AI 서비스를 운영할 때 가장 많이 생기는 오해는 "AI 활용 사실을 고지했으니 개인정보 고지도 된 것"이라고 보는 것이다. 그러나 AI 기본법상 사전 고지·표시 의무와 개인정보보호법상 개인정보 처리 근거·고지·동의 체계는 서로 다른 의무다.
같은 화면에서 안내할 수는 있다. 하지만 법적 성격은 분리해야 한다. AI 고지는 서비스가 고영향 인공지능 또는 생성형 인공지능에 기반하여 운용된다는 사실을 알리는 문제이고, 개인정보보호법상 고지·동의는 어떤 개인정보를 어떤 목적으로, 어떤 법적 근거로 처리하는지에 관한 문제다.
AI 기본법의 고지는 "AI 사용 사실"에 관한 의무다
AI 기본법 제31조는 고영향 인공지능이나 생성형 인공지능을 이용한 제품 또는 서비스를 제공하려는 경우, 그 제품 또는 서비스가 해당 인공지능에 기반하여 운용된다는 사실을 이용자에게 사전에 고지하도록 한다. 생성형 인공지능 결과물에 대해서는 생성 사실 표시도 문제 된다.
이 의무는 이용자가 자신이 상대하는 서비스 또는 결과물이 AI와 관련되어 있다는 사실을 인식할 수 있게 하는 데 있다. 챗봇, 생성형 문서, 이미지 생성물, 실제와 구분하기 어려운 음향·영상 등에서는 표시 방식이 특히 중요하다.
개인정보보호법은 "처리 근거와 항목"을 본다
개인정보보호법 제15조 제1항은 개인정보 수집·이용이 가능한 법적 근거를 열거한다. 정보주체의 동의를 받은 경우도 있고, 정보주체와 체결한 계약을 이행하거나 계약 체결 과정에서 정보주체 요청에 따른 조치를 이행하기 위해 필요한 경우도 있다.
따라서 제15조 제1항 제4호를 단순히 "동의 조항"처럼 쓰면 안 된다. 계약 이행에 필요한 처리라면 동의 없이 처리할 수 있는 근거가 될 수 있지만, 그 경우에도 처리방침 공개, 동의 없이 처리하는 항목과 법적 근거의 구분, 정보주체 권리 보장 등 별도의 의무가 남는다.
같은 화면에 묶더라도 항목은 나누어야 한다
실무상 AI 고지와 개인정보 안내를 같은 화면에서 보여주는 것은 가능하다. 문제는 문구가 뒤섞이는 경우다. 예를 들어 "AI 서비스 제공을 위해 개인정보 수집에 동의합니다"라는 한 문장만 두면, 이용자가 무엇에 동의하는지 알기 어렵다.
권장 구조는 분리형이다. 첫째, AI 활용 고지 영역에서는 "이 서비스는 생성형 인공지능을 이용해 답변을 생성합니다"처럼 AI 운용 사실을 쓴다. 둘째, 개인정보 처리 영역에서는 수집 항목, 목적, 보유 기간, 처리 근거, 동의 거부권을 쓴다. 셋째, 처리방침에는 AI 처리와 관련된 개인정보 처리 구조를 반영한다.
개인정보 동의로 AI 고지를 갈음할 수 없다
개인정보 수집·이용 동의를 받았다고 해서 AI 기본법의 사전 고지나 생성형 결과물 표시가 자동으로 충족되는 것은 아니다. 반대로 AI 활용 사실을 고지했다고 해서 개인정보 수집·이용 동의나 법적 근거가 확보되는 것도 아니다.
특히 AI 서비스가 대화 내용, 음성, 이미지, 건강정보, 위치정보, 미성년자 정보 등을 처리한다면 개인정보보호법상 민감정보, 아동·청소년, 제3자 제공, 국외 이전, 자동화된 결정 관련 고지까지 별도로 확인해야 한다.
처분 라인도 분리된다
AI 기본법상 투명성 의무는 과학기술정보통신부 중심의 집행 라인에서 문제 될 수 있다. 개인정보보호법 위반은 개인정보보호위원회 집행 라인에서 문제 된다. 같은 서비스 화면에서 동시에 문제가 발생하더라도, 위반 법령과 소관 기관은 달라질 수 있다.
그래서 통합 고지는 "한 화면"의 문제가 아니라 "두 법의 요건을 각각 충족하는 설계"의 문제다. 서비스 출시 전에는 AI 고지 문구, 개인정보 처리방침, 동의 UI, 로그 보관, 이용자 문의 대응을 함께 점검해야 한다.
자주 묻는 질문
AI 고지와 개인정보 동의를 한 번에 받을 수 있나요?
한 화면에 함께 배치할 수는 있다. 다만 AI 활용 사실 고지, 개인정보 수집·이용 동의, 동의 없이 처리하는 항목의 법적 근거는 문장과 체크박스를 구분하는 것이 안전하다.
개인정보 처리방침에만 쓰면 충분한가요?
항상 충분하다고 보기 어렵다. AI 기본법상 사전 고지가 필요한 경우라면 이용자가 서비스 이용 전에 인식할 수 있는 방식이 필요하다.
계약 이행에 필요한 개인정보도 동의를 받아야 하나요?
개인정보보호법상 계약 이행에 필요한 처리는 동의 외 법적 근거가 될 수 있다. 다만 그 항목과 법적 근거를 동의로 처리하는 항목과 구분해 공개하거나 알려야 한다.
생성형 AI 결과물 표시와 개인정보 고지는 같은 건가요?
아니다. 생성형 AI 결과물 표시는 결과물이 AI로 생성되었다는 사실을 알리는 문제이고, 개인정보 고지는 개인정보 처리의 목적·항목·근거를 알리는 문제다.
작성: 조국환 변호사팀 | AUCTORITAS LAB



