GDPR (유럽 일반 데이터 보호 규칙)
용어 이름 복사
데이터약 1분 읽기
EU 시민의 개인정보 보호를 위해 제정된 법령으로, 기업의 위치와 상관없이 EU 내 정보 주체의 데이터를 처리하는 전 세계 모든 조직에 적용되는 법적 표준입니다.
다른 이름
General Data Protection Regulation2016/679EU 개인정보보호규정
상세 설명
2018년 시행된 GDPR은 데이터 주체의 권리 강화와 기업의 책임성을 핵심으로 하는 규범입니다. AI 환경에서는 특히 '자동화된 의사결정에 따르지 않을 권리(제22조)'와 '설명요구권'이 중요하게 다뤄집니다. AI 도구는 설계 단계부터 프라이버시를 고려해야 하며(Privacy by Design), 수집된 데이터가 모델 학습에 사용될 경우 법적 근거와 목적의 명확성이 입증되어야 합니다. 규정 위반 시 전 세계 연간 매출액의 최대 4% 또는 2천만 유로 중 높은 금액의 과징금이 부과될 수 있습니다. 2024년 발효된 EU AI 법(EU AI Act)과 상호보완적으로 작용하며, 개인정보 보호 측면에서 AI 거버넌스의 필수 법적 토대가 됩니다.
도구 선택에서 중요한 이유
AI 도구는 대규모 데이터를 처리하므로, GDPR 미준수 도구를 사용할 경우 데이터 무단 학습이나 유출로 인해 사용 기업이 연대 책임을 지거나 막대한 과징금을 부과받을 수 있습니다. 또한, 사용자의 삭제 요청(잊힐 권리)을 기술적으로 이행하지 못하는 도구는 장기적인 법적 리스크를 초래합니다.
확인할 점
- 입력 데이터가 모델 재학습에 활용되는지 확인하고, 이를 거부(Opt-out)할 수 있는 설정이 있는가?
- 데이터 처리 방침(DPA)에 데이터 저장 위치와 역외 이전 시의 보호 조치(SCC 등)가 명시되어 있는가?
- 사용자가 자신의 데이터를 조회, 수정, 삭제 요청할 수 있는 기술적 인터페이스를 제공하는가?
준수 예시
기업용 AI 챗봇 도입 시, 입력된 고객 상담 데이터에서 개인식별정보(PII)를 자동으로 마스킹 처리하고, 해당 데이터를 AI 모델 성능 개선 학습에서 제외하도록 설정하여 데이터 최소화 및 목적 제한 원칙을 준수함.