많은 사람이 ‘잠깐 붙여넣는 것’과 ‘파일을 정식 업로드하는 것’을 다르게 생각합니다. 하지만 데이터 처리 관점에서는 프롬프트, 첨부파일, 업로드 콘텐츠 모두 서비스가 처리하는 입력이 될 수 있습니다. OpenAI 개인정보처리방침도 서비스 입력에 제공한 Personal Data를 수집한다고 설명하며, 프롬프트와 업로드 콘텐츠를 그 예로 듭니다.
그래서 AI를 쓰기 전에는 데이터 최소화가 기본입니다. 원문 전체가 필요 없으면 붙여넣지 말고, 전체 문서 대신 요약을 쓰고, 이름·전화번호·주소·주문번호 같은 식별 정보는 먼저 지우는 방식입니다.
OpenAI의 기업 프라이버시 페이지는 ChatGPT Business, ChatGPT Enterprise, API 등에서 비즈니스 데이터에 대한 ownership and control을 제공한다고 설명합니다. 또한 DPA 체결을 통해 GDPR 등 개인정보 규정 준수 필요를 지원할 수 있다고 밝힙니다. OpenAI의 비즈니스 데이터 페이지는 데이터 보관 정책, EKM, GDPR·CCPA 및 여러 보안·컴플라이언스 프레임워크와의 정합성을 언급합니다.
이런 장치는 위험을 관리하는 데 도움이 됩니다. 그러나 회사는 여전히 어떤 자료를 입력할 수 있는지, 어떤 자료는 먼저 비식별화해야 하는지, 어떤 자료는 절대 입력하면 안 되는지, 누가 사용할 수 있는지, 문제가 생기면 어떻게 보고할지를 정해야 합니다.
AI 도구가 기업용 통제를 제공하더라도, 자료 자체가 고객 계약, 업계 규칙, 내부 보안 규정의 제한을 받을 수 있습니다. 판단의 중심은 ‘AI가 일을 잘해줄까?’가 아니라 ‘이 자료가 원래의 통제된 환경 밖으로 나가도 되는가?’입니다.
직접 또는 간접적으로 개인이나 고객을 알아볼 수 있다면 고위험 자료로 봐야 합니다. 실무에서는 이름, 전화번호, 이메일, 주소, 계정번호, 주문번호, 사건번호, 신원·결제 정보를 먼저 제거한 뒤에도 AI 입력이 필요한지 다시 판단하는 것이 좋습니다. 프롬프트 역시 서비스 입력 콘텐츠가 될 수 있다는 점을 잊지 말아야 합니다.
개인정보가 없어도 회사 밖으로 나가면 안 되는 정보가 있습니다. 예를 들어 견적, 계약 조건, 미공개 매출, 내부 프로세스, 제품 전략, 고객 명단은 단순히 ‘정리만 하려는 것’이라도 승인되지 않은 도구에 원문 그대로 붙여넣으면 안 됩니다.
개인 계정, 무료 도구, 회사가 심사하지 않은 외부 AI는 업무용 데이터 처리 환경으로 간주하면 안 됩니다. 업무상 비즈니스 데이터를 처리해야 한다면 회사가 승인한 도구를 사용하고, DPA, 데이터 보관 정책, EKM 등 필요한 통제가 회사 요구에 맞는지 확인해야 합니다.
많은 AI 작업은 원문 전체가 없어도 됩니다. 예를 들어 고객 답장 초안을 쓰려면 불만의 핵심, 원하는 말투, 회사가 약속할 수 있는 다음 조치만 있으면 충분한 경우가 많습니다. 고객의 실명, 전화번호, 주소, 주문번호, 계약서 전문이 항상 필요한 것은 아닙니다.
1단계: 회사 정책부터 확인합니다. 회사의 AI 사용 지침, 자료 분류 정책, 고객 계약 제한, 업계 컴플라이언스 요구가 있는지 확인합니다. 확신이 없다면 ‘괜찮겠지’라고 혼자 판단하지 않는 편이 안전합니다.
2단계: 입력 전 자료를 분류합니다. 개인 정보, 고객 정보, 내부 기밀, 계약, 재무, 결제, 신원 정보, 기타 민감 정보가 있는지 확인합니다. 하나라도 있거나 잘 모르겠다면 고위험 자료로 다룹니다.
3단계: 최소화하고 비식별화합니다. 원문을 넣지 않아도 되면 넣지 않습니다. 전체 문서 대신 요약을 쓰고, 실명 대신 ‘고객 A’, ‘공급업체 B’, ‘주문 123’ 같은 중립적 표기를 사용합니다. 실제 이름, 회사명, 전화번호, 이메일, 주소, 계정번호, 주문번호, 사건번호는 가능한 한 제거합니다.
4단계: 고위험 자료는 승인된 환경에서만 처리합니다. 비즈니스 데이터 원문 처리가 꼭 필요하다면 회사가 승인한 기업용 AI 환경을 사용해야 합니다. 이때 DPA, 데이터 보관 정책, EKM 또는 다른 관리 통제가 적절한지도 확인해야 합니다.
5단계: 애매하면 상위 절차로 넘깁니다. 고객, 임직원, 신원, 결제, 의료, 계약, 재무, 미공개 전략 정보가 들어 있다면 먼저 IT, 법무, 컴플라이언스, 담당 관리자에게 확인한 뒤 진행합니다.
권장하지 않는 입력:
고객의 원문 이메일, 이름, 휴대폰 번호, 주소, 주문번호, 계약 내용을 아래에 붙여넣을 테니 답장을 써줘.
더 안전한 입력:
아래는 식별 정보를 제거한 고객 불만 요약입니다. 고객 A는 제품 배송이 10일 지연됐고 환불을 요청했습니다. 정중하게 문제를 인정하고 다음 조치를 안내하는 답장을 작성해 주세요. 제공되지 않은 사실은 추가하지 마세요.
이 방식이 위험을 0으로 만드는 것은 아닙니다. 그러나 불필요한 개인정보와 회사 정보를 줄일 수 있습니다. OpenAI 개인정보처리방침이 서비스 입력에 포함된 Personal Data 수집을 설명한다는 점을 고려하면, 입력을 최소화하는 것 자체가 기본적인 안전 조치입니다.
아닙니다. 기업용 서비스나 API는 계약, 데이터 보관, 권한 관리 측면에서 더 많은 통제 수단을 제공할 수 있습니다. OpenAI는 관련 기업용 서비스에서 비즈니스 데이터에 대한 ownership and control을 제공하고, GDPR 등 개인정보 규정 준수를 지원하기 위해 DPA를 체결할 수 있다고 설명합니다. 또한 OpenAI는 EKM, 데이터 보관 정책, GDPR·CCPA 및 여러 보안·컴플라이언스 프레임워크에 맞춘 데이터 보호 관행을 언급합니다.
그러나 기업 통제는 위험 관리의 한 부분일 뿐입니다. 회사는 어떤 자료를 입력해도 되는지, 어떤 자료는 비식별화해야 하는지, 어떤 자료는 절대 입력하면 안 되는지, 누가 사용할 수 있는지, 사고나 오입력이 발생했을 때 어떻게 기록·보고할지까지 정해야 합니다.
회사 자료나 고객 자료를 ChatGPT 또는 다른 AI 도구에 입력하기 전, 아래 항목을 확인하세요.