무슨 일이 일어났나
2026년 1월, 이탈리아 개인정보보호 당국 Garante per la protezione dei dati personali(이하 Garante)가 OpenAI에 1,500만 유로(약 220억 원)의 벌금을 부과했습니다. ChatGPT의 학습 데이터 처리가 EU 일반개인정보보호규정(GDPR)을 위반했다는 판단입니다.
Garante는 OpenAI가 이탈리아 시민의 개인정보를 수집·처리할 때 적절한 법적 근거를 확보하지 않았고, 정보 주체에게 충분한 고지를 하지 않았다고 지적했습니다. 이탈리아는 2023년 ChatGPT를 일시 차단한 적이 있는, 유럽에서 가장 적극적으로 생성형 AI를 규제하는 국가입니다.
같은 맥락에서 Garante는 중국 AI 기업 DeepSeek에 대해서도 유사한 조사를 진행 중입니다.
AI 학습 데이터는 왜 문제인가
대규모 언어 모델(LLM)은 인터넷에 공개된 텍스트를 대량으로 수집해 학습합니다. 이 과정에서 개인의 이름, 연락처, 의료 기록, 법적 분쟁 내용 등이 학습 데이터에 포함될 수 있습니다.
문제는 학습이 완료된 후입니다. 개인정보가 모델 가중치(weight) 안에 녹아들면, 특정 개인의 데이터만 골라 삭제하는 것이 기술적으로 매우 어렵습니다. GDPR이 보장하는 **"잊힐 권리"(Right to be forgotten)**를 이행하기가 사실상 불가능에 가까운 구조입니다.
유럽 데이터 보호 위원회(EDPB)는 2025년 보고서에서, 현재의 LLM이 GDPR이 요구하는 익명화(anonymization) 기준을 충족하는 경우가 극히 드물다고 밝혔습니다. AI가 "모르는 척"하는 것과 진짜로 데이터를 삭제하는 것은 다르다는 뜻입니다.
전 세계로 확산되는 규제
이탈리아의 조치는 시작에 불과합니다. AI와 개인정보를 둘러싼 규제가 전 세계적으로 강화되고 있습니다.
EU AI Act는 2026년 8월 2일부터 범용 AI(GPAI) 모델에 대한 투명성 의무가 본격 시행됩니다. AI 기업은 학습 데이터의 출처, 저작권 정책, 모델의 기술 문서를 공개해야 합니다. 위반 시 전 세계 연간 매출의 최대 3%까지 과징금이 부과됩니다.
유럽집행위원회(European Commission)는 GDPR 제6조의 **"정당한 이익(legitimate interest)"**을 AI 모델 학습의 법적 근거로 인정하는 방안을 검토하고 있습니다. 기업의 혁신과 개인의 프라이버시 사이에서 타협점을 찾으려는 시도입니다.
유럽 밖에서도 움직임이 있습니다. 브라질은 2024년 Meta가 Instagram과 Facebook 사용자 데이터를 AI 학습에 활용하려 하자 데이터 처리를 정지시켰습니다. 2026년에는 인도, 한국, 일본 등에서도 AI 관련 개인정보 규정 강화가 예고되어 있습니다.
나에게 어떤 영향이 있나
일반 사용자 입장에서 당장 큰 변화가 느껴지지는 않을 수 있습니다. 하지만 알아두면 좋은 것들이 있습니다.
- ChatGPT 등에 입력한 내용도 학습에 사용될 수 있습니다 — 대부분의 AI 서비스는 설정에서 학습 데이터 활용을 거부(opt-out)할 수 있습니다
- 내 개인정보가 AI 답변에 나올 수 있습니다 — GDPR에 따라 OpenAI에 내 정보 삭제를 요청할 권리가 있습니다
- 기업 사용자는 데이터 처리 계약을 확인해야 합니다 — AI API를 사용할 때 고객 데이터가 학습에 포함되는지 SLA와 DPA를 점검해야 합니다
규제 강화로 AI 서비스의 개인정보 보호 투명성은 점차 높아질 전망입니다. 사용자가 자신의 데이터를 통제할 수 있는 선택지도 늘어나고 있습니다.
정리
| 시점 | 사건 | |------|------| | 2023년 3월 | 이탈리아, ChatGPT 일시 차단 | | 2024년 7월 | 브라질, Meta AI 학습 데이터 처리 정지 | | 2025년 | EDPB, LLM 익명화 기준 미충족 보고서 발표 | | 2026년 1월 | 이탈리아 Garante, OpenAI에 1,500만 유로 벌금 | | 2026년 8월 2일 | EU AI Act GPAI 투명성 의무 시행 예정 |
AI 서비스를 사용할 때, 설정에서 "학습 데이터 활용 거부" 옵션을 한 번 확인해 보세요. 내 대화가 어디까지 사용되는지 아는 것이 프라이버시 보호의 첫걸음입니다.
참고