생성형 인공지능(AI) 서비스 업체의 개인정보 처리방침이 다른 산업 분야에 비해 미흡한 것으로 나타났다. 개인정보보호위원회 평가 결과 생성형 AI 분야 평균 점수는 61.9점으로 전체 평균보다 9점 낮았다. AI 서비스 확산 속도에 비해 개인정보 처리의 투명성과 이용자 접근성 개선이 뒤따르지 못한다는 지적이 나온다.
4일 개인정보위는 서울 중구 한국프레스센터에서 ‘생성형 AI 분야 개인정보 처리방침 개선을 위한 간담회’를 열고 2025년 ‘개인정보 처리방침 평가’ 결과를 발표했다. 전년(2024년)보다 전체 평균 점수는 13.1점 상승했지만 생성형 AI 분야는 전체 평균보다 9점 낮았다.
개인정보위에 따르면 2024년 △빅테크 △온라인 쇼핑 △온라인 플랫폼(주문·배달, 숙박·여행) △병·의료원 △온라인 동영상 서비스(OTT) △엔터테인먼트(게임, 웹툰) △AI 채용 등 7대 분야에 대해 최초로 진행한 평가에선 전체 평균 점수가 57.9점이었다.
이후 평가매뉴얼 배포, 작성지침 개정·평가지표 설명회 개최, 기업간담회 등 설명·안내를 적극 강화한 결과 2025년 △커넥티드카 △에듀테크 △스마트홈 △생성형 AI △통신 △예약·고객관리 △건강관리앱 등 7대 분야의 전체 평균 점수는 71점으로 크게 상승했다. 이는 50개 기업을 대상으로 처리방침의 적정성, 가독성, 접근성 항목에 대해 100명의 전문가·이용자 평가단이 참여한 결과다.
개인정보 처리방침 평가는 개인정보처리자가 수립·공개한 처리방침을 평가해 개인정보 처리의 투명성과 책임성을 제고하기 위한 제도다. AI, 자율주행 등 신기술을 활용하거나 대규모 민감정보 및 개인정보를 처리하는 대표서비스를 대상으로 2024년부터 실시하고 있다.
다만 생성형 AI 분야에서 상대적으로 미흡한 사례가 확인됐다. 황지은 개인정보위 자율보호정책과장은 “적정성 항목에서 생성형 AI 분야가 전체 평균 대비 3.7점이 낮았다”며 “해외 사업자는 약 28점, 국내 사업자는 약 44점을 기록했다”고 설명했다.
이어 “접근성과 가독성 항목에서는 생성형 AI 분야가 평균보다 5점 낮았다”며 “해외 사업자는 접근성 6점·가독성 11점, 국내 사업자는 접근성 11점·가독성 14점을 기록했다”고 밝혔다.
구체적으로 과거의 필수 동의 관행을 계속 유지하거나 ‘처리하는 개인정보 항목’을 포괄적으로 기재한 사례가 확인됐다. ‘처리의 법적근거’를 구체적으로 밝히지 않거나 ‘개인정보 보유·이용기간’을 모호하게 표현한 경우도 있었다.
또한, 개인정보를 제3자에게 제공하면서 ‘협력업체’, ‘서비스 제공업체’ 등 추상적인 용어를 사용해 제공받는 자를 명확히 특정하지 않은 사례가 있었다. 정보주체의 권리행사 방법을 영문으로 안내하거나, 개인정보 관련 민원 처리를 지연하는 사례도 드러났다.
이외에도 일부 모바일 앱은 처리방침을 확인하는 과정에서 로그인을 요구하거나 여러 단계를 거치도록 운영되는 등 접근성 개선이 필요했다. 번역 투의 문장과 장문의 서술형 문장이 이어져 정보 주체의 이해를 어렵게 하는 사례도 확인됐다.
이에 개인정보위는 개선이 필요한 기업에 대해 5월까지 이행점검을 실시하며 2027년 재평가도 추진할 방침이다. 생성형 AI 기업의 특성을 고려해 2026년 처리방침 작성지침 내에 ‘생성형 AI 특화 부록’도 신설한다. 기업·기관들이 개정 기준을 충분히 이해하고 현장에 적용할 수 있도록 4월 중 ‘개인정보 처리방침 작성지침 개정본’을 발간하며 설명회를 개최할 예정이다.
송경희 위원장은 “이용자가 자신의 정보가 어떻게 활용되는지 쉽게 알 수 있을 때 AI에 대한 신뢰도 함께 높아질 수 있다”라며 “앞으로도 기업과 지속적으로 소통하며 현장에서 적용 가능한 합리적 기준을 마련해 책임 있는 AI 환경을 조성하겠다”라고 말했다.
한편, 이번 간담회는 최근 생성형 AI 서비스가 빠르게 확산·고도화되는 환경에서 개인정보 처리의 투명성을 강화하고 합리적인 개인정보 처리방침의 개선 방향을 논의하기 위해 마련됐다. 구글, 메타, 마이크로소프트, 오픈AI, 네이버, 카카오, SK텔레콤, LG유플러스, NC AI, 스캐터랩, 뤼튼테크놀로지스 등 11개 생성형 AI 기업 관계자 및 AI 전문가가 참여했다.
참석 기업들은 이용자의 신뢰 확보를 위해 보다 명확하고 이해하기 쉬운 설명 방식이 필요하다는 데 공감했지만, 생성형 AI의 기술적 특성상 처리 구조가 복잡하고 글로벌 본사 정책과의 조율에 어려움이 있다고 설명했다. 다만 입력정보의 학습 활용 여부, 보유기간, 옵트아웃(Opt-out) 절차 등에 대해서 이용자가 직관적으로 이해할 수 있도록 구체성을 높이는 방향으로 개선해 나가겠다고 밝혔다.
