공개 및 의견수렴, 2026-04-09
- 정책브리핑/개인정보보호위원회 보도자료, 개인정보 처리방침 작성지침 개정 공개, 2026-04-24
