한 줄 요약

운영 중인 AI 서비스에 동의하지 않은 사람의 데이터가 들어오면 내가 책임을 떠안을 수 있습니다. 미리 점검할 4가지가 있는데, 바로 아래에 핵심만 요약해뒀습니다.

바쁘시면 이것만 확인하세요

1. 동의 = 얼굴·목소리는 민감정보, 본인 동의 필수
2. 약관 = 사용자가 결과물 공유할 수 있다면 "제3자 정보 공유 금지" 조항
3. 보관 = 보관 기간·삭제 규정 명시 + 대량 처리 시 연 1회 통지
4. 미성년자 = 14세 미만 보호자 동의 + 결제 취소 청구 대비

“사진만 업로드 받는 건데요😥”

A사는 화상회의 영상을 AI로 자동 요약해주는 서비스를 운영합니다. 미팅이 끝나면 참가자별 발언 요약, 결정 사항, 다음에 해야 할 일까지 정리해주는 기능이에요. 그런데 사용자가 올린 회의 영상에는 본인뿐만 아니라 회의에 참석한 다른 참가자 5~6명의 얼굴과 음성이 모두 담겨 있었습니다. 그중 한 참가자가 자기 영상과 음성이 AI 학습 데이터로 저장·분석되고 있다는 걸 뒤늦게 알고, A사에 자기 데이터를 모두 지워달라고 요구해 왔어요. A사 대표님은 이미 학습된 모델에서 그 사람 데이터만 골라 지울 수 있는지, 회의를 녹화할 때 참가자 전원의 동의를 미리 받았어야 했는지 막막해졌습니다.

B사는 사용자가 자기 사진을 올리면 야구 중계 화면이나 영화의 한 장면에 자연스럽게 합성해주는 AI 영상 서비스를 운영합니다. 만든 영상은 SNS로 바로 공유할 수 있게 했어요. 그런데 어떤 사용자가 친구와 함께 찍힌 사진을 올렸고, AI가 두 사람 얼굴을 모두 합성해 영상을 만들었습니다. 사용자는 그 영상을 단톡방에 뿌렸는데, 친구가 자기 얼굴이 들어간 영상에서 만취한 모습으로 나온 것이 불쾌하다며, B사에 책임을 묻겠다고 연락해 왔어요. B사는 본인들이 어디까지 책임지는지, 사용자의 잘못은 어떻게 구분하는지 미리 정리해두지 않은 상태였습니다.

두 회사 모두 서비스를 빠르게 키우는 데 집중하느라 리스크 점검은 뒤로 미뤘습니다. AI 서비스에서 가장 자주 일어나는 초상권·개인정보 분쟁은 보통 4단계에서 시작됩니다. 이제 어떤 부분을 미리 점검해야 하는지 순서대로 풀어드릴게요.

1. 사용자가 올린 데이터, 어디까지 동의받아야 안전할까요?

AI가 데이터를 분석할 때 얼굴, 목소리, 행동 패턴이 자주 포함됩니다. 이 정보들은 개인정보보호법상 '민감정보'에 해당하죠. 누가 누구인지 식별할 수 있기 때문에 일반 정보보다 더 엄격하게 보호해야 합니다. 거기에 초상권이나 퍼블리시티권(자기 이미지를 상업적으로 쓸지 정할 권리)도 별도로 적용될 수 있습니다.

영상이나 이미지를 다루는 AI 서비스라면 더 조심해야 합니다. 사용자가 의도하지 않았는데 주변 사람의 얼굴이 같이 찍히거나, 분석 과정에서 원래 필요 없던 개인정보까지 같이 저장되는 일이 자주 일어나요. 그래서 서비스를 출시하기 전에 데이터 주인에게서 "이 정보를 이렇게 사용해도 됩니다"라는 동의를 명확하게 받아두는 게 필수입니다.

📍 이렇게 적용하세요

• 어떤 데이터를, 어떤 목적으로, 어디에 쓰고, 얼마나 보관할지 가입 화면에서 명확하게 고지합니다.
• AI가 원본 데이터를 분석하면서 추가로 만들어낸 정보(표정 데이터, 행동 패턴 등)도 보호 대상에 포함해야 합니다.
• 동의하지 않은 이용자의 데이터는 처음부터 수집하거나 저장하지 않도록 시스템을 설계해두세요.

2. AI가 만든 결과물을 사용자가 공유한다면, 책임은 어디까지일까요?

AI가 만들거나 편집한 콘텐츠에도 다른 사람의 얼굴, 목소리, 신체 특징이 들어갈 수 있어요. 사용자가 이걸 SNS나 메신저로 공유하면 본인은 의식하지 못한 상태에서 다른 사람의 정보가 외부에 공개됩니다. 피해자가 항의해 오면 회사도 함께 책임을 져야 하는 일이 생길 수 있습니다.

이걸 막으려면 약관이나 서비스 정책에 "다른 사람의 정보가 들어간 결과물은 외부에 공유·공개할 수 없다"는 조항을 분명하게 적어두는 게 좋습니다. 위반했을 때 어떤 제재를 받는지, 회사가 어디까지 책임지지 않는지(면책 범위)도 같이 안내해야 사용자가 미리 알고 행동할 수 있습니다.

📍 이렇게 적용하세요

• "타인의 개인정보가 포함된 콘텐츠는 제3자 제공·공개를 금지한다"는 조항을 약관에 직접 포함합니다.
• 공유 기능을 제공할 때는 모자이크 처리나 익명화 같은 후처리 옵션을 같이 두세요.
• 위반 사례가 발견되면 이용 제한, 콘텐츠 삭제 등 후속 조치를 어떻게 진행할지 절차를 정해두세요.

3. 수집한 데이터, 얼마나 보관하고 언제 지워야 할까요?

AI 학습이나 서비스 품질 개선을 위해 모은 데이터는 필요한 기간 동안만 보관할 수 있습니다. 개인정보 보호법은 "목적을 달성하기 위해 꼭 필요한 만큼만 보관할 수 있다"는 원칙을 정해두었어요. 그래서 데이터를 모을 때 무슨 목적으로, 얼마 동안 보관할지를 미리 정해서 사용자에게 알려야 합니다.

서비스가 커져서 민감정보를 대량으로 다루게 되면 또 다른 의무가 생겨요. 법령에 따라 1년에 한 번 이상 이용자에게 "당신의 개인정보가 어떻게 사용·제공됐는지"를 따로 알려야 합니다.

📍 이렇게 적용하세요

• "분석 및 기술 개발 목적으로 ○년 동안 보관"같이 구체적으로 적어둡니다.
• 서비스를 탈퇴한 이용자의 데이터는 즉시 삭제하거나, 법적으로 보관해야 하는 기간만 유지하세요.
• 민감정보를 대량으로 다루는 사업이라면 연 1회 통지 의무를 지킬 수 있도록 자동 알림 시스템을 미리 만들어두세요.

4. 14세 미만 사용자가 가입하거나 결제한다면, 무엇을 챙겨야 할까요?

AI 서비스 이용자 중에 미성년자가 있다면 데이터 수집과 결제 양쪽에서 추가로 챙겨야 할 점이 있어요. 14세 미만 아동의 개인정보를 수집하려면 보호자(법정대리인) 동의가 반드시 필요합니다. 15세에서 17세 사이 미성년자가 유료 서비스를 결제하는 경우에도, 보호자가 사전에 동의했거나 묵시적으로 허락한 사정이 있어야 결제가 유효해질 수 있습니다.

특히 앱 안에서 바로 결제하는 인앱 결제나 금액이 큰 서비스라면 더 주의해야 합니다. 보호자가 나중에 "내가 동의한 적 없다"며 결제 취소를 요구하면 환불해줘야 하는 상황이 생길 수 있습니다.

📍 이렇게 적용하세요

• 가입할 때 나이를 확인하는 절차를 두고, 14세 미만이면 보호자 동의를 받는 과정을 시스템에 만들어두세요.
• 미성년자가 유료로 결제할 때 금액과 서비스 성격에 따라 보호자 동의가 필요한지 미리 판단해두세요.
• 환불·취소 정책에 미성년자 결제 관련 조항을 따로 정리해두면 분쟁 발생 시 대응이 쉬워집니다.

🔖  이어서 읽으면 좋은 글

• 위반 사례로 보는 개인정보 수집 동의, 안전하게 받는 법 — 동의 절차를 더 깊이 풀어드린 글. 실제 위반 사례와 체크리스트, 동의서 문구 예시까지 정리해두었습니다.
• 약관에 데이터 활용 조항, 어디까지 써야 안전할까? — 약관 조항을 더 자세히 다룬 글. 사용자 데이터를 어디까지 활용한다고 적어둬야 안전한지 풀어드립니다.

이 글은 법무법인 임팩터스가 스타트업 법률 자문 경험을 바탕으로 각색하여 작성했습니다.
AI 서비스를 운영하면서 약관·동의서·제3자 제공 금지 규정을 어디서부터 손봐야 할지 막막하시다면 편하게 문의해주세요.

➡️ 임팩터스에게 문의하기