[이데일리 안유리 기자] 생성형AI의 개인정 처리 방침 작성 수준이 미흡하다는 개인정보위 조사결과가 나왔다. 개인정보위는 생성형 AI 기업이 보다 명확하게 처리방침을 작성할 수 있도록 개인정보 처리방침 작성지침을 보완할 계획이다.
송경희 개인정보보호위원회 위원장이 3월 4일 오후 서울 중구 소재 한국프레스센터에서 개최된 '생성형AI분야 개인정보 처리방침 개선을 위한 현장간담회'에서 인사말을 하고 있다. (사진=개인정보보호위원회)
이번 간담회는 최근 생성형 AI 서비스가 빠르게 확산·고도화되는 환경에서, 개인정보 처리의 투명성을 강화하고 합리적인 개인정보 처리방침의 개선 방향을 논의하기 위해 마련됐다.
이날 간담회에는 구글, 메타, MS, 오픈AI, 네이버, 카카오, SK텔레콤, LG유플러스, NC AI, 스캐터랩, 뤼튼테크놀로지스 등 11개 생성형 AI 기업 및 AI전문가가 참여했다.
개인정보위는 2024년부터 인공지능, 자율주행 등 신기술을 활용하거나 대규모 민감정보 및 개인정보를 처리하는 대표서비스를 대상으로 ‘개인정보 처리방침’ 평가를 실시하고 있다.
7대 분야에 대해 최초 실시한 2024년도 평가에서는 전체 평균 점수가 57.9점에 그쳤으나, 2025년도에 평가매뉴얼 배포, 작성지침 개정 설명회 및 평가지표 설명회 개최, 기업간담회 등 설명·안내를 적극 강화한 결과, 2025년 7대 분야 전체 평균 점수는 71점으로 상승하여 처리방침 전반의 작성 수준이 개선된 것으로 나타났다.
다만, 생성형 AI 분야의 경우 적정성, 가독성, 접근성 전반에서 상대적으로 미흡한 사례를 확인하였다. 일부 서비스는 ‘처리하는 개인정보 항목’을 포괄적으로 기재하거나, ‘처리의 법적근거’를 구체적으로 밝히지 않았고, ‘개인정보 보유·이용기간’을 모호하게 표현한 경우도 있었다.
또한 개인정보를 제3자 제공하면서 ‘협력업체’, ‘서비스 제공업체’ 등 추상적인 용어를 사용해 제공받는 자를 명확히 특정하지 않은 사례도 확인되었다.
아울러, 정보주체의 권리행사 방법을 영문으로 안내하거나, 개인정보 관련 민원 처리를 지연하는 사례도 있었다. 일부 모바일 앱은 처리방침을 확인하기 위해 로그인을 요구하거나 여러 단계를 거치도록 운영되어 접근성 측면에서 개선이 필요하다는 평가를 받았다. 번역투의 문장과 장문의 서술형 문장이 이어져 정보주체의 이해를 어렵게 하는 사례도 확인되었다.
이에 개인정보위는 생성형 AI 기업이 보다 구체적이고 이용자 눈높이에 맞는 처리방침을 작성할 수 있도록 지원하기 위해 이번에 논의의 자리를 마련했다.
이날 간담회에서는 △2025년 개인정보 처리방침 평가 결과 및 시사점을 공유하고 △프롬프트 입력정보의 처리 및 학습 활용 관련 기재 방식 △처리의 법적근거 명확화 △글로벌 정책과의 정합성 문제 △이용자 권리행사 절차의 실효성 제고 방안 등을 중심으로 실질적 개선 과제를 논의했다.
참석 기업들은 생성형 AI의 기술적 특성상 처리 구조가 복잡하고 글로벌 본사 정책과의 조율이 어려움이 있다고 설명하면서도, 이용자의 신뢰 확보를 위해 보다 명확하고 이해하기 쉬운 설명 방식이 필요하다는 데 공감했다.
입력정보의 학습 활용 여부, 보유기간, 옵트아웃(Opt-out) 절차 등에 대해서는 이용자가 직관적으로 이해할 수 있도록 구체성을 높이는 방향으로 개선해 나가겠다는 의견이 제시됐다.
송경희 위원장은 “이용자가 자신의 정보가 어떻게 활용되는지 쉽게 알 수 있을 때 AI에 대한 신뢰도 함께 높아질 수 있다”라며 “앞으로도 기업과 지속적으로 소통하며 현장에서 적용 가능한 합리적 기준을 마련해 책임 있는 AI 환경을 조성하겠다”라고 말했다.
개인정보위는 이번 간담회 논의 결과를 바탕으로 생성형 AI 기업이 보다 명확하게 처리방침을 작성할 수 있도록 개인정보 처리방침 작성지침을 보완할 계획이다. 아울러 기업·기관들이 개정 기준을 충분히 이해하고 현장에 적용할 수 있도록 4월 중 ‘개인정보 처리방침 작성지침 개정본’을 발간하고, 설명회도 개최할 예정이다.
